(Treize heures quarante-cinq
minutes)
Le Président (M. Simard) : À
l'ordre, s'il vous plaît! Je constate que nous avons quorum. Conséquemment,
nous pouvons entreprendre nos travaux.
Comme vous le
savez, la Commission des finances
publiques est aujourd'hui réunie afin
de procéder à l'étude des crédits budgétaires du portefeuille
Cybersécurité et Numérique pour l'exercice financier 2025‑2026.
M. le secrétaire, bonjour. Y a-t-il des
remplacements aujourd'hui?
Le
Secrétaire : Oui, M. le Président. M. Beauchemin (Marguerite-Bourgeoys) est remplacé par Mme Setlakwe (Mont-Royal—Outremont); et Mme Zaga Mendez
(Verdun) est remplacée par M. Bouazzi (Maurice-Richard).
Le Président (M. Simard) : Alors,
bienvenue à nos nouveaux collègues.
Discussion générale
Comme vous le savez, nous disposons d'une
enveloppe de 2 h 45 min et, comme le veut notre tradition, nous
allons alterner par blocs d'environ 20 minutes, en commençant, bien
entendu, par la porte-parole de l'opposition officielle, la députée de Mont-Royal—Outremont. Madame, vous
disposez d'environ 20 minutes.
Mme
Setlakwe : Merci, M. le Président, et bonjour. Bon après-midi
à vous tous. Bonjour, M. le ministre, ainsi qu'à toutes vos équipes. Heureuse
de me retrouver parmi vous cet après-midi pour discuter d'un dossier important,
cybersécurité et numérique. Débutons sans plus tarder.
M. le
ministre, il faut avoir à l'esprit le fiasco SAAQclic, qui a entraîné des
dépassements de coûts d'au moins 500 millions. Comment est-ce que
vous expliquez que le principal outil de reddition de comptes de votre
ministère, c'est-à-dire le tableau de bord,
reste aussi laconique, incomplet et franchement peu informatif pour la
population, alors que la Vérificatrice générale, dans son rapport, elle avait
clairement constaté que les informations qui avaient été transmises au fil des ans dans le tableau de bord du gouvernement
n'avaient pas permis d'assurer une reddition de comptes publique suffisante?
Le Président (M. Simard) : Merci,
Mme la députée. M. le ministre.
M.
Bélanger : Bien, d'entrée de jeu, je veux souhaiter la
bienvenue à tous. C'est mes premiers crédits. Ça fait que je suis quand
même assez fébrile.
Pour ce qui
est de la SAAQ et de SAAQclic, je vais quand même être prudent, parce qu'il y a
une commission d'enquête publique. Et
puis on va avoir les résultats de cette enquête-là à l'automne, donc il va y
avoir les informations et certainement
des suggestions et recommandations qui vont en découler. Je pourrais revenir un
peu sur ce qui s'est passé, peut-être,
en... je ne sais pas, en 2014, sur l'exemption au niveau de la LGGRI,
justement, puis sans tirer des conclusions que la SAAQ a pu opérer sans gouvernance externe, mais je vais laisser
quand même la commission d'enquête faire ses analyses, ses entrevues
puis être capable de tirer, justement, les conclusions.
Le Président (M. Simard) : Merci.
Mme la députée.
Mme
Setlakwe : Merci, M. le ministre. Effectivement, il y a une
enquête en cours. Mon regard n'est pas tourné vers le passé. Mon regard est tourné vers l'avenir, et il y a plusieurs
chantiers majeurs au niveau informatique qui sont en cours. Et puis ma
question porte vraiment sur le tableau de bord. Vous êtes le nouveau ministre
qui êtes en poste. Êtes-vous satisfait du tableau de bord? Quels constats
tirez-vous, là, après quelques mois en fonction?
M. Bélanger : Bien, lorsque vous
parlez du tableau de bord, vous parlez des tableaux de bord, des résultats au niveau des divers projets. Je ne sais pas...
s'il y a un millier de projets, mettons qu'il y en a 209 en exécution, il y a certains
projets qui sont... où on a des suivis.
Je vous dirais, Mme la députée, que je suis
quand même prudent. Moi, j'utilise un principe, puis vous allez peut-être rire, je ne veux pas... je vais vous
faire rire un peu, là, j'appelle ça des projets pastèques. Vous savez,
c'est quoi, une pastèque? Une
pastèque, c'est un peu comme un... c'est un melon d'eau, une pastèque. Donc,
c'est vert, si vous le regardez de
tous les côtés. Et c'est vert, et puis, lorsque vous prenez le temps de couper
et d'analyser, parfois, ce que vous voyez à l'intérieur, c'est rouge et
il y a des pépins.
Donc là, j'ai fait ça, tu sais, un peu comme
imagé, mais je vous dirais que, lorsque je reçois un tableau de bord, je m'assure d'en faire l'analyse. Donc, je
n'assume pas que les données qui sont reçues... je ne dis pas qu'elles sont
fausses, mais je m'assure quand même de
faire les vérifications nécessaires. Si j'ai un doute... bien, lorsque j'ai un
doute, ça peut aller jusqu'à un pouvoir d'audit. Je peux décider de
déclencher un audit. Par contre, avant de moi-même transformer
un tableau de bord d'une couleur qui serait verte à une couleur qui serait
rouge, il y a des échanges, il y a différentes interventions que je peux faire
avec les organismes et ministères. Et, jusqu'à date, on a fait des milliers
d'interventions, justement, pour s'assurer que les informations qu'on reçoit,
les tableaux de bord qu'on reçoit nous fournissent des informations qui sont
pertinentes et justes.
Mais je rajouterais
aussi qu'on a un projet de loi, le projet de loi n° 82. On est en étude
détaillée. Oui, on a la LGGRI, mais on a
aussi le p.l. n° 82, puis le p.l. n° 82 va nous permettre
d'avoir des outils qui vont être plus pertinents, justement, pour s'assurer d'avoir une meilleure
gestion puis une meilleure gouvernance, parce qu'évidemment je souhaite
la collaboration de mes collègues pour pouvoir avancer, justement, au niveau de
ce projet de loi là.
Le Président (M.
Simard) : Très bien. Mme la députée.
• (13 h 50) •
Mme
Setlakwe : Merci. Bien oui, bien entendu, je parle du tableau de bord
de votre ministère, celui qui porte, là, sur
les nombreux projets en ressources informationnelles. On comprend que ce ne
sont pas tous les projets qui se retrouvent sur le tableau de bord, mais
il y en a quand même une quantité importante, des projets importants.
Et puis je suis
certaine que vous avez pris connaissance des articles récents dans La Presse
sous la plume de Charles-Éric Blais-Poulin.
Il s'est intéressé au tableau de bord. Évidemment, moi, comme députée de
l'opposition, avec mon équipe, on
s'intéresse au tableau de bord aussi. C'est notre façon de pouvoir suivre les
chantiers importants, et les suivre
pour voir, pour constater, pour surveiller — c'est notre rôle — est-ce qu'il y a des dépassements de coûts
importants, est-ce qu'il y a des délais indus, est-ce qu'on dépasse les
échéanciers qui étaient prévus.
Encore une fois, mon
regard n'est pas tourné vers le passé, vers SAAQclic, mais il faut avoir à l'esprit
ce qui s'est passé dans ce dossier-là, les
constats de la Vérificatrice générale, ses recommandations, et s'assurer que,
pour les autres chantiers, bien, on tire des leçons puis qu'on s'assure
d'une reddition de comptes adéquate, on s'assure que les voyants clignotent au moment opportun et que les
décideurs soient avisés qu'il y a des enjeux, qu'il y a des problèmes,
tout ça, si on veut espérer regagner la confiance du public.
Et ce qu'on a... ce
qu'on constate, c'est que, même avec tous les voyants au vert dans le tableau
de bord, un projet peut être suspendu pendant plus de 600 jours sans que
personne ne soit alerté. Ici, je réfère au Projet urbain de radiocommunication, PUR, suspendu pendant
633 jours. Ça, c'est un exemple frappant, là, où tous les voyants étaient
au vert, comme si le projet progressait
comme prévu, mais votre outil de reddition de comptes masque actuellement ce
type de dérives.
Vous
avez pris... sûrement pris connaissance de cet exemple-là, qui a fait l'objet
d'une... de la revue de presse. Qu'est-ce que vous en pensez? Et
qu'est-ce que vous avez posé comme gestes?
M. Bélanger :
Bien, moi, j'ai... Sur le nombre de projets, parce qu'il y en a quand même
un millier, il y en a qui sont en étape de
dossiers d'affaires, planification. J'ai 209 projets qui sont actifs. Sur
les 209 projets qui sont actifs, je
vais dire les bonnes nouvelles, là, il y en a 134, projets, là, qui arrivent
bientôt à terme puis qui sont sous les budgets par 114 millions.
Ça, c'est les prévisions, 114 millions sur les...
Mme
Setlakwe : ...les données que vous venez de mentionner sur...
M. Bélanger :
134 projets, qui représentent
114 millions sous le budget prévu, sur les 209 projets en exécution.
Puis c'est certain qu'il y a des projets qui représentent des dépassements de
coûts potentiels, mais, pour le moment, je n'ai autorisé aucun dépassement de coûts, je n'ai déboursé aucune somme
au PQI-RI pour couvrir des dépassements de projets.
Mme Setlakwe :
Est-ce que vous estimez
qu'actuellement les mises à jour du tableau de bord sont adéquates et
respectent les exigences légales?
M. Bélanger :
Qu'est-ce que vous entendez par exigences légales?
Mme
Setlakwe : Les mises à jour. Les mises à jour.
M. Bélanger :
Bien, je vais répondre peut-être à votre première question.
Mme
Setlakwe : Bien là, je vous avais demandé, tout à l'heure, de
commenter un projet, le Projet urbain de radiocommunication, qui était inactif,
suspendu pendant plus de 600 jours sans qu'il n'y ait aucun voyant qui indiquait un tel problème. Et là je vous
demande... Je n'ai pas eu de réponse à ça. Je vous demande si... pourquoi
certains projets ne reçoivent aucune mise à jour depuis plus d'un an,
alors que la loi exige une reddition annuelle des coûts et des échéanciers? Donc, je vous demandais :
Est-ce que vous êtes satisfait des mises à jour? Est-ce que, vous, vous posez des
gestes pour s'assurer que les exigences soient respectées?
Le Président (M.
Simard) : Merci. M. le ministre.
M.
Bélanger : Je vais répondre à la question : Est-ce que
je suis satisfait des mises à jour ou des informations? Je vous dirais que je questionne les 209 projets
qui sont actifs, en ce moment, un par un. Donc, il y a un plan d'analyse au
niveau de ces projets-là.
Pour le projet en particulier, qui est
le projet PUR, je laisserais le sous-ministre adjoint répondre. C'est lui qui est
responsable du projet. Il va pouvoir répondre à vos questions.
Le
Président (M. Simard) :
Alors, y a-t-il consentement à cet effet? Vous avez... Vous donnez le
consentement, chère collègue?
Mme
Setlakwe : Oui, pour une réponse courte, s'il vous plaît.
Le Président (M.
Simard) : Très bien. Monsieur, veuillez d'abord vous présenter.
M. Roussy (Dave) : Bonjour. Dave Roussy,
sous-ministre adjoint à la télécommunication et au centre de service.
Le Président (M.
Simard) : Alors, brièvement, je vous prie.
M. Roussy
(Dave) : Très rapidement. Le projet PUR, dans le fond, c'est un projet
qui a été mis en suspens dès le début pour
repositionner l'approche du projet. Mais sinon, les mises à jour... Le projet a
redémarré, et les mises à jour, au tableau de bord gouvernemental, sont
à jour.
Le Président (M.
Simard) : Très bien. Mme la députée.
Mme
Setlakwe : Merci. Est-ce que, M. le ministre, il y a certains projets
qui sont fractionnés en plus petits lots
pour justement... à s'assurer que les voyants restent au vert et que, si, par
contre, tout était fusionné et qu'il n'y avait pas ce fractionnement artificiel, il y aurait donc des indications que
les projets sont... ont des voyants jaunes ou rouges? Est-ce que c'est
une pratique que vous observez?
M. Bélanger :
Ça fait partie de mes analyses. Pour le moment, je ne peux pas conclure,
mais j'analyse toutes les possibilités, pas uniquement de fragmenter les
projets, mais d'utiliser... que ce soient les budgets de maintenance ou les
budgets d'opération suite à la réalisation du projet.
Donc,
pour l'instant, je suis encore en analyse là-dessus, au niveau de chaque
projet, et je vais m'assurer, là, que ça suit les règles de l'art.
Mme Setlakwe :
Est-ce que... Oui. Et vous allez
donc le faire à court terme, je présume? Parce que la Vérificatrice
générale, c'est justement de ce type de situation, là, dont elle s'inquiétait.
M. Bélanger :
Bien, moi, je vous dirais que je suis inquiet et prudent sur la capacité de
gérer les projets, les 209 projets qui
sont en exécution actuellement avec des organismes publics et ministères, etc.
Quels sont les pouvoirs du ministère de la Cybersécurité et du
Numérique? Je qualifierais ces pouvoirs-là de limités. J'ai un pouvoir d'audit.
Je peux faire des interventions. Je vous
dirais qu'à ce jour, on en a fait un millier, de différentes interventions. Ça
peut être des lettres, ça peut être des avis, ça peut être des demandes
d'information, mais, pour moi, ce n'est pas suffisant. Je ne suis pas satisfait
de cette façon-là. Et on a le projet de loi n° 82. Le projet de loi
n° 82 nous donne des outils additionnels. Est-ce qu'ils vont être
suffisants? Probablement pas, probablement pas.
Le Président (M.
Simard) : Merci.
M. Bélanger :
Je vais peut-être vouloir rajouter, justement...
Le Président (M.
Simard) : Merci, M. le ministre. Mme la députée.
Mme
Setlakwe : Merci. Votre ministère affirme que tout projet de plus de
500 000 $ doit figurer dans le tableau de bord avec un suivi
rigoureux. Là, vous avez parlé d'un certain nombre de projets actifs que vous
suivez de façon particulière. Ce matin, vous
étiez avec moi, donc, en période des questions, on a entendu le premier ministre,
dans un échange avec le chef de
l'opposition officielle, parler qu'il y avait pour 100 millions de
dépassements de coûts sur des projets totalisant 2,5 milliards.
Comment est-ce que vous expliquez la réponse du premier ministre ce matin?
M. Bélanger :
Bien, nombre de projets qui sont
en... Il y a 209 projets actifs. Il y a 2,4 milliards... Ça
représente 2,4 milliards de
budget. Je vous ai dit tantôt, au niveau des budgets qui étaient... j'avais
au-dessus d'à peu près 100 millions de projets, là, qui vont être sous les budgets. Je suis encore à faire
des analyses, justement, sur les dépassements de coûts potentiels sur certains projets, mais je n'ai
absolument autorisé aucune somme pour pallier aux dépassements de coûts,
s'il y a lieu, des projets.
Mme Setlakwe : Je comprends. Mais donc
est-ce que vous confirmez l'information qu'on a reçue ce matin, que les
dépassements de coûts sont de l'ordre de 100 millions, ou est-ce que
c'est... ils sont plus importants?
M. Bélanger : Bien, je ne peux pas confirmer le chiffre. Je
peux confirmer le chiffre... Moi, le chiffre que j'ai, c'est au niveau
des montants qui sont en dessous des budgets. Ça fait que j'ai un... j'ai comme
une banque négative de
100 quelques millions sous les budgets sur les projets qui sont en exécution.
Les projets qui sont... qui pourraient être en dépassements de coûts, qui sont hors du ministère de la Cybersécurité
et du Numérique, que ça vienne de la Santé ou que ça vienne d'autres ministères, je suis en étape d'analyse, pour le
moment, de l'information qui m'est acheminée pour voir la pertinence et
voir l'exactitude des informations que je reçois.
• (14 heures) •
Le Président
(M. Simard) : Merci. Mme la députée.
Mme Setlakwe : O.K. Merci. Donc, vous répondez à l'inverse,
qu'il y en a un certain nombre qui sont sous les budgets. Mais, ceux qui sont
en dépassements de coûts, est-ce que vous savez d'où venait ce chiffre de
100 millions qui a été affirmé par le premier ministre ce matin?
Vous n'êtes pas capable de le confirmer. C'est ce que j'ai compris?
M. Bélanger : Ah! je ne le sais pas. Peut-être que, le
100 millions, c'est une évaluation au net en dépassements puis sous
les budgets. Mais je n'ai pas les chiffres précis, je vous dirais, au niveau
des projets qui pourraient être potentiellement en dépassements de coûts. Je
n'ai accordé aucun dollar pour pallier à des dépassements de coûts au niveau
des budgets.
Mme Setlakwe : Sur le tableau de bord, quand on parle du Système
d'information des finances, de l'approvisionnement
et des ressources humaines, SIFARH, sous Santé Québec, il semble y
avoir, je ne sais pas si vous pouvez nous l'expliquer, un dépassement
important entre le coût autorisé et le coût estimé. Quel est le dépassement de
coûts le cas échéant?
M. Bélanger : Nous sommes actuellement en analyse sur le projet
qui... je l'appelle le projet SIFARH. Donc, nous avons des échanges avec Santé Québec... le ministère de la Santé, mais aussi Santé Québec pour...
justement, sur ce projet en particulier.
Mme Setlakwe : Le chiffre de 430 millions, comment
l'expliquez-vous? Il est indiqué à votre tableau de bord.
M. Bélanger :
430 millions, c'est le coût estimé avec le coût autorisé à
202 millions. Donc, il y a un écart... effectivement qu'il y a un écart,
mais moi, je n'ai autorisé aucun dépassement de coûts. Il n'y a eu aucune somme
qui ont été déboursées. Donc, actuellement,
je suis en analyse sur ce projet-là en particulier pour être capable d'obtenir
des informations précises, s'il y a
dépassement de coûts, il est causé à... quelles sont les raisons du dépassement
de coûts et quel est le montant. Mais
je n'ai autorisé absolument aucun dépassement de coûts en termes de déboursé
pour l'instant.
Mme Setlakwe :
Mais quelqu'un qui veut suivre le tableau de bord se dit : Bon,
aujourd'hui, le projet est estimé à 430 millions avec un taux d'avancement
du projet de 12 %. Votre tableau de bord, il est difficile à suivre, M. le ministre. Il semble être difficile à suivre
pour vous aussi, là, ou vous n'êtes pas capable de confirmer certains chiffres?
M. Bélanger :
Je peux vous dire qu'il y a des analyses qui se font au niveau de ce projet-là
en particulier, des analyses précises. Puis je vais m'assurer que les
informations que je reçois vont être précises et pertinentes.
Mme Setlakwe : J'ajouterais un autre exemple, la vitrine Dossier
santé numérique. Ce sont les projets
pilotes... les deux projets pilotes : coût autorisé, 265 millions, coût estimé,
307 millions. Et, dans une liste de projets qu'on a reçue ce matin,
là, la page RP-18, on indique 122 millions pour la vitrine Dossier
santé numérique. Est-ce que vous avez... Est-ce que votre analyse pour la
vitrine de Dossier santé numérique est à jour aujourd'hui? Est-ce que vous...
M. Bélanger : ...puis ça, c'est une bonne nouvelle parce que ça
tombe dans mon ministère. Donc, je vais pouvoir vous donner des informations
plus précises puis je voudrais laisser la sous-ministre adjointe pouvoir
répondre à...
Le
Président (M. Simard) :
Consentement à cet effet? Consentement. Alors, madame, pourriez-vous d'abord vous
présenter, s'il vous plaît?
Mme Martel (Mylène) : Oui, bonjour, M. le Président. Mylène Martel,
sous-ministre adjointe au dirigeant principal à l'information et à la
gouvernance.
Le Président
(M. Simard) : À votre écoute.
Mme Martel (Mylène) : Alors, votre question, Mme la députée, par
rapport au projet vitrine Santé... un projet de Santé Québec,
finalement. C'est un projet de Santé Québec?
Mme Setlakwe :
Oui, la vitrine Dossier santé numérique.
Mme Martel
(Mylène) : Oui, c'est ça, donc, c'est un projet qui actuellement est
au tableau de bord, donc, à 265 millions pour un coût autorisé et un coût
estimé à 307 millions.
Mme Setlakwe : Donc, il y a un
écart de 42 millions?
Mme Martel
(Mylène) : De 42 millions.
Mme Setlakwe : Et comment expliquez-vous
le chiffre? Comment on doit comprendre le 122 millions qui apparaît à la
liste qu'on a reçue ce matin, là, RP-18, tableau RP-18?
Mme Martel (Mylène) : Ce ne sera pas
très long, je m'y rends... faire vite et ne pas perdre de temps, puis là j'en
perds. Désolée.
Mme Setlakwe : Peut-être que vous
pouvez nous revenir pour qu'on puisse continuer.
Le Président (M. Simard) : Éventuellement,
oui.
Mme Setlakwe : Ce serait important.
Le
Président (M. Simard) : Alors, Mme Martel, vous et votre équipe
pourriez chercher l'information demandée, et nous laissons à la députée
le soin de poursuivre avec les quelque 15 secondes qu'il lui reste.
Mme
Setlakwe : Un projet sur cinq affiche un voyant rouge, soit
47 projets sur 235. Là, on comprend qu'il y a une analyse en cours. À quel moment allez-vous
pouvoir fournir une mise à jour claire des projets qui sont en difficulté?
Le Président (M. Simard) : Alors,
très rapidement, pour ne pas trop emprunter sur le bloc suivant.
M. Bélanger : D'ici la fin du mois.
Le Président (M. Simard) : Très
bien. Alors, je vous remercie. Sur ce, je cède la parole au député de Maurice-Richard qui dispose de 16 min 37 s.
M. Bouazzi : Merci, M. le Président.
Très heureux d'être ici. Je vais peut-être commencer par les questions
d'intelligence artificielle et des données de nos enfants qui sont accumulées.
Il y a au moins 11 services scolaires qui
accumulent des données actuellement pour rouler apparemment un logiciel
d'intelligence artificielle pour prévoir qui est décrocheur ou pas. Les
données, donc, qui sont accumulées dans cette base de données, année après
année, contiennent le genre, l'âge, le lieu de naissance, le code de
difficultés d'apprentissage, d'adaptation,
handicap, la langue parlée à la maison, la scolarité des parents, les
résultats, le redoublement, l'école
fréquentée, l'indice de défavorisation, l'absence, les retards, les troubles de
comportement. Est-ce bien vrai, d'abord, M. le ministre?
Le Président (M. Simard) : M. le
ministre.
M. Bélanger : Bien, pourriez-vous
répéter la question? Je n'ai pas saisi. Au niveau des données...
M. Bouazzi : Actuellement, il y a de
l'intelligence artificielle qui est roulée sur les données de nos enfants dans le ministère de l'Éducation, où on accumule
toutes les données que je viens de vous dire, là. Je ne vais pas vous refaire
la liste, mais disons qu'elle n'est pas
exhaustive. Je comprends qu'elle va être recoupée avec d'autres données aussi,
dans une grosse base de données où, donc, on va accumuler les données
sur nos enfants. Est-ce que c'est vrai?
M.
Bélanger : On est après faire l'inventaire de toutes les
données qui sont recueillies et ainsi que la classification au niveau
des données pour s'assurer que les données qui sont sensibles, que ce soit...
Un, premièrement, les données de type C, qui sont des données très, très
sensibles, doivent être entreposées sur le nuage gouvernemental souverain. Il y a des données qui sont de niveau moins
sensible ou des données non sensibles. On est après faire l'analyse, justement,
de façon à être capable de qualifier le
niveau de sensibilité, parce que, dans certains cas, peut-être que la
qualification n'a pas été bien faite, et pour s'assurer que ces
données-là sont entreposées de la bonne façon.
M. Bouazzi : Je veux juste être
clair, c'est des communiqués de presse de vos différents ministères qui nous
annoncent depuis déjà des mois que le genre, l'âge, le lieu de naissance, le
code de difficultés d'apprentissage, évidemment, la langue parlée à la maison,
les résultats scolaires, le redoublement, etc., est déjà accumulé.
Là, ce que
vous dites, c'est : Ça fait des mois que c'est accumulé, mais nous n'avons
pas encore fait la classification. Je
ne suis pas encore rendu où est-ce qu'ils sont hébergés, là, ça va être ma
prochaine question, mais est-ce qu'on peut au moins se mettre d'accord, vous
êtes au courant des communiqués de presse des différents gouvernements où on ramasse
des données sur nos enfants?
M.
Bélanger : Vous comprenez qu'on ne parle pas de données qui
sont entreposées ou d'un projet qui est relié au ministère du Numérique
et de la Cybersécurité. C'est le ministère de l'Éducation... On est dans
l'étude détaillée du projet de loi n° 82 qui permet d'avoir plus de pouvoirs et de moyens, justement, pour
s'assurer que les projets, que ce soit collecte de données, des projets
qui utilisent l'intelligence artificielle ou des projets en technologie, soient
conformes. Et, à ce
moment-là, je pourrai... à ce moment-là, je pourrai vous répondre de façon plus
précise, mais, pour l'instant, si vous me posez la question, est-ce que
j'ai un moyen de m'en assurer à 100 %, la réponse est non.
M. Bouazzi : Bien, vous assurer de quoi? Déjà, est-ce qu'on a
porté à votre attention cette initiative d'intelligence artificielle ou
pas du tout?
M. Bélanger :
J'ai été sensibilisé, mais pas de
façon précise. Ça se passe au ministère de l'Éducation, puis il y a eu certainement l'étude des crédits au ministère de
l'Éducation. Ils ont pu répondre à vos questions. Si elle n'a pas eu lieu, je
vous invite à poser la question au ministère de l'Éducation.
M. Bouazzi : Donc,
est-ce que vous savez, donc, où sont hébergées ces données personnelles de nos
enfants?
• (14 h 10) •
M. Bélanger :
La réponse est non. Je vous dis qu'il y a un processus d'inventaire au
niveau de la collecte de données de
différentes initiatives, mais, encore là, il faut adopter le projet de loi
n° 82 qui va me donner les moyens de poser les questions et d'aller
chercher les informations au niveau des différents ministères et organismes
publics afin de s'assurer que c'est fait,
que les données sont entreposées dans les règles de l'art suivant le niveau de
sensibilité des données.
M. Bouazzi : Est-ce
que, M. le ministre, vous êtes en train de nous dire que, sans adopter le
projet de loi, on peut accumuler l'âge, le genre, les résultats scolaires, où
est-ce qu'on habite, quelle langue est parlée à la maison, les déménagements,
les adresses de centaines de milliers d'enfants québécois dans une grosse base
de données, et sans ce projet de loi, vous
n'êtes pas capable de nous garantir qu'on a bien classifié les données, on les
a mises dans un endroit sécuritaire?
M. Bélanger :
M. le député, il y a quand même
des éléments juridiques qui existent. La loi sur l'accès à l'information, il y
a une évaluation qui doit être faite, justement, au niveau de la vie privée. Ça
fait qu'il y a des outils législatifs
qui existent et qui doivent être suivis. Vous me posez la question si c'est le
MCN qui doit s'assurer. Il y a quand même des lois qui existent déjà en
place pour s'assurer que la vie privée n'est pas violée.
M. Bouazzi : Est-ce qu'à votre connaissance le consentement des
parents est requis pour accumuler autant de données sur nos enfants?
M. Bélanger :
Je ne pourrais pas répondre à
cette question. Il faudrait demander au ministère de l'Éducation, mais,
pour l'instant, je n'ai pas la réponse.
M. Bouazzi : Je suis vraiment très étonné. Je vous informe, M.
le ministre, que le consentement des parents n'est pas requis pour
accumuler autant de données terriblement personnelles sur nos enfants.
N'importe quelle compagnie qui ramasse juste
un courriel, M. le ministre, un courriel, qui voudrait pouvoir l'utiliser, a
besoin d'un consentement au Québec.
Le gouvernement aujourd'hui ramasse toutes ces informations-là, là, les
résultats, le redoublement, les handicaps, l'adresse, le... si on prend le bus scolaire ou pas, etc., si on
déménage sur plusieurs années, sur des centaines de milliers d'élèves, et le
consentement n'est pas requis. Est-ce que vous pourriez peut-être vous engager
à ce que le consentement soit demandé aux parents qui veulent faire
partie de cette initiative?
M. Bélanger :
Il y a déjà un arrêté ministériel
qui existe, qui s'assure qu'au niveau de la collecte de données... qu'il n'y a
pas de préjudice, justement, au niveau de la collecte de données. Ça fait qu'au
ministère... Posez la question au ministère de l'Éducation, puis ils
suivent certainement les règles au niveau de la collecte de ces
informations-là.
M. Bouazzi : Et
vous, vous trouvez normal qu'on ne demande pas le consentement des parents.
M. Bélanger :
Non, je ne trouve pas ça normal
qu'on... mais je ne peux pas confirmer si le consentement a été demandé
ou pas. Ce que je confirme, c'est qu'il y a des règles qui existent, il y a des
lois et puis il y a des... il y a un arrêté ministériel qui oblige, justement,
cette vérification-là.
M. Bouazzi : Moi, je vous confirme que le consentement n'est
pas demandé. C'est pire encore, M. le ministre, même le... ce qu'on appelle le
«opt-out» dans l'industrie, c'est-à-dire la possibilité de dire : Bien,
moi, je ne veux pas en faire
partie... même je comprends qu'on ne me demande pas mon avis, mais je le donne
quand même, je ne voudrais pas qu'on
ramasse autant de données dans une base de données accumulées pendant des
années sur nos enfants. Est-ce que
vous trouvez ça normal que des parents ne puissent pas juste refuser que les
données de leurs enfants, que leur adresse à eux, parce qu'ils y habitent, que la langue qu'ils parlent à la
maison, que la situation... l'indice de défavorisation, etc., du
quartier soient accumulés?
M. Bélanger : On a eu la réponse, parce
qu'on a posé la question au ministère de l'Éducation. Ça fait qu'on vient
d'avoir la réponse. Je suggérerais que ma sous-ministre...
Le
Président (M. Simard) : ...consentement pour Mme Martel?
Consentement. Alors, Mme Martel, je vous en prie.
Mme
Martel (Mylène) : Alors, merci. Effectivement, en fait, à chaque fois
que nous utilisons différents outils et qui
utilisent maintenant l'intelligence artificielle, il y a vraiment une démarche
très structurée pour venir évaluer les
données qui sont stockées... les données qui sont collectées et stockées pour
respecter, finalement, qu'est-ce qui est prévu à la loi sur l'accès à l'information, notamment par la démarche
structurée d'évaluation des facteurs à la vie privée.
Donc, pour savoir
s'il y a effectivement consentement qui est donné comme tel, évidemment, on
pourra demander au ministère de l'Éducation, mais la démarche a été faite avec
sérieux, en respectant, et je le confirme, les énoncés de principe qui ont été pris par arrêté ministériel également,
l'été dernier, en matière d'intelligence artificielle. Donc, lors de la collecte, que l'on a faite
également en vertu de l'arrêté ministériel qui a été pris en février dernier,
on est allé vérifier si l'ensemble des droits étaient respectés.
M. Bouazzi : Je vous entends, mais c'est une très, très longue
réponse pour dire pas grand-chose, là. Parce que ce que je vous dis, donc, est vrai, juste pour que les gens qui nous
écoutent soient clairs, on ramasse toutes ces données-là personnelles
sur nos enfants, et d'ailleurs une partie sur les parents aussi parce que c'est
la même adresse, etc., qu'il n'y a jamais personne à qui on a demandé le
consentement et que tout ceci est accumulé de manière non anonymisée dans une grosse base de données consolidée. On ne
sait même pas si elle est chez Amazon ou Microsoft où, en plus, le CLOUD Act s'appliquerait, et donc le
gouvernement Trump pourrait y avoir accès sans nous prévenir, sans nous
demander notre avis. Ça, c'est un
fait. Ce que vous nous dites, c'est légal. Bon, j'entends. Est-ce que, M. le
ministre, vous trouvez ça normal?
On
peut aller plus loin, là. Est-ce qu'on peut s'engager à ce que, même si c'est
légal, c'est scandaleux que ce soit légal,
honnêtement, mais, même si c'est légal, que le ministère pourrait aller plus
loin et dire : Oui, je vais demander le consentement aux parents avant de
ramasser les données personnelles pendant des années sur des centaines de
milliers d'enfants québécois?
Le Président (M.
Simard) : Merci. M. le ministre.
M. Bélanger :
Lors de l'étude détaillée du
projet de loi n° 82, on a eu, justement, des discussions au niveau
des données sensibles et puis quelle était l'intention au niveau des
données sensibles, où elles devaient être entreposées pour s'assurer qu'elles ne prêtent pas flanc, que ce soit au niveau du
CLOUD Act, PATRIOT Act, de FISA. Et puis je peux vous
confirmer qu'il y a un inventaire des différentes données qui sont collectées
aujourd'hui, et moi, je veux m'assurer que ces données-là soient protégées.
Je vous dirais
aujourd'hui : Est-ce que le gouvernement américain a des intentions
d'aller chercher les données au niveau des parents, au niveau des étudiants? Je
ne peux pas confirmer ça. Est-ce que la possibilité est là? On le sait tous que la possibilité est là. C'est
pour ça qu'on est après, justement, travailler sur une stratégie de souveraineté
numérique pour s'assurer, justement, que les données qui sont sensibles... que
les données qui sont sensibles soient entreposées ici de façon sécuritaire. On
a déjà un nuage gouvernemental qui est en place, donc on s'assure qu'il va
avoir la capacité pour, justement, héberger beaucoup plus de données. Donc,
c'est un processus qui est... c'est un processus qui est en cours, M. le
député.
M. Bouazzi : Combien
il me reste de temps, M. le Président?
Le Président (M.
Simard) : Cinq minutes, cher collègue.
M. Bouazzi : Excellent. Alors, bon, vous parlez du projet de loi n° 82. Je rappelle quand même, M. le ministre, que nous avons
proposé des amendements pour que les données personnelles associées à
l'identité numérique des Québécois ne soient
pas stockées dans des infrastructures qui soient assujetties à des lois
étrangères, exemple Amazon ou Microsoft, avec le PATRIOT Act et le
CLOUD Act, et ces amendements ont été refusés à date. Ça fait que vous avez quand même la possibilité d'héberger les
données personnelles des Québécoises et Québécois sur des clouds
assujettis à des...
Donc,
j'entends et je n'entends aucun engagement. Moi, je ne vous parle pas si c'est
sécurisé, mais je n'entends aucun
engagement. Juste de demander aux parents québécois s'ils sont d'accord pour
qu'on accumule des données sur leurs
enfants, pour qu'ils donnent leur consentement, il n'y a aucun engagement de
votre gouvernement. Est-ce que vous vous engagez au moins à évaluer la
possibilité de rajouter un consentement des parents?
M. Bélanger :
M. le député, on s'est entendu, lors de l'étude détaillée, d'avoir les
consultations appropriées pour quel type de
données qu'on allait récolter. Donc, lors du processus de consultation, on va
s'assurer que les données qui sont...
qui peuvent être sensibles soient entreposées de façon sécuritaire et qu'ils ne
prêtent pas flanc au... à un accès potentiel de... malveillant de la
part d'un État étranger.
M. Bouazzi : Est-ce
que, M. le ministre, il y a une pratique qui permet d'avoir des données
personnelles 100 % sécuritaire?
M. Bélanger :
S'il y a... Je ne saisis pas votre...
M.
Bouazzi : Est-ce qu'il y a
moyen de stocker des données, d'avoir des données personnelles, par exemple, de
nos enfants, qui soient stockées de manière 100 % sécuritaire?
M. Bélanger : Il
y a tout à fait les moyens de stocker des données qui sont sensibles,
personnelles, de façon sécuritaire.
M.
Bouazzi : Alors, je vous informe, M. le ministre, que non,
aucune solution n'est 100 % sécuritaire, à part celle qui consiste à ne pas accumuler les données. Moi, si je
veux que les données de mon enfant ne se fassent pas voler, bien, la
meilleure manière d'y arriver, c'est de refuser qu'on les accumule. Parce que,
je veux dire, sans vouloir dénigrer les capacités techniques de bien du monde,
il y a l'armée américaine qui se trouve avec des «leaks» gros comme deux maisons, là, sur Internet, avec tous leurs
trucs les plus secrets au monde qui sont publics sur Internet. Ça n'existe
pas, des choses 100 % sécurisées.
• (14 h 20) •
Alors, en plus, ils sont dans le cloud des
Américains, c'est en plus un problème. Mais, si vous les mettez à double... dans un coffre-fort quelque part, il y a
quand même moyen de se faire voler les données personnelles. Et donc,
encore une fois, je vous demanderais, s'il vous plaît, M. le ministre, de vous
engager à ce que les parents puissent donner
ou pas leur consentement sur les données aussi personnelles. Si le privé est
obligé d'avoir un consentement pour utiliser
un courriel, je ne comprends pas comment un ministère peut accumuler autant de
données sans le consentement des parents.
Allons au
niveau de SAAQclic, donc, il y a eu une grosse panne hier et
avant-hier à cause, justement, du cloud de Microsoft Azure qui est tombé
en panne. C'est bien ça?
M.
Bélanger : Bien, c'est... Oui, c'est bien ça. Je peux rentrer
dans le détail, si vous voulez savoir comment les serveurs ont contaminé les
autres serveurs, etc., ou...
M. Bouazzi : Non, ce n'est pas...
M. Bélanger : Non, c'est correct? O.K.
M.
Bouazzi : C'est correct.
Est-ce que ça veut dire que les données de SAAQclic sont hébergées chez Azure
de Microsoft?
M. Bélanger : Je ne peux pas
confirmer que toutes les données sont stockées dans le nuage.
M.
Bouazzi : Est-ce que les données de nos permis de conduire
sont stockées chez Azure de Microsoft, M. le ministre?
M. Bélanger : Je ne peux pas
confirmer que toutes ces données-là sont au niveau d'Azure. C'est...
M. Bouazzi : Est-ce qu'une partie
des données des permis de conduire des Québécoises et Québécois sont hébergées
chez Azure de Microsoft?
M. Bélanger : Bien, il y a
certainement une partie des données puis...
M. Bouazzi : Bon.
M. Bélanger : Mais, M. le député, je
pense... je réalise que votre préférence, c'est de n'avoir aucune identité
numérique, dans le fond.
M.
Bouazzi : Non, non. On est revenu au sujet dont vous vouliez
parler depuis le début, c'est justement de ne pas les stocker. Là, je
suis d'accord qu'il faut...
Le Président (M. Simard) : En
30 secondes, s'il vous plaît.
M.
Bouazzi : ...il faut
effectivement stocker les données des permis de conduire quelque part et là,
pour le coup, pas dans un cloud
américain. Est-ce que vous avez comme objectif de sortir ces données-là, à
terme, de la SAAQ, du cloud de Microsoft?
M.
Bélanger : Tout à fait. Pour ce qui est des données
sensibles, l'intention est d'entreposer ces données-là dans le nuage
souverain. Pour les données sensibles, c'est un processus qui peut être...
Le
Président (M. Simard) : Merci. Désolé, mais c'était le temps dont nous
disposions pour l'intervention de notre collègue de Maurice-Richard. Je cède maintenant la parole à la députée de
Mont-Royal, qui dispose d'environ 20 minutes.
Mme
Setlakwe : Merci. Toujours au niveau du tableau de bord qui
nous permet de suivre les dossiers, vous avez fait une analogie, tout à
l'heure, qui est intéressante, là, avec l'ouverture d'une pastèque, un projet...
disons que la pastèque, c'est le projet qui
semble être... dont les voyants semblent être au vert. On ouvre, on creuse, on
fait une analyse, comme vous êtes... vous avez mentionné que vous êtes en train de faire,
et pour laquelle vous allez fournir des résultats avant la fin du mois
de mai. On ouvre la pastèque, bon, finalement, on peut peut-être constater que
la situation pose problème, qu'il y a des
pépins, que les voyants devraient être au rouge. Vous allez faire une mise à
jour du tableau de bord.
Mais vous, à l'interne, vous avez des données.
Là, ce que j'ai appris en lisant, encore une fois, un article dans La Presse,
très récent, 28 avril, Chantiers informatiques, Des «irrégularités»
dans le tableau de bord, Charles-Éric Blais-Poulin...
Il y a même dans cet article, bon, une ancienne employée ou un ancien employé
qui mentionne qu'il y a certains stratagèmes qui seraient utilisés dans
certains organismes pour éviter d'être dans le jaune ou dans le rouge. Ces irrégularités seraient observées par le MCN en
comparant le SIGRI, là, les informations d'avancement transmises au Système intégré de gestion des ressources
informationnelles, qui restent au sein de votre ministère. Mais, si on compare
ces informations-là à celles qui sont transmises au Tableau de bord des projets
en ressources informationnelles du gouvernement, ce qui est accessible à la
population, aux députés de l'opposition, aux journalistes, bien là, il y a des
divergences, il y a des irrégularités.
Est-ce que
vous vous êtes penché là-dessus? Est-ce que vous avez initié, par exemple, un
audit pour identifier ces écarts et pour corriger les cas où les voyants
seraient peut-être erronément au vert ou au jaune?
M. Bélanger : La réponse, c'est oui,
j'ai le pouvoir de faire des audits. Je ne peux pas vous dire aujourd'hui s'il y a des... parce qu'il y a quand même des
données qui peuvent être confidentielles, s'il y a des audits qui sont en train
de se faire, mais on a plus d'un millier d'interventions qui se sont faites au
niveau des différents projets.
Mme Setlakwe : ...milliers
d'interventions?
M. Bélanger : Pour l'année 2024‑2025,
plus de 2 000 interventions et suivis liés aux différents projets.
Mme Setlakwe : Et puis est-ce qu'il
y a un compte rendu de ces interventions-là? Quels sont les constats? Qu'est-ce
qui a été détecté?
M. Bélanger : Il y a des avis, il y
a des lettres, il y a des échanges et des communications qui se font entre le MCN
et les différents organismes et ministères pour assurer une meilleure reddition
de comptes puis s'assurer d'avoir la bonne information au niveau de certains
projets en particulier. Donc, c'est un processus qui est en cours, qui se fait.
Et puis, comme je vous disais, d'ici la fin du mois, je vais avoir quand
même... Ça fait, quoi, 65 jours, là, il
y a... milliers de projets, 209 en exécution, je prends le contrôle, mais je
vais avoir les informations assez pertinentes et un plan d'action en
conséquence pour s'assurer...
Le Président (M. Simard) : Merci.
Mme la députée.
Mme Setlakwe : Vous n'êtes
évidemment pas seul à conduire cet exercice, cette analyse, vous êtes entouré
d'une équipe. Est-ce que vous avez une équipe suffisante?
M.
Bélanger : J'ai certainement la meilleure équipe. J'ai une
équipe très qualifiée. Ça a été dans les premières semaines, pour moi, un exercice... j'ai vraiment
apprécié la qualité de l'équipe. Mais évidemment, on a beaucoup de travail,
beaucoup de travail à faire. Est-ce que j'ai les moyens de mes ambitions? Pour
l'instant, la réponse, c'est non. On a le
projet de loi n° 82, puis certainement qu'après le projet de loi n° 82 il y aura d'autres éléments législatifs qui pourront peut-être donner des moyens plus efficaces de
mieux gérer les projets de technologies de l'information au gouvernement
et à travers les différents organismes publics.
Mme Setlakwe : Mais il y a deux
choses, là. Moi, je vois un exercice de suivi, un exercice d'analyse, un exercice de supervision de ce qui se passe dans
les ministères et organismes afin d'assurer que l'information qui est rendue
publique soit à jour, soit conforme, soit
adéquate. Et là je comprends, vous avez des ambitions aussi par rapport à un
certain nombre de chantiers, dont l'identité numérique. Là, vous voyez
la distinction, quand même, entre les deux.
Moi, je...
Ici, on est vraiment dans la reddition de comptes, le suivi des différents
projets de... par rapport aussi à ce qui apparaît dans le système
intégré de gestion puis de s'assurer que l'information qui est rendue publique
sur le tableau de bord soit à jour et
exacte. Donc, moi, quand je parle d'équipe... Puis je ne parlais pas de la
qualité des gens, mais je parlais... Est-ce que vous êtes... il y a
suffisamment de personnes, vous êtes assez nombreux?
C'est
important, là, le rapport de la Vérificatrice générale, essentiellement, si on
résume, là, porte sur l'encadrement, la gouvernance, le suivi, s'assurer qu'au
fil du développement d'un projet, surtout quand il y a des entreprises externes,
c'est souvent le cas, qu'il y ait une reddition de comptes, que l'information
soit transmise au bon moment, aux bonnes personnes.
Et, à cet égard-là, êtes-vous bien entouré, entouré de suffisamment de
personnes pour pouvoir suivre les projets majeurs?
M. Bélanger : Au
besoin, je peux aller chercher des personnes à l'externe. Exemple, si j'ai la
volonté de faire un audit pour un
projet en particulier, je vais aller chercher l'expertise. Vous aviez une
question tantôt, Mme la députée, sur le Dossier de santé numérique. On
aurait la réponse sur la question que vous avez posée, si vous voulez.
Mme Setlakwe : Oui, O.K.
Le
Président (M. Simard) : Ça va?
Mme
Setlakwe : Oui, pour le montant, oui, s'il vous plaît.
Le Président (M.
Simard) : Oui. Alors, Mme Martel.
Mme Martel (Mylène) : Alors, j'ai trouvé.
Désolée pour tout à l'heure. Donc, c'est 122 294 000 $
qui est prévu pour l'année... qui
était prévu pour l'année 2024‑2025. Donc, c'est le budget annuel, sur le budget
total du projet.
Mme
Setlakwe : Merci. On va y revenir, au DSN. Merci pour cette précision.
Donc, le 122 millions, c'est ce qui a été dépensé sur un an.
Une voix :
Oui.
Mme
Setlakwe : Merci. Justement,
tout à l'heure, M. le ministre, vous parliez de différents outils, différentes
interventions, des avis, des lettres. Encore, dans cet article du
28 avril, on parle d'une lettre qui a été transmise par un sous-ministre,
dans votre ministère, aux organismes publics assujettis aux règles de
gouvernance «afin de rappeler l'importance de tenir à jour les informations
disponibles dans les états de santé» des projets. Est-ce que cette lettre pourrait être déposée à la commission? Est-ce qu'elle... vous pouvez la rendre publique, en fournir une copie? Puis
surtout... Oui, bien, je vais vous laisser répondre.
M. Bélanger :
Oui, tout à fait, je suis disposé. Je pense que cette lettre-là faisait
suite à des situations où on demandait de l'information, à un certain moment
donné, pour une date précise, et on ne l'obtenait pas. Donc, on a renforcé le
fait qu'on désire avoir les informations au temps opportun.
• (14 h 30) •
Le Président (M. Simard) : Donc,
j'ai compris qu'il y avait engagement afin de la transmettre à mon secrétariat?
M. Bélanger :
Oui, il y a un engagement.
Le Président (M.
Simard) : Superbe. Merci.
Mme Setlakwe :
Est-ce qu'en ce moment vous êtes
capable d'énoncer quels sont les mécanismes de suivi ou de sanction qui
sont mis en place ou est-ce que ça fait partie de votre analyse?
M. Bélanger :
...préciser votre question, les processus de suivi et de sanction?
Mme Setlakwe :
Bien, si vous envoyez une lettre
à certains organismes qui... pour lesquels il y a une amélioration au
niveau des suivis et des redditions de comptes, bien, on envoie la lettre, on
fait quoi après? Quel genre de suivi faites-vous?
M. Bélanger :
Bien, c'est un suivi de
communication. Est-ce qu'il y a un pouvoir de sanction? Est-ce qu'il y a un
pouvoir d'interrompre un projet en particulier? La réponse est non.
Mme
Setlakwe : La réponse est non?
M. Bélanger :
La réponse est non.
Mme Setlakwe :
Si vous voyez qu'un projet
dérape, a des cafouillages, des dépassements de coûts, les échéanciers
ne sont pas respectés, vous n'avez pas le pouvoir d'y mettre fin?
M. Bélanger :
Non. C'est pour ça qu'on a le
projet de loi n° 82 puis on veut quand même... Le projet de loi n° 82
va permettre au ministre de la Cybersécurité
et du Numérique d'avoir certains pouvoirs accrus pour pouvoir s'assurer que les
projets sont mieux gérés et sont mieux gouvernés. Mais tout ça part du... de
l'élaboration des contrats. Il faut comprendre qu'au niveau de
l'élaboration des contrats, même le MCN n'a pas nécessairement le pouvoir... ne
participe pas à l'élaboration des contrats
avec les fournisseurs de services technologiques. Donc, c'est pour ça que c'est
important de terminer le projet de loi n° 82 pour pouvoir l'adopter puis
aller de l'avant avec les autres étapes.
Mme
Setlakwe : Après 65 jours en fonction, est-ce que vous considérez
que vous avez entre les mains une maison qui est en ordre ou vous n'êtes pas
capable de vous prononcer encore sur cette question-là?
M. Bélanger :
Je considère qu'au niveau du ministère de la Cybersécurité et du Numérique
il y a une équipe formidable, mais une équipe qui n'a pas assez de pouvoirs
pour s'assurer d'une meilleure gestion des milliers de projets qu'il y a un
petit peu partout dans les organismes publics et ministères.
Mme Setlakwe : La
loi constitutive du MCN remonte à quelques années, trois ans, puis il me semble
qu'elle a été modifiée. Il y a quand même
des pouvoirs additionnels qui ont été octroyés au ministre à la fin de 2023, je
crois. Et là ce que j'entends, c'est que l'équipe, aussi formidable
soit-elle, ne détient pas des pouvoirs adéquats. Est-ce que vous envisagez
d'ouvrir la loi encore une fois pour vous octroyer plus de pouvoirs?
M. Bélanger : Je n'élimine aucune
possibilité pour l'instant. On va adopter le projet de loi n° 82, puis,
par la suite, il y aura probablement
d'autres outils qui vont permettre une meilleure gestion. Je vous dirais que
mon désir, ce serait d'être... de participer à la priorisation des
projets. C'est tous des projets de transformation numérique. Il y a pour près de 9 milliards de projets
potentiels, il y a pour 2,5 milliards de projets qui sont en exécution. À
l'heure actuelle, est-ce qu'ils sont tous prioritaires au même niveau?
Je ne pourrais pas confirmer, mais je ne le crois pas.
Et mon
intention est d'être capable d'optimiser la mutualisation potentielle de
différents projets, parce qu'il y a des projets qui pourraient être... qui
pourraient bénéficier d'autres organismes, et certainement participer à
l'élaboration de certains contrats au niveau des technologies de
l'information, pour s'assurer qu'il n'y a pas de dépassement de coûts puis
qu'ils sont livrés à temps avec un partage de risques avec les fournisseurs.
Le Président (M. Simard) : Merci,
cher collègue. Mme la députée.
Mme Setlakwe : Auprès de chaque
organisme, il y a un dirigeant de l'information, puis là il y a un dirigeant
principal de l'information qui relève de votre ministère, puis qui agit comme
chien de garde de l'intégrité numérique de l'État, donc, mais... Or, face aux irrégularités qui sont rapportées dans le suivi des
projets, quel rôle concret a-t-il joué, le dirigeant principal de l'information,
dans l'identification ou la correction de ces pratiques?
M.
Bélanger : Il y a un certain rôle d'imputabilité. Je vous
dirais que c'est... je vous dirais que c'est variable entre les organismes et les différents ministères. Dans
certains cas, les... on a les réponses aux questions, aux questions que l'on pose,
dans certains cas, c'est... on doit insister ou revenir à la charge.
Mme Setlakwe : Est-ce que le
dirigeant principal de l'information dispose des pouvoirs et des ressources
nécessaires pour remplir son rôle de façon crédible et indépendante?
M. Bélanger : C'est un... Il faut
comprendre que c'est un lien fonctionnel. Il n'y a pas... ce n'est pas un lien
hiérarchique, là, il ne se rapporte pas à moi. Mais je n'ai pas saisi votre
question parce qu'on me parlait en même temps, mais pourriez-vous répéter votre
question?
Mme
Setlakwe : Bien, on veut s'assurer... Puis, encore une fois,
je... pas dans l'optique de parler d'un dossier qui est sous enquête, le dossier SAAQclic, mais le rapport de
la Vérificatrice générale, qui contient des recommandations et qui invite à la prudence et à ce qu'on tire des
leçons pour les projets qui sont en cours, elle a parlé du rôle crucial du directeur... du dirigeant principal de
l'information. Alors, je vous demande : Est-ce que... Comment est-ce qu'il
intervient pour corriger les
irrégularités? Puis est-ce qu'il dispose de tous les pouvoirs et les ressources
nécessaires pour remplir son rôle de façon crédible et indépendante?
M.
Bélanger : Dans le cas de SAAQclic, la SAAQ, vous savez, on
connaît l'historique, là, on peut parler de... au niveau de la LGGRI en 2014, etc. Je ne veux pas revenir... je ne veux
pas revenir là-dessus, c'est un dossier particulier, puis il y a une
enquête qui se fait au niveau de ce dossier-là. Ce n'est certainement pas de la
bonne façon, pour le ministère de la
Cybersécurité et du Numérique, d'être capable d'assurer une certaine
gouvernance au niveau d'un projet comme ça s'est passé au niveau de
SAAQclic.
Pour ce qui
est des autres projets, il y a un lien fonctionnel, il y a... on a une
direction au niveau de l'information qui est... au niveau des ministères
et différents organismes qui doivent répondre, qui doivent fournir
l'information pertinente de façon à
s'assurer d'avoir une bonne gestion de projet. Ceci étant dit, si on réalise
que le projet ne va pas de la bonne façon, je vous dirais que, pour
l'instant, les pouvoirs du ministère sont extrêmement limités pour agir sur, justement... pour remettre un projet sur les rails
en particulier. C'est pour ça qu'on va de l'avant avec le projet de loi
n° 82 puis c'est pour ça que je me garde la possibilité d'avoir
d'autres outils, par la suite, pour être capable de s'assurer... parce que c'est quand même des sommes importantes,
là. On parle de 9 milliards, globalement. Il y en a 2,5 milliards en exécution.
S'il y a des dépassements de coûts... bon, on a des bonnes nouvelles, il y a
certains projets qui sont sous les coûts, mais, bon, il peut y avoir des
dépassements de coûts.
Ça fait que le mandat que le premier ministre
m'a donné, c'est de s'assurer que les budgets sont respectés puis qu'ils sont livrés à temps. Pour l'instant,
de la façon comment ça se fait, non, je ne suis pas satisfait parce que les
projets ne se livrent pas à temps puis il peut y avoir des dépassements de
coûts. Donc, je vais prendre les moyens en conséquence.
Puis ça, ça part de la... au niveau de l'élaboration des contrats avec les
fournisseurs. Si les contrats sont un bar ouvert, bien, c'est certain
qu'on va avoir dépassement.
Le Président (M. Simard) : Cher collègue,
merci.
Mme Setlakwe : Vous venez de
dire : Si certains contrats sont des bars ouverts. Juste préciser votre
pensée là-dessus.
M. Bélanger : Bien,
je veux revenir un peu... une culture au niveau des entreprises de technologies
de l'information. Ça part... On peut partir
de loin, là, on peut partir du bogue de l'an 2000, on peut partir des
systèmes de... des systèmes d'entreprise de ERP, enterprise resource
planning, comme... que ce soit SAP ou Oracle. Souvent, ces projets-là requièrent
énormément d'investissements au niveau de la définition du projet, au niveau de
l'élaboration du projet, le dossier de projet et... mais ça, il faut s'assurer
que ce soit bien fait.
Par la suite, au niveau de l'élaboration du
contrat, bien, un partage de risques, parce qu'on parle quand même de sommes
significatives. Et, si le risque est uniquement d'un côté, si le risque est au
niveau du gouvernement, bien, c'est certain
qu'on va arriver à un dépassement de coûts. Donc, je veux m'assurer qu'au
niveau des contrats, il y a un partage de
risques, comme on est après le faire un peu au niveau des infrastructures dans
le transport, infrastructures routières, au niveau d'une approche plus
collaborative.
Donc, oui, je
ne suis pas satisfait, à ce moment-ci, sur le processus, que ce soit au niveau
de la planification des projets puis du suivi.
Le Président (M. Simard) : Merci.
Mme la députée.
Mme Setlakwe : Merci. La Vérificatrice
générale a clairement recommandé, en février dernier, de revoir la méthode de reddition de comptes pour les travaux
informatiques. Depuis que vous êtes en poste, qu'est-ce que vous avez fait,
concrètement, là, pour appliquer cette recommandation?
• (14 h 40) •
M. Bélanger : Bien, on est sur le
projet de loi... on est sur le projet de loi n° 82, l'étude détaillée,
mais j'ai surtout analysé les 200 quelques projets qui sont en exécution,
essayé de comprendre pourquoi il y a des retards, pourquoi, dans certains cas, il y a un potentiel de dépassement de
coûts... un potentiel de dépassement de coûts, je dis, et je vais arriver avec un plan d'ici la fin du
mois pour s'assurer que l'exécution... l'élaboration des projets, la...
prioriser les projets, et quels projets sont en priorité versus d'autres
projets, parce qu'il faut quand même s'assurer que ces projets-là aient comme
priorité première le service à la clientèle et qu'ils apportent des bénéfices.
Ce n'est pas uniquement une transformation numérique de tâches, c'est qu'il y
ait un bénéfice au niveau des citoyens.
Le Président (M. Simard) : Merci.
Mme la députée.
Mme
Setlakwe : Est-ce que vous avez eu des échanges formels avec
la Vérificatrice générale ou son équipe depuis le dépôt de son rapport?
M. Bélanger : Excusez-moi, je n'ai
pas...
Mme Setlakwe : Est-ce que vous avez
eu des échanges avec la Vérificatrice générale ou son équipe?
M. Bélanger : Non.
Mme
Setlakwe : Est-ce que vous avez sollicité leur expertise pour
revoir vos pratiques en matière de reddition de comptes?
M. Bélanger : Mais, au niveau de la
vérificatrice, il y a des membres de l'équipe qui ont eu des échanges,
définitivement, avec la vérificatrice, mais pas moi personnellement.
Mme Setlakwe : Est-ce que ces
échanges vont donner lieu à des changements législatifs?
M. Bélanger : Bien, je pense qu'on
va attendre au niveau du rapport, justement, sur SAAQclic. Il va y avoir des éléments qui vont être intéressants, mais, par
contre, je n'attends pas le rapport de septembre avant d'agir de... pour qu'il
y ait une meilleure gestion au niveau des projets d'informatique.
Le Président (M. Simard) : Merci.
Mme la ministre... Mme la députée, pardon.
Mme
Setlakwe : Oui, parce qu'il faut faire la distinction, là,
entre l'enquête, qui va faire la lumière sur ce qui s'est passé, qui savait
quoi, à quel moment, etc., et ces conseils, ces recommandations qui
s'appliquent aux projets futurs. Vous
êtes... Donc, je comprends, vous n'attendez pas en septembre pour mettre en
oeuvre les recommandations.
M.
Bélanger : Non, je n'attendrai pas en septembre, je vais...
je veux me... je n'attendrai même pas à la fin de l'été.
Le Président (M. Simard) : Très
bien. En cinq secondes, s'il vous plaît.
Mme Setlakwe : Donc, le projet
n° 82, pour vous, va venir tout régler ou vous envisagez possiblement de
le bonifier davantage, justement, suite à
votre analyse et suite à votre... la prise en compte du rapport avec votre
équipe?
Le Président (M. Simard) : S'il vous
plaît, succinctement, M. le ministre.
M. Bélanger : Le
projet de loi n° 82 est un bon projet de loi. Est-ce qu'il va répondre à
toutes les questions, nous donner...
Le Président (M. Simard) : Très
bien. Je cède maintenant la parole à ma collègue de Fabre, qui dispose d'environ
neuf minutes.
Mme
Abou-Khalil : Merci, M. le Président. M. le ministre, chers collègues,
équipe ministérielle... Depuis quelques années, notre monde a amorcé une
transformation radicale. La transition numérique massive a déclenché un
bouleversement technologique sans précédent, propulsant nos sociétés dans une
ère d'hyperconnectivité et de matérialisation.
Sur ce virage, on ouvre des perspectives exceptionnelles en matière
d'innovation et de performance, mais il consiste également... un facteur
d'exposition accrue aux risques. Les acteurs malveillants, qu'ils soient
opportunistes, criminels ou étatiques, ils exploitent des failles systémiques,
les vulnérabilités logicielles et les comportements humains pour
compromettre nos données, nos infrastructures critiques et encore plus nos
démocraties.
Faire
face à cette menace grandissante... La cybersécurité ne peut plus être perçue
comme un enjeu secondaire ou purement
technique. Elle doit désormais être intégrée au coeur des stratégies
nationales, organisationnelles et industrielles, car aujourd'hui notre posture sécuritaire dans le cyberespace est aussi
vitale que notre défense physique dans un monde réel. Il ne s'agit plus
d'un choix, mais d'un impératif stratégique.
M. le ministre,
j'aimerais aborder le sujet de notre adhésion au FIRST, qui est le Forum of
Incident Response and Security Teams, une
première au Canada pour un gouvernement provincial. Cette adhésion démontre
notre leadership et notre vision pour réduire nos surfaces d'attaque
ainsi que notre action pour un monde libre et cybersécuritaire. Grâce au parrainage du Luxembourg et du
gouvernement du Canada, nous avons maintenant accès aux données sur les menaces et vulnérabilités de plus de
700 groupes d'intervention dans le monde, certaines de ces équipes de
sécurité faisant partie de grandes entreprises et de gouvernements.
Notre
adhésion au FIRST fait partie d'une offensive de notre gouvernement pour
sécuriser nos infrastructures numériques face aux menaces bien réelles
du monde virtuel. Cette offense a commencé il y a déjà plusieurs années avec la
création du Réseau gouvernemental de cyberdéfense, a entraîné la création du
ministère et se poursuit avec la participation du Centre gouvernemental de
cyberdéfense aux deux plus importantes simulations de cyberdéfense et cyberguerre
de l'OTAN, soit Locked Shields et Cyber Coalition.
Alors,
pour moi, adhérer au Forum Incident Response and Security Teams, FIRST, offre
une valeur stratégique et pratique en cybersécurité, telle que, par
exemple, le partage mondial des renseignements sur les menaces ou avoir une communauté de confiance entre experts en
renforcement de capacité de réponse aux incidents et, encore mieux, une
crédibilité et reconnaissance internationale.
Dans le monde où les
cybermenaces évoluent à un rythme sans précédent, il est impératif que notre
province soit non seulement vigilante, mais
stratégiquement préparée. Nous devons d'abord renforcer notre souveraineté
numérique. Cela signifie assurer la maîtrise complète de nos
infrastructures critiques, de nos centres de données aux réseaux
gouvernementaux, tout en mettant en place une gouvernance claire des identités
numériques et une classification rigoureuse
des actifs informationnels. Nos infrastructures essentielles, M. le ministre,
sont particulièrement vulnérables aux attaques de grande ampleur et
doivent faire l'objet de mesures de protection avancées telles que, par
exemple, juste pour en nommer quelques-unes, la bonne segmentation de réseau,
nos modèles d'architecture «zero trust» et la capacité de surveillance 24/7
doivent devenir des standards. Et, M. le ministre, on le fait déjà.
Par ailleurs, M. le
ministre, l'avènement de l'informatique quantique — c'est un sujet que
nous deux aimons pas mal jaser là-dessus — remet
en question les fondements mêmes de notre cybersécurité. Les systèmes de
chiffrement actuels comme que le RSA
ou le ECC, qui est le «elliptic curve cryptography», deviendront inopérants
face à la puissance du calcul quantique. Il est donc essentiel de
planifier dès maintenant des solutions de chiffrement postquantiques en s'alignant sur les recommandations du NIST, qui
est le National Institute of Standards and Technology, et les meilleures
pratiques internationales.
Et
enfin, je suis fière que le Québec affirme son leadership international en matière
de cybersécurité et sécurité quantique. Pourquoi nous? Parce qu'on est
capables. En s'appuyant sur un réseau solide de partenaires comme FIRST,
les cercles nationaux et les consortiums de
cybersécurité, nous avons... nous pouvons bâtir un écosystème agile, innovant
et résilient. Et bien entendu, M. le ministre, la cybersécurité est un
processus car nous sommes toujours dans une course face aux acteurs
malveillants. Et l'adhésion au FIRST n'est pas une fin en soi, mais un autre
outil à notre arsenal de mesures pour
réduire nos surfaces d'attaque et augmenter notre résilience dans un monde qui
évolue à grande vitesse. Et très heureuse, M. le ministre, aussi, qu'on
a commencé à travailler là-dessus.
Alors,
M. le ministre, j'aimerais qu'on clarifie le pourquoi avons-nous eu besoin
d'être parrainés par le gouvernement du Canada pour adhérer au FIRST?
Le Président (M.
Simard) : Alors, merci, Mme la députée de Fabre. M. le ministre.
M. Bélanger :
Merci, chère collègue. Bien, on a demandé au... parce que ça prenait deux
parrains. On a demandé au Canada de... avec
le Luxembourg, puis on a justement... vous étiez avec moi, on a rencontré
l'ambassadeur du Luxembourg au Canada, je vais le rencontrer, probablement,
si... au mois de juin, avoir une rencontre avec le Luxembourg, qui sont un peu, comment je pourrais dire, les leaders avec
l'Estonie au niveau, justement, cybersécurité. On travaille avec nos collègues, justement, à Ottawa, pour... Donc,
c'est une des étapes, je ne dis pas qu'on... c'est l'étape, FIRST,
l'étape à suivre, mais c'est une des étapes, puis on avait besoin de deux
parrains. Donc, on est très fiers de cette situation-là.
Mais je vais en profiter
pour, justement, répondre à des questions parce que je connais la priorité au
niveau des... au niveau des collègues, là,
de Mont-Royal—Outremont et de Maurice-Richard, pour les
données de la SAAQ. Les données de la
SAAQ sont entreposées à la SAAQ, ne sont pas entreposées... ne sont pas entreposées
chez les GAFAM. Ça, c'est une réponse qui est importante.
Et, pour la
question : Est-ce que j'ai... Quels sont les moyens pour s'assurer d'avoir
une meilleure planification et une
meilleure gestion de projet? J'ai donné un mandat à l'interne, justement, à ma
sous-ministre adjointe, à mes côtés, pour s'assurer, là, de modifier les
règles de façon à avoir une meilleure planification, une meilleure gestion de
projet.
• (14 h 50) •
Le Président (M. Simard) : Merci.
Chère collègue, il vous reste encore 1 min 40 s.
Mme
Abou-Khalil : Alors... Merci, M. le Président. Alors, revenons au
FIRST, juste une autre seconde. Comment cette adhésion va nous aider
concrètement à sécuriser les données des Québécoises et des Québécois?
M. Bélanger : Bien, je vous propose
d'y répondre, chère collègue.
Mme Abou-Khalil : Non, non, je vais
vous laisser faire. C'est vous, le ministre. Allez-y.
M. Bélanger : Bien, on fait partie
d'une organisation. Le Luxembourg est... le Luxembourg en fait partie, et ça
nous permet d'avoir des meilleurs moyens de sécurité, justement, pour s'assurer
de prévenir les attaques, parce que c'est
une des problématiques, à l'heure actuelle, au niveau des attaques. J'ai aussi
un collègue qui est sous-ministre adjoint, qui est responsable au niveau
de la cybersécurité. Et peut-être qu'il pourrait en rajouter un petit peu plus
au niveau de quels sont nos outils de façon... Mais, à l'heure actuelle, on...
je pourrais dire qu'on est quand même assez efficace au niveau des attaques. Je
ne sais plus le nombre d'attaques que nous avons, là. Il y a quand même des
chiffres, on a des chiffres, cette information-là, et on est quand même en
bonne position pour, justement, prévenir les attaques au niveau des... de nos
systèmes. Ça fait que je ne sais pas si...
Le Président (M. Simard) : En
30 secondes, s'il vous plaît.
M.
Bélanger : Bien, en 30 secondes, bien, je vais
laisser... Je ne vais pas laisser le sous-ministre répondre, je vais laisser
ma collègue pouvoir poser ses autres questions.
Mme
Abou-Khalil : Bien, en fait, en 30 secondes, je ne peux pas
poser grand question. Mais moi, je veux juste vous dire, M. le ministre, que
moi, je suis très contente et fière de faire partie... que le Québec fait
partie de FIRST, parce que c'est très important d'avoir une base...
accès à une base d'experts, et une base de type de data qu'on peut vraiment
utiliser comme référence pour qu'on puisse tous s'outiller vers la cyberdéfense
nationale.
Le Président (M. Simard) : Très bien.
M. Bélanger : C'est une des
premières étapes. Il y a d'autres étapes à suivre.
Le Président (M. Simard) : Alors,
merci beaucoup. Je cède maintenant à nouveau la parole à la députée de Mont-Royal—Outremont.
Mme Setlakwe : Merci. En lien avec
la panne chez SAAQclic, qui semble être en voie d'être résorbée, vous avez dit que ce n'était pas la première fois que ça
se produisait, ce type de panne. Est-ce qu'il va y avoir des
dédommagements de la part de Microsoft? Vous avez dit que le problème était
vraiment auprès de Microsoft.
M. Bélanger : Je ne peux pas
confirmer s'il va y avoir... Mais tantôt, je mentionnais, au niveau des
contrats, justement, mon intérêt au niveau de... participation au niveau de
l'élaboration des contrats. Je n'ai pas la réponse aujourd'hui, mais c'est certain qu'on va faire l'exercice et on va
demander à la SAAQ de nous revenir. J'ai demandé un plan de contingence. Je vais leur exiger un plan
de contingence pour s'assurer qu'il n'y ait plus de rupture au niveau du service client, mais typiquement, au niveau des
entreprises informatiques, ils garantissent... moi, j'utilise le terme «uptime»
de 99... je ne sais pas, 99,9 % du
temps. Et, si c'est sur une base annuelle, je pourrais vous confirmer qu'il n'y
aura pas de dédommagement, si ça a été une journée, ou 24 heures,
ou 48 heures en panne.
Donc, c'est un peu une des problématiques où,
tantôt, je parlais de gestion de risques, de partage de risques. C'est souvent une des lacunes qu'il y a,
l'acheteur est... paie souvent 100 % de la facture, puis dans ce cas-ci,
bien, c'est le public, c'est le Québec.
Mme Setlakwe : Merci. Vous avez
mentionné un peu plus tôt que les données ne sont pas hébergées auprès de Microsoft. Là, on comprend qu'il y a
12 serveurs, que les 12 ont cessé de fonctionner. Moi, je suis un peu
perdue, là. À quoi ils servent, les serveurs, alors?
M.
Bélanger : Bien, c'est quand même assez technique aussi, puis
je vais... il faut que je sois prudent, là, parce qu'il y a une douzaine
de serveurs, puis il y avait une modification, il y avait déjà une certaine
problématique qui existait.
Et puis il y a une correction qui a été faite par Microsoft, et cette
correction-là a fait que la correction sur le serveur en particulier a fait une contamination ou une
problématique au niveau des autres serveurs. Il y a eu une séquence qui s'en
est suivie. Mais peut-être que je pourrais laisser répondre... parce que j'ai
eu cet échange-là avec...
Une voix : ...
M.
Bélanger : ...oui, avec
le... c'est un sous-ministre... avec
le sous-ministre adjoint, qui va pouvoir vous donner plus de détails, si
c'est des détails qui vous intéressent, là, pour...
Mme Setlakwe : Mais rapidement,
parce que, dans le fond, on a tellement de questions. Ce qu'on veut...
M. Bélanger : Bien, c'est les
applications, les applications entre autres, parce qu'il y a la bureautique
aussi. Ce n'est pas uniquement, là, ce n'est pas uniquement la question de
SAAQclic, parce que, dans le fond, le CASA et SAAQclic fonctionnent
bien. L'application fonctionne bien, elle est hébergée... Les données ne sont
pas hébergées sur Azure, mais
l'application est hébergée sur Azure, et les applications Microsoft sont
évidemment hébergées aussi sur Azure. Et la problématique était au
niveau...
Le Président (M. Simard) : Merci
beaucoup, M. le ministre. Mme la députée.
Mme
Setlakwe : Merci. Merci pour ces précisions. Vous avez dit
que la SAAQ utilisait des serveurs Azure Stack de Microsoft et que Microsoft
est responsable de la panne. Est-ce que le même type de solution Azure Stack
est utilisé ailleurs?
M.
Bélanger : Je ne pourrais pas vous répondre, mais je sais
qu'on a plusieurs contrats avec Microsoft Azure, mais le type de contrat
et le type de service en particulier, je pourrais vous revenir...
Des voix : ...
M. Bélanger : Oui, il y en a à un
autre endroit, au niveau du NGQ.
Mme Setlakwe : Du?
M. Bélanger : NGQ, nuage gouvernemental.
Mme Setlakwe : Oh! le nuage
gouvernemental, mais ça, ce n'est pas votre nuage privé gouvernemental?
M. Bélanger : Je vais donner la
parole à Sylvain.
Le
Président (M. Simard) : Alors, monsieur, auriez-vous d'abord l'amabilité
de vous présenter, s'il vous plaît?
M. Goulet
(Sylvain) :
Sylvain
Goulet, sous-ministre adjoint aux infrastructures technologiques et à la bureautique.
Le Président (M. Simard) : Nous vous
écoutons, monsieur.
M. Goulet (Sylvain) :
Oui, effectivement, nous
utilisons la technologie Azure Stack Hub. C'est une de nos deux technologies
qui est offerte dans le NGQ. Donc, c'est une des technologies qui a été
choisie, notamment, parce qu'au moment de faire les choix c'était une expertise
qui était très répandue au sein de la fonction publique. Donc, cette
infrastructure-là, ce service-là, il est hébergé dans le nuage gouvernemental.
Il est exploité, évidemment, par les équipes
du MCN, mais, oui, elle existe dans le NGQ. C'est une de nos deux solutions sur
lesquelles reposent les services du NGQ.
Le Président (M. Simard) : Très
bien. Mme la députée.
Mme
Setlakwe : Merci. Et donc, là, le nuage, c'est le nuage privé
gouvernemental, celui dont on parle dans nos échanges, dans le projet de loi
n° 82, celui pour lequel nous sommes... Quand on parle de notre
souveraineté numérique, c'est ça,
c'est de vouloir qu'on conserve les données sensibles dans ce nuage-là, sur
lequel on a le plein contrôle. Mais est-ce qu'on a le plein contrôle, si
on utilise Microsoft? Est-ce que...
M. Goulet (Sylvain) :
Tout à fait. En fait...
Le
Président (M. Simard) : En vous rapprochant du micro, s'il vous plaît,
pour qu'on puisse mieux vous entendre.
M. Goulet
(Sylvain) :
Oui. Oui,
on a le plein contrôle. En fait, le nuage gouvernemental utilise des
technologies de fournisseurs, mais il est protégé des ingérences. On le
gère, il est dans nos infrastructures. Nous contrôlons les zones de gestion, nous les exploitons. On est
responsable du périmètre, de la sécurité du nuage. Donc, oui, on est en
contrôle à cet égard-là. Donc, c'est un nuage privé basé sur deux
technologies, dont celle de Microsoft.
Mme
Setlakwe : O.K. Merci. Donc... mais il pourrait y avoir une
panne. Donc, vous êtes sûrement à l'affût de... vous êtes intéressé de
comprendre ce qui s'est passé, en l'occurrence, là, à SAAQ, dans... à la SAAQ.
Parce que, s'il y avait une panne et que ça
affectait le nuage gouvernemental, est-ce que les conséquences seraient... ne
seraient-elles pas pires que les conséquences qui sont déjà assez
dramatiques à la... de venir interrompre la plateforme SAAQclic?
M. Goulet
(Sylvain) :
En fait,
je vais être rassurant là-dessus, le nuage gouvernemental est quand même
résilient. Il est établi sur deux sites, donc, avec des capacités de
communication qui permettent de boucler nos CTI, dont les deux sites qui hébergent le nuage gouvernemental.
Donc, à cet égard-là, il est résilient. On a la capacité de passer en mode
actif-passif, donc on est capable de relever
les actifs qui sont dans le nuage gouvernemental dans un court temps de
réponse.
Mme Setlakwe : Est-ce que... Et là
je comprends que les données ne sont pas sujettes aux lois qui ont une portée
extraterritoriale, les lois américaines qui ont une portée extraterritoriale.
C'est ce que je déduis de vos propos.
M. Goulet (Sylvain) :
Tout à fait.
Mme Setlakwe : Merci. Est-ce que...
Bien, moi, j'ai suivi, évidemment, j'ai suivi ce dossier-là, l'actualité, depuis deux, trois jours. Puis là, ce matin, on
avait l'expert en cybersécurité Steve Waterhouse qui commentait, comme d'autres l'ont fait, sur le fait que, bon, cette
panne a démontré une chose, c'est bien la dépendance du Québec à un fournisseur externe, Microsoft, en l'occurrence.
Et j'aimerais entendre le ministre, là, sur son plan de match pour justement
se défaire de cette dépendance.
M.
Bélanger : Bien,
premièrement, on fait l'inventaire de... à connaître où les données sont
entreposées, est-ce qu'elles sont sensibles ou non sensibles. On est en
discussion aussi avec des partenaires, que ce soit au Canada ou que ce soit
aussi en Europe, sur quelles sont les stratégies souveraines en termes de
gestion, de gestion des données.
Ce n'est pas quelque chose qui se fait
rapidement, à court terme, de transférer les données d'un nuage à un autre nuage, qu'il soit souverain gouvernemental
ou qu'il soit public. Donc, c'est un processus et un plan d'action qu'on
est après mettre en place pour s'assurer que
des données qui sont sensibles... Déjà, à prime abord, des données classées...
des données classées C ne sont pas entreposées chez les GAFAM, mais il y a
des données qui sont d'une certaine sensibilité, qui sont probablement
entreposées au niveau des GAFAM. Ça fait qu'on veut s'assurer qu'elles vont
être entreposées au... dans le cloud gouvernemental souverain.
• (15 heures) •
Mme
Setlakwe : Merci. Est-ce que Santé Québec a conclu un même
type de contrat avec la même entreprise, Microsoft?
M.
Bélanger : Si, au niveau de Santé Québec, s'ils ont des
données ou si dans... au niveau de leurs contrats, vous parlez du
contrat avec Epic ou...
Mme Setlakwe : Est-ce qu'ils ont des
contrats avec Microsoft? Parce que, là, si... on pourrait se poser la
question : Est-ce que le système de santé pourrait connaître le même sort?
Tu sais, ce qui s'est passé cette semaine au niveau
de la plateforme SAAQclic a eu des impacts majeurs sur la population. Tout a
été paralysé pendant... puis ce n'est même
pas encore complètement rétabli, mais pendant quelques jours, mais imaginez si
ça se produisait avec le système de la santé.
M. Bélanger : Bien, moi, je veux
dire, Microsoft est... si je regarde dans l'échelle, là, est probablement le
numéro un, en termes d'ampleur des contrats, là. Donc, ils ont beaucoup de
contrats au niveau de... au niveau cloud.
Par contre, je vous dirais que ma
recommandation, au niveau de la SAAQ, était d'avoir en place un plan de
contingence, nonobstant où les données sont entreposées, que ce soit dans le
cloud gouvernemental, que ce soit avec Amazon ou que ce soit avec Microsoft. Il
y a toujours une possibilité de panne. Ça fait que ce que je déplore, ce que je déplore aujourd'hui, c'est qu'on ait été dans
une situation où il y a eu un bris de service. Parce qu'il n'y a quand même
pas de technologie qui garantisse à
100 % qu'on va être capable d'avoir une opération et un service client à
100 %. Donc, ça nous prend un plan de contingence. On peut avoir... on
peut décider d'entreposer les données dans des sites miroirs, à plusieurs endroits, plusieurs sites. On essaie de
maximiser le niveau de... le niveau d'assurance qu'on ait un temps d'opération
ou un «uptime» à 100 %, mais on ne peut pas garantir le 100 % absolu.
Mme Setlakwe : Merci. Mais, si vous
n'avez pas la réponse, M. le ministre, j'aimerais que quelqu'un dans votre
équipe fasse les vérifications, parce que, selon ce que je comprends, Santé
Québec, qui avait déjà un contrat de gré à
gré avec Microsoft pour un montant de 160 millions, octroyé en 2022,
28 avril... il semblerait qu'il y en a un nouveau qui vient d'être
signé, d'une valeur de 270 millions encore avec Microsoft.
M.
Bélanger : C'est possible. C'est possible. Alors, je vais
vous revenir avec les différents contrats, là. Il y en a pour plus de
1 milliard, je pense, au niveau des contrats avec Microsoft et Amazon.
Le
Président (M. Simard) : Donc, je comprends qu'il y a engagement afin de
soumettre les données à la commission.
M. Bélanger : Oui.
Le Président (M. Simard) : Très
bien. Mme la députée, veuillez poursuivre.
Mme Setlakwe : Merci. Bon, écoutez,
je pense qu'il faut qu'on parle du Dossier de santé numérique et de la
gouvernance. Qui est responsable de la gouvernance du projet DSN? Est-ce que
c'est Santé Québec? Est-ce que c'est le MSSS, le ministère de la Santé, ou
est-ce que c'est votre ministère à vous?
M. Bélanger : C'est Santé Québec. Et
puis, pour ce qui est des contrats, je vais pouvoir vous donner les contrats
qui sont... qui passent par notre courtier en infonuagique de façon précise.
S'il y a des contrats au niveau bureautique, exemple, que Santé Québec donne
avec Microsoft, je n'aurai pas l'information. Il faudrait demander à Santé Québec, à ce moment-là. Éventuellement,
peut-être qu'on va avoir l'information au niveau de la bureautique aussi.
Mme Setlakwe : Merci. Donc, c'est
Santé Québec qui est responsable de la gouvernance du Dossier de santé
numérique. C'est un dossier... un gros chantier complexe, coûteux. Il est
estimé à 1,5 milliard sur 15 ans.
M. Bélanger : Oui.
Mme Setlakwe : Comment vous allez
assurer une chaîne de responsabilité claire puis une reddition de comptes
cohérente... Bien là, j'allais dire entre les acteurs impliqués, là, mais on
comprend que c'est Santé Québec. Mais vous,
vous avez certainement, comme ministre... et le ministère de la Santé... de la
Cybersécurité et du Numérique doit certainement jouer un rôle dans ce
dossier-là.
M. Bélanger : Pour l'instant, je
vous dirais que, bien, on a un rôle de vigie et on fait partie du comité de vigie au niveau du projet. Est-ce que c'est...
Pour moi, est-ce que c'est suffisant pour s'assurer que les projets vont être
réalisés à l'intérieur des budgets et dans
les échéanciers? La réponse, c'est non. Donc, je vais proposer des façons de
faire qui vont permettre une gouvernance et une gestion plus
participatives de la part du MCN.
Mme Setlakwe : La Vitrine DSN, donc
les... le projet pilote dans deux CIUSSS, il y a des indicateurs qui sont
publiés sur ce dossier-là au tableau de bord, mais qui sont... ils sont incomplets.
On voit un taux de progression de
15,7 %, mais aucun détail sur les retards ni sur les risques identifiés.
Est-ce que ça fait partie de votre analyse? Est-ce qu'aujourd'hui vous
êtes capable de statuer, là? Est-ce que vous trouvez que c'est acceptable pour
un projet d'une telle ampleur?
M.
Bélanger : Mais il n'est pas en rouge, pour le moment, là, il
est en jaune, puis c'est au niveau des... c'est en termes des coûts, ils
disent des coûts, 15,7 %.
Mme Setlakwe : Je pense, ça vaut la
peine ici de...
M.
Bélanger : ...avancement est à 80 %, au niveau de
l'échéancier, c'est 29,4 % de dépassement de coûts, c'est ça.
Mme Setlakwe : Le dépassement est de
42 millions pour le moment?
M. Bélanger : Oui.
Mme Setlakwe : Et là vous dites
qu'il est au vert.
M. Bélanger : Il est au jaune.
Mme Setlakwe : Il est au jaune.
M. Bélanger : J'ai dit qu'il était
jaune.
Mme
Setlakwe : Il est jaune. Désolée, c'est moi qui a mal... Oui,
effectivement, il est au jaune. Et puis vous dites que vous faites
partie du comité de vigie.
M. Bélanger : Oui.
Mme Setlakwe : C'est un projet
ciblé, c'est comme ça qu'il est qualifié. Il est censé faire l'objet de mise à jour mensuelle. Est-ce que c'est le cas? Parce
que, selon ce qui était rapporté dans La Presse, l'article du
1er mars 2025, la dernière mise
à jour remontait à septembre 2024, mais nous, on a constaté qu'il y avait eu
une mise à jour à la fin mars, le 28 mars dernier.
Est-ce que vous comptez faire... Qu'est-ce que vous comptez faire pour vous
assurer que les mises à jour soient faites plus fréquemment?
M. Bélanger :
La dernière mise à jour est du 7 mai.
Mme
Setlakwe : 7 mai.
M. Bélanger :
Oui, 2025.
Mme
Setlakwe : Et puis... Oui,
effectivement, je l'ai sous les yeux, c'est mon erreur. On avait encore une
autre mise à jour, mais on est encore 15,7 %, c'est au jaune. Et, pour ce
qui est, par contre, du retard, ça, je trouve ça intéressant de voir qu'il
devait être... ce projet pilote devait être terminé pour la fin de 2022, et
maintenant on parle de fin mars 2026, c'est bien ça, plus de trois ans
de retard?
M. Bélanger :
31 mars 2026.
Mme
Setlakwe : Comment vous expliquez ce retard important?
M. Bélanger :
Je pourrais laisser ma
sous-ministre répondre, parce qu'elle fait quand même un suivi serré au niveau
de ce projet-là en particulier.
Le Président (M.
Simard) : Très bien. Mme Martel.
Mme Martel
(Mylène) : Oui, bonjour. Merci. En fait, ce projet-là a connu certains
retards puisque c'est dans la stratégie
d'acquisition, lorsqu'ils sont allés en vitrine inversée et en appel d'offres,
il y a... ils ont accusé un certain retard
pour avoir des soumissionnaires qui étaient conformes au projet qui avait été
annoncé. Donc, c'est ce qui explique le retard de... bon, d'environ deux ans,
un an et quelques mois.
Mme Setlakwe :
Merci. Récemment, la présidente
de Santé Québec s'est exprimée publiquement au niveau de ce projet. On affirme
être en dépassement de coûts de plus de 100 millions pour l'implantation
du DSN et du SIFARH, dont on a parlé plus tôt. Comment est-ce que vous
expliquez les causes de ces écarts?
M. Bélanger :
C'est deux projets qui sont sur le radar, puis on est en processus
d'analyse précise sur ces deux projets-là en particulier, surtout au niveau du
SIFARH...
Mme
Setlakwe : Si je me rapporte à l'affirmation du premier ministre ce
matin, en période de questions, il disait
que les dépassements de coûts étaient de 100 milliards...
100 millions, pardon, 100 millions, mais là on vient de parler de 100 millions au niveau du DSN et du
SIFARH. Il pourrait y avoir d'autres dépassements de coûts ou vous n'êtes
toujours pas en mesure de confirmer le chiffre qui a été fourni par le premier
ministre ce matin?
M. Bélanger :
Non, je ne peux pas confirmer le
chiffre, mais, comme je vous dis, j'avais une centaine de projets qui étaient
sous les coûts. Donc, on avait à peu près 118, je crois, 118 millions sous
les budgets. Ça fait que, si j'arrive
au net, si on fait une image ponctuelle, on se retrouve probablement à un
dépassement d'à peu près 100 millions sur des coûts de 2,5 milliards.
Mais c'est très ponctuel, mais, comme je vous dis, Mme la députée, je n'ai
autorisé aucun dépassement, déboursé
pour pallier à des dépassements de coûts, donc, aucun rajout, au niveau du PQRI,
pour assumer des dépassements de coûts au niveau de Santé Québec.
• (15 h 10) •
Mme
Setlakwe : Donc, forcément, vous allez être impliqué, là, s'ils ont
besoin de fonds additionnels, là, c'est vous qui allez le permettre ou non.
M. Bélanger :
Ah! je vous confirme que, oui, je vais être impliqué, oui.
Mme
Setlakwe : Est-ce que... Selon l'article, encore une fois, de La Presse,
sur le tableau de bord, j'ai trouvé vraiment intéressant, certaines dépenses du
DSN ont été transférées vers des budgets d'exploitation réguliers des établissements. Il semblerait que c'est une
pratique qui a cours, là, il y a des dépenses qui sont... qui devraient être
allouées au projet, mais finalement, ça vient... c'est ça, c'est transféré vers
des budgets d'exploitation réguliers. Qu'est-ce que vous pensez de cette
méthode?
M. Bélanger :
Bien, je ne pense pas...
Mme
Setlakwe : Ça vient fausser la perception des coûts réels du projet,
dans le fond.
M. Bélanger : Je ne peux pas
confirmer, là, c'est... en anglais, je ne sais pas en français, en anglais,
c'est «assumption». Par contre, j'ai un
pouvoir d'audit, et puis, si je suis persuadé... ou s'il y a un risque que
cette pratique-là est utilisée, je vais passer par un audit pour m'en
assurer.
Mme Setlakwe : Est-ce
que, comme la P.D.G. de Santé Québec, vous confirmez que la problématique, elle
n'est pas avec le logiciel comme tel?
M. Bélanger : Ah! je ne peux pas
confirmer ça, que la problématique n'est pas avec le logiciel en particulier.
Le
Président (M. Simard) : Très bien. Alors, merci. Je cède maintenant la
parole au député des Îles-de-la-Madeleine, qui dispose de 10 min 48 s.
M.
Arseneau : 10 minutes. Merci beaucoup, M. le Président.
Merci, M. le ministre, de vous prêter à cet exercice. Je salue également
vos équipes. Je voulais revenir... parce qu'hier, au même endroit, nous posions
des questions non seulement à la ministre des Transports, mais également au
P.D.G. de la SAAQ, M. Ducharme, sur la panne. Vous en avez parlé brièvement tout à l'heure, mais j'aimerais quand même
savoir... sur la question des recours envers Microsoft, qui, essentiellement, a privé les Québécois de
services pendant plus d'une journée, plus de 24 heures, il y a des clauses
de pénalité, semble-t-il, au contrat. Est-ce
que vous allez regarder la possibilité de réclamer des dommages pour l'État,
mais également pour les citoyens qui ont été privés de services?
M. Bélanger : Tout à fait. J'ai
donné le mandat à mon équipe de travailler en collaboration avec la SAAQ pour justement voir, au niveau contractuel,
qu'est-ce qui peut être réclamé. Mais c'est la SAAQ qui va quand même les réclamer
parce que vous savez qu'ils ont quand même un certain contrôle de leur projet
qui leur a été donné.
M. Arseneau : L'autre élément, c'est
qu'on nous a dit qu'au moment où on est allé signer ce contrat, qui n'était pas
le même de CASA, de SAAQclic, Microsoft nous avait répondu : On n'a pas
besoin d'un site miroir, on n'a pas besoin
d'une redondance autre que les 12 serveurs. Est-ce qu'aujourd'hui, selon
votre évaluation, on a été mal informés sur les risques de sécurité de
ne pas avoir de sites miroirs ou de redondances autres que les
12 serveurs?
M. Bélanger : Il faudrait poser la
question à la SAAQ qui était en plein contrôle de leur projet. On sait très bien qu'il y avait eu une dérogation au niveau de
la LGGRI, donc, ils géraient leur projet eux-mêmes. Si vous me posez la
question : Quel est le niveau de sécurité qu'on devrait avoir au niveau
des sites miroirs?, ma réponse, c'est : Il faut optimiser le niveau de sécurité parce qu'il y a un coût énorme d'un
arrêt de services au niveau... il y a un coût énorme au niveau de la
population et c'est important.
M.
Arseneau : Est-ce que ça ne soulève pas un peu le fait que,
comme on le déplore souvent, les grands du monde informatique nous
imposent un peu leurs solutions et leur argumentaire, et souvent même l'État du
Québec est un peu démuni? Si on vous dit : Bien, 12 serveurs, ça va
faire le travail, puis vous n'aurez jamais de problème, on n'a pas besoin de site miroir, on est un peu dépourvus
de les contredire, avec pour résultat que, pendant 36 heures, on n'a pas eu
de service.
M.
Bélanger : Je ne peux pas juger. Je suis quand même surpris, sachant que ça représentait peut-être des coûts
supplémentaires, donc, ça peut être avantageux pour un fournisseur de s'assurer
qu'il y ait... que, justement, son service...
Puis je pourrais dire que les GAFAM ou, entre autres, Microsoft font
fonctionner plusieurs applications à travers le monde. Le niveau de service est quand même bon. On ne peut pas juger
que, du jour au lendemain, on aurait une solution qui pourrait être concurrentielle à ce que
Microsoft fait. Mais, par contre, avec les enjeux de souveraineté, je crois que
ça nous prend une stratégie, là, qui...
M. Arseneau : D'accord. Je n'ai pas
eu le temps de...
Le
Président (M. Simard) : ...être exemplaires dans vos échanges, parce qu'on
est en présence de représentants du Parlement écolier, que nous saluons
tous. Bienvenue parmi nous, les amis.
Une voix : ...je pensais que c'était
pour moi.
M. Arseneau : Merci beaucoup. Et
bienvenue. J'espère que le 12 secondes que vous avez pris va être remis à
mon temps...
Le Président (M. Simard) : Oui, oui,
tout à fait, tout à fait. C'était sur le temps de la présidence.
M. Arseneau : ...mais on les salue
également, et j'espère qu'on sera exemplaires.
Je voulais mentionner que la panne étant
résolue, est-ce que, dans votre compréhension, le problème, il est réglé, ou on continue d'analyser pourquoi c'est
arrivé et mettre en place des pare-feux tous azimuts pour éviter que ça se
reproduise?
M. Bélanger : Loin de là, le
problème n'est pas résolu. Je suis inquiet. J'ai passé quand même deux nuits à faire un suivi, là, au niveau de la panne. J'ai
demandé à ce qu'il y ait un plan de contingence le plus rapidement possible
pour s'assurer que, s'il y a une panne dans
le futur, bien, que l'interruption, en termes de service, soit le plus court
possible.
M. Arseneau : Merci.
Le temps file à vive allure. On parle souvent de l'aspect numérique dans votre
ministère, M. le ministre, moins souvent de la cybersécurité. Vous
savez, ce matin, j'ai eu, en l'espace d'à peu près 1 h 30 s,
3 500 courriels qui sont arrivés dans ma boîte au bureau, bon, un
petit malin qui a voulu encombrer le travail de mon personnel. Ça a été vite
résolu, mais j'imagine que, sur le plan de l'État du Québec, il peut y avoir
des cyberattaques qui sont beaucoup plus
dommageables. On a posé les questions au ministère, à savoir combien il y avait
de cyberattaques par année, sachant
qu'Hydro-Québec, par exemple, a été la cible d'attaques, là. On a les chiffres,
on parle de 2021, il y en avait 76; 2022, 208; 364 en 2023; en 2024,
1 224. On a été surpris que le ministère nous dise : On ne vous donne
pas cette information-là. Est-ce que vous pouvez nous donner cette
information-là?
M. Bélanger :
Je vais être prudent, c'est
certain. Je vais laisser mon collègue répondre, mais fournir l'information
sur le nombre d'attaques, il y a peut-être un enjeu de sécurité par soi-même.
Mais je vais...
M. Arseneau :
...que, l'an dernier, avec votre
prédécesseur, on avait obtenu cette information-là. Alors, je suis
surpris que cette année... on ne parle pas d'informations nominatives ou de
chiffres très compromettants, mais de l'ampleur de l'enjeu pour qu'on puisse...
M. Bélanger :
À qui vous avez demandé l'information? Qui vous a dit non?
M. Arseneau :
En fait, c'est dans les cahiers,
lorsqu'on fournit les questions, un cahier de crédits, la réponse était négative. On sait aussi qu'il y a des cégeps,
comme Lanaudière, qui a vu ses activités perturbées par des cyberattaques.
On veut savoir l'ampleur du problème. Est-ce que c'est possible aujourd'hui de
l'obtenir?
M. Bélanger : On est assez fiers au
niveau de l'efficacité qu'on offre en termes de cybersécurité, mais je vais laisser
mon collègue répondre à la question.
Le Président (M. Simard) : Il
y a consentement? Consentement. Monsieur, pourriez-vous d'abord vous présenter,
s'il vous plaît?
M. Fournier (Yvan) : Oui, bonjour. Yvan
Fournier, sous-ministre adjoint au niveau de la sécurité de l'information
du gouvernement du Québec.
Alors, la dernière
question, c'était... Vous voudriez savoir au niveau du cégep?
M. Arseneau : Non. Je veux savoir
l'ampleur des cyberattaques envers l'État du Québec sur une base annuelle.
L'année passée, on nous a dit qu'il y en avait 200 par jour.
M. Fournier (Yvan) : En
fait, au niveau d'attaques, il y en a plus de 200 par jour. Au niveau de
cyberattaques réussies, il y en a beaucoup moins. Il y en a beaucoup
moins.
M. Arseneau :
Oui. Donc, il y en a qui réussissent?
M. Fournier (Yvan) :
Bien, vous les avez, ils ont tous été médiatisés, le cégep que vous parlez,
et tout ça.
M. Arseneau :
Ah! O.K. D'accord.
M. Fournier (Yvan) : Alors, lorsque ça
réussit, c'est toujours médiatisé. Celles-là, je peux vous expliquer, si vous
avez des questions particulières sur chacune des attaques... enfin, vous
répondre.
M. Arseneau :
Bien, en fait, parce que je
manque de temps... Mais est-ce que, comme Hydro-Québec, les chiffres le
démontrent, le problème va croissant? Est-ce que c'est le cas pour l'ensemble
de l'État du Québec.
M. Fournier
(Yvan) : Du gouvernement, absolument.
M. Arseneau :
Dans quel ordre en pourcentage?
M. Fournier (Yvan) : Depuis janvier, on a 15 %
d'augmentation de cyberattaques détectées, mais pas réussies.
M. Arseneau :
Pas réussies. Donc, est-ce qu'on
a un bilan de 100 % pour contrer les attaques depuis le début de l'année?
M. Fournier (Yvan) : Depuis le début de l'année, on en a eu quelques-unes, il y en a qui
ont été médiatisées. Ce n'est jamais
100 %. Ceux qui ont été médiatisés, ce sont, généralement, des attaques de
niveau 3, donc, assez important, soit du chiffrement, exfiltration de
données ou quoi que ce soit, puis ils sont médiatisés. Mais le nombre d'attaques,
on nous demande de ne pas le donner, le
nombre d'attaques. Ça pourrait inciter certains groupes d'utiliser nos
informations pour attaquer encore plus.
• (15 h 20) •
M.
Arseneau : Merci beaucoup. C'est tout le temps que j'ai pour ce
volet-là.
J'ai une dernière
question ou un dernier bloc à l'intérieur de mon petit bloc. Les ressources
informatiques et la mise à niveau des logiciels ou des applications, là... de
fonctionnement de système, c'est-à-dire, Windows 10 va devenir,
essentiellement, caduc le 14 octobre prochain. J'aimerais savoir si on a
calculé les coûts de maintien de certains
équipements qui pourraient ne pas pouvoir supporter la version Windows 11.
Parce qu'on a déjà fait l'inventaire du matériel informatique du
gouvernement du Québec, et on parlait de près de 20 000 postes.
Est-ce qu'on va remplacer ces
20 000 postes là? Est-ce qu'il y en a une partie qui sont déjà aptes
à prendre Windows 11? Sinon, combien ça va coûter? Parce qu'on parle de trois ans, là, sur trois ans,
366 $ américains, on va commencer à facturer une extension.
Avez-vous des provisions pour faire face à cet enjeu?
M. Bélanger :
Avant de passer la parole à ma collègue, est-ce que la question est pour le
ministère...
M. Arseneau :
Pour l'ensemble de l'État du Québec.
M. Bélanger :
Pour l'ensemble des organismes publics, ministères gouvernementaux?
M. Arseneau :
Oui.
M. Bélanger :
Je vais laisser ma collègue répondre à cette question.
M. Arseneau :
En 40 secondes.
Le Président (M.
Simard) : Oui, Mme Martel.
Mme Martel
(Mylène) : Oui. Merci. En fait, pour chaque ministère et organisme
public, ils doivent faire la planification des investissements et des dépenses
en ressources informationnelles. Dans ce cas-ci, c'est certainement des postes
de travail très spécialisés qui utilisent ce système d'exploitation là
depuis... de longue date. Donc, ils ont à faire la planification.
La question à savoir
combien ça coûtera, je n'ai pas la réponse, mais chaque ministère et organisme
public doit le planifier et le prévoir dans ses planifications annuelle et
triennale.
M. Arseneau :
Mais est-ce que vous, comme
ministère de la Cybersécurité et du Numérique, demandez à savoir si on a
effectivement une planification et combien ça va coûter pour chacun des
ministères?
Mme Martel
(Mylène) : Effectivement, oui.
M. Arseneau :
Est-ce que c'est quelque chose, une information que vous pourriez déposer à
la commission?
Mme Martel
(Mylène) : Bien, c'est une information qui est... en fait, qui n'est
pas colligée dans un seul document. Ça va
être difficile pour nous de vous rassembler toute l'information. Donc, c'est
vraiment un travail manuel assez substantiel, oui, c'est ça.
Le Président (M.
Simard) : Il vous reste 50 secondes.
M. Arseneau :
Ah! j'avais calculé que c'était terminé. Bien, merci. Alors, ça me permet
quand même de dire que cette obligation-là, en quelque sorte, elle échoit à
chacun des ministères et organismes. Vous les informez de la situation, mais vous n'avez pas actuellement le
portrait de la situation, à savoir si cette somme-là... Moi, je calculais que,
s'il y avait la moitié des postes, ça pouvait coûter entre 5 et
10 millions de dollars, si on n'était pas en mesure de remplacer le
système rapidement.
Mme Martel (Mylène) : Bien, en fait, oui, comme
je l'expliquais tout à l'heure, chaque ministère et organisme public doit en
faire l'évaluation à travers leurs coûts, annuellement, et leurs capacités
également. Donc, effectivement, c'est
un... et donc, en fonction de la disponibilité des ressources pour le faire, il
planifie les activités pour l'année en cours.
Le Président (M.
Simard) : Très bien. Merci.
M. Arseneau :
Merci beaucoup.
Le
Président (M. Simard) : Je
cède à nouveau la parole à la députée de Mont-Royal—Outremont, qui dispose d'environ 20 minutes.
Mme Setlakwe :
Merci. Donc, on parlait de Santé
Québec, et, quand on s'est laissé, à la fin du bloc précédent, vous
disiez que vous ne saviez pas si la problématique au niveau des coûts, là, ce
n'était pas... Vous avez dit, vous ne savez pas si c'est une problématique avec
le logiciel comme tel ou l'entente avec le fournisseur. C'est quelque chose
pour lequel vous êtes en analyse et, au besoin, vous allez utiliser votre
pouvoir d'audit. C'est bien ça?
M.
Bélanger : Oui, c'est ça, mais j'ai quand même aussi une réponse
à une question que vous aviez, au niveau du contrat avec Microsoft,
270 millions de Santé Québec, c'est un contrat au niveau de la
bureautique.
Mme Setlakwe : C'est beaucoup
d'argent.
M. Bélanger : Effectivement, mais
c'est de la bureautique, c'est ça.
Mme Setlakwe : Et comment, vous...
M. Bélanger : C'est sur trois ans,
là.
Mme Setlakwe : C'est sur trois ans.
Ce qu'il faut se demander c'est : Est-ce que c'est via... C'est quand même
beaucoup de deniers publics, c'est des contrats très lucratifs qui sont
octroyés à Microsoft. Est-ce que c'est un élément
sur lequel vous allez vous pencher, étant donné la situation politique
actuelle, étant donné le Patriot
Cloud Act, etc.?
M. Bélanger : C'est 400 000
licences, et puis votre question est très pertinente. Actuellement, je vous
dirais qu'organismes et ministères signent des contrats de leur côté au niveau
de licences. Il y a peut-être un potentiel, au niveau de réduction de coûts, en
termes d'une entente globale pour ce qui est des licences d'utilisation de
certains... de certaines solutions, entre autres bureautiques, effectivement.
Mme Setlakwe : Est-ce qu'il faut...
Est-ce qu'on peut dire que, pour l'octroi de ces contrats-là, ça ne se fait pas
par appel d'offres, c'est de gré à gré?
M. Bélanger : C'est via le courtier,
le courtier...
Mme Setlakwe : C'est via le
courtier?
M. Bélanger : Oui. Donc, ce n'est
pas en gré à gré, là. Il y a un processus qui passe par le courtier.
Mme Setlakwe : Non, mais parce que
Microsoft fait partie des entreprises qui sont préautorisées.
M.
Bélanger : Tout à fait.Ils ont une place d'affaires
au Québec. Donc, c'est... ils suivent les règles au niveau de la LCOP.
Mme Setlakwe : O.K. Merci. Revenons
à la... Merci pour ces précisions. Revenons à la question sur le Dossier santé numérique, qui est vraiment très
important pour les Québécois. On souhaite tous que les renseignements de santé circulent de façon fluide, soient
conservés de façon sécuritaire, mais évidemment, ce qu'on veut avant tout,
c'est que les professionnels de la
santé, nos médecins aient entre les mains... qu'ils aient accès rapidement à
tout notre dossier. C'est ça qui est
l'objectif, puis on comprend que ça prend plusieurs années à déployer ce
chantier-là. Il y a des projets pilotes
qui sont en cours. Là, on comprend qu'il y a eu des difficultés au niveau des
appels d'offres, des appels de soumissions, ce qui explique des délais.
Là, on est rendu à 2026.
Pour
l'instant, il n'y a pas de problématique avec le logiciel, mais c'est... selon
ce que Mme Biron disait, la P.D.G. de Santé Québec, c'est plutôt tout ce que ça
prend autour, les tablettes, les appareils connectés, la formation du personnel.
Ce sont des choses dont on a besoin pour
être capables de livrer nos projets. Est-ce à dire que ce type de dépenses,
donc, connexes, qui ne sont pas liées
strictement au logiciel ou au fournisseur, ne sont jamais prises en compte dans
la budgétisation d'un projet de cette importance?
M. Bélanger : Je ne dirais pas
qu'elles ne sont jamais prises en compte, mais on a tendance à sous-estimer les coûts de gestion de changement. Et je vous
dirais aussi que... Je voudrais m'assurer que, lorsqu'on a des... Chaque organisme, ministère ont souvent dans leur mission,
dans leur engagement, de transformer leurs pratiques de façon numérique. Et
moi, ce que je veux m'assurer, c'est qu'il y ait des bénéfices, qu'on ne fasse
pas uniquement que de transformer des façons de faire qui sont non adéquates.
Donc, on veut transformer de façon à devenir plus efficace et, au niveau de l'estimation des coûts, bien, s'assurer
que, lorsque cette transformation-là va être en application ou va être en exécution ou lorsqu'on va tourner la clé à
«on», que tout va bien se passer, qu'on... parce que ça peut représenter
des coûts énormes, justement, au niveau de la réalisation.
Mme
Setlakwe : Donc, il n'est pas exclu qu'il y ait d'autres
projets en cours, d'autres chantiers dont les besoins périphériques à
l'implantation ne sont pas pris en compte.
M. Bélanger : Tous les projets qui
sont en exécution, je les réévalue, tous les projets qui vont... avant d'arriver à l'exécution ou à l'approbation. Pour
le moment, on arrive avec une situation où il y a des projets qui sont déjà en
exécution. Il y a des dossiers d'affaires qui ont été acceptés. Il y a des
dossiers d'affaires qui sont... Donc, il y a une
certaine transition. Il y a des projets qui sont en cours, mais, pour les
projets à venir, on désire utiliser des meilleures pratiques pour
s'assurer, justement, qu'il n'y ait plus de dépassements de coûts et que l'échéancier
soit respecté. Si on a
mal évalué le projet, on va dépasser l'échéancier puis on va dépasser le
budget, c'est certain. Et c'est souvent une des particularités qu'il y a
au niveau des projets informatiques, parce que ça prend une certaine expertise,
justement, de bien définir quelle est
l'architecture. Ça prend une expertise au niveau de l'analyse des besoins et de
définir quels sont les coûts de transformation par la suite.
Mme Setlakwe : Oui, parce qu'il n'y
a rien de pire, surtout dans le domaine de la santé, puis ça a été vécu avec le SIL, là, qui concerne les laboratoires,
puis ça va être le cas aussi avec le DSN. C'est bien beau de mettre... déployer
un nouveau logiciel, une nouvelle
plateforme, mais il faut que les professionnels de la santé et tout le
personnel puissent naviguer autour de ça de façon efficace.
M.
Bélanger : ...là, c'est Santé Québec qui en a... qui l'a pris
en charge. On va travailler en collaboration avec Santé Québec pour
s'assurer que les projets se déroulent de façon efficace.
Mme Setlakwe : Justement, vous avez
parlé d'établissement des besoins, à quel point c'est important quand on
démarre un tel chantier. Dans un article du 8 avril dernier, un article de
Nicolas Lachance, on apprenait qu'une entreprise,
Accenture, avait d'abord conseillé le gouvernement sur l'établissement de ses
besoins et, par la suite, a raflé un
contrat de 40 millions, en lien avec le DSN, pour des services
professionnels d'accompagnement pour l'implantation. Il est mentionné
que ce possible conflit d'intérêts, à l'image de SAAQclic, crée un malaise dans
le réseau de la santé.
Est-ce que...
Comment vous répondez à ces préoccupations et quelles mesures sont mises en
place pour éviter de tels conflits d'intérêts à l'avenir?
• (15 h 30) •
M. Bélanger : J'aimerais ça que vous
répétiez votre question parce que j'avais un échange. Je ne veux pas spéculer,
là, de la question puis répondre incorrectement.
Mme Setlakwe : Vous avez sûrement
suivi ça, là, Accenture, une entreprise qui...
M. Bélanger : O.K. Je n'avais pas
compris, Accenture...
Mme Setlakwe : Accenture, oui...
M. Bélanger : O.K., je connais bien
Accenture.
Mme Setlakwe : ...Accenture, qui est
impliquée au niveau de l'établissement des besoins, directement ou une filiale,
peu importe, mais... et qui, par la suite, est impliquée dans l'accompagnement
pour l'implantation. Ça fait couler de
l'encre. Il a été dit... Il a été mentionné que ça pouvait créer un possible
conflit d'intérêts à l'image de SAAQclic, et ça crée un malaise, un
certain malaise au niveau... dans le réseau de la santé. Comment vous répondez
à ces préoccupations?
M. Bélanger : Bien, il y a une apparence.
Je vous dirais, j'ai travaillé avec ces firmes-là, j'ai travaillé pour Andersen
Consulting, qui est devenue Accenture. Donc, je connais quand même très bien
les pratiques, que ce soit au niveau d'ERP, au niveau des solutions. Je vous
dirais qu'on regarde une solution qui est plus souveraine, qui est plus locale pour être capable de travailler avec
des solutions qui pourraient être peut-être plus élaborées ici, au Québec,
au lieu d'être à risque avec des entreprises américaines. Je ne dis pas qu'on...
Je ne dis pas que les entreprises américaines fournissent de mauvaises
solutions, mais, dans ce cas de... dans le cas de ce dossier-là en particulier,
Accenture n'a pas participé à l'appel
d'offres. Mais c'est... Je ne dis pas que c'est une tradition, mais d'être
capable de participer au diagnostic et à l'analyse et, par la suite, être
intégrateur d'une solution. C'est souvent des cas de situation de potentiel conflit d'intérêts, si on intègre une
solution en particulier, puis, comme consultant, on a participé à l'analyse
des besoins et on recommande la solution où on est l'intégrateur.
Mme Setlakwe : Là, justement, vous
mettez le doigt dessus, là, puis là on parle d'un chantier majeur, puis vous dites même que vous regardez pour des
solutions plus souveraines. Mais là, ici, on est lié pour ce qui est du DSN,
du Dossier santé numérique, un projet estimé à 1,5 milliard, sur une
quinzaine d'années, qui pourrait potentiellement, si vous l'approuvez, engendrer un dépassement de coûts. Et on a... Les
contrats ont été octroyés, donc, l'établissement des besoins, firme américaine; le déploiement de la plateforme, du
logiciel Epic, société américaine; l'accompagnement pour l'implantation,
société américaine. On vient de vous entendre, dans la dernière minute,
dire : Ah! il faudrait travailler sur des solutions plus souveraines. Là,
comment vous rassurez la population qu'on a les bons joueurs sur ce dossier-là?
M. Bélanger : Bien,il y a
des dossiers qui sont en cours, des dossiers qui sont en cours, que j'évalue.
Dans le cas d'Epic en particulier, ma préoccupation est au niveau des données,
où les données vont être hébergées. Donc, je
veux m'assurer que les données, au niveau de la santé, sont protégées, mais ça
va au niveau du projet en général. Il y a quand même un millier de
projets. Il y en a 200 quelques qui sont en exécution. Est-ce qu'il y a des
projets qui requièrent une analyse plus
précise et des correctifs? La réponse, c'est oui. Il y en a combien? Je ne peux
pas vous dire aujourd'hui, mais il y en a plus qu'un.
Mme
Setlakwe : Pour celui-ci, la perception de manque
d'indépendance, quel est votre niveau d'inquiétude par rapport à ce
potentiel manque d'indépendance?
M. Bélanger : Je peux... Je ne peux
pas nécessairement commenter au niveau du manque d'indépendance. J'ai
travaillé, pendant des années, à implanter des... que ce soient des solutions
ERP ou des solutions au niveau de la chaîne... des chaînes d'approvisionnement,
des différents logiciels. On était l'intégrateur et on en faisait l'analyse. Puis il y avait des succès, les projets se
passaient très bien. Mais il y a des cas d'horreur où il y a eu des... certains
dépassements de coûts, mais je ne suis pas en mesure aujourd'hui de juger
s'il y a conflit d'intérêts. Il y a peut-être apparence, mais quels sont les
risques, je n'ai pas assez d'information pour le moment, et ma préoccupation
est que les projets soient réalisés dans le
budget et qu'on ne transforme pas des pratiques numériquement... des mauvaises
pratiques. Donc, on s'assure que les
pratiques et que les façons de faire soient transformées aussi, pas uniquement
transformer des pratiques inefficaces.
Mme
Setlakwe : C'est ça, O.K., au niveau de l'indépendance, on
vous a bien entendu. Au niveau de protection des données, dépendance, encore
une fois, des entreprises américaines, dans le contexte politique actuel, si
c'était vous qui étiez... qui avait été ministre de la Cybersécurité et
du Numérique à l'époque du... Non, c'est-à-dire que, si, aujourd'hui, on
recommençait à zéro, page blanche, est-ce que vous auriez fait les choses...
tenté de faire les choses différemment pour que les contrats soient octroyés à
des firmes locales?
M. Bélanger : Vous savez, la situation
géopolitique a évolué très rapidement. Bon, je suis en poste depuis
65 jours. Il y en a un autre qui est en poste depuis 100 quelques jours et
il y a eu des... une situation qui fait qu'à peu près tous les États et les
pays à travers le monde sont après réévaluer ou mettre en place une stratégie
numérique plus souveraine. Le contrat a été signé avant que le président des
États-Unis ait été en place. Donc, il y a un processus, il y a une course, mais on va faire les choses dans
les règles de l'art, puis, s'il y a des projets qui doivent être modifiés pour s'assurer
qu'en particulier les données sont sécurisées, bien, on va le faire.
Mme
Setlakwe : Donc, on a Accenture, on a Epic. Accenture détient
une firme spécialisée dans la mise en oeuvre et l'intégration de systèmes, les
mises à jour, l'optimisation des solutions d'Epic. Ça, vous le savez qu'ils
sont...
M. Bélanger : ...je connais très
bien Accenture. Vous avez CGI, au Québec, qui est une des plus grosses boîtes
aussi au monde. Vous avez l'entreprise Tata qui est aussi une des grosses
boîtes. Donc, Accenture, j'ai travaillé avec
eux. J'ai travaillé pour eux dans les années... avec Andersen, dans les
années 90. C'était une petite entreprise. Aujourd'hui, je ne sais
pas, il y a combien de milliers ou combien de milliards de chiffres
d'affaires... mais qu'il y a une très bonne
croissance à cause, entre autres, de la solution SAP, et SAP est aussi une
entreprise qui fournit, justement, la
solution ERP, qui a eu une croissance phénoménale. Donc, ce n'est pas toujours
des échecs. Il y a eu certains succès, mais il y a eu certains
dépassements de coûts significatifs dans plusieurs situations.
Mme Setlakwe : La plateforme Votre
Santé, qui est une des principales composantes du DSN, la réalisation de cette
plateforme-là a été confiée à Accenture, c'est bien ça, alors que la...
M. Bélanger : Non.
Mme
Setlakwe : Comment ça fonctionne? Qui s'occupe de ça par
rapport à Epic? Est-ce que ce n'est pas une portion qui devait être
assumée par Epic?
M. Bélanger : Je vais laisser ma
collègue répondre.
Mme Martel (Mylène) : Alors, oui,
bien, en fait, ce projet-là, qui est Votre Santé, est réalisé à même les grands projets du DSN, hein? Le DSN, c'est un
ensemble de trois projets. Il y a la vitrine qu'on parle... ce pour quoi on
parle depuis quelques minutes, vitrine qui est pour deux CIUSSS. Il y a Votre
Santé, qui est aussi un autre projet, et il y a le visualisateur qui est un
autre projet qu'on parle un petit peu moins.
Donc, Votre
Santé, comme c'est un progiciel Epic. Il y a plusieurs fonctionnalités qui sont
prévues dans la solution, qui
permettront de répondre en grande partie aux besoins et aux fonctionnalités qui
seront requises dans le cadre de Votre Santé. Donc, c'est avec le
progiciel Epic, et il y a probablement un assemblage de logiciels, également,
qui pourront bonifier, je dirais, la
solution comme telle. Là, les autres logiciels comme tels, qui peuvent être
combinés à Epic, il faudra poser la question à Santé Québec. Je ne
pourrais vous dire précisément.
Mme Setlakwe : O.K. Donc, c'est un
progiciel Epic, et est-ce qu'Accenture joue un rôle à ce niveau-là?
Mme Martel
(Mylène) : Accenture joue un rôle, à ma connaissance, puis il
faudra vérifier avec Santé Québec... mais joue un rôle de conseil auprès
des autorités de Santé Québec dans le cadre du projet du DSN.
Mme
Setlakwe : Bien, c'est parce que ça va être important de
démêler tout ça, parce qu'encore une fois, en ayant à l'esprit les
préoccupations de la Vérificatrice générale, justement, il y avait des firmes
externes, des progiciels, plus d'une firme, et on a abouti à un projet qui a eu des dépassements de
coûts de centaines de millions. On ne veut pas que ça se reproduise à nouveau. Est-ce que c'est
encore un exemple de fractionnement de projets en plus petits lots de contrats?
Mme Martel
(Mylène) : Bien, en fait, tout à l'heure, ça a été mentionné qu'en
apparence... certains ont mentionné qu'il y avait des projets qui étaient
fractionnés. Je tiens à apporter certaines précisions au regard de cette affirmation-là, en fait, parce que, quand un
projet est approuvé par les autorités compétentes, parfois c'est le président
d'organisme, selon les seuils, parfois c'est le Conseil du trésor ou parfois
c'est le Conseil des ministres, dépendamment des seuils des différents
projets, c'est en vertu d'une portée qui est approuvée dans son dossier
d'affaires. Donc, il ne peut pas y avoir de fractionnement de projet suivant
l'approbation d'un dossier d'affaires. Donc, ce qui est inscrit actuellement au SIGRI et ce qui est inscrit au
tableau de bord, c'est en vertu des dossiers d'affaires qui sont approuvés.
• (15 h 40) •
Mme
Setlakwe : Donc, pour le DSN et ses différents volets, les trois dont
on a mentionné, il ne peut pas être fractionné?
Mme Martel
(Mylène) : C'est-à-dire que les projets qui sont approuvés dans le
cadre du DSN actuellement, puis celui qui
est au tableau de bord, à 268 millions, avec un 42 millions qui s'est
ajouté, celui-là, c'est un projet en soi, avec sa portée, qui est de déployer le DSN dans deux CIUSSS. Il y aura
un autre projet, un autre dossier d'affaires qui fera l'objet d'une approbation pour le déploiement du DSN à l'intérieur
des autres CIUSSS, pour le déploiement provincial.
Mme
Setlakwe : Merci. Le DSN va contenir, évidemment, des informations
sensibles sur la santé des citoyens. Quelles garanties est-ce que vous pouvez
offrir, M. le ministre, à la population par rapport à la protection, justement,
de ces données sensibles?
M. Bélanger :
C'est un dossier qui est prioritaire, pour moi, que les données qui sont
prévues d'être sous le contrôle d'Epic soient justement entreposées de façon
sécuritaire ici et non ailleurs. Donc, c'est un élément qui me préoccupe à l'heure actuelle, mais peut-être qu'il
était moins préoccupant, il y a de ça six mois. Il y a six mois, on ne se
poserait pas les mêmes questions. On ne se poserait pas les mêmes questions au
niveau de la bureautique avec Microsoft.
Mme Setlakwe :
Bien, oui, ça, là-dessus, on en a
parlé ensemble déjà dans une autre commission. La situation a changé,
elle a évolué rapidement, mais oui, il y a six mois, c'était quand même
pertinent de se poser la question sur l'hébergement
des données. Ces lois à portée extraterritoriale étaient en place quand même,
mais je comprends que vous êtes en réflexion.
J'aurais une dernière
question. Est-ce que... à la lumière des défis qui ont été rencontrés dans le
projet SAAQclic, quelles leçons avez-vous
tirées pour éviter qu'il y ait des erreurs similaires dans le cadre du DSN,
notamment en ce qui concerne la
planification, la gestion des risques et la communication avec le public?
Quelles leçons avez-vous tirées sur ces éléments-là?
M. Bélanger :
Les leçons qu'on a tirées, c'est
que le MCN n'a pas les outils de gouvernance et de gestion adéquats pour
s'assurer qu'il n'y ait pas d'autre SAAQclic. Donc, on va... on veut s'assurer
d'avoir ces outils-là en place et qu'il n'y ait pas de dérogation qui se fasse
au niveau...
Le Président (M. Simard) : Merci,
M. le ministre. Merci beaucoup. Je cède maintenant la parole au député de Maurice-Richard,
qui dispose de 16 min 37 s.
M.
Bouazzi : Merci beaucoup, M.
le Président. On va continuer sur les questions d'infonuagique, M. le ministre.
D'abord, on va revenir un peu à la genèse,
et je comprends que les choses ont évolué. Donc, en 2019, votre prédécesseur ministre
du Numérique, Cybersécurité avait annoncé que, d'ici trois ans, il ferait des
économies de 100 millions annuelles en
remplacement des informations... en plaçant les informations des différents
ministères dans les différents nuages.
J'imagine, six ans plus tard, qu'on est tous d'accord pour... qu'il n'y a pas
eu ni 100 millions, ni 10 millions, ni même 1 $ de
revenus associés à ces stratégies.
M. Bélanger :
Je vais laisser Sylvain répondre... l'information.
M. Goulet
(Sylvain) :
Pour
qu'il y ait les économies, il faut que la consolidation soit terminée. Donc,
l'année dernière, on a publié la révision de
l'analyse financière avec le programme. On voyait qu'il y avait encore des
bénéfices. On a refait l'exercice dans les dernières semaines. Il y a une
baisse des bénéfices, mais il y a encore des bénéfices qui vont être présents au terme du programme. Il passe à
614 millions. C'est une baisse à 7,4 %, mais il va y avoir encore des bénéfices. On a tenu compte de
différents facteurs, dont l'augmentation des coûts en infonuagique, mais aussi l'augmentation
des coûts d'entretien des infrastructures sur site.
M. Bouazzi : Là,
je veux juste être sûr de comprendre. Donc, quand on promettait
100 millions annuels, je comprends
qu'on est très en retard parce qu'à l'époque le ministre avait dit dans trois
ans. On est six ans plus tard. Là, vos économies annuelles que vous
évaluez sont de combien?
M. Goulet
(Sylvain) : Bien, les économies vont se produire au terme du
programme, quand le maintien des infrastructures en parallèle va être terminé.
Si vous me posez la question en lien avec le 100 millions...
M. Bouazzi : Je comprends, mais, une fois que vous avez fini,
un jour... ça fait déjà six ans, une fois que vous aurez fini, c'est de
combien, les économies annuelles?
M. Goulet
(Sylvain) : Bien, ça va dépendre de chacun des écosystèmes qui vont
avoir été consolidés. Jusqu'à présent, les ministères qui sont consolidés, il y
en a plus de la moitié qui présentent déjà des économies. Ils viennent de commencer à optimiser leur
consommation en infonuagique. Donc, ils viennent d'implanter des pratiques comme
le FinOps.
M. Bouazzi : Donc, pour ceux-là qui ont déjà des économies,
vous évaluez à combien ces économies qui sont déjà le résultat de la
stratégie?
M. Goulet
(Sylvain) : Bien, je pourrais vous faire la sommation. On pourrait...
M. Bouazzi : Bien, un ordre de grandeur. Là, on parlait de
100 millions par an. Là, sur ceux qui ont été faits, je pense qu'on
était à un peu plus de 50 % de migration qui avait été faite.
M. Goulet
(Sylvain) : Je peux vous donner l'avancement global du programme, si
vous voulez.
M. Bouazzi :
Si vous... rapidement, si vous êtes capable de me donner, oui, un pourcentage
global...
M. Goulet
(Sylvain) : Bien, le pourcentage global d'avancement du programme au
31 mars, c'est 68 %.
M. Bouazzi : O.K. Donc, évidemment, je ne vais pas vous dire
68 % de 100 millions, ça fait 68 millions, mais imaginons que, sur le 68 % qui est fait, il y
a un certain nombre qui est déjà fait. Vous évaluez à combien les économies
pour ceux qui sont finis?
M. Goulet
(Sylvain) : En fait, comme je le disais tantôt, le modèle prévoit des
déficits pendant la consolidation parce que les écosystèmes doivent avoir été
consolidés. Donc, la perte qui est évaluée pour l'exercice financier, c'est 11,5 millions, mais cette
courbe-là va passer au-dessus de zéro. Puis, si vous me demandez quand est-ce que réapparaît le 100 millions, bien, on le voit, là, qui réapparaît
dans l'analyse qu'on vient d'actualiser cinq ans plus tard que prévu,
donc, en 2034‑2035.
M. Bouazzi :
En 1934‑1934?
M. Goulet
(Sylvain) : En 2034‑2035.
M. Bouazzi :
Ah! pardon, 2034‑2035. Ça aurait été bien, hein, 1900? Donc, juste pour que les
gens qui nous écoutent comprennent, en 2019, on a dit : Dans trois ans, il
y a 100 millions de retour, et là la courbe, elle va taper le 100 millions en 2034‑2035.
C'est correct, là, je veux dire, au moins, on a mis à jour... On s'est juste
trompés d'un facteur de plusieurs
milliers de pour cent, là, on s'entend, en tout cas, l'ancien ministre du
Numérique. Maintenant que la stratégie change parce qu'on se rend compte
que ce n'est quand même pas une bonne idée de mettre les données privées des
Québécoises et Québécois chez Amazon et Microsoft, est-ce que, vraiment, les
courbes qui avaient été prévues, de migration...
j'imagine qu'il y en a qui vont être stoppées pour être ramenées au niveau du
cloud souverain dont vous parlez, M. le ministre.
M. Bélanger :
Il y a une analyse de coûts qui doit être faite au niveau du rapatriement des
données sensibles dans le cloud souverain,
mais j'évalue aussi des solutions où il y a des clouds qui pourraient n'être
pas uniquement au Québec, mais des
clouds avec... au Canada, par exemple. Il y a des partenaires européens qui
sont sur des mêmes stratégies au niveau de certaines données, mais les
données très sensibles vont toujours être hébergées au Québec.
M. Bouazzi :
Et les données de... parce que, je vous entends, très sensibles... Je comprends
que les rétines ou des choses comme ça
sont... Les photos des rétines des Québécois, c'est très sensible, mais là je
ne vous entends pas dire : Bien, le nom, le prénom, l'adresse, la
date de naissance, les photos, tout ça, c'est très sensible. Est-ce qu'on peut
être d'accord que toutes les données personnelles des Québécoises et Québécois,
c'est très sensible et qu'à terme ça ne devrait pas se retrouver chez Amazon?
M. Bélanger :
Définitivement, les données des Québécois sont très sensibles.
M. Bouazzi : O.K., très bien. Donc, je comprends que vous allez
revenir avec une mise à jour de la fameuse courbe qui s'arrête en 2034. Pour la SAAQ, vous venez de
dire, après recherche, qu'en fin de compte les données personnelles ne
sont pas hébergées chez Microsoft. Est-ce que ça veut dire qu'elles sont
hébergées chez Amazon ou chez des infrastructures...
M. Bélanger :
...
M. Bouazzi : À la SAAQ.
M. Bélanger : Les données sont
hébergées à la SAAQ.
M. Bouazzi : Très
bien. Bon, là, si on revient à la
question de Microsoft, moi, je serais curieux d'avoir plus de détails. Est-ce que c'est une mise à jour des
patchs qui ont été faites sur les serveurs ou alors c'est vraiment
l'infrastructure d'Azure qui s'est mise à jour toute seule par son... du
côté de l'infrastructure?
M. Bélanger : Je vous dirais que... Bon, je faisais le suivi à
chaque heure, que ce soit le jour ou que ce soit la nuit aussi. J'ai eu
la séquence. Je ne l'ai pas en main. Je ne sais pas qui pourrait répondre à la
séquence ou je pourrais vous revenir...
M. Bouazzi : À ce stade, ma
question est simple. Est-ce qu'on a appliqué des patchs que Microsoft nous a
envoyées ou alors c'est Microsoft lui-même qui a mis à jour son «stack», là,
dont vous parliez, de Microsoft Azure?
M.
Bélanger : Ma compréhension,
il y avait une problématique déjà, et c'est pour corriger une problématique qu'il
y a eu une action faite par Microsoft sur, je dirais, un appareil ou un serveur
en particulier, et il y a eu un effet d'entraînement
sur tous les autres. Donc, tout le système est tombé... tout le système est
tombé en panne.
Moi, ce qui
me préoccupe, ce n'est pas savoir si un a contaminé 12, tout ça. Ce qui me
préoccupe pour le moment, c'est qu'il n'y avait pas nécessairement de
plan de contingence. Il n'y a pas de plan de contingence. On aurait pu se retrouver avec une panne d'une semaine, deux
semaines avant de remonter... Microsoft a quand même l'expertise suffisante
pour être capable de rétablir, mais donc j'exige un plan de contingence pour
les futures situations où il y a des...
• (15 h 50) •
M. Bouazzi : Je veux que ce soit
clair. Donc, c'est les gens de Microsoft qui ont décidé de mettre à jour
quelque chose et non pas les gens de la SAAQ ou de votre ministère, je ne sais
pas, qui, eux, ont décidé de mettre à jour des choses que Microsoft leur a
envoyées. C'est qui qui a appuyé sur le bouton, là? Je serais curieux
d'entendre peut-être un de vos spécialistes, M. le ministre.
M. Bélanger : Vous serez curieux
d'entendre qui?
M.
Bouazzi : Un de vos spécialistes infonuagique, monsieur,
peut-être, je sens... je le vois, là, prêt à me répondre.
Le Président (M. Simard) : M.
Goulet.
M. Goulet (Sylvain) :
Sans
connaître le fin détail, là, de ce qui s'est produit chez nos collègues, en ce
qui a trait à la solution qui est similaire à... utilisée dans le nuage
gouvernemental, c'est nous qui faisons les opérations d'entretien. Donc, c'est nous qui sommes maîtres du déploiement des
correctifs. Donc, c'est un nuage privé, donc, installé sur site.
M.
Bouazzi : C'est clair. C'est clair. Donc, pour que les gens...
nous écoutent comprennent, ce n'est pas Microsoft qui met à jour, c'est bien
les gens de la SAAQ qui ont mis à jour. Est-ce que, normalement, vous ne mettez
pas à jour des environnements de développement ou de préprod avant de se rendre
compte en production que tout pète, monsieur... excusez-moi, on a le droit...
tout explose, tout tombe en panne, M. le ministre?
M. Bélanger : C'est certain que, si
vous voulez revenir sur...
M. Bouazzi : ...j'entends, ce n'est
pas tant que ça tout Microsoft. Moi, ce que j'entends, c'est : Nous avons
eu à mettre à jour des choses sur les serveurs, ce qui est tout à fait banal,
ça peut être des pages de sécurité, ça peut être toutes sortes de choses, et
que, normalement, bien, il y a des environnements, avant d'en arriver en
production, qui font en sorte qu'on se rend compte que ça ne va pas marcher.
Donc, est-ce que je comprends que ça avait marché en préprod et en test ou ça
n'a pas été roulé dans d'autres environnements avant de le rouler en
production?
M. Bélanger : Bien, j'ai demandé un
plan de contingence pour une situation semblable. Dans un plan de contingence, on doit arriver avec les façons de
faire, justement, des tests. Lorsqu'on fait des tests, il ne faut pas faire des
tests en live qui peuvent apporter un
risque au niveau, justement, du service à la clientèle. Donc, c'est tout ce
processus-là. Je vais vouloir avoir un plan d'action, un plan de
contingence pour s'assurer que, lorsqu'on fait des modifications, il n'y a pas
de rupture de services.
M. Bouazzi : C'est clair. Et donc je
veux juste que ce soit clair. Ça fait déjà 48 heures qu'on me dit :
C'est Microsoft qui a fait quelque chose. La
réponse, ce n'est pas Microsoft qui a fait quelque chose, c'est nous qui avons
fait quelque chose que Microsoft nous
a demandé de faire, peut-être, ou, en tout cas, des mises à jour qui ont été
faites parce que... Il y en a tout le temps, des mises à jour sur des
serveurs, là. Et, à la suite de ce changement-là que Microsoft n'a pas fait, que c'est
des gens à la SAAQ qui s'occupent de la technologie, qui a fait que tout ceci
est tombé en panne. On est juste d'accord?
M.
Bélanger : Mais il faut être prudent ici, là. Je ne veux
pas... C'est quand même Microsoft qui est le maître d'oeuvre, qui a
guidé la SAAQ pour justement faire des modifications.
M. Bouazzi : On a un échange où
Microsoft demande...
M.
Bélanger : Et c'est chez Azure, et Microsoft demande à la
SAAQ de faire telle modification, puis il y a une problématique. La
responsabilité est à qui?
M. Bouazzi : Bien, il y a des...
M. Bélanger : Je pense qu'on ne
devrait pas se faire l'arbitre ici ou le... de définir à qui est la faute.
J'ai...
M.
Bouazzi : ...les bonnes pratiques. Évidemment, je suis sûr
qu'il y a plein de gens, là, autour de la table qui sont professionnels, savent
comme moi que les bonnes pratiques...
On a des mises à jour à faire sur des
«frameworks», sur des «stacks» ou des serveurs, je ne sais pas, je ne
connais pas le détail... se font dans des environnements où on vérifie que les choses ne tombent pas tout en panne
avant de les faire en production et de se retrouver avec une police qui
n'est même pas capable de vérifier les permis de conduire des gens qu'ils
arrêtent dans la rue, M. le ministre.
Je vais peut-être avancer... Je comprends qu'il
y a des postes qui ne sont pas remplis dans votre ministère. C'est bien ça? On parle de quel pourcentage à peu
près? La dernière fois, l'année dernière, on parlait de, suivant les postes,
entre 6 % et 12 % des postes qui sont à pourvoir. Est-ce qu'on sait
encore les ordres de grandeur qu'on a?
M. Bélanger : Je vais laisser
Alexandre pour vous répondre de façon plus précise, le sous-ministre.
Le
Président (M. Simard) : Alors, M. Goulet? Non? Ah! monsieur... Très
bien. Auriez-vous d'abord l'amabilité de vous présenter, s'il vous
plaît?
M. Mailhot (Alexandre) : Bonjour.
Alexandre Mailhot, sous-ministre adjoint aux services à l'organisation et aux
clientèles.
Donc, présentement, en date du 31 mars 2025,
nous avons 15 postes à pourvoir.
M. Bouazzi : ...
M. Mailhot (Alexandre) : Dans le
ministère au complet.
M. Bouazzi : Ça,
ça veut dire que les postes qui étaient à pourvoir avant, ils ont juste été
annulés ou ils ont tous été comblés?
M. Mailhot
(Alexandre) : Ils ont été
comblés au courant de l'année, dans le respect de la cible d'heures rémunérées autorisées par le Secrétariat du Conseil du trésor.
Donc, le Secrétariat du Conseil du trésor nous a alloué
3 750 000 heures rémunérées. Alors, on finit à
l'équilibre à la fin de l'année.
M. Bouazzi : Et est-ce que
cette limite-là a baissé par rapport à l'année précédente?
M. Mailhot
(Alexandre) : Par rapport à
l'année précédente, la cible était rehaussée de l'équivalent de 21 postes à
temps complet.
M. Bouazzi : Donc, il y en a 21
de plus cette année?
M. Mailhot (Alexandre) : Non.
M. Bouazzi : Il y en a 21 de
moins cette année?
M. Mailhot
(Alexandre) : Cette année,
on a précisément 75 employés de moins que l'année dernière à pareille
date, ce qui nous fait...
M. Bouazzi : O.K. C'est clair.
M. Mailhot (Alexandre) : C'est
clair?
M. Bouazzi : C'est clair.
J'imagine qu'il y a plein de consultants dans votre ministère. Est-ce que vous
savez combien il y en a qui sont là depuis plus de deux ans?
M. Mailhot (Alexandre) : Pour la durée, oui, il y en a certains qui sont là
depuis plus de deux ans. Pour ce qui est du nombre de consultants dans
le ministère, ils sont, en date du 31 mars 2025, de 1 070.
M. Bouazzi :
On est d'accord qu'il y en a qui sont là depuis trois... plus de trois ans
aussi. Il doit y en avoir qui sont là depuis plus de quatre ans. Et puis
probablement que je peux aller comme ça... C'est quoi, le max que vous avez?
Est-ce que vous avez une idée? Quelqu'un qui est là, qui fait partie des
meubles, là, on en connaît tous, là.
Le Président
(M. Simard) : ...qui vous parlez, c'est pour ça...
M. Bouazzi :
Ah! excusez-moi.
Le Président
(M. Simard) : Vous parlez au ministre ou vous parlez au
sous-ministre?
M. Bouazzi :
Non, au sous-ministre.
Le Président
(M. Simard) : Au sous-ministre? Parce que c'est plus facile en
s'adressant à la présidence. Je peux suivre plus facilement. Alors, allez-y, M.
le sous-ministre.
M. Bouazzi :
Je m'excuse, M. le Président.
M.
Mailhot (Alexandre) : Ça
marche. Je vais devoir faire la vérification, mais ce que l'on a présentement
comme durée maximale, c'est trois ans, au moment où on se parle.
M. Bouazzi :
Bien, il doit y avoir des dérogations. Je ne peux pas croire qu'il n'y en a pas
qui sont là depuis plus de trois ans.
M.
Mailhot (Alexandre) : Je
vais faire la vérification. Il y a aussi la question de forfait, O.K.?
Donc, à partir du moment où on est à forfait sur des contrats qui s'étalent sur
plusieurs années, il se peut qu'il y ait davantage que trois ans.
M. Bouazzi : Bien, vous savez comme moi, M. le sous-ministre, qu'il doit y en avoir beaucoup qui sont là depuis plus de trois ans. En moyenne, pour un même poste,
un consultant coûte combien plus cher qu'un fonctionnaire, à l'heure?
M. Mailhot
(Alexandre) : Le taux horaire pour un consultant va se situer aux
alentours de 125 $ de l'heure.
M. Bouazzi : Donc, 125 $ de l'heure, disons, je vais
faire un chiffre rond, à 40 heures-semaine, pour les gens qui nous
écoutent, c'est 250 000 $ par an, donc, beaucoup, beaucoup, beaucoup
plus cher que des fonctionnaires qui font la même job. Est-ce que vous avez...
M.
Mailhot (Alexandre) : Effectivement, le taux horaire moyen utilisé pour une ressource interne au ministère
est de 105 000 $ par année.
M. Bouazzi : Donc, moins de la moitié. Est-ce que, et,
peut-être, M. le ministre, là... est-ce que c'est une bonne idée de
ne comme pas faire en sorte que les informaticiens... Et là moi, je vais
pressser... prêcher pour votre paroisse, pour
que vous receviez plus d'argent. Les salaires de vos fonctionnaires par rapport
au marché, est-ce que vous avez évalué... sont-ils compétitifs?
M. Bélanger :
Je crois que c'est compétitif. Par contre, l'analyse qui me préoccupe le plus,
c'est de savoir il y a combien de ressources
au niveau de technologies de l'information à travers les organismes et les
ministères. On a... Il y en a...
M. Bouazzi : Il me reste très peu de secondes. Je m'excuse, M.
le ministre. Je comprends, quand même, qu'il y a des consultants qui sont là depuis beaucoup d'années, qu'en moyenne, à
l'heure, ils vous coûtent le double à votre ministère, et que ça serait
peut-être une bonne idée d'ouvrir plus de postes, avoir plus d'expertise plutôt
que faire appel à de l'expertise externe qui coûte quand même vraiment plus
cher, parce que, même dans un raisonnement... Oublions... Nous, on aime
beaucoup l'État. On pense que les fonctionnaires, ils n'ont pas juste à aimer
la fonction publique pour y travailler. On pense qu'ils devraient y être bien
payés, mais, en plus de ça, ça coûte tellement cher d'avoir des consultants qui
sont là depuis toujours, qui ont une expertise dont on ne peut plus se passer.
Êtes-vous d'accord avec moi?
M. Bélanger :
Tout dépend de la pertinence. Parfois, on a besoin d'une ressource sur une
période de temps en particulier pour un projet en particulier. Ça peut être
trois mois, ça peut être six mois, ça peut être un an.
Le Président
(M. Simard) : En 10 secondes.
M. Bélanger :
Prendre une ressource de façon permanente pour un projet qui est temporaire, je
pense que ce n'est pas judicieux. Donc, il y
a une certaine balance, peut-être un tiers de ressources externes puis deux
tiers de ressources internes.
Le
Président (M. Simard) :
Très bien. Alors, merci beaucoup à vous deux. Je cède à nouveau la parole à la
députée de Mont-Royal—Outremont pour son dernier bloc d'intervention.
Mme
Setlakwe : Merci, M. le Président. Juste pour boucler la
boucle sur l'échange relativement à l'utilisation, là, d'Azure Stack
pour ce qui est du nuage gouvernemental québécois, est-ce que l'équipe du MCN
utilise la console infonuage de Microsoft pour gérer l'environnement Azure
Stack au nuage gouvernemental?
M. Bélanger : Je vais laisser...
Bon, il est prêt. Vas-y.
Le Président (M. Simard) : Alors, M.
Goulet.
• (16 heures) •
M. Goulet
(Sylvain) :
Oui. Il
pourrait subsister des liens pour certaines fonctionnalités de... en lien avec
le nuage... oui, de la fonctionnalité en infonuagique d'Azure. Il
pourrait.
Mme
Setlakwe : Donc là, on a compris que les mises à jour sont
faites indépendamment de Microsoft ou c'est Microsoft qui les...
M. Goulet (Sylvain) :
Elles sont faites par
notre équipe d'entretien et d'évolution.
Mme Setlakwe : Et vous dites que...
M. Goulet
(Sylvain) :
En fait,
nuance importante, dans... Notre infrastructure, elle est indépendante du nuage
public. Donc, elle est sous contrôle
du MCN dans une infrastructure protégée. Donc, les correctifs, les déploiements
sont faits par les équipes à l'intérieur de cet écosystème-là.
Mme Setlakwe : Puis la console
infonuagique, vous dites que, oui, elle peut être utilisée, celle de Microsoft?
M. Goulet
(Sylvain) :
Notre
propre console de gestion, c'est une installation sur site, dans nos
infrastructures, sur nos serveurs
physiques, dans nos CTI, et c'est vrai pour les deux technologies qui sont dans
le nuage, et là je parle bien du NGQ, le nuage gouvernemental. O.K.?
Mme
Setlakwe : Merci. Oui, oui, on comprend ça, oui. Est-ce
que... Parlons de Teams. Teams, c'est ce qu'on utilise, et il semblerait qu'on
va l'utiliser de plus en plus dans nos bureaux de circonscription aussi. Est-ce
que c'est... À votre sens, M. le ministre c'est sécuritaire d'utiliser
Teams? C'est sécuritaire pour les ministères et organismes?
M.
Bélanger : La discussion est... Là-dessus, je vous dirais
que, pour l'instant, c'est sécuritaire, mais on se pose quand même la question
puis on discute avec nos collègues en France, qui, eux, se posent la question
aussi. Mais je vous dirais que changer de Teams vers une solution qui
serait plus souveraine, il y a toute une analyse de coûts à faire, puis Teams, c'est un exemple, mais tout ce qui
est... ce sont les solutions Microsoft, de décider de faire un changement
à ce niveau-là, ça représente des coûts énormes, des coûts de transition, des
coûts de formation qui sont significatifs.
Donc, la priorité, pour l'instant, est vraiment
de toucher au niveau des données, des données qui sont utilisées, des données sensibles. Par contre, on sait très bien... puis
on a entendu le cas de... que ce soient les... même au niveau de Signal, même
au niveau de d'autres applications, que ce soit WhatsApp, les e-mails, les visioconférences,
il y a des enjeux de sécurité qui doivent être définitivement considérés comme un
certain facteur de risque.
Mme Setlakwe : Mais quand on cherche
à ce que... Quand on demande aux ministères et organismes de migrer vers la
solution de téléphonie Microsoft, tu sais, quel est l'objectif? C'est d'avoir
une uniformité?
M. Bélanger : Bien, c'est d'avoir
une uniformité. C'est un outil de travail qui est utilisé par je ne sais pas
quel pourcentage de la population, mais c'est une certaine question
d'efficacité, et de changer, du jour au lendemain, de... nos outils de
bureautique, ça représente des coûts, des coûts significatifs. Ça fait que je
vous dirais que les entreprises, les GAFAM, ont certainement une préoccupation
de risque de perte de clientèle. Donc, il y a peut-être un jeu qui se passe, à
ce moment-ci, avec... au niveau du gouvernement américain, où les GAFAM doivent
réaliser qu'il y a peut-être une perte de
revenus, une perte de profitabilité, et il y a peut-être des pressions
politiques qui se font de façon à sécuriser leurs clients.
Donc, il y a un enjeu. Avant de changer du jour
au lendemain, il faut quand même analyser... Là, on a des discussions avec
Microsoft. Microsoft est très, très au courant des enjeux, et il y a une
discussion. Ils ont le devoir de nous présenter comment les sécurités...
comment les informations et les données sont sécurisées. On leur exige
justement de nous démontrer, de faire la démonstration. Ce n'est pas à nous
nécessairement de faire les analyses. C'est à eux de faire la démonstration.
Donc, il y a un principe de précaution qu'on va appliquer.
Mme
Setlakwe : Là, vous parlez de perte de revenus. Je ne pense pas que
Microsoft est inquiet de perdre des revenus avec le gouvernement du Québec en
ce moment.
M. Bélanger :
Ah bien!
Mme
Setlakwe : Vous semblez... Il y aurait de plus en plus de contrats qui
sont octroyés à Microsoft, puis on cherche à migrer de plus en plus vers leur
technologie.
M. Bélanger :
Je pense que ça peut déranger quand même Microsoft. Mais, de toute façon,
le Québec ne sera pas... ne serait pas le
premier, là, j'en... En anglais, je dis : «I prefer to be an early
follower», d'être... que d'être le premier à le faire. Ça fait qu'on
regarde ce que... On discute avec nos collègues au fédéral, on discute avec la
France, quelles sont justement leurs
positions, de façon à avoir une stratégie numérique qui est un peu plus commune
puis d'être capables de travailler avec des partenaires qui sont... où
on a un niveau de confiance élevé.
Mme Setlakwe :
Mais là, actuellement, ministères
et organismes, nos bureaux de circonscription, l'Assemblée nationale, on
utilise Teams. Est-ce qu'on pourrait faire l'objet d'une panne et être
paralysés comme ça s'est vu cette semaine chez SAAQclic?
M. Bélanger :
Vous parlez au niveau de Teams, Microsoft, tout ça?
Mme
Setlakwe : Oui, c'est nos outils de travail. On utilise ça tout le
temps.
M. Bélanger :
Tout à fait, mais il y en a, des
fois, des... À chaque semaine, il y a des mises à niveau, il y a des...
Le ministère fait un très bon travail, justement, au niveau de s'assurer
d'avoir une... d'avoir toujours une solution qui est fonctionnelle. Est-ce
qu'il y a un risque? On m'a déjà posé la question : Vous avez installé
Starlink sur 1 % des citoyens au Québec, avez-vous peur que Starlink coupe
le service Internet? La réponse, c'est oui, il y a un certain risque, mais ils
ne le font pas, et on a fourni ce service-là. Il y a, je vous dirais, il y a un
enjeu...
Mme
Setlakwe : ...Microsoft puis d'une panne qui n'est toujours pas
résolue. Puis là on utilise...
M. Bélanger :
Mais là vousparlez de bureautique, vous parlez de...
Mme
Setlakwe : On parle de Microsoft quand même.
M. Bélanger :
Vous parlez de Microsoft, oui, exactement, mais Microsoft fournit des
services à des millions et des millions, je
dirais, des milliards à travers la planète. Le Québec n'ira pas, demain,
enlever toutes les applications de
Microsoft quand d'autres... si on est les seuls à le faire. Donc, il y a des
discussions qui se font au niveau du Québec, mais au niveau de nos
collègues des autres provinces, au niveau de l'Europe, et il y a des stratégies
communes qui vont se développer en conséquence.
Mme Setlakwe :
Oui, mais nous, actuellement, on utilise cette technologie, on l'utilise de
plus en plus. Il y a deux questions qui se posent. Même dans nos bureaux de
comté, les messages que nous laissent nos citoyens, nos échanges entre
collègues, des échanges entre les ministres, des échanges entre les membres du
Conseil exécutif, et donc, est-ce que... Il
y a deux questions qui se posent. Est-ce que... Je comprends, là, l'hébergement
des données, où ces données-là, ces messages-là, ce contenu-là
transitent par les États-Unis. Ça, c'est une chose, puis on comprend que vous
regardez ça. Mais il y a toute la question aussi de : Est-ce qu'on est à
risque d'être paralysés?
M. Bélanger :
Il y a deux questions. La première question, c'est... avant de changer une
solution, il faut voir si la solution est sécuritaire. Puis les données sont
chiffrées, qu'elles soient en transit ou qu'elles soient au repos, ces
données-là sont chiffrées. Si vous me posez la question : Quel est le
potentiel de «downtime» de Microsoft versus une
solution qui pourrait remplacer une solution québécoise ou une solution
française qui pourrait remplacer Microsoft?, je ne serais pas en mesure de répondre que la solution potentielle de
remplacement serait supérieure à celle de Microsoft en termes
d'efficacité pour nos tâches.
Par contre, il y a
quelque chose que je regarde, c'est qu'au niveau des licences Microsoft, la
plupart des organismes signent des ententes, les ministères signent des
ententes avec Microsoft. Il y a un potentiel, justement, de, je dirais,
mutualisation, au niveau de ces accords-là, pour... de façon à réduire le coût
au niveau des licences.
Mme
Setlakwe : On dit, au bureau, que l'Assemblée nationale recommande à
nos bureaux d'utiliser cette plateforme
Teams pour, notamment, enregistrer les données de nos cas de comté depuis
qu'ils ont aboli Partage Web, un genre de bottin d'information. Vous
êtes d'accord avec ça? Vous êtes à l'aise avec ça?
M. Bélanger :
Je ne suis pas en mesure de
répondre. Je dirais, on l'a fait, mais est-ce que je suis à l'aise, je ne
suis pas en mesure de vous répondre aujourd'hui là-dessus.
Mme Setlakwe : Est-ce que... Donc,
ça fait partie de votre analyse qui est en cours?
M.
Bélanger : Oui, ça fait partie de l'analyse. La bureautique
fait partie aussi de l'analyse, mais ma préoccupation première est au
niveau des données. Je veux m'assurer que les données, qu'elles soient... si
elles sont au niveau des GAFAM, que ces données-là soient encryptées, qu'elles
soient non accessibles. Il y a tout l'aspect de la quantique qui se développe
rapidement. Avant de décider de changer tous nos outils au niveau des
applications, il y a peut-être des moyens
qui peuvent être utilisés de façon à sécuriser les données qui transitent ou les
données qui sont en repos ou stockées.
Mme Setlakwe : Merci. Le RGT, on est
rendu à combien dépensé dans ce dossier-là?
M.
Bélanger : Mon collègue attendait avec impatience de pouvoir
participer à l'étude des crédits. Donc, je vais lui passer la parole.
Dave, Dave Roussy.
• (16 h 10) •
Le Président (M. Simard) : M. le
sous-ministre.
M. Roussy (Dave) : Oui. Bien,
premièrement, le projet RGT, la mise en oeuvre s'est terminée le 31 mars. Donc, on avait quand même commencé la migration,
mais le projet lui-même est terminé, donc il n'affiche plus sur le tableau de bord gouvernemental. Le chiffre exact,
je pourrais vous revenir, on était à 40 quelques millions dépensés puis,
dans le fond, actuellement, on est dans la phase de migration...
44,2 millions.
Mme
Setlakwe : O.K. Initialement... Oui, je le vois. Moi, j'ai
devant moi... Il n'est peut-être plus sur le tableau de bord, mais il l'était. Celui-là était dans le
rouge, je pense... Ce que je vois, c'est que le coût autorisé était de
8,2 millions pour un coût estimé de 47 millions.
M. Roussy (Dave) : Oui, puis il y a
une explication que je peux vous donner très rapidement. Dans le fond,
premièrement, oui, le coût a été augmenté du projet, mais globalement, dans le projet
qui avait été autorisé par... au Conseil du trésor, on est quand même dans les
coûts. Ça a été vraiment de la manière que l'appel d'offres a été fait. Les coûts n'ont pas été répartis à travers les
années de contrat, ils ont été répartis plus au début, ce qui n'avait pas été
planifié par l'équipe. Et il y avait
aussi des changements associés à la pandémie. Donc, c'est quand même un projet
qui est depuis longtemps. Donc, au global, le projet est quand même en
dessous des... de ce qui avait été autorisé.
Mme Setlakwe : Au total, il est en
dessous de ce qui avait été autorisé?
M. Roussy (Dave) : L'autorisation du
Conseil du trésor était de 405 millions, qui incluait l'ensemble des
phases ainsi... donc, la préparation du dossier, le dossier de mise en oeuvre
et une partie de la migration, ainsi que cinq
années d'opération, pour un coût total autorisé à 405 millions. Et
l'ensemble actuel, avec le contrat, était à 357 millions environ.
Donc, oui, le projet, à cause des règles gouvernementales, ça a donné une
impression d'augmentation, parce que les infrastructures ont été acquises en
début de projet et facturées en début de projet et non à travers les années.
Mme Setlakwe : Et vous avez parlé
quelques fois, là, de la migration. Est-ce qu'elle est exclue de la portée du
projet ainsi que les coûts qui sont relatifs à la migration ou ça fait partie
du 405 millions?
M. Roussy (Dave) : Ça fait partie...
Les coûts, dans le fond, dans les règles de la LGGRI, tout ce qui est en mode projet est vraiment une partie. Pour la
suite, la migration, dans le fond, c'est les coûts du MCN, plus ce qui a été, effectivement,
prévu dans le contrat. Donc, c'est inclus dans le 405 millions,
effectivement, dans le 405 millions autorisé.
Mme Setlakwe : Donc, le MCN n'a pas
retiré la phase migration?
M. Roussy (Dave) : Non, ça a
toujours été prévu de migrer du RITM vers le RGT, suite à la mise en oeuvre des
infrastructures du Réseau gouvernemental de télécommunication, oui.
Mme Setlakwe : O.K. Donc, les coûts
relatifs à la migration font partie du 405 millions.
M. Roussy (Dave) : Exact.
Mme Setlakwe : Merci. Ça, on en a
parlé, Microsoft Entra. M. le ministre, ça vous dit quelque chose? C'est un
genre de bottin avec les informations sur les élus, leurs accès. Est-ce que
c'est hébergé ici ou aux États-Unis?
M. Bélanger : C'est une bonne
question. On va attendre la réponse, mais c'est probablement hébergé aux
États-Unis, oui.
Mme
Setlakwe : Est-ce c'est un service qui... O.K., on va
attendre. On va attendre. C'est vous qui avez hérité, donc, de... bien, du
ministère et de ses... des projets qui ont été identifiés comme étant
prioritaires à réaliser. Là, est-ce qu'on
doit comprendre que les projets qui étaient désignés d'intérêt gouvernemental,
il n'y en a plus, de ces nouvelles... il en existe encore, mais il n'y a
pas de nouvelle désignation?
M.
Bélanger : Effectivement. Et puis c'est hébergé aux États-Unis, j'ai
eu la confirmation.
Mme
Setlakwe : C'est hébergé aux États-Unis. Qu'est-ce que ça implique
exactement?
M. Bélanger :
Que ça soit hébergé aux États-Unis?
Mme
Setlakwe : Non. Qu'est-ce que... Bien, qu'est-ce qui est...
Exactement, qu'est-ce que ça implique? Qu'est-ce que... Quelles sont les
informations, le contenu de tout ça, qui est hébergé aux États-Unis? C'est quoi
exactement?
M. Bélanger :
Pour moi, que ce soit hébergé aux
États-Unis ou que ce soit hébergé ici, mais par une entreprise américaine,
ça prête flanc au même risque au niveau de protection des informations. Tout
dépend de la donnée, de l'information qui est entreposée et quel est le
niveau de sensibilité.
Mme
Setlakwe : Est-ce que ça permet de vérifier l'identité des
utilisateurs et des ordinateurs lors de la connexion à un réseau?
M. Bélanger :
Excusez...
Mme Setlakwe :
Vous n'avez pas l'air de... Non, mais expliquez-nous qu'est-ce que ça
implique, qu'est-ce que c'est, ce bottin.
M. Bélanger :
Je vais passer à Yvan. Yvan.
Le Président (M.
Simard) : Alors, je crois comprendre qu'un de vos fonctionnaires
vient... se joint à nous à la table. Alors, monsieur...
Mme
Setlakwe : C'est un service qui repose, ce qu'on comprend, sur
l'infrastructure infonuagique de Microsoft, mais il faut en comprendre les
implications. Il faut qu'on comprenne quelles sont ces données, ces
informations-là.
Le Président (M.
Simard) : ...
M. Fournier (Yvan) : Oui. Alors, initialement, je vais vous donner un petit exemple de
comment ça fonctionne au quotidien dans le gouvernement du Québec.
Lorsque vous allumez votre ordinateur et vous identifiez votre code d'usager, mot de passe, vous pouvez aussi utiliser
une TRID ou votre code d'usager, mot de passe, ça passe directement sur
les environnements locaux qu'on appelle Active Directory. Une TRID, ce que
c'est, c'est une manière d'être capable d'identifier ton service infonuagique.
Et le pourquoi c'est hébergé aux États-Unis, c'est... Je vous donne mon
exemple, Yvan.Fournier@mcn.gouv.qc.ca, quand je vais dans l'infonuagique pour
Teams, ça monte aux États-Unis dans leur environnement, parce que c'est attaché
avec plusieurs services de protection, on appelle ça la protection de
l'identité.
Donc, je vous donne
un exemple. Si quelqu'un tente de voler l'identité d'Yvan Fournier ou
s'identifie à différents éléments, tous les services de Microsoft qui
surveillent mon identité sont basés aux États-Unis, donc, ça va venir valider si c'est bien moi, et ça retombe
dans les CTI Microsoft au Canada pour, après ça, me donner les services locaux, comme, par exemple, Teams, il est
complètement locaux, ici. C'est chez Microsoft, mais c'est dans les CTI de
Microsoft au Québec et au Canada. Donc...
Le Président (M.
Simard) : Très bien.
M. Fournier
(Yvan) : Est-ce que c'est clair?
Mme Setlakwe :
Merci. Oui, mais je vous
remercie. Mais pourquoi... Ça me semble sensible. Pourquoi on ne garde
pas ça chez nous, 100 %, disons, dans le NGQ?
M. Fournier
(Yvan) : Ah! ce serait impossible. Ce serait impossible, parce que
c'est attaché à des services, excusez l'anglicisme, ce qu'on appelle
«embedded». Ce sont des services qui sont attachés ensemble chez Microsoft. Il
y en a trois dans le monde, en Asie, en Europe et en Amérique, qui gèrent les
TRID.
Alors, j'arrive du
fédéral, on a travaillé, la semaine passée, avec les provinces, et on a demandé
si c'était un enjeu, pour les autres
provinces, qu'un TRID soit identifié aux États-Unis. Et, pour toutes les autres
provinces, tout le monde a dit que ce
n'était pas un enjeu, parce que c'est juste... ça traverse l'identifiant et ça
ramène pour les services qui sont hébergés au Canada.
Le Président (M.
Simard) : Merci. Mme la députée.
Mme Setlakwe : Merci.
Quels sont, parmi les projets qui ont été identifiés comme étant les projets
prioritaires, quels sont ceux sur lesquels vous vous penchez plus
particulièrement? Est-ce que vous avez pris connaissance de l'ensemble de ces projets-là? Il y en a plusieurs,
puis ils se déclinent. Il y a des programmes qui se déclinent en projet, il y en a 33. Est-ce que, de façon
générale, vous êtes satisfaits de l'état d'avancement? Est-ce qu'il y en a
certains qui connaissent des réussites, d'autres, des échecs? Quel est votre
diagnostic initial après 65 jours en fonction?
Le Président (M.
Simard) : 45 secondes.
M. Bélanger :
Bien, sur les... Je vous dirais que les projets qui sont en rouge, sans avoir
tranché le melon, c'est mes projets prioritaires numéro un. Par la suite, ceux
où je pousse l'analyse un peu plus loin, puis ils devraient être rouges, mais,
à ce moment-là, ils deviennent prioritaires aussi. Donc, il y a
209 projets qui sont en exécution. Le focus, c'est sur ces projets-là. Il
y a peut-être trois, quatre projets, en particulier, qui ont une priorité, une
priorité très élevée où il y a des actions qui sont en cours.
Mme
Setlakwe : Est-ce qu'on peut savoir c'est lesquels?
M. Bélanger :
Pour le moment, non, parce que j'attends d'avoir les conclusions de
certaines des analyses.
Le Président (M.
Simard) : Très bien.
M. Bélanger :
Je pourrai... Ça deviendra public, le cas échéant.
Le Président (M.
Simard) : Merci. Merci beaucoup. Je cède maintenant la parole à la
députée de Fabre.
Mme Abou-Khalil : Merci, M. le Président.
Moi, je ne prendrai pas le restant des neuf minutes ou huit minutes. Moi, je
veux juste vous dire que, pour moi, tu sais, pour moi, c'est important d'être
assise ici, parce que l'étude des crédits,
c'est un pilier de la démocratie financière. Elle permet de s'assurer que
chaque dollar public qui est utilisé est utilisé d'une manière
judicieuse dans l'intérêt, évidemment, de la collectivité. Alors, pour cela, je
remercie tout le monde d'être là pour faire cette étude-là et j'aimerais passer
la parole au ministre pour la clôture de ce soir.
• (16 h 20) •
M. Bélanger :
M. le Président, il reste quoi, neuf minutes?
Le Président (M.
Simard) : Un peu moins.
M. Bélanger :
Bon, je ne prendrai pas beaucoup de temps, là. Je veux remercier quand même
la... bon, il reste la collègue de Mont-Royal—Outremont que j'estime, j'estime beaucoup, puis je sais qu'on va travailler
ensemble sur le projet de loi n° 82. C'est quand même fascinant. Moi, je
veux remercier les membres de... parce que j'ai hérité d'un ministère
qui est quand même... je trouve, c'est un beau legs. Il y a une belle équipe,
il y a énormément de potentiel. Il y a
beaucoup à faire. Ça fait que c'est... Des fois, tu peux hériter d'un projet,
manquer de défis, mais là je vous dirais qu'il y a beaucoup de défis.
Et
puis je salue le travail collaboratif. Je vous offre même les sept dernières
minutes, si vous voulez avoir d'autres questions, sinon, dans mon cas,
j'ai terminé. Et puis je tiens à remercier tous les membres de l'équipe. Je le
redis encore, à chaque jour, je les découvre, puis ils ont une expertise
vraiment pertinente. Merci.
Le Président (M.
Simard) : Très bien. Merci à vous, M. le ministre.
Adoption des crédits
Conséquemment, le
temps alloué à l'étude des crédits budgétaires du portefeuille Cybersécurité,
Numérique étant presque écoulé, nous allons maintenant procéder à la mise aux
voix des crédits suivants.
Le programme 1,
intitulé Directions et administration, est-il adopté?
Des voix : Adopté.
Des voix : Sur
division.
Le Président (M.
Simard) : Adopté sur division. Je vous ai laissé une chance, là. Le
programme 2, intitulé Gestion des ressources informationnelles
spécifiques, est-il adopté?
Des voix : Adopté.
Des voix : Sur
division.
Le Président (M. Simard) : Adopté
sur division. Le programme 3, intitulé Internet haute vitesse et projets
spéciaux de connectivité, est-il adopté?
Des voix : Adopté.
Des voix : Sur division.
Le Président (M. Simard) : Adopté
sur division.
Finalement, l'ensemble des crédits budgétaires
du portefeuille Cybersécurité et Numérique, pour l'exercice financier 2025‑2026,
est-il adopté?
Des voix : Adopté.
Des voix : Sur division.
Le Président (M. Simard) : Adopté
sur division.
Documents déposés
En terminant, je dépose les réponses aux demandes
de renseignements de l'opposition.
Et, chers
collègues, comme notre commission a accompli son mandat, j'ajourne nos travaux.
Belle fin de semaine.
(Fin de la séance à 16 h 22)