Journal des débats (Hansard) of the Committee on Public Finance

(Onze heures vingt-six minutes)

Le Président (M. Simard) : Alors, bonjour à tous! J'espère que vous allez bien. Je constate que nous avons le quorum. Conséquemment, la Commission des finances publiques peut poursuivre ses travaux, qu'elle a terminés très tard hier soir, soit dit en passant. La commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 82 Loi concernant l'identité numérique nationale et modifiant d'autres dispositions. M. le secrétaire, bonjour. Y a-t-il des remplacements ce matin?

Le Secrétaire : Oui, M. le Président. M. Lemay (Masson) est remplacé par M. Émond (Richelieu); M. Thouin (Rousseau), par M. Girard (Lac-Saint-Jean); M. Beauchemin (Marguerite-Bourgeoys), par Mme Setlakwe (Mont-Royal—Outremont); M. Morin (Acadie), par Mme Caron (La Pinière); et Mme Zaga Mendez (Verdun), par M. Bouazzi (Maurice-Richard).

Le Président (M. Simard) : Alors, bienvenue aux nouveaux collègues qui sont choyés de siéger avec nous ce matin. Ceci étant dit, faisons un petit récapitulatif des choses. Au moment de terminer nos travaux sur le projet de loi n° 82, nous en étions, bien sûr, rendus à l'étude de l'article 6, qui lui-même comporte un sous-article 10.9 sur lequel nous étions en train de travailler. Et notre collègue le député de Maurice-Richard avait à cet égard déposé un amendement qui est devant nous à l'écran et qui, bien sûr, se retrouve sur Greffier. Alors, cher collègue, histoire de nous remettre dans le bain, auriez-vous, s'il vous plaît, l'amabilité de casser la glace et de nous... de nous resituer le contexte dans lequel nous étions?

M. Bouazzi : Avec grand plaisir, M. le Président. Combien il me restait de temps, par curiosité?

Le Président (M. Simard) : Bien, je le saurai dans quelques instants.

M. Bouazzi : C'est bon.

Le Président (M. Simard) : On est en train de faire un calcul très, très, très scientifique.

M. Bouazzi : C'est bon. Donc, oui, effectivement, pour remettre les gens qui nous écoutent et nous-mêmes...

Une voix : ...

M. Bouazzi : 17 minutes. Bon. Magnifique! Dans le contexte, on parle ici des données biométriques des Québécoises et Québécois et des conditions qui feraient en sorte que le gouvernement puisse les accumuler dans une base de données. Je rappelle qu'il n'y a aucun moyen sécuritaire à 100 %. Évidemment, on espère que les données des Québécoises et des Québécois ne se font pas voler et se retrouvent dans le «dark Web», sachant qu'il y a plusieurs problèmes. Bon, d'abord, évidemment, il y a la question d'où est-ce qu'on les stocke. On en a beaucoup parlé et quand on les stocke sur des nuages qui appartiennent à des compagnies basées ailleurs, y compris aux États-Unis, par exemple, les législations américaines s'appliquent sur ces données-là, même si elles sont hébergées au Québec. Et ça, ça donne le droit, sous certaines conditions, au gouvernement, d'avoir accès aux données personnelles qui sont stockées sur ces serveurs, sachant que, dans une stratégie de sécurité, il y a bien sûr la sécurisation, mais il y a aussi...

M. Bouazzi : …détecter qu'elles ont été volées, c'est quelque chose de vraiment compliqué. Et enfin, il y a la contingence, c'est-à-dire comment on fait pour régler les problèmes une fois qu'ils sont partis. Or, les données biométriques ont cette caractéristique très particulière, c'est qu'elles ne changent jamais et qu'elles sont des caractéristiques intrinsèques aux citoyens, si on parle de la rétine, si on parle des empreintes digitales ou de toute autre donnée biométrique, évidemment l'ADN, etc. Et donc elles doivent être utilisées avec énormément de parcimonie.

• (11 h 30) •

Et même en imaginant qu'elles puissent être pratiques, elles ne doivent être utilisées à nos yeux que si elles sont essentielles au fonctionnement de l'identité numérique québécoise. Jusqu'à présent, il ne nous a pas été fait la démonstration qu'elles étaient obligatoires, il y a des systèmes numériques dans le monde qui fonctionnent sans ces données biométriques, évidemment. Même à ma connaissance, c'est… toutes celles dont on a parlé en commission parlementaire.

Et donc ce qu'on dit tout simplement, c'est le gouvernement a décidé d'opérer par décret dans son droit ou pas à accumuler ces données-là, après une consultation qui est quelque chose qu'on salue, mais on dit qu'il faudrait que dans ce droit qu'il se donne par décret, qui n'est pas un petit droit, encore une fois… il faudrait qu'il y ait des balises. Et une des balises qu'on apporte, c'est qu'il faut qu'il y ait la démonstration que ces données biométriques sont absolument nécessaires au fonctionnement de l'identité numérique pour qu'un ministre puisse de son propre pouvoir décider d'accumuler ces données terriblement précieuses des Québécoises et Québécois dans une base de données. Donc, on est très heureux de déposer sur cet amendement et on espère vraiment que le gouvernement va l'adopter et que nos collègues aussi d'ailleurs. Merci.

Le Président (M. Simard) : Merci à vous, Très cher collègue. M. le ministre, Souhaitez-vous…

M. Bélanger : Je vais être bref. On avait convenu que, suite aux consultations, si les données biométriques allaient être utilisées, c'est des données qui sont sensibles, qui vont être dans nos infrastructures, au niveau du nuage gouvernemental. Puis il y a quand même des règles. Il y a une loi sur l'accès aux documents, il y a trois… trois étapes importantes, production d'une évaluation des facteurs relatifs à la vie privée, établissement de la nécessité de recueillir des renseignements biométriques avec le consentement du citoyen, puis la transmission d'un rapport à la Commission d'accès à l'information. Donc, c'est quand même trois éléments qui, en plus de la consultation qu'on prévoit faire… Et puis, comme je vous disais un petit peu, plus tôt dans l'éventualité où il y aurait des données biométriques, que ce soient photos, ou autres, ces données-là sont considérées comme étant sensibles et vont être stockées dans le nuage gouvernemental, dans nos infrastructures.

M. Bouazzi : Donc, est-ce que je dois comprendre que le ministre n'aura pas à se dire : est-ce qu'il est essentiel de les… de les accumuler ou… Et donc il est possible que vous preniez la décision, après consultation avec toutes sortes de gens, qu'elle… vous faciliterez le vie, mais qu'elle ne serait pas essentielle... que vous les accumuliez?

M. Bélanger : À 10.6, je reviens sur 10.6, on l'avait prévu. Je vais quand même le lire : «Le ministre agit d'office comme source officielle de données numériques gouvernementales aux fins prévues au présent chapitre. Dans l'exercice de cette fonction, le ministre recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements incluant des renseignements personnels lorsque cela est nécessaire.»

M. Bouazzi : Oui, alors ma question… parce qu'ici on parle de nécessaire au fonctionnement de l'identité numérique. Moi, j'ai été dans plein de projets, M. le ministre, où il y a des données qui nous facilitent la vie, mais qui ne sont pas nécessaires au fonctionnement d'une application. Donc, il est tout à fait plausible qu'il soit nécessaire, pour avoir une application plus fluide, de ramasser des photos des rétines, des yeux, mais qu'il n'est pas nécessaire au fonctionnement. Et c'est là que cet amendement apporte une clarification sur ce qu'on veut dire par nécessaire, là il y a toutes sortes de choses qui peuvent être nécessaires à bien des affaires, mais pas jusqu'au fonctionnement de l'identité numérique…

M. Bélanger : ...C'est au citoyen de décider, ça prend le consentement du citoyen. Si le citoyen juge que ça lui facilite la vie et que c'est nécessaire pour lui, il va donner son consentement. Il a toujours la liberté de décider. Si on convient, suite à des consultations, que certaines données biométriques pourraient être utiles, ça prend toujours le consentement du citoyen, puis je peux revenir aux articles... aux articles précédents. Donc, je crois que la consultation qui va avoir lieu va permettre d'identifier peut-être la validité ou la nécessité de certaines données, qu'elles soient biométriques ou d'autres. Ça va être un exercice qui va être pertinent et intéressant.

Le Président (M. Simard) : ...par souci d'équité, chers collègues, je vais céder la parole à la députée de La Pinière.

Mme Caron : Merci, M. le Président. Alors, bonjour, tout le monde, heureuse de vous retrouver sur le projet de loi n° 82. Alors, sur la question de la biométrie, M. le ministre disait, effectivement : Les données sont des données sensibles, donc seraient classées ou stockées selon des données sensibles. Donc, ça, c'est... c'est positif. On sait aussi qu'il y aura une consultation parce que le bloc III du projet d'identité numérique nationale a été mis sur la glace, pour l'instant, pour pouvoir faire la consultation sur les données biométriques. On parle d'une citation citoyenne publique, avec des groupes, qui serait peut-être itinérante, en ligne. Bon, les... je pense que les... peut-être... Je vois un non, alors peut-être que j'ai mal pris les notes, ou c'étaient des souhaits que j'avais notés, et on n'y acquiescera pas.

Mais le hic, dans tout ça, c'est que les données biométriques... c'est-à-dire que cette consultation sur les données biométriques serait faite après l'adoption du projet de loi n° 82, qu'on est en train d'étudier. Donc, c'est un petit peu comme mettre la charrue avant les bœufs. On se donne le droit d'utiliser les données numériques avant même de consulter la population, avant même de s'assurer qu'il y a une acceptabilité sociale. Et je comprends le message du ministre, qui dit : Les citoyens n'auront... ne seront pas obligés de donner leurs données biométriques. Mais, souvent, quand quelque chose est plus facile, bien, on le fait, parce que c'est plus facile, ça va plus vite. On ne le fait pas nécessairement en étant conscients des risques qui sont associés à donner les données biométriques, donc.

Et, pendant les consultations, on a un groupe qui est... qui sont venus nous dire : On devrait retirer du projet de loi tous les éléments qui portent sur la biométrie. Et je pense que ce serait sage de le faire, parce que, si je regarde les... le document de la Commission d'accès à l'information du Québec, le document qui s'intitule Biométrie : principes à respecter et obligations légales des organisations... c'est un guide d'accompagnement pour les organismes publics et les entreprises... est-ce que le ministère de la Cybersécurité et du Numérique y sera soumis également? C'est une question que j'ai. Est-ce que ces principes-là devront être respectés par le ministère de la Cybersécurité et Numérique? Je l'espère. Et on dit bien, dans ce document, qu'on ne doit recueillir que les renseignements nécessaires.

Alors, si on adopte le projet de loi n° 82 avec les éléments... divers éléments sur la biométrie avant de faire la consultation, avant de s'être posé les questions que la Commission d'accès à l'information nous invite à nous poser, et qu'on détermine à la fin, que, bien, finalement, oui, ça pourrait être bien d'avoir des données biométriques, mais ce n'est pas... ce n'est pas nécessaire, donc, ça vient à l'encontre d'un principe de nécessité des données pour les utiliser, les stocker. Et qu'est-ce qu'on va faire? Est-ce qu'on va revenir sur le projet de loi n° 88 en faisant un autre projet de loi pour l'amender, pour retirer les éléments biométriques parce que, finalement, ils ne sont pas absolument nécessaires? Alors, c'est... ce sont les interrogations que... et les préoccupations que j'ai. Et je me fais la porte-parole de groupes qui sont venus en commission parlementaire, parce que c'est... en... oui, pour les consultations, parce que c'est... c'est vraiment les données parmi les plus sensibles qui soient, les données biométriques.

M. Bélanger : Mais il y a un processus réglementaire à suivre, puis je pourrais laisser ma collègue le rajouter, mais c'est un processus rigoureux et réglementaire. S'il y a consentement.

Le Président (M. Simard) : Alors, il y a consentement?

Des voix : Consentement.

Le Président (M. Simard) : Me Bacon.

Mme Bacon (Nathalie) : Oui, bonjour. Nathalie Bacon, Direction des affaires juridiques pour le ministère de la Cybersécurité et du Numérique. J'aimerais vous préciser que...

Mme Bacon (Nathalie) : ...le document auquel vous avez fait référence, c'est un guide qui a été élaboré par la commission d'accès, si je comprends bien. Alors, la loi sur l'accès s'applique dans le cadre de l'identité numérique. Alors, tous les principes, que ce soient des dispositions législatives, réglementaires ou des guides comme vous avez là, ça s'applique, donc ça doit être respecté par le ministère.

D'une part, les renseignements biométriques, avant d'être collectés ou de penser les collecter, le ministre a dit qu'il y aurait une consultation. Nous avons fait un amendement, la dernière fois, l'article, je pense, 43.1, qui a été adopté ici, par vous, les parlementaires. D'une part.

• (11 h 40) •

Et, d'autre part, on a... nous sommes actuellement à l'étude de l'article 10.9 qui prévoit que c'est par règlement. Et, vous le savez, par règlement, il y a un processus, avec toute la période de consultation citoyenne, qui est 45 jours, pour donner ses observations. Et ensuite il y a l'application. Vous avez, sur le site Internet de la Commission d'accès à l'information, qu'est-ce qu'on... qu'est-ce qu'on entend. Le ministre, tantôt, vous a cité la fin de l'article 10.6 qui dit «lorsque cela est nécessaire», donc on ne peut pas avoir des renseignements biométriques ou autres lorsque ce n'est pas nécessaire. Cela veut dire qu'on doit appliquer le critère de nécessité. Il est amplement détaillé sur le site Internet de la Commission d'accès à l'information. Je ne sais pas si vous avez accès, là. Mais, ce qu'on dit ici, c'est que... Voilà, c'est... c'est exactement ça : alors, la situation doit être identifiée, on doit... on doit évaluer pourquoi on le recueille, on doit évidemment faire notre évaluation de facteur à la vie privée. Et on ne peut pas collecter seulement pour collecter. Et, même en collectant ce qui est nécessaire, le citoyen peut ne pas donner son consentement. Et, si le citoyen constate qu'il n'est pas d'accord avec la collecte qui est faite, il peut faire une plainte à la Commission d'accès à l'information. Alors, tout le régime juridique de la protection des renseignements personnels, y compris des renseignements biométriques, s'applique.

Mme Caron : Alors, merci pour cette réponse-là. Je vais dire ce que j'ai... ce que j'ai déjà dit dans les séances précédentes. Ce n'est pas une consultation publique, le 45 jours après publication d'un règlement, là. Ce n'est pas... Le règlement est publié, les gens ont 45 jours pour le voir, mais ça ne s'appelle pas une consultation publique. Une consultation publique, c'est... c'est proactif, les deux côtés se parlent, là. Ce n'est pas... Ce n'est pas simplement la publication d'un règlement. Je comprends que ça fait partie du processus réglementaire, puis qu'il faut... il faut le faire, puis c'est... c'est nécessaire de le faire, mais ce n'est pas ça, une consultation publique.

Alors, ça m'amène... parce que ça fait plusieurs fois qu'on nous dit que c'est une consultation publique, ce délai-là, ça m'amène à me poser la question : Est-ce que... lorsque M. le ministre nous disait qu'il allait y avoir une consultation publique après l'adoption du projet de loi n° 82, est-ce que c'est une vraie consultation publique ou bien s'il fait référence aux 45 jours d'affichage du règlement qui serait adopté après le... après l'adoption de la loi?

M. Bélanger : Il y a... Il y a eu un amendement. Je ne sais pas si on... bien, on s'en rappelle tous, là, on avait... on avait débattu pas mal d'heures là-dessus, sur ma parole. Et puis on a convenu d'un amendement. On l'a écrit. Mais je pense que j'ai été quand même clair. Dans 42.1, là, «aux fins de l'élaboration du premier règlement pris en application au paragraphe trois de l'article 10.9 de la Loi sur le ministère de la Cybersécurité et du Numérique (chapitre M-17.1.1) édicté par l'article six de la présente loi, le ministre consulte la population par tous les moyens qu'il juge appropriés», utiliser les règles de l'art, tout ça. Puis on est arrivés avec un amendement. Puis on avait... on avait convenu que c'était satisfaisant. Je ne le prenais pas personnel au début parce que... parce que c'est une question de ma parole. Mais on a convenu de le mettre par écrit. Ça fait que je pense qu'on était quand même tous d'accord que ça allait se faire dans les règles de l'art, selon un type de consultation qui serait... qui serait précis.

Mme Caron : D'accord. Donc, M. le Président, alors merci. Effectivement, donc, tout à l'heure, quand je faisais référence à cette consultation publique, et je relisais mes notes, c'est parce qu'à un moment donné, je vous ai vu faire non, alors j'ai cru que j'avais mal pris les notes ou que c'étaient mes souhaits et non ce qu'on avait adopté. Mais vous me le confirmez, que c'est effectivement ce genre de consultation là. Mais est-ce que vous confirmez aussi que c'est effectivement une consultation en soi? Ce n'est pas les 45 jours de publication d'un règlement, là...

M. Bélanger : ...Non, non. C'est parce que je hochais la tête parce que vous étiez dans le descriptif de la consultation et ce n'était pas ce qui était écrit dans l'amendement. Donc, je hochais de la tête pour dire : Il y allait avoir une consultation, mais pas tous les niveaux de détail que vous étiez après décrire. C'était juste ça. Ça ne veut pas dire que ce ne serait pas ça. Mais on ne l'a pas détaillé. Au moment opportun, on... ça va être fait dans les règles de l'art puis ça va être une bonne consultation.

Mme Caron : D'accord. Merci, M. le ministre.

Le Président (M. Simard) : Alors, M. le député de Maurice-Richard. Merci pour votre collaboration.

M. Bouazzi : Donc, pour revenir à la définition de «nécessaire», moi, j'entends deux choses, hein? Quand je pose la question : Est-ce que les données vont être nécessaires, j'entends le ministre pour me dire : Oui, mais il va y avoir du consentement. Moi, ce que j'entends, quand il va y avoir du consentement, ça veut dire il se peut que ce ne soit pas nécessaire, étant donné que ça peut fonctionner sans le consentement, et donc sans les données en question. Ça fait que ça ne me rassure pas comme réponse.

Je ne comprends pas honnêtement cet entêtement de vouloir absolument pouvoir ramasser les données biométriques sur les citoyens si ce n'est pas nécessaire au fonctionnement de l'application de l'identité numérique des Québécois.

M. Bélanger : Une question de consentement.

Le Président (M. Simard) : Alors, il y a toujours consentement. Je vous en prie. Bien sûr.

Mme Bacon (Nathalie) : M. le Président, je vais essayer de vous donner des éléments additionnels de réponses.

Toujours sur le fameux site Internet de la CAI, qui décrit c'est quoi, la nécessité, eux, ils disent, je vais vous lire : «La nécessité va au-delà de la simple utilité. Alors, elle s'évalue par rapport à la finalité de la collecte et à sa propre personnalité.» Ce qu'on veut voir, c'est, on va se poser des questions. Un, est-ce que l'objectif poursuivi est légitime, important et réel, donc ce n'est pas frivole, deux, on va se poser la question est-ce qu'il y a atteinte à la vie privée et proportionnelle à l'objectif légitime, important et réel. Et, si on répond oui dans les deux cas, bien, à ce moment-là, la collecte va être possible. Et, comme je vous disais tantôt, s'il y a une collecte, même avec consentement, si le citoyen se sent lésé dans son droit à la vie privée, il y a possibilité de plainte.

Le Président (M. Simard) : Très bien. Merci, cher maître. M. le député.

M. Bouazzi : Bien, je vais me... je vais m'arrêter là. Mais, quand même, je trouve ça vraiment spécial. Parce que... Je prends... je prends un exemple concret, là. Si on prend le téléphone, là, que l'assemblée nous passe, sur les iPhones, il y a la forme du visage. Et puis, dans mes souvenirs, il y avait plusieurs dizaines de points de données pour pouvoir reconstruire les données biométriques associées à un visage, pour s'assurer que c'est nous qui ouvrons nos téléphones. Avant ça, on avait un code. Bon. Le code, là, on peut le changer, mais la forme du visage, on ne peut pas. Il est évident qu'on peut se dire... et d'après moi, ça tombe sous votre... à moins que vous me dites le contraire, sous votre définition, de dire : Oui, mais c'est vraiment plus pratique de juste montrer son visage pour débloquer son téléphone plutôt que mettre un code. Bon. Puis on peut même faire toute une conversation pour dire : C'est peut-être même plus sécuritaire, parce que tu peux donner ton code à quelqu'un d'autre ou te le faire voler plus difficilement que ton visage. Ça fait que ça tomberait sous ces choses-là.

Le problème que j'ai derrière ça, c'est qu'on se retrouve avec un État qui va ramasser des millions, disons, de formes de visage par exemple, qui seraient... donc qui faciliteraient l'utilisation de l'application, mais qui ne seraient pas vraiment nécessaires. Et je rappelle que, si on se fait voler des codes, on peut bien tous recevoir un courriel pour dire : Changez tous vos codes... Et malheureusement, ça vous est probablement arrivé, ça arrive à tout le monde, y compris sur des grosses plateformes dont on ne peut pas remettre la qualité de la technologie, là... et malheureusement, avec des ingénieurs qui sont bien meilleurs et bien plus nombreux que ceux qu'il y a dans votre ministère, M. le ministre. Quand on pense au vol qu'il y a eu à LinkedIn, quand on pense le vol qu'il y a eu à Yahoo!, quand on pense toutes sortes de vols de données personnelles qui ont eu lieu dans des grosses compagnies, là, et là, on se dit : Oui. Et là on va accumuler des données qui, elles, ne changeront jamais. C'est-à-dire que, si on se les fait voler, on ne peut pas changer la forme du visage, là. C'est... C'est comme... Ce n'est pas à prendre à la légère. Et puis, même s'il y a une grosse proportion de la population qui se dit : Bien, moi, j'ai... bien, un, l'habitude de le faire avec mon iPhone, c'est correct de le faire avec le gouvernement, je veux dire, ils ne savent pas toutes les conséquences techniques. Même Apple, là, il ne veut pas avoir la copie de nos visages parce qu'il ne veut pas avoir à gérer la sécurité qu'il y a derrière. Il le garde dans le téléphone. À chaque nouveau téléphone, on est obligé de refaire la même chose parce que ça reste juste ici...

M. Bouazzi : …c'est ça qui arrive. Ce n'est pas dans une base de données centralisée, ça n'existe pas. C'est totalement décentralisé et ça part avec le téléphone. Ça fait que… ça fait que… parce qu'ils n'ont pas demandé aux autres utilisateurs de Apple s'ils veulent une base de données centralisée ou pas, l'utilisateur, il ne comprendra pas les enjeux qui peuvent arriver plus tard. Ça fait que c'est un vrai problème, là. Et puis les conséquences de ce que vous apportez, ça ne sera pas décentralisé sur des applications mobiles, on ne produit pas d'applications mobiles, ça sera centralisé quelque part. C'est ça qui va arriver, là.

• (11 h 50) •

Et donc les chances de se les faire voler ne sont pas nulles. Et les chances ensuite qu'il y ait des gouvernements… avec toutes les dérives fascistes malheureusement qu'on voit à travers le monde dans l'avenir, une fois que cette base de données sera là dans l'avenir, un gouvernement qui se dit : ah bien, ça tombe bien, j'ai déjà toutes les données biométriques, je vais pouvoir les utiliser à mauvais escient. Je vais changer la loi. Elles seront déjà accumulées. Bien, elles ne sont pas impossibles non plus, qu'il est de notre devoir de législateur de se dire : Bien, comment on peut empêcher ce genre de dérives futures? Et la meilleure manière d'y arriver, c'est de ne pas accumuler ces données, qui, encore une fois, ne changent plus jamais. Donc, si elles sont volées ou si un gouvernement décide de les utiliser à mauvais escient, c'est trop tard, une fois qu'elles sont accumulées.

Donc, ce qu'on dit, c'est peut-être… nous, on n'est pas contre l'identité numérique, on pense franchement que pour les gens qui sont à l'aise en technologie, il faut absolument leur fournir quelque chose qui leur permette d'aller vite, d'aller mieux et puis d'apporter un peu de l'huile dans les rouages de tous les services que le gouvernement apporte. On est 100 % d'accord avec ça. En parallèle, on pense qu'il faut que les gens qui ne sont pas à l'aise avec ça soient capables de parler à des êtres humains, là, mais ce n'est pas la conversation dont on parle aujourd'hui.

Maintenant, ce n'est pas parce qu'on est à l'aise avec ça qu'on pense que c'est juste ouvert à des trips technologiques qui peuvent avoir des conséquences très graves, là. Donc, ce qu'on dit, c'est simple, c'est que si l'application ne peut pas fonctionner, si vous prouvez que malheureusement, pour avoir une identité numérique réellement sécuritaire, on n'a pas le choix que d'accumuler des données biométriques, à ce moment-là, appliquez, donnez-vous ce droit-là, mais ne vous donnez pas à vous ou à tous les prochains ministres du Québec, du Numérique et de la Cybersécurité, le droit de se dire : Bien là, moi, j'ai assez… J'ai assez consulté. Il y a des citoyens qui me disent à quel point c'est super de donner leurs données biométriques, donc je vais les accumuler. C'est dangereux, là, on ouvre une porte qui est dangereuse. La vérité, M. le ministre.

Ça fait que je comprends, je veux dire, la question du consentement, évidemment, est très insuffisante, voire même hors sujet, là, vraiment, par rapport à ce qu'on parle. Puis je comprends les arguments, qui ne sont pas rien, qu'on retrouve sur les questions de l'utilité des données… ce n'est pas rien. Loin de moi l'idée de dire que ce n'est rien, mais ce n'est quand même pas assez, ce n'est quand même pas assez. Et ça, ça baliserait. Ça ne vous enlève rien si vous êtes capables de prouver que c'est essentiel au fonctionnement de l'application. Donc, je vais m'arrêter là, honnêtement, parce que je pense qu'on a fait le tour des arguments, mais évidemment, je n'ai pas été convaincu par ce que j'ai entendu, comme je vous l'ai mentionné.

Le Président (M. Simard) : Très bien. M. le ministre.

M. Bélanger : Mais je veux… je veux quand même être bref. Mais ce n'est pas le processus de consultation qu'on fait aujourd'hui, là, il y a un processus de consultation, puis on ne s'appelle pas Apple. Ça fait que je ne veux pas comparer qu'est-ce que Apple fait puis qu'est-ce que le gouvernement va faire. Mais il va y avoir un processus de consultation dans l'éventualité où il y aurait des données biométriques. Il y en a déjà, des données biométriques, hein, la SAQ, il y a… les photos sont là. Je vous confirme que ces données-là vont être entreposées dans des infrastructures du gouvernement et un nuage gouvernemental, c'est des données sensibles. Ça ne sera pas entreposé chez Microsoft ou chez Amazon, mais passons par le processus de consultation avant pour bien sensibiliser les citoyens.

Ça ne sera pas sur 50 pages avec un petit… un petit crochet à mettre «accepter». Ça fait qu'il va y avoir un processus de consultation, il va être rigoureux, puis je ne peux pas revenir à toutes les règles, mais on est quand même bien encadré au niveau… au niveau des lois, pour justement s'assurer que le citoyen… que le citoyen est protégé.

Puis bon, j'espère qu'il n'y aura jamais de gouvernement de… que… fasciste ou… au Québec dans les… dans les prochaines décennies, là, je ne pense pas, mais attendons le processus de consultation parce qu'on fait de la spéculation aujourd'hui, puis de la projection. Et puis je pense qu'il y a une démarche rigoureuse, il y a des règles, il y a des règles qui encadrent cette démarche-là, des règles... Et on va tout faire ça dans les règles de l'art…

M. Bouazzi : ...ce qui permet d'éviter, M. le ministre, des dérives fascistes, ce n'est pas les souhaits, là, c'est les chartes, c'est les constitutions et c'est les lois, là, c'est vraiment ça, là. Ça fait que, tu sais, on peut bien souhaiter qu'il n'y ait pas des gens qui fassent des dérives, nous, notre job, c'est de nous assurer de nous donner des droits qui nous... qui donnent des balises et qui évitent... Puis, avant, c'était peut-être bien théorique. Aujourd'hui, je pense qu'il n'y a personne de sérieux... Quand on voit ce qui attend la France, ce qui se passe aux Pays-Bas, ce qui se passe en Allemagne, ce qui se passe aux États-Unis, ce qui se passe... je veux dire, on peut tous les nommer, là, ce qui se passe déjà en Italie, il y a là... c'est nos alliés, là, qui sont déjà tous dans ces dérives-là. Ça fait qu'on n'est pas à l'abri.

Est-ce que vous vous engagez, M. le ministre, à... vous parlez de transparence envers les utilisateurs, à leur dire clairement deux choses : premièrement, que les données biométriques, c'est des données qui ne changent jamais, contrairement aux autres, et, deuxièmement, il n'y a... même si on fait tous les efforts du monde, il n'y a aucun moyen de sécuriser à 100 % des données, dans un... dans une véritable volonté de transparence, parce que c'est ça, l'enjeu, et leur dire maintenant : Décidez?

M. Bélanger : Bien, je m'engage à suivre ce que la science et les lois prescrivent ou définissent, et puis faire une consultation dans les règles de l'art. Mais j'aimerais ça savoir quelle est votre définition de données vraiment nécessaires. Je veux le comprendre, je veux le comprendre. Pour moi, ce n'est pas clair. J'ai comme le... j'ai comme le sentiment que vous voulez absolument éliminer toute la possibilité de données biométriques, qu'elles soient stockées dans un... dans un endroit sécuritaire. Vous voulez éviter à tout prix... puis...

M. Bouazzi : Alors, prenons d'abord... et allons... allons-y par étapes. Est-ce que... est-ce qu'on est d'accord, M. le ministre, quand on voit que même les données du DOD, du Department of Defense se retrouvent... se retrouvent au complet sur des sites de WikiLeaks, etc.? Et puis, en tout respect aux capacités de sécurité de nos... de nos spécialistes dans votre ministère, on s'entend que le DOD, c'est quand même pas mal le nec plus ultra de la sécurité dans le monde. Est-ce qu'on peut au moins s'entendre qu'il n'y a aucune solution qui est à 100 % sécuritaire, déjà, premièrement?

M. Bélanger : Ça dépend de votre... Qu'entendez-vous par 100 % sécuritaire? Qui prévoit une troisième guerre mondiale, avec l'accès, ou qu'un citoyen prenne une photo de vous et qu'il la mette sur le dark web? C'est...

M. Bouazzi : M. le ministre, je vous ai donné des exemples. Il y a des échanges terriblement privés, en ce qui concerne des crimes qui se sont passés en Irak entre des diplomates américains, qui étaient classifiés hyper-hypersécuritaires, là. Non seulement ils étaient sécurisés dans un endroit, mais, en plus... et qui se sont retrouvés publics sur Internet. Moi... Je veux dire, vous êtes ministre de Cybersécurité. Mettons-nous d'accord qu'on ne peut pas garantir jamais... c'est un fait, là... que des données qu'on stocke quelque part ne pourront jamais être leakées. Est-ce qu'on peut même, au moins, se mettre d'accord là-dessus?

M. Bélanger : On vous garantit qu'on va se mettre à l'épreuve du Cloud Act, Patriot Act.

M. Bouazzi : C'est un très grand premier pas, M. le ministre.

M. Bélanger : Oui, mais c'est un premier pas qui exige quand même du temps. Vous comprenez qu'il y a plusieurs données... je ne parle pas de données sensibles, mais même des données qui sont à un niveau de sensibilité intermédiaire, probablement qu'on peut considérer de les... de les rapatrier. Donc, il y a un exercice qui se fait, mais toute nouvelle donnée qui serait... là, l'on travaille en amont, je vous confirme qu'elles vont être entreposées dans un endroit qui est sécuritaire, qui est souverain et puis qui ne sera pas accessible par l'externe.

M. Bouazzi : M. le ministre de la Cybersécurité, j'ai du mal honnêtement à comprendre cette conversation. C'est... c'est facile, on peut... on peut se mettre d'accord, tous, pour dire : Oui, bien sûr, il n'y a aucun moyen de sécuriser à 100 % ou de prévoir qu'il n'y aura jamais aucun vol, et c'est pour cela que nous allons mitiger les risques. C'est ça, notre métier, là, c'est qu'on a une liste de risques et puis on dit : Bon, Cloud Act, risque.

M. Bouazzi : ...on ne met pas dans le... on ne met pas dans les... dans les... dans le cloud. Ensuite, bien, il y a des données qui sont moins graves que d'autres. Il y a des données que plus de gens... Donc, on va se dire : Bon, il y a seulement telles personnes qui vont avoir accès. Et puis après on se dit : Bon, bien, dans les environnements de test et de dev et de test, bien, on va masquer, modifier toutes les données pour que les développeurs qui ont accès aux bases de données n'aient pas accès aux données originales parce que c'est comme ça qu'on sécurise. Et au fur et à mesure, suivant le type de données, on ajoute tous ces... tous ces cadenas, tout en sachant que, malheureusement, il n'y a rien qui est 100 % sécuritaire. Ça, c'est comme on n'a pas... Je veux dire, c'est comme si je vous demandais enfin si, ça, c'est un verre, là, c'est comme on parle de la base, M. le ministre,  et ensuite nous ferons la conversation sur la suite. Au moins qu'on se mette d'accord sur le fait qu'il n'y a jamais aucun moyen de tout sécuriser, là.

• (12 heures) •

M. Bélanger : ...revenir à la question : Qu'est-ce que vous entendez par absolument nécessaire? Vous n'avez pas répondu à ma question puis j'aimerais... j'aimerais y avoir réponse.

M. Bouazzi : Je vais... je vais. Je vais y répondre, mais je vais y répondre avec plaisir. Donc, absolument nécessaire, c'est-à-dire, je vous donne. Je vous donne un exemple. Est-ce qu'il est absolument nécessaire pour... d'avoir des photos sur les permis de conduire des... des conducteurs québécoises et québécois? Moi, je pense que vous pouvez faire la preuve en tant que ministère, ou le ministère du Transport, dans le cas, de dire : Bien, oui, il est nécessaire, parce que sinon, notre réseau routier ne fonctionnerait pas et puis, étant donné l'utilisation de la carte, on ne peut pas. Est-ce qu'il est absolument nécessaire d'avoir une photo de... une empreinte digitale, une photo de la rétine ou même une photo du visage pour faire fonctionner le système numérique gouvernemental? La vérité, je ne le sais pas, mais je pense que vous avez la responsabilité d'en faire la preuve.

M. Bélanger : Est-ce que le terme «absolument» est un terme qui... qui est utilisé dans la Loi sur l'accès à l'information? Je ne pense pas.

M. Bouazzi : Alors, je vous propose...

M. Bélanger : Comment... qu'est-ce que vous entendez par l'absolu?

M. Bouazzi : Je vous propose... Je comprends qu'«absolument» vous embête, donc j'enlève «absolument» et je propose un amendement, si vous voulez garder «nécessaire au fonctionnement de l'identité numérique». Est-ce que vous accepteriez ce... ce changement, M. le ministre?

M. Bélanger : Non.

M. Bouazzi : Bon, bien, alors on peut...

Une voix : C'est parce que c'est déjà écrit.

M. Bélanger : C'est déjà écrit.

M. Bouazzi : Bien, ce n'est pas déjà écrit en tout respect, là. La nécessité, ce n'est pas au fonctionnement, ce n'est pas comme ça que c'est écrit. Si vous pouvez ressortir ce qu'il y a écrit dans le...

Une voix : C'est où?

Le Président (M. Simard) : Alors, en conclusion, il reste à peine quelques secondes à votre propre intervention, M. le ministre. Mme Bacon, très brièvement, je vous prie.

Mme Bacon (Nathalie) : Très rapidement, le pouvoir réglementaire est prévu dans le cadre du chapitre sur l'identité numérique nationale, donc c'est pour les fins de l'identité nationale. À ce moment-là, ça s'accorde avec l'article 10.6 que le ministre nous a cité tantôt, là, c'est les données numériques nécessaires pour les fins de l'identité. Ça fait que tout, tout s'imbrique ensemble.

Le Président (M. Simard) : Alors, chers collègues, il vous reste à peine sept secondes pour le présent amendement. Très bien. Et notre collègue de La Pinière souhaitait, depuis un certain temps déjà — merci pour votre patience — intervenir sur cet amendement.

Mme Caron : Merci, M. le Président. Alors, en fait, ma question est... concerne la séquence des choses. Mais la discussion qui vient d'avoir lieu sur qu'est-ce qui est considéré comme nécessaire. J'aimerais référer, je dirais respectueusement, à toutes les personnes intéressées, justement au document que je... dont je parlais tout à l'heure de la Commission d'accès à l'information du Québec, Biométrie, principes à respecter et obligations légales des organisations, parce qu'on nous dit ce qu'est... on nous dit de ne recueillir que les renseignements nécessaires. «La loi sur le privé et la loi sur l'accès prévoient que seuls les renseignements personnels nécessaires peuvent être recueillis. Cette règle ne peut être écartée en obtenant le consentement de la personne concernée. Par conséquent, vous devez vous interroger sur la nécessité de recueillir des renseignements personnels, dont des mesures ou des caractéristiques biométriques. La nécessité de recueillir des renseignements biométriques s'évalue en fonction des critères suivants». Et là, je ne l'irai pas les cinq pages, là, mais les critères, c'est : l'objectif poursuivi par la collecte doit être important, légitime et réel.

Le deuxième, la collecte doit être proportionnelle à l'objectif poursuivi.» Et puis on nous dit à la fin que «si, à la suite de l'analyse, l'évaluation ne permet pas de conclure à la nécessité et à la proportionnalité de recueillir les renseignements biométriques, le projet ne respecte pas la législation applicable.»

Alors, je voulais contribuer donc à la question. Quand la question a été posée, M. le ministre a...

Mme Caron : ...au collègue de Maurice-Richard. Qu'est-ce que vous entendez par la nécessité? C'est comme ça que vous l'avez...

M. Bélanger : Bien, on est d'accord avec ce que vous venez de dire. On est tout à fait d'accord.

Mme Caron : Alors, la réponse, la réponse se trouve là, ce qui me ramène à ma question originale de la conséquence. Parce que, si on suit la... si on regarde la synthèse de la démarche de la Commission d'accès à l'information, c'est de faire l'analyse préliminaire sur la nécessité, la proportionnalité, ensuite, bon, de déclarer à la commission tout procédé qui permet de saisir les caractéristiques ou les mesures biométriques, puis ensuite de respecter les obligations. Alors, la séquence que je vois, c'est que, là, on veut adopter le projet de loi n° 82, on veut procéder à une consultation publique dans les règles de l'art, mais à quel moment on va se soumettre à ces... on va suivre cette démarche-là qui est prévue par la Commission d'accès à l'information et dans les lois? Est-ce que ça va être chaque fois qu'on veut utiliser ou ajouter la possibilité d'avoir un renseignement biométrique dans le système ou si on va le faire avant la consultation, après la consultation? C'est la question... l'interrogation que j'ai, là.

M. Bélanger : Question logistique, je vais laisser la collègue...

Le Président (M. Simard) : Alors, Me Bacon.

Mme Bacon (Nathalie) : Alors, le... de la consultation va permettre de savoir sur quelle position prendre avec les citoyens. Ensuite, l'administratif va implanter ses processus et, dans l'implantation des processus, va faire les évaluations que... selon les guides, qui est prévu, à la commission, de la loi sur l'accès, et, évidemment, la Commission d'accès a des pouvoirs de surveillance et d'ordonnance si jamais il y a quelque chose qui ne fonctionne pas.

Mme Caron : Merci.

Le Président (M. Simard) : Alors, d'autres interventions sur cet amendement? Après vérification, cher collègue de Maurice-Richard, il vous reste 15 secondes. Très bien. Alors, nous allons procéder à la mise aux voix de cet amendement.

Une voix : Par appel nominal.

Le Président (M. Simard) : Par appel nominal. M. le secrétaire, veuillez procéder, je vous prie.

Le Secrétaire : Pour, contre, abstention. M. Bouazzi (Maurice-Richard)?

M. Bouazzi : Pour.

Le Secrétaire : M. Bélanger (Orford)?

M. Bélanger : Contre.

Le Secrétaire : Mme Abou-Khalil (Fabre)?

Mme Abou-Khalil : Contre.

Le Secrétaire : M. Émond (Richelieu)?

M. Émond : Contre.

Le Secrétaire : M. Girard (Lac-Saint-Jean)?

M. Girard (Lac-Saint-Jean) : Contre.

Le Secrétaire : Mme Mallette (Huntingdon)?

Mme Mallette : Contre.

Le Secrétaire : Mme Setlakwe (Mont-Royal—Outremont)?

Mme Setlakwe : Abstention.

Le Secrétaire : Mme Caron (La Pinière)?

Mme Caron : Abstention.

Le Secrétaire : M. Simard (Montmorency)?

Le Président (M. Simard) : Abstention. Cet amendement est donc rejeté. Et nous poursuivons toujours l'étude détaillée de l'article 6, le sous-article introduit par l'article 6, 10.9. Y aurait-il d'autres interventions à cet égard? Mme Setlakwe, Mont-Royal Outremont.

Mme Setlakwe : Oui, merci, M. le Président. Juste pour un peu faire un sommaire, là, des échanges. Moi, ce que je comprends du ministre, c'est qu'il considère que l'encadrement législatif existant au niveau de la protection des renseignements personnels, le régime qui nous a été expliqué par vous ou par Me Bacon est celui qui s'applique et qui l'est... il est suffisant, il est adéquat, à votre sens, pour protéger ce que l'on a de plus sensible, c'est-à-dire nos données biométriques.

M. Bélanger : Je le considère comme étant la base. Si, lors d'une consultation, il y a des éléments qu'on discute et... que ce soit des informations additionnelles, scientifiques ou autres qui viennent élever le débat ou arriver avec des informations additionnelles, mais la base, ce sont les lois actuelles et les règles à suivre actuellement. Vous vouliez rajouter, Me Bacon?

Mme Bacon (Nathalie) : M. le Président, juste pour préciser qu'advenant qu'il y ait des renseignements qui demanderaient des protections accrues, à ce moment-là, c'est le pouvoir réglementaire prévu au paragraphe 2 de 10,9. Ça veut dire qu'il y a des normes de protection particulières qui vont être déterminées dans... à même règlement qui va déterminer les données biométriques en question. Donc, il y a un exercice de réflexion et d'élaboration, d'édiction et de bonne gouvernance au niveau, effectivement, des renseignements biométriques.

Mme Setlakwe : Merci. Mais, j'enchaîne quand même, on nous a référé à la législation existante, on nous a référés à la Commission d'accès à l'information. On a mentionné que c'étaient eux, les experts, n'est-ce pas, puis qu'il y avait déjà une série de critères à respecter, notamment l'évaluation des facteurs relatifs à la vie privée. Alors, comment... Vous répondez quoi à la CAI qui, dans son mémoire sur le projet de loi qu'on étudie, insiste sur le fait que, premièrement, le pouvoir réglementaire est trop large et, deuxièmement, dit : Mais ça prend un encadrement législatif particulier dans le projet de loi? Eux-mêmes ne sont pas... ne sont pas à l'aise avec...

Mme Setlakwe : ...le libellé de 10.9. Donc là, c'est à vous, M. le ministre, là, de rassurer la population. On a des experts qui nous disent qu'ils ne sont pas à l'aise.

M. Bélanger : ...laisser ma collègue Maître Bacon répondre.

Le Président (M. Simard) : Alors, maître Bacon, il y a consentement toujours.

Mme Bacon (Nathalie) : Oui, M. le Président.

Mme Setlakwe : Mais j'aimerais entendre le ministre avant.

Le Président (M. Simard) : Bien, écoutez, c'est... c'est le ministre qui décide à qui il veut attribuer la parole. S'il y a consentement pour que maître Bacon intervienne, il y a consentement ou il n'y a pas de consentement. Puis c'est le ministre qui doit parler à ce moment-là. C'est un ou l'autre.

Mme Setlakwe : Il y a consentement.

• (12 h 10) •

Le Président (M. Simard) : Très bien. Me Bacon.

Mme Bacon (Nathalie) : M. le Président, nous, la façon qu'on a lu le commentaire de la commission d'accès, c'est : c'est une approche légistique. Alors, vous avez la Loi sur les renseignements personnels, vous avez aussi la Loi sur les renseignements de santé, à laquelle vous avez participé, je pense, qui a été récemment modifiée. Donc, ce que la commission pouvait... dans ce mémoire-là, c'est de faire une loi autoportante pour l'identité numérique nationale, alors que nous, on a fait une loi qui s'imbrique, c'est-à-dire un chapitre sur l'identité numérique nationale qui s'imbrique dans la Loi sur le ministère de la Cybersécurité, qui respecte la loi sur la... loi 25, la Loi sur les renseignements personnels, qui, elle, prévoit déjà des dispositions sur les données biométriques, entre autres, et les données d'identité, et qu'on n'est pas du tout dans le même contexte que la Loi sur les renseignements de santé, qui est un domaine particulier, où qu'il y a une loi particulière spéciale pour les renseignements de santé. C'est une approche.

Mme Setlakwe : O.K. Mais O.K., les renseignements de santé, donc, effectivement, avec le projet de loi trois qui est devenu la loi 5, a son propre régime. Mais le ministre ne juge pas que, pour ce qui est des données biométriques, ça prendrait une loi autoportante?

M. Bélanger : Non. Je pense que le cadre réglementaire qu'on a actuellement suffit.

Mme Setlakwe : Mais vous ne fermez pas la porte, éventuellement, à le bonifier. Moi, c'est ce que je comprends aussi, là. Puis c'est... ce serait justement le 10.9 qui vous permettrait de le bonifier?

M. Bélanger : Oui, paragraphe 2, 10.9.

Mme Setlakwe : De façon plus particulière, la CAI dit que justement, au niveau du paragraphe deux, «permet au gouvernement, par règlement, de déterminer les normes de qualité et les normes de protection. Il note que ce libellé est similaire aux pouvoirs prévus au premier paragraphe de 12.21 de la LGGRI.» Donc là, c'est vraiment une question légistique, là : Comment dissiper tout doute ou toute inquiétude? Là, ils disent que les deux libellés semblent correspondre aux mêmes pouvoirs, et la commission se questionne sur la nécessité de reproduire celui-ci au chapitre i.1 de la Loi sur le ministère de la Cybersécurité et du Numérique, étant donné que le pouvoir existe déjà. Donc, il semble y avoir, même pour les experts, un flou, là. Ce serait... Pardon?

M. Bélanger : Il y a une cohérence entre les deux.

Si vous voulez...

Mme Bacon (Nathalie) : Oui. M. le Président, dans le cas du chapitre de l'identité numérique nationale, on n'est pas dans le chapitre 2.4 de la LGGRI, qui parle des données numériques. Oui, on parle des données numériques gouvernementales dans le cadre de l'identité, mais vous avez, à 10.6, qu'«aux fins du présent chapitre, les données gouvernementales sont». Donc, on est dans un chapitre particulier à la MCN, donc le 12.21 que vous faites référence ne s'applique pas là. Donc, nous, c'est 10.9 qui s'applique.

Et il y a cohérence législative entre les deux libellés, celui à 10.9 puis celui 12.20... .21.

Mme Setlakwe : O.K. Donc, le 12.21 ne s'applique pas.

Mme Bacon (Nathalie) : Non. Puis d'ailleurs, à 10.6, on prévoit que les articles... le troisième alinéa prévoit que les articles 12.16 à 12.19 de la LGGRI s'appliquent. On n'a pas nommé 12.21 à ce troisième alinéa là.

Mme Setlakwe : Merci.

Mme Bacon (Nathalie) : L'identité numérique nationale est un régime particulier.

Le Président (M. Simard) : Je crois comprendre que Mme Martel souhaiterait intervenir à ce stade-ci. Y a-t-il consentement à cet effet? Mme Martel, pour les fins de nos travails... de nos travaux, dis-je, pourriez-vous d'abord vous représenter, s'il vous plaît?

Mme Martel (Mylène) : Oui. Bonjour. Mylène Martel, sous-ministre adjointe au dirigeant principal de l'information et à la gouvernance. Merci, M. le Président. Mesdames, les députés.

Le 12.21, c'est... effectivement, c'est un article qui est prévu à la LGGRI qui prévoit par règlement comment on...

Mme Martel (Mylène) : …sur la gestion des données numériques gouvernementales par les organismes publics. Donc, il y a tout un nouveau chapitre qui a été créé dans la… dans les lois précédentes, en fait, les révisions des lois précédentes, venant donner… conférer un rôle aux gestionnaires des données numériques gouvernementales, qui a un caractère, je dirais, officiel et comment assurer la conservation de certaines données qui peuvent être partagées entre les organisations publiques. Donc du point de vue de la collecte, du partage et de la destruction, effectivement. Donc, c'est pour toutes les autres données numériques gouvernementales, mais là on crée un régime particulier pour l'identité numérique citoyenne parce qu'elle on la considère importante et significative.

Mme Setlakwe : Merci.

Le Président (M. Simard) : D'autres commentaires sur l'article 10.9? Conséquemment, nous allons mettre celui-ci… Non, non, c'est vrai, il n'y a pas de vote. On poursuit avec 10.10. J'oubliais que c'est à la toute fin de l'article six que nous allons procéder à la mise aux voix. Donc, M. le ministre, auriez-vous l'amabilité de nous faire lecture de l'article 10.10?

M. Bélanger : 10.10, c'est assez court : « Le ministre peut, par règlement, prévoir des règles relatives à l'identification et à l'authentification des personnes. »

Le Président (M. Simard) : Très bien. Des commentaires à cet égard?

Mme Setlakwe : Oui, juste expliquer, M. le ministre, qu'est-ce qu'on… Qu'est-ce qu'on entend ici, là? Qu'est-ce que ça pourrait prévoir, ces règles-là?

Des voix : …

M. Bélanger : Je vais reprendre l'article 41 du projet de loi, là, les… entre autres, les règles relatives à l'assurance de l'identité numérique prise par l'arrêté numéro 2022-5 du 26 août 2022 et modifié par l'arrêté numéro 2024-3 du 6 juillet 2024 sont réputées prises en vertu de l'article 10.10 de la Loi sur le ministère de la Cybersécurité du numérique, Chapitre M-17.1.1, édicté par l'article six de la présente loi.

Des voix : …

Le Président (M. Simard) : Des commentaires?

Mme Setlakwe : Merci, bien,  je comprends que c'est un article de portée générale et… oui. O.K. Merci.

Le Président (M. Simard) : Très bien. Alors je vous rappelle que nous étions depuis un certain temps sur l'étude de l'article six, qui lui-même comprenait neuf sous articles dont nous venons d'épuiser les débats. Il nous reste toutefois du temps imparti pour une réflexion générale sur cet article dans sa globalité, ou encore vous pouvez revenir sur un point plus particulier, mais on a encore un certain temps de débat si vous le souhaitez, avant la mise aux voix. Sans quoi nous allons procéder...

Mme Setlakwe : …peut-être une question, M. le…

Le Président (M. Simard) : Oui, je vous en prie, madame.

Mme Setlakwe : M. le Président, si vous me permettez juste de façon générale, parce qu'on a quand même échelonné l'étude du projet de loi pour toutes sortes de raisons, sur un certain nombre de semaines, de mois, même. Est-ce que, depuis que le ministre a pris la relève du ministère, depuis qu'il s'est donc approprié le projet de loi… est-ce qu'il souhaiterait faire une mise à jour, là, par rapport à certains des enjeux qui ont été discutés précédemment, là, par… justement par rapport au stockage, à l'hébergement? Toutes sortes d'enjeux qu'on a discutés et pour lesquels, bon, il y a eu certains amendements, on sait qu'il était en réflexion. Est-ce qu'il y aurait une mise à jour que vous souhaiteriez faire?

M. Bélanger : Pas pour le moment, ça me satisfait. Il y a eu un amendement qu'on a… qu'on a accepté, qu'on a débattu quand même assez longtemps là-dessus. Puis on s'est… on s'est entendu, mais pour l'instant, je n'ai pas d'autres… Je n'ai pas d'autres choses à rajouter. Je pense que c'est un outil qui va venir bonifier… On a discuté souvent du pouvoir, tout ça, qui est… en termes de la gouvernance, gestion des projets, etc. Et puis au niveau de l'identité numérique, je pense que tout est en… tout est en place, là, pour pouvoir aller de l'avant. Donc, pour l'instant, je n'ai pas rien à rajouter.

Mme Setlakwe : Juste une nuance. Vous avez mentionné que les amendements ont été acceptés. Il y en a un sur la consultation. Oui, on peut dire qu'il a été accepté parce que c'était suite à des échanges. Mais il y a quand même deux amendements que vous avez apportés, lorsque vous avez pris la relève puis qu'on a… on a poursuivi l'étude sous votre gouverne. Et donc, visiblement, c'était… c'était suite à une réflexion de votre part ou de vous et votre…

Mme Setlakwe : Oui, votre équipe.

M. Bélanger : Là, vous parlez des stratégies d'acquisition, puis on n'est pas rendus, on n'est pas rendus à ça encore, là. Il me semble que c'est...

Mme Setlakwe : Mais il y en a un qu'on a discuté sur la souveraineté numérique.

M. Bélanger : Souveraineté, consultation puis, là, il reste acquisition. Au niveau de l'acquisition, je pense que c'est un amendement qu'on a... qu'on va arriver sous peu. Donc...

Mme Setlakwe : On a d'autres opportunités d'échanger. Peut-être une dernière question. On est quand même dans le cœur du projet de loi avec l'article 6. On nous demande si on a des questions sur l'ensemble de l'article 6. J'en aurais une dernière. Donc, au niveau de... Il y a eu toutes sortes de questions qui ont été posées, et même une revue de presse au niveau des livrables, puis des échéances, puis des prochaines étapes. Est-ce que vous avez une mise à jour à faire à cet égard là?

• (12 h 20) •

M. Bélanger : Bien, moi, j'aimerais que le projet de loi soit adopté, là, avant... avant la fin mai, là, et puis, par la suite, qu'on puisse envisager les consultations, justement, puis donc aller de l'avant. Oui, allez-y.

Le Président (M. Simard) : Mme Martel, éventuellement.

Mme Martel (Mylène) : Merci, M. le Président. En fait, nous avons deux... des règles qui existent actuellement pour venir encadrer la planification et la gestion des projets. Il y en a une qui s'appelle les règles relatives à la planification des projets. Et l'autre s'appelle les règles relatives à la gestion des projets en ressources informationnelles. Donc, ce sont des pouvoirs qui nous sont dévolus dans le cadre de notre loi constitutive, la LGGRI, et ces règles-là actuellement sont en... sont en révision pour s'assurer de faire face au contexte, évidemment, que l'on rencontre maintenant. Donc, oui, on va venir renforcer certains, je vais dire, certains contrôles qu'on met en place pour s'assurer qu'au niveau des livrables on livre ce que l'on doit s'attendre de recevoir comme gouvernement dans l'approche. Merci.

Le Président (M. Simard) : Très bien. D'autres interventions, sans quoi nous allons procéder à la mise aux voix de l'article 6 dans sa globalité. Cet article est-il adopté?

Des voix : Adopté.

Le Président (M. Simard) : Adopté sur divisions ou pas? Adopté à...

Une voix : Adopté.

Le Président (M. Simard) : Adopté. Nous passons à l'étude de l'article 7. M. le ministre, voudriez-vous nous en faire lecture?

M. Bélanger : Au niveau de l'article 7

7. L'article 5 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) est modifié par l'ajout, à la fin, de l'alinéa suivant :

« En outre, le gouvernement peut prévoir que l'article 12.5.3 s'applique à toute personne ou à toute entité propriétaire ou exploitante d'un système ou d'une infrastructure essentiel qu'il détermine, et ce, dans l'objectif d'accroître l'efficacité de la lutte contre les cyberattaques et les cybermenaces au Québec.»

Le Président (M. Simard) : Auriez-vous un commentaire, M. le ministre?

M. Bélanger : Non, je n'ai pas de commentaire. C'est clair.

Le Président (M. Simard) : Très bien. Mme la députée de... Oui, je vous en prie.

M. Bélanger : On a un nouveau membre qui se joint. Puis il est responsable justement au niveau de la cyber... de la cybersécurité.

Le Président (M. Simard) : Alors, à qui nous souhaitons la bienvenue. Mme la députée de Mont-Royal—Outremont, souhaitiez-vous intervenir?

Mme Setlakwe : Oui. Simplement, nous donner un peu de contexte et de la réflexion derrière cet article, et qu'est ce qu'on... qu'est-ce qu'on cherche à faire, à bonifier?

Le Président (M. Simard) : M. le ministre.

M. Bélanger : Oui. Veux-tu intervenir?

Le Président (M. Simard) : Alors, vous souhaiteriez peut-être laisser la parole à votre collègue, de ce que j'en comprends. Y aurait-il consentement à cet effet? Il y a consentement. Monsieur, pour les fins de nos travaux, pourriez-vous d'abord vous présenter, s'il vous plaît?

M. Gauthier (Steve) : Bonjour. Steve Gauthier, directeur général du Centre gouvernemental de cyberdéfense au ministère de la cybersécurité et du numérique.

Le Président (M. Simard) : Nous vous écoutons.

M. Gauthier (Steve) : Est-ce que c'est possible, s'il vous plaît, de répéter la question?

Mme Setlakwe : Oui, bien sûr.

M. Bélanger : Vous vouliez plus de...

Mme Setlakwe : Bien, oui, mais on nous...

M. Bélanger : ...plus de développement au niveau de l'article qui est quand même assez général.

Mme Setlakwe : Il est général, mais vous soumettez un amendement à la LGGRI, c'est ce qu'on comprend à l'article 5. On le modifie en ajoutant un alinéa. On nous le lit, et moi, je demande si on peut nous... quand même nous expliquer quel est le raisonnement, la réflexion qui a mené à cet amendement-là? On cherche à répondre à quelle problématique, quelle situation? On cherche à bonifier le régime actuel de quelle façon?

M. Bélanger : Bien, c'est... Actuellement, on a quand même un niveau d'efficacité très élevé au niveau des... au niveau des cyberattaques, mais notre intention, c'est de bonifier, d'augmenter ce niveau d'efficacité là. Et puis le...

Le Président (M. Simard) : M. Gauthier.

M. Gauthier (Steve) : Oui. En fait, bien, l'article 12...

M. Gauthier (Steve) : ...on va le voir un petit peu plus loin, là, c'est dans les prochains articles qui vont être étudiés. Et l'article 12.5.3 vise à obliger une déclaration des incidents — certains incidents, évidemment, pas tous — au ministère de la Cybersécurité et du Numérique pour... comme vous voyez là, dans l'article 7, qu'on regarde présentement... pour les entités qui sont propriétaires ou exploitantes d'un système ou d'un... d'une infrastructure essentielle. Donc, l'idée, c'est de mieux protéger les services essentiels à la population en ayant une meilleure connaissance de ce qui se passe, présentement, comme menaces, comme attaques.

Mme Setlakwe : Merci. Donc, en ce moment, vous... est-ce qu'il y a une problématique qui a été identifiée ou c'est simplement d'être plus explicites quant à la transmission de ces informations essentielles?

M. Bélanger : ...une obligation d'aviser, entre autres, là...

M. Gauthier (Steve) : ...obligation pour avoir une meilleure connaissance. Puis on n'est pas la seule juridiction à faire ça, c'est... c'est en train de se mettre en place dans plusieurs juridictions canadiennes en ce moment. Parce que ça va permettre... voyant venir les attaques, connaissant les incidents qui peuvent se passer dans un secteur essentiel, par exemple, la santé, le transport, l'alimentation, ça nous permet de réagir, de se protéger plus rapidement, d'amener nos entreprises québécoises à mieux se protéger.

Le Président (M. Simard) : Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Bien, en fait, ce que je comprends, c'est qu'on veut prévoir que l'article 12.5.3 qu'on n'a pas adopté encore, s'applique. Ça aurait peut-être été plus facilitant d'étudier l'article 11 du projet de loi avant d'étudier l'article 7, pour comprendre le contexte. Parce que là, si on adopte cet article-là... 12.5.3... on présume qu'on va adopter 12.5.3.

Le Président (M. Simard) : ...de vos propos, chère collègue, que vous souhaitez que nous puissions mettre sur pause l'étude de cet article, concourir à l'étude de l'article que vous avez mentionné, pour revenir, plus tard, à l'article 7?

Mme Caron : Effectivement, parce qu'on... ce serait peut-être plus aisé d'expliquer le contexte puis de...

Le Président (M. Simard) : D'accord. Y aurait-il consentement à cette demande? Souhaitez-vous qu'on fasse une pause brièvement, pour y réfléchir? Alors, on va suspendre momentanément.

(Suspension de la séance à 12 h 27)

(Reprise à 12 h 35)

Le Président (M. Simard) : Bon. Alors, chers collègues, notre pause a été très fructueuse. Et elle nous a permis d'arriver à un consensus, pour lequel j'aimerais avoir votre approbation, selon lequel nous allons suspendre l'étude de l'article sept pour immédiatement procéder à l'étude de l'article 11. Une fois celui-ci terminé, nous reviendrons à l'article sept. C'est bien ce qui a été convenu durant la pause? Il y a consentement? Il y a consentement. Alors, nous suspendons l'article sept. Et nous entamons l'étude de l'article 11. M. le ministre, pourriez-vous, s'il vous plaît, d'abord nous en faire lecture.

M. Bélanger : L'article 11 : Cette loi est modifiée par l'insertion, après l'article 12.5.2, du suivant :

«12.5.3. Un organisme public qui constate qu'une ressource informationnelle ou une information sous sa responsabilité fait l'objet d'une atteinte à sa confidentialité, à sa disponibilité ou à son intégrité, et que cette atteinte présente un risque qu'un préjudice sérieux soit causé, doit avec diligence aviser le ministre.

«Un règlement du ministère peut déterminer les cas et les circonstances dans lesquels une atteinte présente un risque de préjudice sérieux ou les critères permettant de déterminer si une atteinte présente un tel risque.»

Le Président (M. Simard) : Alors, merci à vous, M. le ministre. Souhaitez-vous fournir des commentaires à cet égard?

M. Bélanger : Bien, je vais faire des... je vais commencer avec les commentaires. Puis mes collègues pourront... pourront continuer.

Le Président (M. Simard) : Oui.

M. Bélanger : Je pense que ce qu'on vit, depuis quelques années, c'est souvent un mode... un mode réactif, avec un délai, un délai qui est important. Et puis, ce qu'on veut, c'est être capable de, le plus rapidement possible, informer, avoir l'information au niveau d'une attaque dans des délais beaucoup plus courts. Donc, c'est... globalement, c'est ce qu'on vise.

Puis je ne sais pas si vous vouliez rajouter, Me Bacon.

Mme Bacon (Nathalie) : Oui. M. le Président, le nouvel article 12.5.3, dans le fond, vient codifier une obligation qui existe déjà aux organismes publics, qui est à l'article 17 de la directive sur la sécurité de l'information qui s'applique aux organismes publics. La directive sur la sécurité de l'information date de 2021, qui a été prise par le décret 1514-2021. Donc, on vient enchâsser législativement obligation qui est dans un texte, je dirais, d'application. Ça fait qu'on vient finalement boucler la boucle pour renforcer notre... nos dispositions en sécurité de l'information que les organismes publics suivent et respectent, la LGGRI.

Et nous avons aussi une cohérence avec ce qui est prévu au niveau de la Loi sur l'accès pour les incidents de confidentialité. Alors, au niveau de l'accès, il y a une déclaration obligatoire pour les incidents de confidentialité. Ici, on vient faire une déclaration obligatoire pour les événements de sécurité. La différence entre les deux, c'est la confidentialité. C'est, un coup qu'il y a eu compromission, qu'il y a eu un bris à une confidentialité. Tandis qu'en événement de sécurité - et là, c'est notre spécialiste, M. Gauthier, qui pourrait vous répondre - c'est aussi tout ce qui est appréhendé mais qui concerne un préjudice sérieux, hein? Donc, il y a... dans les événements de sécurité, vous avez ce qui est appréhendé puis ce qui est constaté. Vous avez les deux.

Le Président (M. Simard) : Très bien. Mme Martel. Mme la sous-ministre.

M. Bélanger : ...l'expert en cybersécurité.

Le Président (M. Simard) : M. Gauthier, alors. M. Gauthier.

M. Gauthier (Steve) : Comme Me Bacon le disait, il y a le volet, une fois que l'incident a été constaté, c'est pertinent de le savoir pour permettre aux autres organismes publics... on repartage l'information pour qu'ils puissent se protéger. Mais, quand il est appréhendé... dans certains cas, c'est des menaces, on se rend compte, en étudiant ce qui se passe dans les journaux, des différentes applications, des différents systèmes qu'on a, on regarde les événements de sécurité et ça...

M. Gauthier (Steve) : ...nous permet de voir qu'il y a des tentatives. Donc, ça aussi, c'est important que ce soit partagé entre les organismes publics, qu'on sache qu'il y a des tentatives d'attaques qui viennent de l'extérieur pour qu'on puisse mettre en place les bons mécanismes de défense.

Le Président (M. Simard) : Oui. Soit dit en passant, je vous prie d'excuser les bruits de fond. Comme vous le savez, le salon bleu est en rénovation et nous sommes sous le salon bleu. Alors, voilà. M. le ministre, je vous en prie.

M. Bélanger : M. Gauthier, vous êtes directeur général du centre de cyber. Peut-être prendre une minute pour... parce que moi, j'ai quand même... j'étais quand même impressionné, là, d'un peu de tout ce qui se passait dans ce centre-là. Peut-être expliquer un peu le bon travail que vous faites, parce qu'on en entend peu parler, en termes d'attaque, là.

• (12 h 40) •

M. Gauthier (Steve) : Le Centre gouvernemental de cyberdéfense a été mis en place, ça fait déjà cinq ans. On offre des services aux organismes publics. Donc, on a un rôle à portée gouvernementale, on est... fait partie du ministère de la Cybersécurité et du Numérique, mais on offre différents services aux organismes publics. Là, ici, on parle de gestion d'incidents, d'identification des menaces, de partage de renseignements sur les menaces, mais on est aussi là pour offrir de l'accompagnement, identifier les exigences à mettre en place. Donc, c'est un peu le genre de services qu'on offre, des outils de protection aux organismes publics aussi.

Le Président (M. Simard) : Très bien. Alors, on va se recentrer sur l'étude de l'article. Y a-t-il d'autres questions?

Mme Setlakwe : Oui, s'il vous plaît.

Le Président (M. Simard) : Mme, je vous en prie.

Mme Setlakwe : Merci pour les éléments d'information. Je veux juste comprendre, suite à une information de Me Bacon, donc, vous dites qu'on codifie une obligation qui existe déjà, mais... On n'est pas en train de la bonifier, là? Puis l'autre question que j'ai, c'est : Le terme «appréhender» n'est pas utilisé, mais est-ce qu'on doit comprendre qu'il est couvert dans la deuxième partie de l'article, à 12.5.3?

Mme Bacon (Nathalie) : M. Gauthier a bien précisé. Là, c'est moi qui ai fait un lapsus. Alors, c'est juste... Ici, quand on vient codifier, à 12.5.3, c'est pour les atteintes avérées. Puis vous avez quand même toute la documentation, là, que ce soit la directive, le cadre de gouvernance, le règlement sur la sécurité de l'information à toutes les... Puis il y aura aussi à l'interne des indications d'application soit du dirigeant principal de l'information ou du chef gouvernemental de la sécurité de l'information, là, une série de textes normatifs, là, que les organismes publics doivent suivre par ailleurs.

Mme Setlakwe : Parfait. J'aimerais juste comprendre les... Le libellé qui est utilisé, j'imagine qu'on le trouve, là. On le retrouve ailleurs, là, juste peut-être nous le confirmer. Quand on parle de... Quand on parle d'atteinte à la confidentialité, à la disponibilité ou à son intégrité, est-ce que c'est un libellé qui existe déjà?

Mme Bacon (Nathalie) : Oui, déjà, à l'article 12.2 de LGGRI?

Mme Setlakwe : Donc, ça, il ne faut pas... il ne faut pas y toucher, il faut le reproduire.

Mme Bacon (Nathalie) : C'est exactement ça.

Mme Setlakwe : Oui. Et, si on veut le résumer, on... si on... C'est un incident ou c'est un bris?

Mme Bacon (Nathalie) : Si on veut le résumer, nous, administrativement, on appelle ça un événement de sécurité.

Mme Setlakwe : Événement de sécurité. Donc, si un organisme public constate qu'une ressource ou une information sous sa responsabilité fait l'objet d'un événement et qu'il y a un risque à une atteinte ou qu'il y a un préjudice sérieux, c'est là qu'on crée l'obligation d'agir avec diligence puis d'aviser le ministre, ce qu'on doit comprendre. «Diligence»...

Mme Bacon (Nathalie) : On va le définir dans... Ça peut être défini par le ministre, si ma mémoire est bonne. Oui.

Mme Setlakwe : Ah oui! O.K. Bien, par un règlement?

Mme Bacon (Nathalie) : «Un règlement du ministre peut déterminer»... C'est le deuxième alinéa de 12.2.3 : «Un règlement du ministre peut déterminer les cas et les circonstances dans lesquelles une atteinte présente un risque de préjudice sérieux ou les critères permettant de déterminer si une atteinte présente un tel risque.» Alors, vous allez avoir le ministre qui va faire un règlement pour définir les codes d'application, parce que vous comprendrez, comme M. Gauthier a dit tout à l'heure, là, ça peut être très nombreux, là... je n'ai pas le nombre, mais ça peut être très nombreux.

Mme Setlakwe : Merci. Et de prévoir qu'on doit agir avec diligence ou qu'on doit aviser... bien, «aviser le ministre»... Bien, «avec diligence», ça aussi, là, c'est un terme qui est utilisé ailleurs, c'est... ou est-ce...

Mme Bacon (Nathalie) : Oui.

Mme Setlakwe : Oui. On ne considère pas qu'il y a un flou autour de ça, ça...

Mme Bacon (Nathalie) : Non, c'est sans délai.

Mme Setlakwe : C'est... Ah! Bien, pourquoi on ne l'utilise pas, «sans délai»?

Mme Bacon (Nathalie) : C'est... Il faudrait que je demande à ma collègue, qu'elle me redirige, là, vers le texte qu'on... En fait, c'est... on est dans la cohérence législative. Dans d'autres textes, on a utilisé «avec diligence». Je crois qu'à la LGGRI, ça existe déjà.

Des voix : ...

Le Président (M. Simard) : …alors, le temps que l'adjointe de Maître Bacon puisse se joindre à nous et que la caméra puisse se diriger vers elle… Maître, auriez-vous d'abord l'amabilité… Bien sûr, je présumais qu'il y avait consentement pour ce faire. Auriez-vous l'amabilité de vous présenter pour les fins de nos travaux?

Mme Drolet (Émilie) : Oui, merci beaucoup. Émilie Drolet, avocate pour la direction des affaires juridiques pour le MCN.

Le Président (M. Simard) : Nous vous écoutons.

Mme Drolet (Émilie) : Donc la formulation qui était utilisée «aviser avec diligence », ça a été utilisé dans trois autres précédents, dont 63.8, alinéa deux, de la Loi sur l'accès. La même chose pour le… article 3.5, alinéa deux, de la Loi sur la protection des renseignements personnels dans le secteur privé. Puis il y a aussi la même chose pour le régime particulier des renseignements de santé. Donc, l'article 108, alinéa deux, de la Loi sur les renseignements de santé et de services sociaux. Dans tous ces trois cas, c'est évidemment… c'est la CAI qui doit être avisée. Mais ici, dans la LGGRI, c'est le miroir avec le MCN.

Le Président (M. Simard) : Très bien. D'autres questions à cet égard? Mme la députée La Pinière.

Mme Caron : Oui. Merci, M. le Président. Alors, je voulais juste vérifier, parce que je n'ai pas tout à fait saisi tout à l'heure, quand ma collègue a demandé… quand le terme « atteinte »… est-ce qu'il englobe à la fois les atteintes avérées et les tentatives d'attaques qui peuvent être décelées, mais qui ne sont peut-être pas allées jusqu'au bout? Est-ce que... est-ce que le libellé couvre donc autant ce qui est arrivé que le risque que quelque chose arrive…

Le Président (M. Simard) : alors, M. le ministre.

Mme Caron : On avait utilisé le mot appréhendé, là, est-ce que tout est couvert par ce libellé?

Le Président (M. Simard) : Le soin vous appartient de décider à qui revient la parole. M. Gauthier.

M. Gauthier (Steve) : Comme on le voit dans la proposition, là, la deuxième, troisième ligne, là, on parle de « fait l'objet d'une atteinte à sa confidentialité, disponibilité, intégrité », ces cas-là, c'est vraiment il y a eu atteinte, il y a eu un incident, c'est confirmé. Par contre, il reste que dans nos processus internes, les organismes publics doivent aussi nous aviser s'ils détectent une potentielle menace. Mais on va être plus permissif dans les délais à ce moment-là, parce que ça demeure une menace et non une atteinte réelle.

Mme Caron : D'accord. Donc l'obligation d'aviser existe déjà, autant pour une atteinte réelle que pour une atteinte appréhendée qui ne s'est pas… Sauf que dans le cas de l'atteinte appréhendée, les organismes peuvent attendre un peu, ils ne sont pas obligés de prendre le téléphone tout de suite parce que ça ne s'est pas produit encore. Et le… je dirais, le bien-fondé si je comprends bien, d'avoir cet article-là, c'est que le… votre centre va être en mesure d'aider les autres organismes publics pour les prévenir s'il y a eu une attaque ou s'il y a une attaque appréhendée pour que ça ne se propage pas dans tous les organismes.

M. Gauthier (Steve) : Effectivement, c'est ça l'objectif.

Mme Caron : C'est ça. D'accord, merci. Je pense que ça va pour moi.

Le Président (M. Simard) : Ça vous va, Mme la députée. Mme la députée de Mont-Royal—Outremont, oui.

Mme Setlakwe : Bon, je sais qu'on en parle souvent, mais est-ce qu'il doit y avoir un règlement? Il va falloir le déterminer… déterminer les cas et les circonstances dans lesquels une atteinte présente un risque de préjudice sérieux. Est-ce qu'on doit comprendre que le libellé qui est choisi crée une obligation? Oui.

M. Bélanger : …aliéna deux, un règlement du ministre, il va y avoir un règlement.

Mme Setlakwe : Oui, mais… oui. Mais étant donné qu'on utilise le verbe pouvoir, comme «peut » plutôt que « doit », je pose tout le temps la question.

Mme Bacon (Nathalie) : C'est toujours le mot peut, si vous me permettez, c'est toujours le mot peut, c'est le ministre… Un règlement du ministre peut déterminer, mais s'il ne le fait pas, la disposition ne sera pas complète, là, ne sera pas complétée par un texte, ça fait que les libellés, la façon qu'on rédige un pouvoir réglementaire, c'est toujours avec un peut.

Le Président (M. Simard) : Très bien. D'autres questions sur l'article 11? Sans quoi, nous allons procéder à sa mise aux voix. L'article 11 est-il adopté? Adopté. Conséquemment, tel qu'entendu précédemment, nous revenons à l'étude de l'article sept. Cette étude… cet article avait déjà été lu. Y aurait-il donc des commentaires ou des questions à cet égard? Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui. Merci. Juste nous… bien, nous rappeler ici qu'est-ce que le... qu'est-ce que l'article vient faire exactement?

Le Président (M. Simard) : Alors, M. le ministre.

M. Bélanger : Bien, l'article vient rajouter le niveau d'efficience au niveau de…

M. Bélanger : ...détecter justement la protection au niveau des cyberattaques, donc d'être beaucoup plus proactifs en termes de... et aussi plus transparents, justement, de quand... Il y avait plus de choses en place au cours des dernières années. S'il y avait une attaque en particulier sur un organisme, ces attaques-là n'étaient pas recensées. Et là, on a un moyen d'être capables de justement centraliser tout le bureau d'information au niveau des attaques et d'être beaucoup plus proactifs et sensibilisés.

• (12 h 50) •

Le Président (M. Simard) : Chère collègue.

Mme Setlakwe : Bien, c'est-à-dire que moi... merci, mais je le... je croyais que ce qu'on faisait ici, c'est de prévoir que l'obligation qu'on a créée à 12.5.3 au niveau des organismes publics pourrait s'appliquer à toute personne ou à toute entité propriétaire ou exploitante d'un système ou d'une infrastructure essentielle. Donc...

M. Bélanger : ...

Mme Setlakwe : C'est ça, non publique?

M. Bélanger : Exactement.

Mme Setlakwe : C'est ça que je pense que ça vient faire, l'article.

M. Bélanger : Puis ce n'est pas restrictif à des organismes publics. Ça peut s'appliquer à tout organisme. Mais il n'y a pas de sanctions qui sont... qui sont prévues. Peut-être... Oui.

Mme Bacon (Nathalie) : Oui.

Le Président (M. Simard) : Me Bacon.

Mme Bacon (Nathalie) : Alors, M. le Président, effectivement, la LGGRI, c'est une loi qui s'applique aux organismes publics et, dans une certaine mesure, aux entreprises du gouvernement, si vous allez à l'article 2 à 5 de la LGGRI. Ici, en modifiant l'article cinq et en prévoyant que l'obligation, comme vous avez dit, à 12.5.3, «est applicable à toute personne ou entité propriétaire exploitante d'un système ou d'une infrastructure essentielle», on vient ouvrir la LGGRI pour l'appliquer dans ce que j'appelle la société civile ou ce qu'on peut appeler la collectivité. Et une partie de la collectivité, donc laquelle collectivité, donc «toute personne ou toute entité propriétaire ou exploitante d'un système, d'une infrastructure essentielle qu'il détermine que... qu'il détermine». C'est que le gouvernement détermine, donc ça va prendre un décret pour déterminer quels sont les systèmes ou infrastructures essentielles et pour savoir si nous sommes une personne ou une entité visée par l'obligation, à 12.5.3, de déclarer nos incidents avérés sérieux de cybersécurité.

Le Président (M. Simard) : Y aurait-il d'autres questions, chère collègue?

Mme Setlakwe : Merci. Oui. Bien, je trouve ça intéressant, donc, qu'on offre cette possibilité d'exiger l'obligation de divulgation pas seulement à des organismes publics, mais aussi dans la société civile. Par rapport à.... bon, évidemment, je pense qu'on vise certaines infrastructures qu'on qualifie d'essentielles. Est-ce qu'on peut nous donner des exemples de...

M. Bélanger : L'eau potable. Les eaux usées, eau potable. C'est un... C'est... Ce sont des exemples.

Mme Setlakwe : Et est-ce...

M. Bélanger : ...des transports, transports en commun, ça peut être tout ce qui est jugé services, services essentiels. Les télécoms, bien, c'est un bon... un bon exemple. Hier... bien, en tout cas, moi, j'ai été avisé directement au niveau de... au niveau de Bell Canada. On l'a suivi. Je pense que vous avez été avisés... avisés aussi. Je peux, par contre, confirmer que ce n'était pas une cyberattaque. C'était une problématique d'infrastructure ou une... technologique. Mais on a quand même été avisés.

Mme Setlakwe : Ici, quand on parle d'une infrastructure... non, c'est-à-dire, quand on parle d'un système ou d'une infrastructure essentielle...

M. Bélanger : Excusez-moi.

Le Président (M. Simard) : Je vous en prie, M. le ministre. Oui. Je vous en prie.

M. Bélanger : Dans... À... On l'a quand même bien expliqué à 12.5.3. Un règlement va être... Ça va être par règlement que ça va se faire. Puis on va définir qu'est-ce qui est... qu'est-ce qui est justement essentielle et puis qu'est-ce qui doit être... en faire partie.

Mme Setlakwe : Bon. Ma compréhension, ce n'est pas tout à fait ça, là. Je pense que le règlement qui est prévu à 12.5.3 couvre autre chose, là. C'est de déterminer ce qu'on entend par... Mais c'est venir plus encadrer ce qu'on entend par un risque de préjudice sérieux. Oui? Donc...

M. Bélanger : Non. Mais je voulais préciser, c'est par décret, les services essentiels, que ça va être défini.

Mme Setlakwe : O.K. Puis là, ici, on est... on ouvre, ce qui est une bonne chose, je pense, que le gouvernement soit... c'est ça, ou que votre ministère, ou que le centre de cyberdéfense soit avisé de ce qui se passe dans la société civile. Mais est-ce que c'est un... c'est un... on a choisi ce libellé? Est-ce qu'il faut entendre «infrastructure essentielle» dans son sens commun, ou c'est quelque chose qu'on va définir par règlement... par décret? Désolée.

M. Bélanger : C'est ça. Ça va être défini par décret...

Mme Setlakwe : ...Mais les exemples que vous avez donnés, des infrastructures d'eau potable, d'eaux usées, des infrastructures de transport en commun, ça, c'est déjà de nature publique, donc c'est déjà... ce sont déjà des infrastructures qui sont régies par des organismes publics. Qu'est-ce qu'on entend ici, là? L'exemple de Bell Canada est bon. Est-ce que vous avez des exemples, là, de ce qui pourrait se produire dans la société civile? Ou est-ce qu'on peut même envisager que ça pourrait ici, viser des municipalités?

M. Bélanger : Oui, au niveau des municipalités, mais ça, ça aussi, c'est public. Mais ça pourrait être, exemple, un centre de données privé.

Mme Setlakwe : ...les municipalités, ce sont des organismes publics. Eux, ils sont visés, de toute façon, par l'obligation qu'on crée plus loin.

M. Bélanger : Non, pas nécessairement, non, non. Mais les municipalités, c'est un bon... un bon exemple. Mais beaucoup plus... je crois que c'est beaucoup plus au niveau des services essentiels. Bon, une municipalité est un service essentiel, mais ça dépend quel type d'attaque a lieu, est-ce que c'est sur les données des citoyens, au niveau de cette municipalité-là, mais... ce qui peut porter préjudice. Donc, c'est d'être beaucoup plus informés, plus rapidement, et de communiquer ces attaques-là.

Le Président (M. Simard) : D'autres commentaires sur l'article 7? Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Mais est-ce que, par exemple... Vous avez donné l'exemple d'un centre de données privé, donc un centre... Prenons Amazon, puisqu'on sait qu'il y a de l'infonuagique d'Amazon au Québec. Est-ce que, s'ils avaient... eux seraient obligés de le déclarer avec cet article de loi là, seraient obligés de déclarer qu'il y a eu une attaque sur leur système? Est-ce que ça les obligerait à aviser le ministre que c'est... c'est arrivé, par exemple?

M. Bélanger : Bien, je pense que c'est une bonne question, puis la réponse serait oui, surtout si... surtout si on a des données... bien, je peux vous confirmer, pas des données sensibles, mais des données qui seraient... qui seraient stockées. Mais, pour un autre exemple, et... Exemple, Valero, sur la Rive-Sud, c'est... ça peut... ça peut porter préjudice à des... à un service essentiel, si c'est une centrale énergétique ou une raffinerie. Donc, par règlement... par décret, on va définir, justement, quels sont les... quels sont les services ou le type d'entreprises, que ce soient publics, mais aussi privés.

Mme Caron : Donc, par exemple... ou c'est... une entreprise de câblodistribution, entreprise privée, pourrait aussi être soumise à cet article de loi là, puisque peut-être que les services cellulaires qui passent... qui sont offerts par cette entreprise ne pourraient pas fonctionner, puis c'est de la... de la télécommunication. Donc, je comprends qu'on ne fera pas la liste aujourd'hui, là, de tout... de toutes les entreprises. Ce sera dans... les critères seront établis par décret, mais ce serait... ce serait un exemple, là, simplement, pour fins de compréhension.

M. Bélanger : Oui, tout à fait, un petit peu comme le ministère de l'Environnement le fait, ou le recensement au niveau des lacs, des niveaux d'eau, des risques de déversement, de débordement, tout ça. Bien, c'est quand même assez nouveau, là, au niveau des... au niveau des cyberattaques, mais je pense que c'est quand même une initiative qui est importante, de déborder du cadre uniquement public.

Mme Caron : Et est-ce que, donc, on peut s'attendre à ce qu'une fois le projet de loi sanctionné, bien il va y avoir... le travail va commencer immédiatement après pour préparer un décret, comme pour... dans le 12.5.3, un règlement, aussi, pour...

M. Bélanger : Oui. La réponse, c'est oui. Puis j'ai des exemples, ici, en termes de services au Canada, tout ce qui est énergie, services publics, technologie de l'information, communications — on en a parlé — la santé, alimentation... alimentation, justement, au niveau des... c'est important, l'eau, transports, sécurité, gouvernement, manufacturier. Puis là, on a des exemples d'autres pays, là.

Mme Caron : Merci.

Le Président (M. Simard) : D'autres commentaires sur l'article 7? Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci. Tout à l'heure, vous avez mentionné qu'il pourrait y avoir, au sein d'une municipalité, une atteinte à la... à la confidentialité de renseignements personnels. Est-ce que c'est vraiment un cas qui est visé, ici, par l'article qu'on étudie?

M. Bélanger : ...un exemple que j'utilisais. Mais le ministère va proposer... et puis on est déjà en discussion avec des municipalités, justement... de proposer des... une collaboration avec les municipalités, qui... que ce soit pour l'authentification au niveau citoyenne, le SAG, par exemple, c'est un exemple, mais aussi au niveau des données, comment les données citoyennes sont stockées, où elles sont stockées...

M. Bélanger : ...le niveau de... Donc, je peux... Je pourrais donner un avis ou exiger une certaine façon de protéger justement des données citoyennes au niveau du municipal sans s'ingérer directement au niveau gestion municipale.

Le Président (M. Simard) : Alors, en conclusion. En conclusion, non pas par rapport au temps qu'il vous reste pour l'étude de l'article, mais par rapport au temps qu'il nous reste pour la présente session.

Mme Setlakwe : Bien, je pense qu'on pourrait peut-être poursuivre la discussion. Pas qu'on en aurait pour des heures, mais oui, je pense qu'on n'a pas terminé, on... Mais c'est terminé pour aujourd'hui. C'est ce qu'on doit comprendre. O.K. Parfait.

Le Président (M. Simard) : Eh oui, malheureusement, chère collègue, parce qu'il est 13 heures, maintenant, un peu dépassé. Alors, sur ce, merci pour votre précieuse collaboration. C'est toujours fort apprécié. Et sur ce, je suspends nos travaux. Et n'allez pas trop loin parce qu'on se retrouve tout de suite après l'heure du repas.

(Fin de la séance à 13 heures)