Journal des débats (Hansard) of the Committee on Public Finance

(Dix-neuf heures trente-six minutes)

La Présidente (Mme Poulet) : À l'ordre, s'il vous plaît! Alors, ayant constaté le quorum, je déclare la séance de la Commission des finances publiques ouverte. Je demande à toutes les personnes dans la salle à bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de poursuivre l'étude détaillée du projet de loi n° 82, Loi concernant l'identité numérique nationale et modifiant d'autres dispositions.

M. le secrétaire, est-ce qu'il y a des remplacements?

Le Secrétaire : Oui, Mme la Présidente. Mme Mallette (Huntingdon) est remplacée par Mme Tremblay (Hull); M. Beauchemin (Marguerite-Bourgeoys), par Mme Setlakwe (Mont-Royal—Outremont); M. Morin (Acadie), par Mme Caron (La Pinière); Mme Zaga Mendez (Verdun), par M. Bouazzi (Maurice-Richard).

La Présidente (Mme Poulet) : Merci. Alors, lors de l'ajournement de nos travaux, le 22 mai dernier, nous en étions à l'étude de l'article 7. Est-ce qu'il y a des interventions sur cet article? Oui, Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Oui, mais 7, en fait, prévoit que... que... l'article réfère à 12.5.3 qu'on a adopté, il me semble, de mémoire, oui, qui... 12.5.3 est modifié par l'article 11. Donc, on avait inversé l'ordre de l'étude de ces articles-là. Mais j'aurais... moi, j'aurais juste une question, si vous me permettez, là. Je sais qu'on a... on a... on a voté sur 12.5.3, mais juste une question par rapport au règlement qui va être adopté subséquemment, là, pour déterminer «les cas et les circonstances dans lesquelles une atteinte présente un risque de préjudice sérieux ou les critères permettant de déterminer si une atteinte présente un tel risque». Je lisais le mémoire de la CAI à la page 32, là, quand ils ont fait leurs commentaires sur les modifications apportées à LGGRI, puis leurs commentaires, là, portent le sur... Sur le fond, ils sont... ils sont... ils trouvent que c'est une bonne chose, là, ce qui est fait à 12.5.3, incluant d'étendre l'obligation à... pas seulement aux organismes publics, mais aussi ouvrir à la société civile.

Mais là où ils ont un commentaire, c'est... ils ont mentionné, dans leur mémoire à la page 32, «qu'il y a déjà des lois-cadres qui concernent la protection des renseignements personnels, évidemment, et qui prévoient déjà l'obligation pour les organismes publics et les organisations privées d'aviser la commission ou, selon le cas, le ministre de la Santé et des Services sociaux et la commission lorsqu'un incident de confidentialité implique des renseignements personnels... ou lorsqu'un incident de confidentialité impliquant des renseignements personnels présente un risque d'un préjudice... qu'un préjudice sérieux soit causé.» Eux, essentiellement, ce qu'ils disent, c'est que, là, il y aura deux régimes similaires et ils souhaitent sensibiliser les parlementaires sur «la confusion qui pourrait être créée par la présence dans la législation de deux concepts similaires portant sur des matières intrinsèquement reliées entre elles, mais pouvant mener à des obligations, des déclarations différentes. Cela sera — puis je vais juste terminer la lecture du paragraphe — cela sera d'autant plus vrai si les cas et les circonstances dans lesquelles une atteinte présente un risque de préjudice sérieux ou les critères permettant de déterminer si une atteinte présente un tel risque — fermer les guillemets — qui seraient déterminés dans un règlement du ministère ne sont pas établis avec précaution et en cohérence avec le concept de préjudice sérieux prévu aux trois lois-cadres en matière de protection des renseignements personnels.»

Donc, bref, la question c'est : Comment répondez-vous à cette préoccupation de la CAI, là, qui nous qui sensibilise à ne pas justement créer une confusion?

• (19 h 40) •

M. Bélanger : Mme la Présidente, si c'est possible, je laisserai Me Drolet répondre à cette question-là particulière.

La Présidente (Mme Poulet) : Oui. Est-ce qu'elle a déjà pris la parole?

Une voix : ...

La Présidente (Mme Poulet) : Pas aujourd'hui? Alors, ça va prendre votre nom, votre titre, s'il vous plaît, vous présenter. Alors, par la suite, on va vous écouter.

Mme Drolet (Émilie) : Parfait. Donc, Émilie Drolet, avocate pour les affaires juridiques pour le MCN. Donc, pour répondre à la question, là, il n'y a pas de confusion. C'est vraiment deux régimes qui s'appliquent... qui peuvent s'appliquer ou pas à une même situation. Donc, finalement, il y a un régime qui s'applique dans la loi sur l'accès, la Loi sur la protection des renseignements personnels et la Loi pour les renseignements santé et services sociaux quand il y a un incident de confidentialité, donc dès que ça touche ou ça implique la présence de renseignements personnels. Mais ici, quand on est dans le... l'article est proposé par la LGGRI, c'est vraiment un événement, une atteinte ou un risque d'atteinte à la sécurité de l'information. Donc, vraiment, il y a... il y a soit un bris de disponibilité, un bris d'intégrité ou un bris de confidentialité, mais qui ne concerne pas nécessairement un renseignement personnel. Donc, une même situation pourrait être couverte par les deux régimes, mais, à l'inverse, ça pourrait être...

Mme Drolet (Émilie) : ...uniquement un incident de confidentialité au sens de la Loi sur l'accès et les autres lois du régime de PRP. Tandis que, dans la LGGRI, on est vraiment dans des situations de sécurité, là, bris de disponibilité, intégrité, confidentialité.

Mme Setlakwe : Merci. Mais pour revenir donc à 7, il me semble que la discussion qu'on avait, je pense, c'est il y a deux semaines ou peut-être... oui, ou peut-être la semaine dernière, peu importe, lors de la session précédente, on échangeait avec le ministre à savoir est-ce qu'il y aurait des exemples à fournir de ce qui est visé justement ici à l'article 7.

M. Bélanger : Des exemples de?

Mme Setlakwe : Des exemples de situations qui peuvent survenir auprès... au sein de toute personne ou toute entité propriétaire ou exploitante d'un système ou d'une infrastructure essentielle.

La Présidente (Mme Poulet) : ...vous allez... M., votre nom et votre titre, s'il vous plaît.

Le Secrétaire : ...

La Présidente (Mme Poulet) : Consentement pour que M.... prendre... Oui. Consentement.

M. Gauthier (Steve) : Steve Gauthier, directeur général du Centre gouvernemental de cyberdéfense au MCN.

Les exemples. On va ramener ceux qui avaient été donnés, là, la dernière séance. Des secteurs essentiels, là, qui vont être visés principalement, ça va être des secteurs comme l'énergie, télécommunications, finances, santé, alimentation, eau, eau potable, eaux usées, transport, sécurité, gouvernement, manufacturier. Et ce n'est pas nécessairement l'ensemble des entreprises, organisations de ces secteurs-là, mais c'est celles qui vont desservir une certaine masse critique de citoyens en général.

M. Bélanger : Les services essentiels.

M. Gauthier (Steve) : Essentiels.

Mme Setlakwe : Merci. Et qu'est-ce qu'on avait dit aussi par rapport aux municipalités? Elles rentreraient dans quelle catégorie? Quel article s'appliquerait aux municipalités?

La Présidente (Mme Poulet) : M. Gauthier.

M. Gauthier (Steve) : Oui. En fait, les municipalités, c'est l'eau. Donc, leur service d'eau potable, par exemple, ferait partie... s'il y a un incident, ferait partie des incidents à déclarer. Par contre, si on pense à d'autres services, comme le site Web de la municipalité, c'est un service qui est utile à la population, à ses citoyens, mais qui n'est pas aussi critique, aussi essentiel que l'eau. Donc, ce n'est pas l'ensemble des incidents de sécurité qui auraient à déclarer, c'est seulement ceux qui concernent la partie essentielle et selon certains critères aussi, là, qui... à l'article 1253, vont être déterminés par le ministre. Donc, ce n'est pas tous les incidents, mais c'est ceux qui sont... qui amènent un préjudice plus élevé.

Mme Setlakwe : Merci, moi, ça va.

M. Bélanger : Dans le fond, c'est toute entité propriétaire ou exploitante d'un système qui est un service essentiel, entre autres...

La Présidente (Mme Poulet) : Est-ce qu'il y a d'autres interventions sur l'article sept? Oui. Mme la députée de La Pinière.

Mme Caron : Et je comprends que, quand on dit que «le ministre détermine», ce sera par décret ou par règlement?

M. Bélanger : Arrêté ministériel.

Mme Caron : Par arrêté ministériel?

M. Bélanger : Oui.

Mme Caron : Merci.

La Présidente (Mme Poulet) : D'autres interventions? Alors, est-ce que l'article 7 est adopté? Adopté. Alors, l'article huit, M. le ministre.

M. Bélanger : L'article huit, bien, c'est plus de concordance. Je vais quand même le lire puis le commenter. L'article huit : À l'article huit, «l'article 7.1 de cette loi est modifié par la suppression du deuxième alinéa.»

L'article 8 du projet de loi propose le retrait du dernier alinéa de l'article 7.1 de la Loi sur la gouvernance et de la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G1-1.03) qui concerne le pouvoir de délégation du dirigeant principal de l'information en raison du nouvel article 7.2 proposé par l'article neuf du projet de loi.

La Présidente (Mme Poulet) : Des interventions?

Mme Setlakwe : Oui, merci, Mme la Présidente. Donc, moi, ce que je comprends, c'est que le libellé, il n'est pas tout à fait... On ne retire pas complètement, là, le pouvoir de délégation. On vient de l'élargir et on le prévoit dans un article... un article séparé, 7.2.

M. Bélanger : L'article suivant, à 9, 7.2. Oui, c'est ça.

Mme Setlakwe : Est-ce que, dans l'ordre des choses, c'est... je ne sais pas, moi, ça me... on n'étudie pas un avant l'autre? En tout cas.

M. Bélanger : Bien, comme on avait fait 11, tantôt. On aurait pu faire 9 avant mais...

Mme Setlakwe : Oui, on va en discuter, donc.

M. Bélanger : Il est assez simple, 9 aussi, là, tu sais. C'est du remplacement.

La Présidente (Mme Poulet) : On va rester à l'article huit. Alors, est-ce qu'il y a d'autres interventions sur l'article huit? Oui. Mme la députée de La Pinière.

Mme Caron : Merci, Mme la Présidente. Alors, quand on parle du dirigeant principal de l'information...

Mme Caron : …qui agit à titre de chef gouvernemental pour la sécurité de l'information, chef gouvernemental de la transformation numérique, gestion des données numériques gouvernementales. On fait référence à qui? Qui est ce dirigeant principal de l'information?

M. Bélanger : Actuellement, il est au ministère du Numérique et de la Cybersécurité, sous-ministre aussi, oui.

Mme Caron : C'est le sous-ministre du ministère…

M. Bélanger : Oui, actuellement.

Mme Caron : Et est-ce que ça va changer avec le projet de loi ou ça va rester?

M. Bélanger : Non.

Mme Caron : Ça va rester?

M. Bélanger : Oui.

Mme Caron : D'accord. Merci.

M. Bélanger : Tout à fait, à moins qu'il soit remplacé un jour, là…

Mme Caron : Bien, la personne peut toujours être remplacée, mais on parle de la fonction, là, la fonction, dans le projet de loi, n'est pas changée. Ça demeure comme c'est.

M. Bélanger : Exactement, la DPI, comme ça qu'on l'appelle, le DPI, oui.

La Présidente (Mme Poulet) : Est-ce qu'il y a d'autres interventions? Est-ce que l'article huit est adopté?

Des voix : Adopté.

La Présidente (Mme Poulet) : Adopté. L'article neuf. M. le ministre.

M. Bélanger : L'article neuf, je vais le lire, c'est une clause de substitution ou de remplacement. Cette loi est modifiée par l'insertion, après l'article 7.1 du suivant :

« Le dirigeant principal de l'information peut déléguer par écrit à une personne relevant de sa direction l'exercice d'une fonction, d'un pouvoir ou d'une responsabilité prévu par la présente loi et en découlant. Il peut, dans l'acte de délégation, autoriser la subdélégation de l'une ou de l'autre des fonctions, pouvoirs ou responsabilités qu'il indique. »

La Présidente (Mme Poulet) : Des interventions? Mme la députée d'Outremont… Mont-Royal—Outremont, pardon.

Mme Setlakwe : Oui. Bien, simplement nous expliquer pourquoi il est souhaitable ou nécessaire d'élargir le pouvoir de délégation du dirigeant principal de l'information.

M. Bélanger : Bien, c'est justement pour que… en remplacement, là, lorsqu'il est remplacé, qu'il puisse y avoir une personne qui remplace le DPI, direction principale, pour pouvoir justement exécuter le mandat, là, qui lui est requis, en termes de gouvernance…

Mme Setlakwe : Mais ça existait déjà?

M. Bélanger : En termes de gouvernance et de gestion.

Mme Setlakwe : La possibilité de déléguer existait déjà, là, on l'a supprimée pour le remplacer par un libellé plus détaillé, plus large. Donc, ma question, c'est : Pourquoi est-ce qu'on a jugé bon d'élargir le libellé?

M. Bélanger : Actuellement, la délégation des responsabilités du DPI se fait uniquement à travers des rôles décrits à l'article 7.1 de la LGGRI. Cela n'inclut pas l'intégralité des fonctions, des pouvoirs et des responsabilités du DPI prévus ou découlant de la LGGRI. Avec l'ajout de la nouvelle disposition 7.2, il sera plus facile pour le DPI de mener à bien sa mission puisqu'il sera soutenu par cette nouvelle possibilité de déléguer et de subdéléguer. Considérant la multiplication des mandats du DPI, il s'agit d'un ajout judicieux et efficient.

Mme Setlakwe : Donc, actuellement, quelle est la problématique avec le libellé actuel?

M. Bélanger : Bien, actuellement, je pense que ses pouvoirs ne… il ne pouvait pas déléguer entièrement ou… entièrement les pouvoirs qu'il avait.

• (19 h 50) •

Mme Setlakwe : Mais par exemple, là, concrètement, là, dans l'exercice des fonctions, qu'est-ce qui fait actuellement qu'il y a des… qu'il y a un débordement, qu'il y a des des éléments du mandat ou… puis j'ai la LGGRI sous les yeux, là, je vois… je vois très bien quelles sont les… quelles sont les fonctions du DPI, dirigeant principal de l'information. Donc, si on souhaite élargir, c'est que dans la situation actuelle, il y avait des… il y avait des fonctions, ou plutôt la façon dont c'était rédigé, c'étaient les responsabilités. Donc, donnez-nous, là, dans un exemple concret, là, qu'est-ce qui… dans un dossier spécifique, qu'est-ce qui fait que le DPI souhaite déléguer et même subdéléguer des fonctions, des pouvoirs, des responsabilités.

M. Bélanger : Bien, je laisserais peut-être Me Bacon, là, parce que c'est plus spécifique, là, au niveau de ce qu'il peut déléguer, de ce qu'il ne peut pas déléguer, là...

La Présidente (Mme Poulet) : Alors, Maître Bacon, vous nommer et vous… avec votre titre et ensuite on vous écoute. Consentement, pardon, est-ce qu'il y a consentement?

Des voix : Consentement.

La Présidente (Mme Poulet) : Parfait.

Mme Bacon (Nathalie) : Mme la Présidente, Nathalie Bacon, légiste pour le ministère de la Cybersécurité, Numérique. Alors, la… dans le fond, la proposition législative qui vous est faite est très technique. Vous connaissez peut-être, et sans doute, le principe qu'on ne peut pas déléguer ce que la loi ne nous autorise pas à déléguer. Alors, dans le cas du DPI, c'est une fonction qu'il doit assumer personnellement, quand je dis « le DPI », le dirigeant principal de l'information. Alors, la loi sur la fonction publique lui permet de déléguer certains pouvoirs lorsqu'il est absent ou empêché d'agir ou vacances. Alors, c'est la délégation par intérim, mais autrement…

Mme Bacon (Nathalie) : ...exercer lui-même toutes les fonctions que la loi lui prévoit, sauf les fonctions dont il est prévu qu'elles peuvent être déléguées. Et vous avez actuellement l'article 7.1 de la LGGRI qui prévoit que ce qui peut être délégué, c'est les fonctions des... les trois chefs, là, qu'il peut déléguer la fonction de chef gouvernemental de la sécurité de l'information, de chef de transformation numérique et de gestionnaire de données numériques gouvernementales. Mais le DPI détient, en vertu de la LGGRI, beaucoup de pouvoirs à gauche et à droite, un peu ici et là dans la loi, et à chaque fois la question se pose : Est-ce que je peux déléguer ça, et il faut étudier le pouvoir pour voir son étendue. Est-ce que c'est quelque chose qui est très administratif et simple ou c'est quelque chose qui est engageant, à portée gouvernementale? Et dépendamment du résultat de l'analyse qu'on va faire, on va dire que, oui, le pouvoir va... peut être délégué ou pas, parce que c'est... il n'y a pas de danger au niveau de la règle de l'interdiction de déléguer.

Et depuis le 1er janvier 2022, le DPI est maintenant... ce qu'il n'était pas avant, avant, le DPI était au secrétariat du Conseil du trésor, maintenant, depuis qu'il y a eu la création du ministère de la Sécurité et du Numérique, le DPI est également le sous-ministre d'un gros ministère. Donc, la nécessité d'avoir une... au lieu d'avoir une petite délégation, je vais l'appeler comme ça, là, une grande délégation des fonctions. C'est ce que prévoit l'article 7.2, donc, un élargissement du pouvoir de déléguer, mais toujours dans des personnes sous sa direction.

Mme Setlakwe : Merci. Comment vous... comment est-ce que vous décrivez, là, M. le ministre, le rôle du DPI au sein de votre ministère?

M. Bélanger : Bien, il y a des règles. Je vais y aller plus général, là, il a des règles, là, je peux les retrouver, là, de gestion puis de gouvernance, mais son rôle, c'est un rôle d'aviseur au niveau des directions d'information, que ce soit des organismes ou les différents ministères. C'est un rôle d'accompagnement. C'est un rôle de... et il a un pouvoir de... on a un pouvoir d'audit. Donc, c'est un rôle de gouvernance et de gestion, de gestion au niveau des projets, pour s'assurer d'une saine reddition de comptes, entre autres, mais ce n'est quand même pas un pouvoir direct, là, c'est une différence entre le fonctionnel et le hiérarchique. Ce n'est pas une autorité hiérarchique au-dessus des directions informationnelles des différents ministères ou organismes publics.

Mme Setlakwe : Je comprends. Quand vous parlez de rôles de gouvernance, de gestion pour assurer une saine reddition de comptes, tout ça, ce n'est pas mentionné dans les fonctions à l'article 7.

M. Bélanger : Mais dans la LGGRI, on l'a.

Mme Setlakwe : Je suis à la LGGRI, là. Il y a une longue liste de fonctions, et, à la fin, bien, on écrit plutôt «toute autre fonction que lui attribue le ministre ou le gouvernement».

M. Bélanger : ...tous les passer un par un, là, mais voulez-vous qu'on les lise, dans 7, là, dans la LGGRI, on peut les... «le pouvoir de développer et de soumettre au ministre une vision globale en matière de ressources informationnelles et à favoriser l'adéquation entre, d'une part, les priorités gouvernementales et les priorités des organismes publics». Donc, priorisation au niveau des projets, en termes d'importance ou de résultat, de mettre en œuvre les politiques et les directives, de formuler et de transmettre aux organismes publics des indications d'application en matière de ressources informationnelles auxquelles ces derniers doivent se conformer. Il y a aussi le pouvoir d'aviser au niveau des solutions, des... en termes de ressources informationnelles, des actifs, conseiller le ministre en matière de ressources informationnelles, notamment à l'égard des stratégies politiques, budget, cadre de gestion, standards. Donc, c'est un rôle, c'est un rôle d'aviseur, autant au niveau du ministre mais autant aussi au niveau des directions informationnelles des différents organismes publics et ministères... pas tous passés un après l'autre, là, mais...

Mme Setlakwe : Non, non, moi, je les ai sous les yeux aussi.

M. Bélanger : Le pouvoir de gouvernance.

Mme Setlakwe : La Vérificatrice générale, dans son rapport sur le dossier CASA/SAAQclic, elle y fait mention, effectivement, à une certaine époque, comme Me Bacon l'a mentionné, le DPI relevait, donc, du Conseil du trésor, mais, aujourd'hui, donc, il relève du MCN, et à deux reprises dans son rapport, elle parle du fait que, bon, des informations incomplètes avaient été transmises par la SAAQ à la CAP, la Commission de l'administration publique, et au dirigeant principal de l'information...

Mme Setlakwe : ...et l'autre... ça, c'est la page 29, à la page 52. «La SAAQ au niveau... donc manque de transparence des redditions de comptes externes. La SAAQ rendait compte de l'avancement du programme, notamment à la CAP ou DPI et à la population. Or, l'information contenue dans les documents transmis ne ferait pas un portrait clair et complet de la situation».

J'essaie juste de comprendre. Est-ce qu'en ce moment le DPI à tous les... tous les pouvoirs, toutes les fonctions? Est-ce que c'est un... on peut considérer que c'est un chien de garde? Est-ce que c'est prévu que le DPI agit comme... comme vous l'avez mentionné, là, comme responsable de la gouvernance, de suivi de gestion pour assurer une saine reddition de comptes?

M. Bélanger : Bien, il a un pouvoir fonctionnel, tu sais, il a un pouvoir de... là, je les ai quand même en détail, là, mais, dans le fond, il peut faire de la surveillance, et de l'accompagnement, et de la gestion. Je n'entrerai pas dans le détail des trois, mais ce n'est quand même pas un pouvoir hiérarchique. On a voulu avoir des organismes et des sociétés, des ministères qui ont quand même une certaine indépendance pour ne pas avoir nécessairement trop d'influence, d'influence politique au niveau des projets. Mais votre question, si c'est sur SAAQclic, puis là je vais être prudent aussi, puis sur le projet CASA, en 2014, il y avait eu quand même une extension au niveau de la LGGRI, je crois que cette exemption-là, elle a été enlevée peut-être en 2020, à partir de 2020, il me semble. Et puis, par la suite, là, il pouvait y avoir... on pourrait... on pouvait revenir avec une certaine supervision, une certaine gestion et... Votre question, c'est sur la reddition, là? Lorsqu'on reçoit, exemple, les informations? Peut-être préciser, là.

Mme Setlakwe : Moi, mon regard n'est pas tourné vers CASA, SAAQclic. Encore une fois, puis ce n'est pas la première fois que je le dis ici, mais il est important qu'on se pose des questions aujourd'hui, à savoir est ce que la loi, les mécanismes, les pouvoirs, les fonctions qui sont prévues dans les lois applicables vont nous permettre ou, en tout cas, augmenter les chances d'assurer une meilleure réédition de comptes dans d'autres projets qui impliquent des sociétés externes, qui impliquent des... différents projets, là, qui concernent la transformation numérique? Et je me souviens que la... évidemment, quand je parle de la vérificatrice générale, ce n'est pas pour qu'on en fasse l'analyse du passé, mais c'est pour se demander... Elle mentionne quand même le DPI, elle l'a dit aussi verbalement, j'étais là quand elle a présenté son rapport, elle a dit «C'est un rôle très important, c'est un chien de garde». Et essentiellement, son message, c'était : Assurez-vous que, pour le futur, on ait les bonnes personnes à la bonne place avec les bonnes informations pour pouvoir communiquer ces informations là, complètes, aux décideurs.

• (20 heures) •

M. Bélanger : Moi, quand je suis arrivé en poste, j'ai répertorié, il y avait un millier de projets, il y en avait 200 quelques en exécution. Donc, mon focus était beaucoup au niveau des projets qui sont en exécution. Parce que lorsqu'il y a une planification de projets à venir, il va y avoir un dossier, un dossier qui va être analysé parce que ça prend une approbation au niveau des fonds. Donc, je n'ai pas... Le focus n'a pas été nécessairement à ce niveau-là, a été beaucoup au niveau des projets qui sont en exécution.

Puis je vous ai fait l'analogie de... Mais c'est sûr qu'un ministre a un rôle, le ministre a un rôle puis le DPI a un rôle aussi pour assister le ministre. Mais ma position, c'est que les 200 quelques projets que j'ai reçus au début, je les ai tous considérés comme... avec peut-être un certain niveau de risque, parce qu'au niveau informatique il y a toujours un niveau de risque. Donc, c'est l'exercice que j'ai fait. Je les ai pris. Puis, je me rappelle, on s'était parlé, puis on avait une quarantaine de projets, à un moment donné, à l'étude de crédits que je jugeais, qui étaient... possibilité de... à un certain risque, un risque de dépassements de coûts ou d'échéancier. Donc, il y avait des lumières rouges. Mais, dans certains cas, il n'y avait même pas de lumière rouge. Je parlais de mes pastèques, là, puis tout ça, je considérais que peut-être que ces projets-là pouvaient être à risque, donc j'ai fait les recherches. Et puis...

Donc, on demande de l'information, on demande de l'information qui dépasse l'information que je reçois, pas qu'on la met en doute, mais je questionne quand même. Aujourd'hui, j'ai réduit cette liste-là à 20 quelques projets...

M. Bélanger : ...si vous me demandez : Est-ce que j'ai tous les pouvoirs? Je ne pense pas que ce serait judicieux d'avoir tous les pouvoirs. Je n'ai pas le pouvoir d'arrêter un projet. Je pourrais demander d'arrêter un projet, mais je n'ai pas le pouvoir de l'arrêter. C'est en collaboration avec, mettons, le ministre qui porte le dossier, mais j'ai un pouvoir d'audit. Donc, je peux décider à un moment donné, si je m'inquiète vraiment d'un projet, d'exiger un audit. Il va y avoir un audit, l'audit est partagé et on évalue, on évalue justement quels sont les... quelles sont les recommandations et suggestions. Je crois que c'est un pouvoir qui est quand même important, et puis, s'il est bien exercé, si je juge qu'il doit y avoir un accompagnement, puis je n'irai pas projet par projet, mais si je juge qu'il doit y avoir un accompagnement, je vais proposer l'accompagnement au niveau de l'équipe, que ce soit de l'organisme public ou d'un ministère en particulier.

Donc, je ne sais pas si je réponds à votre question, ça dépend peut-être du niveau de curiosité ou du niveau d'exigence de reddition de comptes, mais j'ai passé 40 ans en gestion informatique puis c'est un marché qui a changé beaucoup, où, justement, le partage de risques... il y a eu un énorme changement au niveau du partage des risques. Avant les années 2000, avant le bogue de l'an 2000, il y avait beaucoup plus de prise de risques au niveau de ceux qui faisaient l'intégration puis ceux qui offraient des solutions. Et là, aujourd'hui, on se retrouve dans des situations où, surtout au niveau des... j'utilise le terme en anglais, au niveau des systèmes ERP, mais en français, c'est des systèmes de... progiciels de gestion intégrée, que ce soit SAP, que ce soit Oracle par exemple, c'est des solutions qui sont quand même... que moi, je considérais plus rigides. Et puis, dans certains cas, dans certains dossiers, si on utilise ces solutions-là puis qu'on essaie de les rendre agiles, il y a un certain facteur de risques. Donc, avec l'expérience que j'ai, je peux juger que c'est peut-être... certaines solutions exigent une analyse plus approfondie. Ça, c'est l'élément numéro un.

L'élément numéro deux, on a des enjeux de sensibilité au niveau des données. Donc, je vais questionner aussi au niveau des données. Est-ce que les données... où les données vont être hébergées? Est-ce qu'il y une possibilité d'accéder à des données qui pourraient être sensibles par le gouvernement américain dans le cadre, entre autres, du Cloud Act? Donc, c'est des questions que je pose, et puis c'est des... parfois, on cherche des solutions pour palier à ça, sans nécessairement avoir à modifier ou à repasser en appel d'offres.

Mme Setlakwe : Oui, merci pour ces informations. Juste avant de revenir sur la DPI, vous avez mentionné dans votre réponse que c'était une quarantaine de projets que vous aviez... auxquels vous aviez fait allusion durant l'étude des crédits. Et là vous, vous...

M. Bélanger : C'était plus, c'était...

Mme Setlakwe : Vous avez réduit cette liste à une vingtaine?

M. Bélanger : Moi, je suis parti avec les 200 quelques projets en exécution. J'ai questionné sur les 200 quelques projets, qu'ils soient parfois... ça peut être des projets auto portant, peut être que... je ne sais pas, peut être que la SAAQ, c'était peut-être un projet auto portant. Ou lorsqu'on fait l'analyse, on se dit : Les bénéfices générés vont supporter le projet, vont être suffisants au niveau des... au niveau du cash flow, entre autres. Donc, j'ai questionné tous les projets. À un moment donné, je suis arrivé avec une liste de 40 quelques projets il y a de ça peut-être un mois et demi. Aujourd'hui, je pourrais vous dire que je suis à peu près à 20 quelques projets. Je veux me rendre...

Mme Setlakwe : C'était un peu ça, l'essence de ma question, en période de questions aujourd'hui, c'était de savoir... Mais là on va revenir éventuellement à ma question sur le DPI, mais c'était exactement ce que je tentais de savoir quand je me suis e en Chambre, aujourd'hui, en période de questions. Puis j'ai dit : Bien, justement, en un mois, quel a été le résultat de votre analyse? Est-ce que vous avez donc identifié des projets qui nécessitent votre... plus spécifiquement votre attention?

M. Bélanger : J'ai réduit ma liste. Parfois, je me suis inquiété peut-être pour rien. J'ai réduit la liste. Des projets qui peuvent paraître à risque, mais qui ont un faible taux d'avancement puis qu'il y a un moyen de rattraper et de récupérer le projet, donc je vais évaluer, je vais évaluer le risque, ce sera ma décision, ça va être, après ça, en concordance avec un peu la décision de l'équipe. Où je vais m'inquiéter, c'est beaucoup plus un projet qui est près de 100 % en termes de budget puis un projet qui arrive un peu plus au niveau de son budget de maintenance lorsqu'on est en exécution, là, c'est inquiétant. Là, c'est inquiétant parce que la plupart... la plupart du temps.

M. Bélanger : ...quand on prévoit, on prévoit un budget pour développer, mettre en place et, par la suite il y a une maintenance, puis ça, parfois, ça peut être un an, deux ans, 10 ans, 10 ans, c'est peut-être trop, un an, ce n'est peut-être pas assez. Donc, c'est l'analyse, c'est l'analyse que je fais pour voir justement si le budget est suffisant. Et je peux analyser aussi le nombre de modifications qui a eu lieu, où on est rendus au nombre d'heures. Donc je peux quand même aller assez à fond. Et puis, à ce jour, je n'ai pas eu de demande de budget supplémentaire que je n'aurais probablement pas accordé de toute façon. À ce jour, ma position, c'est que je ne vais accepter aucune demande de budget qui dépasse les budgets prévus. À ce jour, c'est ça, ça, c'est ma position.

Donc, est-ce que l'effet va être... Parce qu'il faut être prudent, parce que l'effet peut être de retarder en amont des projets qui pourraient être intéressants puis qui ne voudront pas être présentés. Est-ce que c'est de retarder des projets qui sont existants parce qu'on a peur de dépasser? C'est tout ça que je dois considérer. Puis je mets une emphase importante au niveau de l'analyse du bénéfice, parce que, souvent, la problématique dans des projets informatiques, c'est que les bénéfices espérés dépassent beaucoup la réalité.

Mme Setlakwe : Merci. Et comment vous vous assurez que l'information se rend à vous, que l'information se rend au DPI sur les suivis? Moi, c'est ce bout-là que je n'arrive pas à ...

M. Bélanger : Bien, dans certains cas, je n'ai pas l'information ou on juge que l'information n'est pas là, bien, je vais parler avec le ministre responsable ou la ministre responsable. Et puis si, dans certains cas, je juge que l'information, elle ne se rend quand même pas, bien, je vais forcer un audit. 

Mme Setlakwe : Est-ce que vous vous êtes... vous avez questionné l'équipe de la Vérificatrice générale, à savoir qu'est-ce qu'elle cherchait exactement comme mécanisme de reddition de comptes bonifié pour permettre au DPI de pleinement jouer son rôle?

M. Bélanger : Bien, on a analysé le rapport, mais comme je vous le dis... comme je vous disais, j'ai passé 40 ans en transformation numérique, j'ai fait beaucoup de projets. Je connais bien les les systèmes, les systèmes PGI, comme SAP, Oracle, même au niveau des systèmes de Customer Relationship Management, c'est service clientèle, comme... ou autres, parce que vous les voyez un peu quand... Si vous regardez le tableau de bord, vous allez voir, vous allez voir passer ces noms-là.

C'est souvent... Je ne veux pas dire que je vais moins m'inquiéter sur des plus petits... des plus petites solutions qui sont plus flexibles et surtout si le budget est plus faible. Donc, le focus va être beaucoup à partir de tel coût, parce qu'un audit coûte quand même... c'est quand même une somme importante. Donc, je focusse sur le 20-80, là, 20 % des projets qui peuvent générer un potentiel de 80 % d'impact.

• (20 h 10) •

Mme Setlakwe : Je comprends, vous, vous avez de l'expérience et une expertise, etc. Mais là on regarde le texte de loi et vous dites que le DPI a un pouvoir aviseur, un rôle... un rôle d'aviseur. Mais comment est-ce qu'on s'assure que cette personne a, en main, les informations pertinentes, que ces informations-là montent... montent vers elle étant donné... puis que ce soit fait aussi de façon complète et adéquate? Et, moi, je ne le vois pas, je ne le vois pas, ce rôle de surveillance, de suivi, de gouvernance, je ne le vois pas dans le libellé.

M. Bélanger : Mais il n'est quand même pas tout seul. Il y a une équipe, là, puis il y a des tableaux de bord, il y a tout des outils d'analyse qui existent, là. En...

Mme Setlakwe : Ou si c'est mentionné ailleurs dans la LGGRI, juste nous le dire...

M. Bélanger : Au niveau de la LGGRI...

Mme Setlakwe : ...parce qu'on est en train, justement, de faire des changements à la LGGRI dans la section qui concerne le DPI. Encore une fois, c'est la Vérificatrice générale qui nous dit : Cette personne-là est centrale, c'est le chien de garde. Et donc, nonobstant l'expertise ou la curiosité du ministre, il faut qu'on ait, dans nos textes de loi, toutes les fonctions appropriées, qu'on les désigne, qu'on les nomme, il me semble, pour le DPI...

M. Bélanger : Mais avant que ma collègue...

Mme Setlakwe : ...puis, si ce n'est pas nécessaire, bien, qu'on nous le dise. 

M. Bélanger : ...Me Bacon réponde...

M. Bélanger : ...je peux quand même vous dire, puis je vais être très franc, quand je suis arrivé en poste, j'avais... j'ai questionné à plusieurs fois, puis j'avais quand même des tableaux qui semblaient être intéressants, qui semblaient être positifs, et puis, à cause de la solution, qu'est-ce que ça transformait, qu'est-ce qui se passait de... comment les postes de travail étaient... Je dis... je ne parle pas de tel... si c'est tel ou tel syndicat ou si telle ou telle tâche, mais de quelle façon avait été planifiée la gestion du changement, est-ce qu'il y avait une gestion du changement qui était budgété, etc. Ça fait que j'ai posé ces questions-là. Puis je pourrais vous dire que c'est pour ça, qu'il y avait peut-être six tableaux qui étaient... qui étaient en rouge. On est tombés à 42. Je vous ai dit que je suis tombé à 42 projets. Là, je l'ai réduit. Donc, j'ai posé des questions additionnelles. Ce n'est pas que le DPI ne faisait pas... ne faisait pas son travail, tu sais, on est quand même... il y a quand même une équipe, mais je pense que j'ai pu peut-être apporter des questionnements. J'ai eu les réponses. Et je pense que c'est normal, quand un nouveau ministre qui arrive dans un rôle, dans une fonction, de questionner peut-être plus. Ça fait que j'ai peut-être été alarmiste. Il y en a certains qui m'ont trouvé alarmiste. Mais j'aime mieux être... prévoir que, d'après ça, devoir subir et d'être réactif.

Mme Setlakwe : Alors, je pense que Me Bacon souhaitait répondre à la question.

M. Bélanger : Oui, elle voulait absolument répondre, je lui ai coupé la parole.

Mme Bacon (Nathalie) : Merci, Mme la Présidente. Alors, je vais faire juste une petite parenthèse. D'abord, le dirigeant principal d'information, ses fonctions sont prévues à la LGGRI. Il y a plusieurs articles qui s'appliquent. C'est sûr qu'aujourd'hui on fait un projet de loi, on vient modifier le pouvoir de délégation pour l'élargir, mais tout ce qui est déjà prévu à LGGRI concernant le DPI, ça continue de s'appliquer. Le DPI est une fonction, effectivement, très importante. Alors, c'est une fonction qui a été introduite en 2011, en même temps qu'on a fait la LGGRI. Et il faut savoir que le DPI, ça existe dans chacune des provinces canadiennes aussi à l'échelle du gouvernement fédéral. Donc, c'est comme le chef de l'informatique, avant on appelait ça informatique, là.

M. Bélanger : Un CTO.

Mme Bacon (Nathalie) : Oui, c'est ça, un CTO. Donc, il y a... il y a tous ces pouvoirs à la LGGRI. Je vais juste vous citer l'article 7, paragraphe 4° : «Le dirigeant principal de l'information a notamment pour fonctions : de coordonner la mise en œuvre des initiatives en ressources informationnelles.» Les initiatives en ressources informationnelles, ça fait référence aux projets en ressources informationnelles. Nécessairement, lui, en tant que grand chef de l'informatique, au niveau du fonctionnement organisationnel, il va rendre compte au ministre, donc il va faire des suivis au ministre. Mais chaque organisme public, puis ça, on l'a répété à quelques occasions, chaque organisme public et... a son autonomie et est responsable de ses propres projets en ressources informationnelles et on une reddition de comptes à faire de façon régulière au ministère de la Cybersécurité et Numérique, notamment en vertu des règles en ressources informationnelles. Je vous référerais l'arrêté ministériel numéro 2022-03 qui a été modifié en 2024, en 2024, et vous avez, après ça, une série d'articles qui... notamment le 16.4 qui prévoit que le dirigeant principal d'information peut requérir, donc demander d'un organisme public une reddition de comptes concernant un projet en ressources informationnelles. Et le dirigeant principal d'information, également, peut poser toute question, là, c'est un autre article qui le prévoit, autrement dit, demander des questions. Donc, il y a une reddition de comptes que chaque organisme public doit faire qui est, je dirais, normalisé à même des règles, qui sont prévues dans un arrêté ministériel, et ensuite il y a des grands pouvoirs qui sont confiés au DPI qu'il peut exercer, et, nécessairement, le ministre aussi a certains pouvoirs.

Mme Setlakwe : O.K., merci. Donc, qu'on ait la mise en œuvre des initiatives, c'est-à-dire des projets, notamment, visant à la transformation organisationnelle, plus spécifiquement celle visant une intervention publique numérique axée sur les besoins des citoyens, entreprises, organismes publics. Excellent! Et puis là vous nous référez à un arrêté ministériel qui oblige les dirigeants de l'information au sein de chaque organisme à rendre des comptes au DPI. Dans le fond, chaque dirigeant rend des comptes au DPI. Puis il n'y a pas de seuil de matérialité, c'est selon, tu sais... parce que l'on pourrait faire sortir ces règles-là.

Mme Bacon (Nathalie) : Les dirigeants, les dirigeants de l'information, eux autres aussi, leur rôle est prévu dans la LGGRI. Ils rendent compte au DPI, mais...

Mme Bacon (Nathalie) : ...lorsque c'est dit dans la LGGRI que le DPI peut demander à un organisme public, c'est au haut dirigeant qu'il peut demander. Alors, c'est à... ce n'est pas juste... ce n'est pas juste un rapport DI-DPI, c'est aussi un rapport DPI qui demande aux dirigeants des organismes publics, la haute autorité d'un organisme public, qu'en est-il. C'est possible de le demander.

Je voudrais préciser que les règles prévues par l'arrêté ministériel en 2022 n'ont pas été modifiées. C'est... C'est les règles par décret qui ont été modifiées en 2024, là. Tantôt, j'ai...

Mme Setlakwe : O.K. Merci.

Mme Bacon (Nathalie) : C'est juste l'arrêté ministériel numéro 2022-03.

Mme Setlakwe : Merci. O.K. Donc, le DPI a un rôle, pas seulement au niveau de la sécurité de l'information, mais aussi au niveau du suivi des initiatives ou des projets.

Mme Bacon (Nathalie) : Il a un rôle au niveau de tout ce qui est ressources informationnelles, donc l'ensemble. La matière des ressources informationnelles au gouvernement est un champ d'intervention étatique, c'est-à-dire que c'est tout ce qui concerne les ressources informationnelles du gouvernement. Évidemment, il y a des principes applicables, comme chaque organisme public est responsable de ses ressources et de ses projets, mais il y a une espèce de coordination à l'échelle gouvernementale avec le DI... DPI et les DI et les pouvoirs qui sont prévus à la LGGRI actuellement.

Mme Setlakwe : O.K., donc, on a... on a la LGGRI, on a l'arrêté ministériel, on a des règles applicables en vertu de l'arrêté et donc aussi de la LGGRI, et tout est là pour s'assurer que l'information circule... bien, qu'elle soit... qu'elle... Oui. Bien oui.

M. Bélanger : Ça dépend. C'est fonctionnel. Les DI ne se rapportent pas au DPI. Donc, vous pouvez avoir un organisme public, qui... j'appellerais autoportant, fonctionne vraiment bien, les budgets vont bien, ils vont peut-être... cet organisme-là va peut-être avoir une plus grande indépendance. Et, pour obtenir l'information, c'est peut-être parfois un petit peu plus... il faut être un petit peu plus perspicace, écrire plus souvent pour... de façon à obtenir ce qu'on veut avoir comme... comme réponse. Je ne dis pas que, plus l'organisme est gros, plus c'est difficile à obtenir. Mais, dans certains cas, ça peut être un petit peu plus... ça peut être peut-être un petit peu plus difficile. Si on a jugé, en 2014... si la SAAQ, entre autres, en 2014, a jugé que c'était... en anglais, j'utilise «pain in the neck» d'être obligés de faire de la reddition de comptes, puis ils ont demandé de s'en exclure, c'est parce que c'est... ça peut être... ça peut être... pas «agressant», je ne veux pas utiliser le terme «agressant», mais ça peut être lancinant.

Moi, je pense que c'est important parce que... surtout au niveau des... On l'a au niveau des infrastructures de transport, les ponts, etc, les routes, mais au niveau des solutions informatiques, les compétences sont tellement variées, le risque... le risque est tellement élevé, surtout si on arrive avec une solution qui est rigide. SAP est un bon exemple. C'est une solution au niveau de finances, ressources humaines et approvisionnement. C'est... Ce sont des modules qui sont très rigides. Et puis, parfois, on aurait peut-être avantage à mutualiser, à regarder en différents organismes, peut-être, d'utiliser une solution qui pourrait être mutualisée.

• (20 h 20) •

Si on regarde l'émission de permis, etc., bien, peut-être que l'émission de permis au Québec, les particularités pour une solution qui est comme SAP, va peut-être exiger des milliers d'heures de modifications pour être capable d'avoir un module assez agile pour justement faire la reddition de comptes à même... à même la solution. Donc, c'est souvent ça, la complexité. Puis je vous dirais qu'on a, dans la stratégie, dans notre stratégie de souveraineté numérique, on va peut-être regarder plus les solutions qui sont... qui sont développées au Québec. Et puis, peut-être que dans le futur, on va peut-être prioriser des solutions où on possède... on possède le code, comme on dit. Parce que les... souvent, les budgets pour maintenir justement ces solutions-là, c'est là que, par la suite, lorsque la solution est en place, ça peut représenter des sommes... des sommes importantes. Puis, ça, c'est quand même budgété aussi. Des fois, on s'étonne parce qu'on voit 300, 400, 500 millions sur un projet...

M. Bélanger : …mais des fois, la moitié de ce budget-là va aller pour le… pour la maintenance… la maintenance subséquente. Donc, il y a… on a vraiment une analyse à faire sur les projets qui sont en place, oui, mais être proactif sur les futurs projets. On a des questions à se poser. Puis l'enjeu des données sensibles vient peut-être nous aider à ce niveau-là, justement, regarder qu'est-ce qui pourrait être les différentes avenues. Puis moi, je persiste à croire qu'il y a des solutions qui sont assez génériques, qui… on aurait avantage à mutualiser de façon à avoir une meilleure économie dans le futur. Et ça, c'est différent, parce que tu dois travailler avec plusieurs DI, donc, tu as le DPI qui doit arrimer plusieurs DI et plusieurs ministères ou ministres responsables, dire : On va regarder telle solution ensemble. Ça, c'est… je vous dirais que c'est… Puis on a mis des éléments justement dans le projet de loi n° 82 en termes de souveraineté… souveraineté numérique, bien, c'est la porte d'entrée, justement pour peut-être arriver à des solutions comme ça, favoriser peut-être le Québec, on en a parfois, des petits joueurs au Québec, des plus petits joueurs qui peuvent être… arriver avec des solutions qui sont beaucoup moins dispendieuses… dispendieuses et qui peuvent offrir des résultats intéressants.

Mme Setlakwe : Merci. Moi, je retiens, donc, il y a de l'information qui qui est transmise par le biais de ces mécanismes de reddition de comptes et que vous, dans un premier temps, mais vous aussi, vous pouvez poser des questions, vous travaillez en collaboration. Et ultimement, si vous n'êtes pas satisfait, demandez un audit. Si on prend… Oui, c'est ça?

M. Bélanger : Oui, le DPI se rapporte… Moi, je le vois que le DPI se rapporte à moi. Et puis J'ai l'imputabilité ultime, j'en suis responsable. Donc, je dois exiger au DPI de… qu'il fasse son travail correctement, puis qu'il cherche l'information. Je ne dis pas qu'il ne le fait pas, mais c'est quand même… c'est quand même ma responsabilité. Du moins c'est comme ça que je me… que je le sens, moi, dans ce rôle-là.

Mme Setlakwe : O.K. Puis, on prend l'exemple… un exemple, je présume, ça figure parmi les 20 projets que vous surveillez de façon plus particulière, ce qui se passe en santé, le DSM ou la vitrine, pour l'instant, c'est la vitrine DSN qui va de l'avant ou… Est-ce que... prenons… si on prend cet exemple-là, donc on est... on est au sein d'un organisme public qui a son propre DI, et en vertu des règles qui sont prises suivant l'arrêté ministériel, les… Il y a… il y a une reddition de comptes qui se fait au… à votre DPI, le DPI sous le MCN? À quelle… à quelle fréquence, ça ressemble à quoi?

M. Bélanger : Moi, je vous dirais que ces deux projets-là sont des projets prioritaires actuellement, le… et le DSN.

Mme Setlakwe : Oui… Et donc la reddition de comptes, elle est… pour ces projets-là, il y a de l'information qui est... qui est acheminé vers le DPI du MCN?

M. Bélanger : Oui, oui. Puis il y a une collaboration qui se fait entre le… entre le ministre de la Santé et Santé Québec et le MCN sur ces trois projets-là en particulier, mais il y a d'autres… il y a d'autres projets aussi.

Mme Setlakwe : Oui, oui, je le prenais en exemple, mais donc les règles, ça prévoit une reddition de comptes, annuellement, à quelle fréquence? Moi, je ne les ai pas, ces règles-là sous les yeux.

M. Bélanger : À chaque mois, moi, j'ai mon… mes tableaux de bord, c'est à peu près une fréquence mensuelle. C'est une mise à jour, mais dans certains cas, je l'exige à chaque semaine. Il peut y avoir des demandes d'informations supplémentaires, donc je fais un suivi au niveau des demandes d'informations supplémentaires. Suivis réguliers, moi, je vous dirais que… tu sais, comme sur le SAAQ, j'ai un suivi à chaque semaine, j'ai dit : Arrêtez de m'envoyer des suivis à chaque semaine sur le SAAQ, je n'en ai pas besoin à chaque semaine, il est vert, mais d'autres, le suivi n'est pas assez fréquent. Doncm, j'ai augmenté la fréquence… la fréquence des suivis.

Mme Setlakwe : Ça aussi, c'est un autre élément de réponse qui aurait pu être fourni en période de questions aujourd'hui, justement, par rapport à certains projets, vous avez exigé une fréquence…

M. Bélanger : J'avais juste une minute et…

Mme Setlakwe : Non, non, mais je comprends, mais je trouve ça utile. Est ce qu'il y a d'autres informations que vous voulez nous partager?

M. Bélanger : C'est ça, c'est mensuel, oui...

Mme Setlakwe : Mensuellement et ça pourrait… évidemment, vous vous attendez à ce que des dépassements de coûts fassent l'objet des informations partagées.

M. Bélanger : Ça, je l'ai dit à la période de questions. Le premier ministre m'a… m'a donné un mandat. Et puis moi, j'ai dit d'être proactif…

M. Bélanger : ...si tu ne veux pas de dépassement de coûts, il faut que tu sois proactif. Un projet qui est à 10 % amorcé, si tu es proactif, même à 10 %, tu l'analyses. Pas de dépassement de coûts, pas de dépassement d'échéancier. Je vous dirais, ce serait utopique de dire que, les 200 quelques projets qui sont en exécution, il n'y en aura aucun qui va être en dépassement d'échéancier. Je ne pense pas. Je pense qu'il va y en avoir qui vont être en dépassement d'échéancier. Est-ce qu'il y en a qui vont être en dépassement de coûts? Possible aussi. Mais est-ce que globalement, les projets qui sont en dépassement de coûts puis les projets qui sont sous les coûts... quelle va être la résultante? Il y a eu un chiffre qui avait été lancé de 100 millions, il y a un chiffre qui a été lancé de 200 millions. Aujourd'hui, je ne suis pas capable de conclure. Mais ma position actuelle, c'est de n'autoriser absolument rien, aucun budget de dépassement de coûts.

Donc, si on arrive dans une situation où, le dossier, on me dit : Il va y avoir un dépassement de coûts de 200 millions sur un projet ou de 50 millions sur un projet, je peux exiger de refaire, de recommencer le processus au niveau du dossier du projet. Et puis là, après ça, ça, ça veut dire de repasser au conseil des ministres pour le faire approuver. Ça fait que ça, c'est la position. Puis je pense, j'ai répondu ça à la période des questions que, moi, ma position actuellement, c'est de ne pas autoriser aucun dépassement. Ça fait qu'avant d'autoriser un dépassement, je ne veux pas dire que je vais stopper le projet, mais, si on agit assez rapidement, c'est certain que, s'il y a un projet qui est à 98 % réalisé puis il est déjà presque en dépassement de coûts ou... Non, mettons qu'il est à 98 % du budget dépensé puis qu'il est à 50 %. Bien là, la marge de manœuvre, elle est faible.

Et puis je ne dis pas qu'il y a plein de trucs, là. C'est normal, l'être humain, on est comme ça. Si à 10, ta lumière, elle change, à 10 % de différence, ta lumière elle change... Un projet que je vois qui est à 9, bien, je le questionne automatiquement, je me dis : Pourquoi il est à 9? Pourquoi il n'est pas 10? 10, il aurait changé de niveau d'intervention. Ça fait que je suis passé d'un bon gars à quelqu'un qui est plus achalant, mettons, au niveau de... au niveau de pas uniquement mes collègues, mais au niveau de tous les organismes. Il y a des organismes qui sont autoportants, comme je vous dis puis qu'on m'a dit : Il n'y a absolument aucune inquiétude à y avoir là-dessus, c'est autoportant, mais il y a un risque. Bien, pour moi, c'est un risque, ça reste que c'est de l'argent public, même si c'est autoportant, quelque part, c'est le citoyen qui paie pour la solution.

Mme Setlakwe : O.K. Merci. Donc, il n'y a pas nécessité, à votre sens, de modifier davantage la LGGRI, en ce qui concerne le DPI?

M. Bélanger : Non. Bien, je pense qu'on avait un dernier amendement, à un moment donné, mais on n'est pas rendus à ça, hein?

Mme Setlakwe : Non, c'est ça. Bien, il y en a un qui s'en vient à l'article 15, c'est ça? 15.1?

M. Bélanger : ...rendus à 12, là. Oui.

• (20 h 30) •

Mme Setlakwe : J'ai peut-être une dernière question en lien avec le DPI... non deux. Ah! bien, en fait, une question avant que je l'oublie. On nous a expliqué que, le DPI, donc, qu'on doit... en tout cas, il est souhaitable d'élargir son pouvoir de délégation pour ne pas faire des analyses cas par cas à se demander est-ce que ça rentre dans ce qui est spécifiquement autorisé. Puis on comprend... Ma question c'est : Est-ce que... ça ressemble à quoi, l'équipe à l'interne, autour du DPI? Parce que, là, on parle de déléguer, il y a toutes sortes de pouvoirs, de responsabilités, de fonctions, c'est un rôle clé, il y a énormément de projets ou d'initiatives à suivre. On parle d'une équipe de combien de personnes?

M. Bélanger : On a définitivement une bonne équipe, parce qu'on a tous les... Puis là vous me posez la question, là : Est-ce qu'on a tous les éléments en place? La réponse est non. Dans certains cas, on va utiliser des ressources, des ressources externes pour être capables de valider. Parce que c'est... dépendant, aussi, des solutions du projet en particulier, des solutions qui sont utilisées, on va chercher des... on va chercher des ressources, une certaine expertise à...

M. Bélanger : ...pour pouvoir avoir le... les réponses, en particulier. Je ne crois pas que la stratégie d'héberger chez nous toute l'expertise nécessaire serait judicieuse parce que des projets, ça se débute puis ça se termine. Puis dans certains cas... Mais on a quand même... Moi, je trouve qu'on a l'expertise, l'expertise adéquate, puis complémentée par l'expertise à l'externe. Est-ce que je voudrais en faire plus, plus rapidement? Je vous dirais que les premiers 100 jours, j'avais dit 100 jours, là, c'est certain que les premiers, c'était sept jours sur sept et beaucoup d'heures par jour à questionner. Est-ce que j'ai toutes mes réponses? Non, parce que comme je vous disais, les DI ne se rapportent pas au niveau hiérarchique au DPI, ça fait qu'il y a quand même, dans certains cas, des situations où on doit être... insister un peu plus pour obtenir l'information.

Mme Setlakwe : Et donc il y a combien de personnes dans l'équipe du DPI à l'interne?

Des voix : ...

M. Bélanger : Oui, on va vous revenez avec l'information.

Mme Setlakwe : Merci. Je pense que ma collègue a une question.

Mme Caron : Merci. Merci, Mme la Présidente. Oui. Bien, la question que j'ai, juste m'assurer que je comprends bien, parce que là, l'article 7.2, comme on nous a expliqué, permet, va permettre aux DPI de déléguer et subdéléguer sans qu'il y ait d'analyses qui soit faites, mais c'est quand même pour l'exercice d'une de ses fonctions, d'un de ses pouvoirs ou d'une des responsabilités, ses responsabilités étant les trois qui sont énumérées en 7.1, donc les trois rôles de chef, disons, les trois responsabilités de chef. Est-ce que j'ai bien compris qu'il y a de l'expertise externe qui vient avec ç? Est-ce que ça veut dire qu'il pourrait déléguer ses fonctions ou ses responsabilités à quelqu'un de l'externe?

M. Bélanger : Non, pas à l'externe.

Une voix : ...

M. Bélanger : C'est ça. Il faut que ça relève de sa direction, de l'interne.

Mme Caron : Donc, au sein de sa direction. On ne sait pas combien il y a de personnes à prendre dans la direction, mais ces responsabilités-là, cette délégation-là va se faire uniquement à l'interne, là, pas vers l'externe, là.

M. Bélanger : Pas à l'externe. Non.

Mme Caron : D'accord.

M. Bélanger : Mais on peut aller chercher de l'expertise à l'externe, comme je vous disais, puis un audit. Par exemple, on peut faire des audits à l'interne. Est-ce qu'on a toutes les ressources nécessaires pour faire les audits à l'interne? La réponse est non. On doit passer à l'externe au niveau des audits.

Une voix : ...

M. Bélanger : 284 ressources qu'on dispose.

Mme Caron : Il y a 284 sources dans l'équipe du DPI.

M. Bélanger : Oui, gouvernance et soutien à l'organisation du ministère. 284.

Mme Caron : Parfait! Puis, de ce que j'ai compris de la conversation, le DPI semble avoir... soit dans la LGGRI ou dans l'arrêté ministériel, semble avoir tous les pouvoirs dont il a besoin pour faire la reddition de comptes, pour s'acquitter de ses fonctions. Puis là on lui donne les pouvoirs, là, de délégation. Est-ce que c'est bien ça que j'ai compris de la...

M. Bélanger : On a tous les pouvoirs, selon la volonté des organismes à nous fournir l'information à temps et de façon... et une qualité acceptable.

Mme Caron : Donc il n'y a pas... le DPI n'a pas de pouvoir, je dirais, mais vous l'avez dit tantôt, hiérarchique, mais il n'a pas le pouvoir...

M. Bélanger : C'est fonctionnel.

Mme Caron : Il n'a pas de pouvoir coercitif non plus pour obliger un organisme public à lui fournir les renseignements qu'il pourrait demander dans le cadre d'une reddition de comptes.

M. Bélanger : Non, je peux le... Moi, je dirais, l'arme ultime, je n'aime pas utiliser le terme, mais c'est un audit. Si un audit me donne une réponse, où est-ce que soi-disant la VG a fait son rapport, mais si moi, je fais ma propre analyse, j'ai un rapport d'audit qui me dit que ça va être un SAAQclic., elle ne dit pas ça, mais mettons que ça dit ça, bien, je n'ai pas un pouvoir... je n'ai pas le pouvoir d'arrêter le projet. Je pense que c'est une bonne chose. S'il y a un risque à donner un pouvoir à un DPI ou à un ministre pour pouvoir signer l'arrêt de mort sur tous les organismes publics puis des différents ministères sur des projets en particulier, hein, parce que ça peut être un niveau risque. Donc, il y a une collaboration qui se fait entre le ministre du... entre le ministère du Numérique et le ministère en particulier ou le ministre responsable de l'organisme. Il y a une collaboration, il y a une discussion qui se fait à ce niveau-là.

Mme Caron : Mais là est-ce que le projet de loi n° 82 vous donne des pouvoirs élargis pour pouvoir avoir cette collaboration-là? Parce que, si tous les pouvoirs sont déjà là, SAAQclic n'aurait pas dû arriver.

M. Bélanger : Le projet de loi n° 82, les pouvoirs additionnels que ça me donnait...

M. Bélanger : ...l'élargissement au niveau du courtier en infonuagique puis pouvoir donner un avis et obtenir de l'information.

Mme Caron : Mais c'est tout, il n'y a pas de moyen pour le ministre de la Cybersécurité et du Numérique d'aller... d'obtenir une reddition.

M. Bélanger : Bien, c'est certain qu'avec ce qui s'est passé, là, au Sud... au Sud, on a apporté l'élément de souveraineté qui est un élément important. Ça chambarde beaucoup au niveau des projets. Je vous dirais que, s'il n'y avait pas d'inquiétude au niveau des données sensibles, probablement que l'intervention, le nombre de projets où on exige une intervention serait beaucoup moindre. Là, actuellement, il y a beaucoup de projets où je regarde une intervention, puis des éléments de solution sont peut-être la souplesse au niveau de l'infonuagique, voir où on peut héberger ces données-là. Dans certains cas, il y a des entreprises... c'est une entreprise américaine, il y a peut-être un niveau de rigidité qui fait que ça ne sera pas possible.

Ça fait que, là, à ce moment-là, qu'est-ce qu'on évalue comme scénario? Bien, c'est des scénarios qui sont souvent plus... je fais attention aux termes, plus prioritaires, mettons.

Des voix : ...

M. Bélanger : Oui, mais ça, c'est l'autre. Je ne voulais pas en parler tout de suite, c'est l'autre amendement. On en avait deux, hein, puis là on en a fait un à 15.1 15.1, on a un amendement, justement, c'est ça, au niveau de la stratégie contractuelle. Parce que ça, c'est l'autre élément de... puis on le voit, on en entend parler, on en entend parler dans les médias, mais moi, je veux une meilleure participation au niveau du contrat. Parce que c'est souvent là que ça se passe, si ton contrat a été mal fait, si la solution que tu as choisie n'est pas la bonne solution. Puis si, en plus, le contrat a été mal fait, tu as beau faire de la reddition de comptes, par la suite, là, tu as beau essayer de tout suivre, ton désastre est... ton désastre est déjà prévu.

Donc, c'est vraiment en amont, au niveau de la planification, au niveau du cahier de charges, exemple, je veux qu'on soit beaucoup plus participatif au niveau du cahier de charges. Je vais être capable qu'on assiste les organismes publics, les différents ministères lors de l'élaboration des cahiers de charges, parce que, souvent, on tourne... on peut tourner les coins ronds, puis lorsqu'on élabore un cahier de charges, le fournisseur soumissionne sur le cahier de charges qu'on lui a présenté, puis, si on a oublié des particularités au niveau des solutions qu'on voudrait avoir, par la suite, on les rajoute, c'est ça qui augmente la banque d'heures. On dit : Ah bien, vous ne l'aviez pas prévu. Puis, dans la proposition, les fournisseurs soumissionnent sur le cahier de charges, ça fait que tu as une responsabilité, quand tu fais ton cahier de charges, si tu as manqué des aspects de ta solution, bien, il y a des risques énormes au niveau de dépassements de coûts.

Une voix : ...

Mme Bacon (Nathalie) : Mme la Présidente, merci. Juste pour préciser que le projet de loi no 82, comme son intitulé l'indique, porte principalement sur l'identité numérique nationale et d'autres sujets... qu'il était important à l'automne 2024. Alors, le projet de loi a été présenté le 21 novembre 2024, on a l'identité numérique nationale, le courtier infonuagique, on a passé... ça, c'est des dispositions qu'on a passé à travers. Il y a la possibilité de développer des réseaux de télécommunications et d'offrir... renforcer nos réseaux de télécommunications.

Et là nous sommes dans une série de dispositions qui concernent la sécurité de l'information et on va basculer dans ce qu'on appelle les données numériques gouvernementales. Ça fait qu'autrement on n'est pas... je pense que la LGGRI est quand même, là, au niveau de ne pas... On a fait la revue de ces sujets-là.

• (20 h 40) •

M. Bélanger : Je pense que Me Bacon, vous avez un bon point, parce que... j'oubliais, justement, parce que, tu sais, avant d'être au ministère du Numérique, j'étais responsable de la connectivité, puis un des enjeux, une des problématiques que j'avais, c'était le manque de volonté du privé. De volonté... ce n'est pas négatif, ce que je dis là, c'est... pour être capable d'avoir une bonne connectivité, parce que ce n'est pas rentable. Et au niveau de la connectivité, bien, c'est un service essentiel, que ce soit pour les régions, si on parle, par exemple, de la mobilité. La mobilité, on en a entendu parler, on subventionne, on subventionne des tours cellulaires à 100 % du capital, on passe en appel de propositions. J'ai besoin peut-être de 1000 tours, la proposition que j'ai, j'ai 100 tours puis je subventionne à 100 % du capital, donc la...

M. Bélanger : ...la question se pose : Est-ce que l'État devrait, à un moment donné, parce que c'est un service essentiel, être capable de faire plus au niveau des infrastructures? Ça, c'est un élément un.

L'élément deux, au niveau des infrastructures, on a déjà des systèmes de sécurité publique, la SOPFEU, on a déjà des infrastructures, c'est quelque chose qu'on a réalisé, on a dit : Pourquoi tu ne mutualises pas, pourquoi tu ne peux pas utiliser des infrastructures que tu as déjà pour être capable d'offrir une couverture? Ça, c'était dans le projet de loi. C'est des choses qu'on a rajoutées, que j'ai rajoutées sur le projet de loi qui était proposé par mon prédécesseur. Est venue l'élection aux États-Unis. Bien, on a eu la souveraineté numérique, donc c'est un élément additionnel, puis je voulais avoir plus de pouvoir au niveau de reddition de comptes puis au niveau de gouvernance. Et puis peut être que le pouvoir ultime serait que le DI se rapporte au DPI, mais je pense que, là, on arrive sur un enjeu qui... un enjeu d'indépendance des organismes publics puis de pouvoir leur permettre de gérer leur propre...

Mme Caron : Gérer leur barque.

M. Bélanger : C'est ça.

Mme Caron : Merci.

La Présidente (Mme Tremblay) : Oui, vous pouvez y aller.

Mme Setlakwe : Mais justement, puisqu'on parle de la relation entre le DPI et les DI, une dernière question par rapport au DPI, puis je réalise que j'étire un peu, mais à 12.1 de la LGGRI, on parle qu'il existe un comité de gouvernance composé du DPI et de l'ensemble des DI et que ce comité qui est présidé par le DPI a notamment pour mandat... bien, notamment pour mandat, puis là on énumère quatre rubriques, quatre fonctions ou quatre composantes du mandat. Recommander au ministre les services qu'il pourrait fournir, élaborer des orientations, assurer une mise en œuvre concertée des orientations, identifier des opportunités d'optimisation, etc. Ici, vous n'avez pas jugé bon de bonifier pour prévoir un meilleur suivi?

M. Bélanger : Moi, ce que j'ai... Dans le fond, je décide des priorités. Des projets me sont présentés, je décide des priorités ou le... au niveau du PQRI, je vais décider où il va être alloué. C'est certain que ça se fait en collaboration avec les ministres qui portent les dossiers, là, mais comme les sommes passent par le MCN, je décide de quels projets sont prioritaires. C'est à moi à faire l'analyse de définir des priorités si, dans certains cas, on doit transformer une entreprise parce que la durée de vie du système actuel, elle prend fin dans 12 mois puis c'est une obligation parce que c'est écrit en... puis on n'a plus personne en... Ça, c'est un exemple où, dans certains cas, les bénéfices sont tellement intéressants que ça vaut la peine de le prioriser. Mais c'est là que je peux aussi questionner les dossiers qui me sont présentés au niveau des priorités, des projets. Je ne sais pas si j'ai répondu à votre question.

Mme Setlakwe : Oui, oui, mais on l'appelle gouvernance, mais ce n'est pas au sein de ce comité-là qu'on discuterait de certains projets problématiques.

M. Bélanger : C'est administratif.

Mme Setlakwe : Merci.

La Présidente (Mme Tremblay) : Merci. Est-ce qu'il y a d'autres interventions? Non. Donc, est-ce que l'article 9 ou... 9, est-ce que l'article 9 est adopté?

Des voix : Adopté?

La Présidente (Mme Tremblay) : Parfait. Donc, on va maintenant passer à l'article 10. Je vous invite à en faire la lecture, M. le ministre.

M. Bélanger : L'article 10 : L'article 12.5.1 de cette loi est modifié par l'ajout, à la fin, de l'alinéa suivant :

«Un organisme public dont le dirigeant de l'information est désigné conformément au deuxième alinéa de l'article 8 et au sein duquel n'est pas maintenue une unité administrative spécialisée en sécurité de l'information doit recourir aux services offerts par le ministre pour réaliser ses activités de cybersécurité. Toutefois, l'organisme n'a pas à recourir aux services offerts par le ministre si de tels services sont fournis par un autre organisme public en vertu d'une entente autorisée par le ministre.»

L'article 10 du projet de loi prévoit l'obligation par un organisme public de recourir aux services du ministre de la Cybersécurité et du Numérique pour réaliser des activités de cybersécurité lorsqu'un tel organisme ne maintient pas au sein de son organisme une unité spécialisée en sécurité de l'information, à moins que des services similaires soient fournis par un autre organisme. Là, je me répète. C'est ça...

La Présidente (Mme Tremblay) : ...oui, vous pouvez prendre la parole, Mme la députée.

Mme Caron : Merci, Mme la Présidente. Qu'est-ce qu'on entend par des activités de cybersécurité?

Des voix : ...

M. Gauthier (Steve) : ...comme ils peuvent être offerts présentement, là, dans les différents centres opérationnels de cyberdéfense gouvernementale. Ça fait qu'on parle de tests d'intrusion, de surveillance des événements, de sécurité pour détecter des incidents.

Mme Caron : Est-ce que ça comprend la prévention aussi?

M. Gauthier (Steve) : Ça comprend aussi la prévention.

Mme Caron : O.K. Merci.

Mme Setlakwe : J'aurais des questions, moi aussi.

La Présidente (Mme Poulet) : Oui. Allez-y.

Mme Setlakwe : Est-ce qu'on parle de... Quelle est l'ampleur, là, de... Il y en a combien, des organismes publics qui ne maintiennent pas une unité administrative spécialisée en sécurité de l'information?

Des voix : ...

M. Gauthier (Steve) : En fait, sur ceux qui ont à maintenir une unité spécialisée, c'est ceux qui ont des dirigeants de l'information. Donc, il y en a 26, plus ou moins un.

Une voix : ...

M. Gauthier (Steve) : 29? Donc, plus ou moins quelques-uns. Il y a... Il y a quelques ministères, des plus petits ministères qui n'avaient pas la capacité de s'offrir un centre opérationnel de cyberdéfense qui ont recours présentement à un autre centre opérationnel de cyberdéfense.

M. Bélanger : Est-ce qu'ils se partagent le...

M. Gauthier (Steve) : Ils ont chacun leur propre...

M. Bélanger : Ils ont chacun leur propre...

M. Gauthier (Steve) : Par contre, au niveau sécurité, les ministères, il y en a qui sont, comme je dis, ils sont beaucoup plus petits. C'est difficile de se développer une équipe spécialisée. Donc, aujourd'hui, jusqu'à maintenant, il y en a qui y ont eu recours, il y a quelques cas, donc Geneviève me corrigeait, 29 DI, mais 26 centres opérationnels de cyberdéfense. Donc, il y en aurait trois, mais, dans le futur, ce qu'on souhaite, c'est justement qu'ils utilisent les services du MCN, à moins, pour d'autres raisons, qu'on trouve plus logique qu'ils se retournent vers un autre ministère.

M. Bélanger : Mais il y a des... il y a des enjeux de standardisation. Je pense qu'il y a un bénéfice d'utiliser, entre autres, le ministère pour être capable d'avoir des outils plus standards.

Mme Setlakwe : Mais actuellement, avant de mettre en place... Parce que je comprends que c'est une obligation, là. Vous allez pouvoir les contraindre à utiliser les services du ministère. Et actuellement qu'est-ce qu'ils font pour...

M. Gauthier (Steve) : ...recours à un autre ministère. Donc, ils prennent en charge leur sécurité. C'est juste qu'un ministère... Par exemple, le ministère du Travail, c'est arrivé dans des cas, beaucoup, où il y a eu... il y a eu des ministères qui ont été séparés en deux. Donc, si on prend le ministère d'Emploi et Solidarité sociale, bien, il offre des services au ministère du Travail.

Mme Setlakwe : Mais là, dans ce cas-là, je...

M. Gauthier (Steve) : Éducation, Enseignement supérieur, il y a un historique aussi.

Mme Setlakwe : Oui, mais, dans ce cas-là, on ne tomberait pas dans la dernière partie du libellé? «Toutefois, l'organisme n'a pas à recourir aux services offerts par le ministère si de tels services sont fournis par un autre organisme public en vertu d'une entente autorisée par le ministre.» Ça fait que ça pourrait être une entente autorisée. Mais le ministre garde le contrôle, donc.

M. Bélanger : Il faut que ce soit satisfaisant, à la satisfaction du ministre. Donc, il faut que je juge que les services offerts sont suffisants, rencontrent les standards du ministère.

Mme Setlakwe : O.K. Merci.

La Présidente (Mme Poulet) : Est-ce qu'il y a d'autres interventions? Non. Ça va.

Est-ce que l'article 10 est adopté?

Des voix : Adopté.

La Présidente (Mme Poulet) : Adopté. Alors, on s'en va à l'article 12. M. le ministre.

M. Bélanger : On est rendus à 12 parce que 11 on l'a fait.

La Présidente (Mme Poulet) : 12. 11 est fait.

• (20 h 50) •

M. Bélanger : O.K. L'article 12. L'article 12.6 de cette loi est modifié par l'insertion, après le paragraphe 4.1°, du suivant :

«4.2° procéder, selon les conditions et modalités déterminées par le ministre, à des analyses concernant la sécurité offerte par un actif informationnel ou un service en ressources informationnelles, utilisé ou à être utilisé dans les systèmes et les infrastructures d'un organisme public, et donner à ce dernier un avis concernant le niveau de sécurité estimé;».

 L'article 12 du projet de loi vise à assurer la cybersécurité au sein de l'administration publique avec des vérifications de sécurité portant sur les produits et les services d'un organisme public.

Le paragraphe 4.2°, proposé à introduire à l'article 12.6 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des organismes du gouvernement, chapitre G-1.03, prévoit une nouvelle responsabilité pour le chef gouvernemental de la sécurité de l'information. Ce dernier doit procéder, selon les conditions et les modalités déterminées par le ministre, à des analyses concernant la sécurité offerte par un actif informationnel ou un service... ou ressources informationnelles utilisées ou à être utilisées dans les systèmes et les infrastructures d'un organisme public et donner son avis concernant...

M. Bélanger : ...le niveau de sécurité estimé.

La Présidente (Mme Poulet) : Des interventions? Mme la...

Mme Setlakwe : Oui. S'il vous plaît. Qu'est-ce que...

La Présidente (Mme Poulet) : Oui. Allez-y.

Mme Setlakwe : On tente de palier à quel... On ajoute donc des responsabilités au chef gouvernemental de la sécurité de l'information. Et donc, quelle est la problématique actuelle ou le manquement actuel, là, qui vous amène à déposer cette modification-là?

M. Bélanger : Je vais commencer puis je vais laisser mon collègue. Mais, ce qu'on veut prévenir, c'est les attaques potentielles et c'est le niveau de risque en mettant en place une application qui prêterait flanc à des possibilités d'intrusion au niveau des données... au niveau des données qui pourraient être des données sensibles.

La Présidente (Mme Poulet) : M. Gauthier.

M. Gauthier (Steve) : Pour compléter, par exemple, quand on fait l'acquisition de solutions, on peut exiger des critères, que le fournisseur respecte certains standards, certaines normes. Mais, au-delà de ça, en matière de sécurité, il y a aussi d'autres risques, par exemple, la provenance de la solution, est-ce que l'entreprise est basée dans un dans un pays, dans un État où l'État va être un peu plus intrusif envers les entreprises, va avoir accès aux données de l'entreprise sous prétexte de sécurité nationale. C'en est un exemple qui est d'actualité, mais ça a toujours été un risque réel, au-delà de l'État, est-ce que l'entreprise est sous influence... au-delà des lois, excusez, est-ce que l'entreprise est sous influence de l'État, est-ce que ses dirigeants ont des liens forts avec l'État. C'est des choses qu'on observe. Sinon, les pratiques de l'entreprise, est-ce qu'ils ont des bonnes pratiques en matière de sécurité, une transparence en matière de sécurité, en divulgation des vulnérabilités, est-ce qu'ils ont souvent des vulnérabilités critiques. C'est des produits de sécurité, c'est important qu'il y ait... c'est normal qu'il y ait des vulnérabilités, des correctifs, mais si ça devient récurrent et souvent critique, ça peut être préoccupant. Donc, au-delà des normes de juste dire : Oui, ils respectent telle, telle, telle norme, on veut faire des analyses plus approfondies pour ce qui est plus critique, je dirais.

Mme Setlakwe : Merci.

La Présidente (Mme Poulet) : D'autres interventions? Non. Parfait. Alors, est-ce que l'article 12 est adopté? Adopté. M. le ministre. L'article 13.

M. Bélanger : L'article 13 : L'article 12.1 de cette loi est modifié par la suppression du sous-paragraphe g du paragraphe deux du deuxième alinéa.

L'article 13 du projet de loi propose le retrait de «la recherche et le développement» dans l'énumération des fins administratives ou des services publics, où l'on retrouve, au paragraphe deux du deuxième alinéa de l'article 12.1 de la Loi sur la gouvernance et de la gestion des ressources informationnelles et organismes publics et des entreprises du Gouvernement (chapitre G1.03) la disposition de la Loi sur l'Institut de la statistique du Québec (chapitre 13.011) et celle de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A, 2.1) peuvent s'appliquer selon les situations envisagées. C'est de la concordance, de l'allègement réglementaire.

La Présidente (Mme Poulet) : Des commentaires?

Mme Setlakwe : Oui. C'était l'article 12.10, hein, M. le ministre, de la LGGRI, qui est modifié?

M. Bélanger : Oui.

Mme Setlakwe : ...données numériques constituent un actif informationnel stratégique. Leur mobilité...

Des voix : ...

M. Bélanger : Dans le fond, l'ISQ en fait déjà, là. C'est une question de doublon, là, qu'on a enlevé.

Mme Setlakwe : Donc, c'était prévu ailleurs. C'est ça?

M. Bélanger : Oui. C'est ça. Au niveau de l'ISQ.

Mme Bacon (Nathalie) : ...

La Présidente (Mme Poulet) : Oui. Alors, Mme Bacon.

Mme Bacon (Nathalie) : Oui. Le projet de loi n° 95, qui a introduit le chapitre 2.4 sur les données numériques gouvernementales, a été adopté en 2021. Et, au même moment, on modifiait la Loi sur l'Institut de la statistique pour prévoir un régime également de recherche avec les chercheurs et de... Vous avez quelques décrets, là, qui ont été publiés dernièrement, là. Donc aujourd'hui, 2025, on se retrouve avec plusieurs régimes dans plusieurs lois. Ça fait qu'on tente de faire un allègement pour dire que, de toute façon, avec la Loi sur l'Institut de la statistique, il faut prendre un décret. Alors, en...

Mme Bacon (Nathalie) : ...en vertu de la LGGRI, 12.10 et suivants, ça prenait un décret aussi. Donc, pour l'avenir, on supprime un régime qui est celui de la LGGRI pour les chercheurs et on les réfère directement à l'Institut de la statistique tout simplement.

Mme Setlakwe : Merci.

La Présidente (Mme Poulet) : D'autres interventions? Non. Est-ce que l'article 13 est adopté?

Des voix : Adopté.

La Présidente (Mme Poulet) : Adopté. L'article 14, M. le ministre.

M. Bélanger : L'article 14. L'article 12.14 de cette loi est modifié :

1° par l'ajout, à la fin du deuxième alinéa, de la phrase suivante : «Une source officielle de données numérique gouvernementale doit assurer la cohérence et la qualité des données concernées et les organismes publics sont tenus, quant à eux, de recueillir ces données auprès de cette source et de les utiliser ou de les communiquer à cette dernière.»;

2° par le remplacement, dans le troisième alinéa, de la dernière phrase par la suivante : «Il peut soustraire un organisme public ou une catégorie d'organismes publics à l'obligation de recueillir des données auprès d'une source officielle de données numériques gouvernementales, de les utiliser ou de les communiquer à cette dernière.»;

3° par la suppression des quatrième et cinquième alinéas.

L'article 14 du projet de loi vise à favoriser l'atteinte de l'objectif consistant à instaurer une gouvernance et une gestion optimale des données numériques gouvernementales pour simplifier l'accès aux services publics par les citoyens et les entreprises, tel que l'énonce le paragraphe 4° de l'article 1 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).

Le paragraphe 1° de l'article 14 proposé prévoit l'ajout, à l'article 12.14, de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement de l'obligation qui est faite à un organisme public de recourir à une source officielle de données numériques gouvernementales lorsque telle source est dûment désignée par un décret du gouvernement. Cette approche permet d'éviter la duplication des initiatives de collecte d'un organisme public et assure une cohérence à l'échelle gouvernementale tout en prévenant la fragmentation et la complexification des services offerts aux citoyens.

Le paragraphe 2° de l'article 14 proposé prévoit la possibilité pour le gouvernement de soustraire un organisme public à l'obligation de recourir à une source officielle de données numériques gouvernementales ,advenant une situation particulière. Le paragraphe 3° de l'article 14 proposé prévoit une mesure de concordance en lien avec la Loi sur les renseignements de santé et des services sociaux et modifiant diverses dispositions législatives 2023, chapitre 5 sanctionné le 4 avril 2023.

La Présidente (Mme Poulet) : Est-ce qu'il y a des commentaires? Oui.

Mme Setlakwe : Oui, peut-être juste...

La Présidente (Mme Poulet) : Mme la députée.

Mme Setlakwe : Oui, juste nous expliquer qu'est-ce qui est visé ici.

M. Bélanger : Bien, je vais vous donner une situation. Actuellement, il y a énormément d'informations, Il y a énormément de données qui sont utilisées, qui sont collectées, qu'on se retrouve avec des données qui ont un niveau de qualité variable pour la même information. Ça fait qu'on veut être capable de rassembler ces données-là, d'avoir une donnée unique qui peut être utilisée par divers organismes pour simplifier, justement, le service offert au citoyen. Je vous donnerais l'exemple. Des fois, on va requérir un service à un organisme public, on va présenter notre photo. Ça ne sera pas la même photo que l'autre. Dans un certain cas, ça peut être le permis de conduire, dans d'autres cas, ça peut être des informations au niveau date de naissance ou des informations personnelles, qu'on veut simplifier ces données-là et cesser la collecte, dans certains cas, de la collecte de données qui est inutile, qui n'est pas pertinente.

La Présidente (Mme Poulet) : M. le ministre, chers membres de la commission, je vous remercie pour votre collaboration. Compte tenu de l'heure, la commission ajourne ses travaux sine die.

(Fin de la séance à 21 h 01)