Journal des débats (Hansard) of the Committee on Institutions
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Wednesday, September 23, 2020
-
Vol. 45 N° 94
Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
-
Jolin-Barrette, Simon
-
Bachand, André
-
Lafrenière, Ian
-
Lemieux, Louis
-
Tanguay, Marc
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lemieux, Louis
-
Lafrenière, Ian
-
Weil, Kathleen
-
-
Weil, Kathleen
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Jolin-Barrette, Simon
-
-
Jolin-Barrette, Simon
-
Bachand, André
-
Lemieux, Louis
-
Lafrenière, Ian
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lemieux, Louis
-
-
Bachand, André
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
12 h (version révisée)
(Douze heures douze minutes)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît!
Bienvenue. Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte. Je vous souhaite, bien sûr, la bienvenue encore une fois.
Et je demande à toutes les personnes présentes dans la salle de bien vouloir
éteindre la sonnerie de leurs appareils électroniques.
La commission est réunie afin de
poursuivre les audiences publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par
M. Nadeau-Dubois (Gouin); et M. LeBel (Rimouski) par M. Ouellet
(René-Lévesque).
Le Président (M.
Bachand) : Également, est-ce qu'il y a des droits de vote par
procuration? <Pardon.>
La Secrétaire
: Oui, M.
le Président. M. Lafrenière (Vachon) pourra voter pour Mme Lachance
(Bellechasse) et Mme Lecours (Les Plaines).
Le Président (M.
Bachand) : Merci beaucoup. Ce midi, nous allons entendre la
Ligue des droits et libertés. Alors, je vous souhaite la bienvenue. Un très
grand plaisir de vous avoir avec nous ce midi. Alors, comme vous savez, vous
avez 10 minutes de présentation, et après on aura un échange avec les
membres. Alors, je vous invite à prendre la parole d'abord en vous identifiant.
Merci beaucoup.
Mme Pineau (Anne) : Oui.
Merci, M. le Président. Anne Pineau, je suis membre la Ligue des droits et
libertés, et mon collègue, Dominique Peschard, qui siège au conseil
d'administration de la Ligue des droits et libertés. Je peux enchaîner?
Le Président (M.
Bachand) : S'il vous plaît.
Mme Pineau (Anne) : Donc,
merci pour cette invitation à commenter le projet de loi n° 64.
Il va sans dire que les lois d'accès à l'information et la Loi sur la
protection des renseignements personnels dans le secteur privé, qui remonte aux
années 80, 90, ont un urgent besoin de mise à jour, tout le monde en
convient. C'est des lois qui ont été adoptées avant l'ère numérique, avant
Internet, avant Google, avant Facebook. Donc, une mise à jour, c'est certain, c'est
essentiel.
Mais le projet de loi n° 64
introduit plusieurs éléments du Règlement général sur la protection des
données, le règlement européen, comme la portabilité, l'effacement, le
déréférencement, le profilage, le traitement automatisé de décisions. C'est des
concepts encore peu ou pas débattus dans le grand public au Québec, alors
qu'ils font l'objet de discussions depuis au moins 2012 en Europe.
On modifie tant la loi d'accès que la loi privée.
On modifie aussi 19 autres lois, notamment la Loi électorale. Donc, c'est
énormément, c'est beaucoup pour un seul projet de loi, et il nous semble
impossible, à nous comme aux parlementaires, d'approfondir l'ensemble de ces
questions dans le cadre d'un projet de loi de 60 pages et d'une commission
parlementaire d'à peine quelques jours.
Il est urgent de réformer les lois, mais
il faut le faire correctement, sans précipitation et au terme <d'une
réflexion...
Mme Pineau (Anne) :
...beaucoup pour un seul projet de loi, et il nous semble impossible, à nous
comme aux parlementaires, d'approfondir l'ensemble de ces questions dans le
cadre d'un projet de loi de 60 pages et d'une commission parlementaire d'à
peine quelques jours.
Il est urgent de réformer les lois, mais
il faut le faire correctement, sans précipitation et au terme >d'une
réflexion impliquant l'ensemble de la société. Et, en même temps que c'est
trop, on trouve que c'est trop peu, dans la mesure où le projet de loi omet toute
la question des enjeux collectifs attachés à l'industrie ou l'économie de
données.
Maintenant, j'enchaîne avec le
consentement. La ligue rejette l'idée d'un consentement implicite et favorise
le modèle du consentement actif, «opt-in». Les lois de protection des données
devraient aussi énoncer clairement qu'un renseignement qui n'est pas nécessaire
ne peut être recueilli, même avec le consentement de la personne concernée.
Par son projet de loi, le gouvernement dit
vouloir redonner aux citoyens le plein contrôle de leurs renseignements.
Pourtant, il libéralise l'utilisation et la communication des données
personnelles sans consentement des personnes, ce que nous déplorons. Il
permettra l'utilisation de renseignements sans consentement à des fins compatibles
avec celles pour lesquelles il a été recueilli, lorsque c'est manifestement au
bénéfice de la personne, à des fins d'étude, de recherche, si dépersonnalisés.
La communication, elle, sera autorisée sans consentement dans le cadre d'une
transaction commerciale, d'un incident de confidentialité, si cette
communication est nécessaire à l'exécution d'un mandat ou à l'exécution d'un
contrat d'entreprise ou au bénéfice d'un conjoint ou d'un proche parent décédé.
Il permet en outre l'échange de renseignements sans consentement entre
organismes publics. Tous ces changements contredisent l'idée même d'un meilleur
contrôle du citoyen sur ses renseignements.
Destruction ou anonymisation. Le
consentement est en lien avec une fin précise. Une fois celle-ci réalisée, le
renseignement doit être détruit. Le projet de loi altère substantiellement ce
principe de base en permettant de conserver indéfiniment un renseignement en
l'anonymisant. Nous nous opposons à un tel changement. À quelles nouvelles fins
seraient utilisées ces données? Seraient-elles vendues, utilisées par leur
dépositaire ou par des tiers pour des recherches de toutes sortes? Cela
apparaît d'autant plus inadmissible que l'anonymisation est un procédé
faillible.
Profilage. Le projet de loi introduit
quelques éléments de transparence dans l'utilisation de technologies permettant
d'identifier, de localiser ou de profiler les individus. C'est bien, on informe
les gens. Il faut aller plus loin, selon nous, et s'assurer que ces systèmes
seront désactivés par défaut et ne fonctionneront qu'avec le consentement de la
personne concernée. Il faut aussi interdire le profilage discriminatoire. Quant
aux décisions fondées sur un traitement automatisé, il était essentiel de
pouvoir s'opposer à ce type de traitement là, et d'assurer aux gens qui y
seront... ou qui accepteront de s'y prêter, un droit de contestation.
Études, recherches et statistiques. Actuellement,
la communication de renseignements à des fins d'études est sous contrôle de la
CAI. On abolit cette permission-là, ce pouvoir d'autoriser pour le remplacer
par un modèle d'entente entre l'organisme et le chercheur. Et là aussi on
s'objecte à cette modification. On veut que le rôle de la CAI <soit
préservé...
Mme Pineau (Anne) :
...la communication de renseignements à des fins d'études est sous contrôle de
la CAI. On abolit cette permission-là, ce pouvoir d'autoriser pour le remplacer
par un modèle d'entente entre l'organisme et le chercheur. Et là aussi on
s'objecte à cette modification. On veut que le rôle de la CAI >soit
préservé.
Notification obligatoire d'incident de confidentialité.
Il y a beaucoup de très bons éléments là-dedans : on hausse de façon importante
les sanctions pénales, on ajoute des sanctions administratives, un pouvoir
d'ordonnance provisoire, mais ça répond quand même en partie seulement au
problème, dans la mesure où ça laisse sans indemnisation les personnes qui sont
victimes de fuites et de vol d'identité. Alors, on suggère qu'on envisage des
méthodes d'indemnisation pour les gens qui sont victimes de fuites de
renseignements. Dominique.
M. Peschard (Dominique) :
Oui. Une autre préoccupation que l'on a face aux renseignements personnels,
c'est la décision récente du gouvernement de faire appel au secteur privé pour
la gestion de données d'organismes publics et de ministères. On pense que cela
comporte des risques pour des renseignements qui sont très sensibles. Ces
risques sont particulièrement élevés si les entreprises en question sont
étrangères. La protection, dans le projet de loi, c'est que ce serait protégé
par une entente contractuelle. Or, ces ententes contractuelles n'ont aucune
valeur face à des lois nationales d'autres pays, en particulier aux États-Unis
qui seraient un lieu privilégié, compte tenu des entreprises, pour ce genre
d'opération. Avec les lois américaines, le CLOUD Act, le PATRIOT Act, et tout
ça, le gouvernement américain peut saisir n'importe quelle donnée que détient
une de ces compagnies dans le plus grand secret.
• (12 h 20) •
Une autre préoccupation en termes de
protection de la vie privée, c'est le développement des technologies
biométriques, en particulier de la reconnaissance faciale. C'est une
technologie qui est extrêmement abusive, sur laquelle il y a présentement peu
de contrôle, comme l'ont démontré l'expérience de Clearview et le fait que les
forces policières, malgré des... elles sont très peu transparentes, par
exemple, sur l'utilisation de cette technologie. Les commissaires à la vie
privée du Canada et de plusieurs provinces, d'ailleurs, se penchent là-dessus
parce qu'ils jugent que c'est très important. Alors, nous, dans... en attendant
d'avoir des balises claires et des... pour contrôler l'usage de cette
technologie, nous demandons qu'il y ait un moratoire sur l'utilisation de la
reconnaissance faciale.
Le projet de loi aborde aussi la question
du déréférencement et du droit à l'oubli. C'est une question très... assez
complexe, et les délais de ce projet de loi, là, de consultation ne permettent
pas d'aborder correctement cette question. Ce n'est pas juste une question
individuelle <des préjudices de l'information que... >des
préjudices qu'un individu pourrait avoir face à des informations dans les...
publiques, c'est aussi… ça concerne le droit à l'information en général, la
liberté d'expression. Et donc nous n'avons pas de position. Nous n'avons pas eu
le temps d'élaborer une position complète sur cette question-là. Cependant,
nous sommes <fermement opposés...
M. Peschard (Dominique) :
…
avoir face à des informations dans les... publiques, c'est aussi… ça
concerne le droit à l'information en général, la liberté d'expression. Et donc
nous n'avons pas de position. Nous n'avons pas eu le temps d'élaborer une
position complète sur cette question-là. Cependant, nous sommes >fermement
opposés à ce que la décision de retirer des informations du domaine public soit
laissée aux entreprises comme Google et Facebook qui n'ont aucun compte à
rendre au public sur la manière dont elles prennent ces décisions. Pour l'instant,
on serait prêts à admettre qu'un droit à l'oubli devrait être accordé aux
enfants. On pourra revenir là-dessus dans la période de questions.
Finalement, et c'est peut-être le point
principal, c'est que le projet de loi passe à côté, peut-être, de ce qui est l'essentiel
dans la conjoncture présente. Le problème de la protection des renseignements
personnels, vie privée, ce n'est plus un problème de protéger l'individu dans
une relation contractuelle avec une entité publique ou privée comme ça pouvait
l'être dans les années 80. On est passés à une société où <les
entreprises privées ont… >des grandes entreprises privées ont établi un
système de surveillance des populations et où tous les <objets... >téléphones,
objets connectés, etc., servent à amasser des données sur tous les aspects de
notre vie, et ces données sont ensuite utilisées dans des algorithmes qui sont
tout à fait opaques pour profiler et cibler des populations. Elles sont aussi
utilisées dans un… à des fins de contrôle béhavioral comme… et pas seulement
dans le domaine de la consommation. On l'a vu avec l'affaire Cambridge
Analytica, comment ce genre de système pouvait être utilisé pour manipuler des
électeurs et influencer le résultat d'élections.
Donc, il y a là des enjeux collectifs qui
dépassent le cadre des discussions qu'on avait habituellement autour de la vie
privée, renseignements personnels il y a 30 ans. Il y a ici des enjeux
collectifs. Il faut discuter des actions de ces grandes corporations par
rapport… dans le domaine des données. Il faut exiger de la transparence dans l'utilisation
des algorithmes qui sont utilisés pour faire ce genre d'opérations. Alors, on
pense que, malheureusement, le projet de loi n° 64 puis le cadre de la
consultation ne permettent pas d'aborder correctement ces grands enjeux de
société et de démocratie qui sont causés présentement par ces pratiques et cet
état de fait. Merci.
Le Président (M.
Bachand) : Merci beaucoup pour votre exposé. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui.
Bonjour, M. le Président. Madame monsieur, bonjour. Merci d'être présents en
commission parlementaire aujourd'hui. J'aimerais qu'on revienne <sur la
question du… Est-ce que c'est moi?
Une voix
: …
M. Jolin-Barrette :
O.K. ...>sur la question du consentement. Vous, vous souhaitez
véritablement, là, un consentement individualisé, si je peux dire, et puis, à
chaque fois qu'on partage une donnée personnelle, <il faudrait consentir…
M. Jolin-Barrette :
…sur la question du consentement. Vous, vous souhaitez véritablement, là, un
consentement individualisé, si je peux dire, et puis, à chaque fois qu'on
partage une donnée personnelle, >il faudrait consentir. Il y a des
groupes hier qui sont venus nous dire : Bien, on devrait avoir soit des
consentements en bloc ou pas nécessairement des consentements sur chacune des
données qui sont transmises. On parlait d'un préjudice à la donnée, supposons,
à l'importance... à catégoriser l'importance de la donnée. Qu'est-ce que vous
pensez, là, de tout ça, là? Parce que les intervenants qu'on a entendus hier,
ils sont à un bout du spectre et vous, vous êtes à l'autre bout du spectre.
Alors, je voudrais vous entendre là-dessus.
Mme Pineau (Anne) : Merci. On
comprend, là, que, dans le projet de loi, on ajoute la notion, là, de renseignement
sensible qui était déjà prévue à la loi à des fins, là, de sécurité des
données. Donc, on avait des obligations, éventuellement, plus grandes en
fonction de la sensibilité du renseignement. Ici, donc, on veut distinguer des
types de renseignements : renseignement sensible puis les autres. Bien, le
problème, c'est qu'on parle d'un consentement qui doit être manifeste et on
vient nous dire que, dans le cas du renseignement sensible, il faut qu'il soit
express, et, de ça, on peut tirer l'idée qu'il pourrait y avoir des
consentements implicites, manifestement implicites ou… En tout cas, on trouve
qu'on ouvre la porte à cette sphère de consentement qui soit plus ou moins
démontrable.
Et, un des exemples qu'on donne ici, si
vous naviguez sur Internet et que vous aboutissez sur un site que vous voulez
consulter, on va souvent vous dire — et on le voit de plus en plus :
Si vous continuez sur ce site, nous collecterons des données. Et, de plus en
plus, ce qu'on voit, c'est : Accepter... Cliques accepter; et, sinon,
c'est écrit en dessous : Ou paramétrer; ou ça va être écrit — encore
plus, disons, difficile à comprendre : En savoir plus. Alors, vous cliquez
sur «en savoir plus», et là vous avez la liste de tout ce qui est collecté, et
là on va vous demander si vous refusez ou si vous acceptez.
Or, on est dans un système où, si vous
n'avez pas fait ça, si vous n'êtes pas allé voir «en savoir plus», vous allez
vous ramasser avec plein de données qui vont être collectées. Vous ne serez pas
allés voir derrière ça. Et, ce qu'on estime nécessaire, c'est d'inverser ce
processus-là, c'est de dire : Pour ce qui n'est pas nécessaire, par
défaut, si je continue sur ce site, vous ne devriez pas collecter aucune autre
donnée, à moins que moi, j'accepte d'aller cocher que, oui, ça, ça va, ça, ça
va, profilage ou... C'est dans cette optique-là qu'on parle d'un système où,
par défaut… et qui semble rejoindre l'article 9.1 qu'on intégrerait à la
loi privée, qui est de concevoir des systèmes qui prévoient une confidentialité
par défaut. Alors, je ne sais pas si ça répond à votre question.
M. Jolin-Barrette : Donc, <on
change…
Mme Pineau (Anne) :
...
c'est dans cette optique-là qu'on parle d'un système où, par défaut…
et qui semble rejoindre l'article 9.1 qu'on intégrerait à la loi privée,
qui est de concevoir des systèmes qui prévoient une confidentialité par défaut.
Alors, je ne sais pas si ça répond à votre question.
M. Jolin-Barrette :
Donc, >on change de paradigme. Vous êtes en faveur de changer le
paradigme pour dire : On ne récolte pas de données puis, si on en
récolte... Le principe général, c'est : on ne récolte pas de données. Ça
va en opposition complètement avec ce qu'on nous disait hier. On nous
disait : Bien, écoutez, on va récolter des données puis, lorsque ça sera nécessaire,
on va demander le consentement ou on va l'avoir par blocs. Donc, je comprends
que c'est à l'opposé.
Restons un peu dans ce domaine-là, là. Vous
avez abordé la question du droit à l'oubli, notamment avec les moteurs de
recherche importants. Comment est-ce qu'on devrait l'encadrer adéquatement, là,
ce droit à l'oubli, là, ce droit au déférencement?
M. Peschard (Dominique) :
Bien, <premièrement, >on peut concevoir que, bon, on
distinguerait, premièrement, la situation des enfants et des mineurs, puis là,
ça reste à déterminer, éventuellement, une limite d'âge où le droit à l'oubli
devrait être reconnu de facto. On conçoit que des jeunes sont des personnes en
évolution qui n'ont pas la même responsabilité par rapport à des gestes ou des paroles
qu'ils ont posés que des adultes, c'est reconnu dans d'autres domaines du droit,
donc qui ne devraient pas... Un individu ne devrait pas traîner toute sa vie le
stigmate de choses qu'il aurait pu faire dans sa jeunesse. Bon.
L'autre maintenant, pour des personnes
adultes, <on est... >bon, je répète ce que j'ai dit tantôt, on n'a
pas eu le temps, compte tenu des délais, à la Ligue des droits et libertés, de
prendre une position globale sur toute cette question-là, qui, comme je l'ai
dit tantôt, est très complexe. Ce qu'on peut dire pour l'instant, c'est qu'on
trouve très problématique, c'est le moins qu'on puisse dire, que l'on confie
aux entreprises qui accumulent toutes ces données-là et les rendent disponibles
le soin de décider qu'est-ce qui va être retiré sur la simple demande d'une
personne. Ces entreprises n'ont pas l'intérêt public à coeur, c'est leurs
propres intérêts. Elles veulent se faciliter la vie. Le plus simple, c'est de
retirer l'information si ça leur pose des difficultés.
Alors, nous, on... S'il y a un mécanisme éventuel
pour retirer des informations, il faut qu'il y ait des balises claires et il
faut qu'il y ait des instances qui sont habilitées, en fonction de l'intérêt
public, à décider ce qui peut être retiré ou pas. Et c'est tout ce débat-là
qu'on n'a pas eu le temps de faire dans le cadre du projet de loi qui nous est
présenté puis des délais qui sont impartis.
• (12 h 30) •
M. Jolin-Barrette : Je
comprends que vous n'avez pas eu le temps de faire le débat, mais je voudrais
juste comprendre, là. Sur votre dernière intervention, vous dites : Nous,
on a une crainte que, lorsqu'il y a une demande de retrait, de droit à l'oubli
qui est formulé par une personne...
12 h 30 (version révisée)
M. Peschard (Dominique) :
...puis des délais qui sont impartis.
M. Jolin-Barrette : Je
comprends que vous n'avez pas eu le temps de faire le débat, mais je voudrais
juste comprendre, là. Sur votre dernière intervention, vous dites : Nous,
on a une crainte< que>, lorsqu'il y a une demande de retrait, de
droit à l'oubli qui est formulée par une personne physique, que l'entreprise ou
le moteur de recherche vous dise : Bien, moi, O.K., vous faites une
demande, donc j'enlève tout. Donc, vous craignez qu'il y ait une disparition de
l'ensemble des informations. Est-ce que c'est bien ça?
M. Peschard (Dominique) :
Effectivement. On pense que ces entreprises-là sont devenues les instruments d'information
de la population. On voit bien la difficulté qu'ont les médias traditionnels à
faire concurrence. Donc, <de laisser... >de leur laisser le soin de
décider qu'est-ce qui va être retiré ou pas, on trouve cela très problématique.
M. Jolin-Barrette : Le rôle
de la Commission d'accès à l'information, comment le voyez-vous?
M. Peschard (Dominique) :
Pour?
M. Jolin-Barrette : À la
recommandation que vous avez dans votre mémoire, vous souhaitez vraiment, je
crois, lui confier davantage de pouvoirs de surveillance, vous souhaitez
véritablement qu'elle soit renforcée.
M. Peschard (Dominique) :
Oui.
M. Jolin-Barrette : O.K. De
quelle manière? Est-ce que les dispositions qu'on a dans le projet de loi sont
à votre satisfaction ou vous voulez qu'on aille encore plus loin?
Mme Pineau (Anne) : Merci.
Bien, une chose essentielle pour nous, c'est toute la question de la supervisation
des demandes de recherche, études et statistiques. Le pouvoir d'autorisation de
la Commission d'accès à l'information, selon nous, doit être conservé. On
comprend qu'il y a des critiques qui ont été émises, par des chercheurs notamment,
à cause des délais que pouvait prendre la commission à autoriser des demandes
de recherche et on est très conscients qu'effectivement des délais de plus d'un
an, c'est sans doute inadmissible, mais je pense qu'il y a des modifications
qu'il est possible d'apporter.
Depuis 2002, déjà, la commission d'accès
avait évoqué l'idée qu'on en vienne à un guichet unique en matière de demandes
de recherche, études, statistiques. C'est-à-dire qu'actuellement le procédé
consiste à faire une demande d'autorisation à la commission, mais ensuite l'organisme
intervient aussi, ce qui allonge de beaucoup les délais, d'autant que l'organisme
peut refuser, qu'il bénéficie d'une discrétion. Ensuite, il y a une partie des
délais qui sont dus au temps que va prendre l'organisme pour extraire les
données. Donc, je pense qu'on peut jouer sur ces variables-là, mettre plus de
financement pour assurer qu'il y ait la supervision de la commission, mais donc
ça, pour nous, ça demeure un outil important, qu'il y ait une supervision de ce
qui est permis comme donner des renseignements personnels nominatifs à des fins
de recherche.
Maintenant, pour ce qui est de ce que
prévoit le projet de loi, on le <dit...
Mme Pineau (Anne) :
...donc ça, pour nous, ça demeure un outil
important, qu'
il y ait
une supervision de ce qui est permis comme donner des
renseignements
personnels nominatifs à des fins de recherche.
Maintenant, pour ce qui est de
ce que prévoit le
projet de loi, on le >dit, on est très contents
qu'il y ait des pouvoirs d'ordonnance provisoire qui soient accordés à la commission,
qu'il y ait des pouvoirs pour la commission d'entreprendre elle-même des
poursuites pénales, c'est un avancement. C'est important aussi qu'on ait aussi
les sanctions pénales, qu'on prévoie aussi des sanctions administratives, des
pouvoirs si l'intervention, là... dans un cas de fuite ou d'incident de
confidentialité. Donc, il y a des bons éléments, mais on ne doit pas, selon
nous, retirer l'aspect autorisation en matière de recherche.
M. Jolin-Barrette : Bien, je
vous remercie. M. le Président, je pense que je vais céder la parole à mes
collègues qui veulent intervenir.
Le Président (M. Bachand) :M. le député de... M. le député de Vachon, pardon.
M. Lafrenière : Merci
beaucoup. Merci pour votre présentation. Je vais vous avouer, je vais faire du
pouce sur l'intervention du ministre tout à l'heure, je suis un petit peu
surpris pour le déréférencement. Puis là je vais y aller dans le pointu un peu.
Présentement, on est sur une commission spéciale
sur l'exploitation sexuelle de mineurs, on a traité aussi le volet adulte. Et
je dois vous avouez que nous, on voyait ça très positivement, la capacité pour
des victimes de retirer des vidéos qui ont été référencés, exemple sur YouTube
ou des endroits comme ça.
Alors, je comprends votre position, j'ai
bien entendu ce que vous avez dit tout à l'heure, mais vous comprenez pourquoi
j'étais surpris cependant, parce que je voyais ça vraiment comme une
possibilité incroyable pour nos victimes pour faire en sorte que ces vidéos-là
qui les hantent longtemps... Tantôt, vous avez fait référence à des mineurs, je
vous dirais qu'il y a même des adultes pour qui ces vidéos-là restent dans le
temps, et ça devenait difficile pour elles de les faire retirer.
Ça fait que vous nous avez dit tout à
l'heure que vous n'avez pas vraiment eu la capacité ou le temps de faire votre
recherche là-dessus. Je veux vous avouer bien honnêtement, j'ai été surpris de
votre commentaire. Là, je le comprends un peu mieux, j'ai été surpris, mais
vous ne trouvez pas que, pour des victimes même adultes, c'est une capacité de
justement retirer ce qui peuvent leur nuire pendant très longtemps?
Mme Pineau (Anne) : Si vous
me... Merci. Écoutez, il faut voir que, justement, ça met en lumière la
complexité de la question. Vous avez tout un mouvement, qui a eu lieu cet été,
de dénonciation d'agression, #metoo. Ça aussi, il y a des gens qui estiment qui
sont victimes d'une atteinte à la réputation dans ce contexte-là, et ils
pourraient s'adresser, utiliser ce mécanisme-là pour faire cesser les vagues de
dénonciation.
Donc, vous voyez qu'il n'y a pas qu'un
seul côté de la médaille, et c'est ce pourquoi on estime que c'est un débat
essentiel, c'est un débat qui porte sur la liberté d'expression et aussi sur le
droit à la vie privée et à la dignité, il y a des enjeux énormes. Et on estime
qu'il faut entendre tous les points de vue pour se faire une idée correcte de
la situation avant de décider qu'on importe totalement ce modèle-là ici.
Et c'est ça que ne permet pas actuellement
le dépôt d'un projet de loi. Vous avez tellement de matière et des choses
complexes, des choses qui <sont...
Mme Pineau (Anne) :
...pour
se faire une idée correcte de la situation avant de décider
qu'on importe totalement ce modèle-là ici.
Et c'est ça que ne permet pas
actuellement le dépôt d'un projet de loi. Vous avez tellement de matière et des
choses complexes, des choses qui >sont discutées en Europe depuis au
moins 2012, et tout à coup on nous dit : Bien, voilà! Puis on est dans un
cadre de commission particulière. Ce n'est même pas une commission générale où
les gens pourraient tous venir dire : Non, mais voici comment...
Donc, on comprend tout à fait ce que vous
dites, et c'est ce pourquoi on ne ferme pas la porte. Nous, on le dit :
Prenons le temps de faire ce débat-là à fond, d'entendre tous les points de vue,
et on se positionnera à ce moment-là, mais, pour le moment, ce n'était pas
possible pour nous. Parce qu'il ne faut pas oublier qu'il y en a aussi, de la
dénonciation, du côté des...
M. Lafrenière : Absolument,
j'en suis, mais vous comprenez aussi mon point de vue que, dans cette
commission-là, on a entendu des gens, on a entendu des choses horribles. Et le
déréférencement, c'est une chose, le droit à l'oubli du côté européen, c'est
une chose complètement différente, on va beaucoup plus loin, mais, pour ces
victimes-là, elles se rattachaient sur cette possibilité-là d'un jour faire
cesser l'intimidation qui est faite aussi par les vidéos. Parce qu'il faut
comprendre que, pour des proxénètes, utiliser ces vidéos-là, de faire chanter
les victimes en disant : On va les rendre publics, bien qu'elles soient
adultes, ce sont des conséquences qui sont incroyables. Ça fait que j'entends
votre point de vue, je pense que vous comprenez le mien aussi.
Mme Pineau (Anne) : Oui. Si
je peux me permettre, c'est sûr aussi que, bon, il y a quand même tout un
arsenal d'autres actions possibles, là. Il y a des recours au niveau civil, il
y a des recours au niveau même de la rectification de dossiers, il y a des
recours aussi au niveau criminel. Donc, c'est tout ça qu'il faut mettre en
balance pour voir quelle est la meilleure solution. Et c'est pour ça qu'on
n'estimait pas possible de...
Le Président (M. Bachand) :
...député de Vachon, oui.
M. Lafrenière : Juste sur ce
que vous venez de dire, très précisément : j'ai fait des démarches avec
YouTube, après trois ans je n'ai toujours pas eu de réponse. Ça fait que juste
vous dire, peut-être que ça existe, mais, dans les faits, ça ne s'applique pas beaucoup.
Merci beaucoup de votre témoignage aujourd'hui.
Le Président (M. Bachand) :
Merci. M. le député de Saint-Jean, s'il vous plaît.
M. Lemieux : Merci beaucoup,
M. le Président. Pour combien de temps encore?
Le Président (M. Bachand) :Deux petites minutes.
M. Lemieux : D'accord, merci.
Mme Pineau, <vous... >je trouve la formule très belle :
C'est trop et c'est trop peu, mais encore.
Parlons justement de ce qui se passe en
Europe, ce qui s'est décidé en Europe et des lois qui ont été adoptées en
Europe. Je vous amène à la page 15 de votre mémoire, au point 6 :
Communications aux renseignements personnels à l'extérieur du Québec. Je fais
la parenthèse pour dire que je comprends très bien vos réserves par rapport à
l'hébergement des données au Québec, là, nuagique éventuellement, mais,
nonobstant ce problème-là que vous identifiez, pour ce qui est des
communications aux renseignements personnels à l'extérieur du Québec, il me
semble que <c'est... >ce n'est pas une copie conforme, mais ça va
dans le sens et dans l'esprit de ce qui n'est pas juste discuté mais décidé en
Europe aussi. Là-dessus, vous êtes d'accord, sauf, comme je le disais, sur où
on héberge quoi, là.
Mme Pineau (Anne) : Bien, si
je peux me permettre, effectivement il faut voir que le <modèle du...
M. Lemieux : ...et
dans
l'esprit de ce qui n'est pas juste discuté mais décidé en Europe aussi.
Là-dessus, vous êtes d'accord, sauf, comme je le disais, sur où on héberge
quoi, là.
Mme Pineau (Anne) :
Bien, si je peux me permettre, effectivement il faut voir que le >modèle
du «cloud» ou, tu sais, du stockage nuagique, c'est des entreprises
américaines, bien, je veux dire, les craintes qu'on entretient quant au fait
qu'on va utiliser des entreprises qui vont être assujetties aux lois
américaines... Et là l'Europe vient de dire : Bien, le bouclier, oubliez
ça, là, ça ne fonctionne plus.
• (12 h 40) •
M. Lemieux : Ce que j'essayais
de dire, c'est qu'on est plus du côté européen de la vision et de la façon de
faire. Pour le reste, c'est un autre... pas un autre débat, mais c'est un débat
parallèle, disons-le comme ça.
Et je voulais vous demander aussi, par
rapport à cette vision de ce tiers pays sûr, appelons-le comme ça, là, par
rapport aux données personnelles, c'est une belle analogie que vous faites d'ailleurs
là-dedans, ce n'est pas évident au départ, là, il y a comme un saut dans le
vide avec ça. Parce qu'une fois qu'on établit ça, c'est à revoir constamment,
c'est à réévaluer constamment. C'est un peu se donner de l'ouvrage, dans le
fond, et d'en imposer beaucoup à beaucoup de monde, là, mais vous y tenez, à ce
bout-là? C'est ça que je voulais savoir.
Le Président (M. Bachand) :
...s'il vous plaît, oui, M. Peschard.
M. Peschard (Dominique) :
Non, on... Bon, premièrement, on ne sait pas quels seront les pays qui seront
jugés tiers pays sûrs dans le cadre< du projet...> de
l'application du projet de loi, mais on juge que c'est très problématique. Je
ne vois pas grand pays sûrs présentement, je pense. Notre position, c'est que
les données détenues par... les données colligées par les organismes publics et
les ministères devraient être gérées au Québec par le gouvernement, point à la
ligne.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de LaFontaine, pour 13 min 36 s,
s'il vous plaît.
M. Tanguay
: Merci
beaucoup, M. le Président. Alors, merci pour votre présence, Mme Pineau,
M. Béchard. Merci beaucoup. J'aimerais souligner également, d'entrée de
jeu, Mme Pineau, vous avez dit qu'effectivement ça aurait mérité peut-être
plus qu'un projet de loi. Moi, j'ai toujours vu le dossier comme étant trois
pans : le public, le privé et la Loi électorale, les partis politiques.
Un débat essentiel, vous avez dit, un
débat complexe. Vous avez même dit, M. Béchard, que vous auriez aimé avoir
plus de temps pour aborder des questions de droits et libertés. Pour vous
mentionner qu'hier on a souligné le fait que... excusez du peu, mais la
Protectrice du citoyen, le Barreau du Québec, la commission des droits de la
personne et de la jeunesse ont tous trois dû se désister parce qu'ils manquaient
de temps pour pouvoir venir nous éclairer. Alors, je tiens à reprendre la balle
au bond et à vous souligner, effectivement, que c'est excessivement
préoccupant. Donc, projet de loi qui aborde énormément d'angles, de sujets,
d'impacts, et tout ça en un seul projet de loi, en 165 articles.
J'aimerais que vous expliquiez rapidement
le danger, sous l'angle perte de contrôle, du CLOUD Act, puis <du...
M. Tanguay
: ...c'est
excessivement préoccupant. Donc, projet de loi qui aborde énormément
d'angles, de sujets, d'impacts, et tout ça en un seul projet de loi, en
165 articles.
J'aimerais que vous expliquiez
rapidement le danger, sous l'angle perte de contrôle, du CLOUD Act, puis >du
Foreign Intelligence Surveillance Act, et du PATRIOT Act. Quel est... si vous
avez... À celles et ceux qui nous écoutent à la maison, en quelques... en peu
de temps, si vous aviez à exprimer en quoi, de façon tangible, il y a un danger
là de perte de contrôle si on envoie nos données se faire stocker aux
États-Unis, par exemple...
M. Peschard (Dominique) :
Bien, je veux dire, ces lois sont assez explicites. D'ailleurs, ça, c'est de la
surenchère d'une loi à l'autre parce qu'elles se démultiplient, mais,
essentiellement, le gouvernement américain s'est doté des pouvoirs de saisir
dans... En anglais, c'est «any tangible thing», toute chose tangible. Donc, ils
ont le pouvoir de saisir toute donnée détenue par une entreprise américaine,
point à la ligne.
Donc, c'est sûr que, pour des individus et
des institutions, ça représente un réel problème. Je veux donner un exemple.
Par exemple, Google s'est imposé dans la gestion des données, par exemple, des
universités, et l'association canadienne des professeurs d'université a essayé
de mettre un frein à ça, parce que cela veut dire que les données sur le
personnel des universités, les recherches par les universités, tout ça est
hébergé par Google et tout ça est accessible au gouvernement américain sans
restriction, avec les conséquences que ça peut avoir sur des personnes. On
connaît les profilages qui ont eu lieu envers certaines communautés. Donc,
c'est tout ça qui est en jeu.
Alors, c'est une menace autant pour les
individus, quand ils confient leurs données à Google, que pour les
institutions. Alors, à tout le moins, on demande au gouvernement du Québec de
prendre les mesures appropriées pour mettre les données qu'il détient sur les
Québécois à l'abri de ce genre de saisies.
M. Tanguay
: Sur ce
débat-là, faisons un pas en avant et allons sur l'angle qui a lancé un débat et
a mis, je pense, en face de tout le monde un risque tangible dans ce
contexte-là. Oui, on parle de stockage, mais on parle aussi ultimement... qui
dit stockage, perte de contrôle, utilisation.
«Déclaration récente du ministre de l'Économie
et de l'Innovation disant vouloir — et vous le citez, ouvrez les
guillemets — "attirer quelques pharmas pour venir jouer dans nos
platebandes" — fermez les guillemets — a suscité de
vives réactions et mis à jour la nécessité et l'urgence d'un large débat de
société sur le partage des données et la recherche au service du bien commun.»
Donc, on ne parle pas ici de perte de contrôle non volontaire, ce qui est le
risque que vous venez d'étayer, mais ici que, carrément, le gouvernement
l'envisage sans qu'il n'y ait une réflexion. Et vous soulignez et vous proposez :
«Un chantier de réflexion s'impose sur cette nouvelle économie des données.»
J'aimerais vous entendre là-dessus, sur
l'importance, la nécessité de faire ce chantier de réflexion là, de un. Et, de
deux, si vous pouviez <aussi...
M. Tanguay
: ...sans
qu'il
n'y ait une réflexion. Et vous soulignez et vous proposez : «Un chantier
de réflexion s'impose sur cette nouvelle économie des données.»
J'aimerais vous entendre là-dessus, sur
l'importance, la nécessité de faire ce chantier de réflexion là, de un. Et, de
deux, si vous pouviez >aussi déborder sur les risques de discrimination,
s'il vous plaît.
M. Peschard (Dominique) :
Bon, bien, effectivement, ça réfère à une intervention qu'Anne a faite.
Présentement, on pense que ces données-là, ce sont des données qui sont, en
fait, une propriété collective des Québécois et dont l'utilisation est
sensible. Et c'est pour ça qu'on pense qu'elles pourraient être accessibles à
la recherche, tout à fait, mais sous contrôle de la Commission d'accès à
l'information. Donc, ce n'est pas que l'on exclut l'utilisation de ces
données-là, mais elles doivent être... l'utilisation doit être faite dans
l'intérêt des Québécois et sous un contrôle d'un organisme qui juge de la
validité de l'utilisation qui va en être faite et qu'elles seront faites
conformément à la protection qu'on s'attend.
M. Tanguay
: Est-ce
qu'il faudrait avoir... Puis je pose la question pour avoir votre opinion, là,
je ne suis pas en train d'émettre une opinion personnelle, mais est-ce que vous
iriez jusqu'à dire que l'on ne devrait pas permettre l'accès à des entreprises
qui ont des fins commerciales exclusivement? Est-ce que vous iriez jusqu'à dire
qu'on ne devrait carrément pas leur donner accès à ces données-là?
Parce que, par exemple, certains
pourraient prétendre qu'une compagnie d'assurance pourrait décider de modifier
ses couvertures de risques basées sur des analyses populationnelles. Ou même
des pharmaceutiques pourraient décider, parce que le jeu n'en vaut pas
économiquement la chandelle, de faire tel type de médicament basé sur des
analyses populationnelles.
Diriez-vous... Parce que je veux préciser,
je veux connaître votre pensée. Quand vous dites : Sous contrôle du chien
de garde de la Commission d'accès à l'information, est-ce que ça irait jusqu'à
limiter ou interdire, je veux vous entendre là-dessus, l'accès à des entreprises
qui ont vocation de faire du profit?
Mme Pineau (Anne) : Bien,
écoutez, nous, là, on reprend notamment ce que M. Quirion, le Scientifique
en chef, disait dans le cadre, là, d'une réforme sur comment accélérer l'accès
aux données de recherche. Il parlait de changer la culture pour une plus grande
ouverture à la recherche publique encadrée par les comités de pairs et
d'éthique. Pour nous, cette recherche-là, en fonction du bien commun : oui.
Pas une recherche fondée sur le profit et... Donc, effectivement, on parle
d'une recherche encadrée éthiquement par des chercheurs financés publiquement.
C'est de ça qu'on parle.
M. Tanguay
: Et ça,
cette balise-là, la retrouvez-vous dans le projet de loi n° 64?
Mme Pineau (Anne) : Non, pas
du tout.
M. Tanguay
: O.K.
Mme Pineau (Anne) : Pas du
tout.
M. Tanguay
: Et
j'aimerais... Merci. Je fais un pas en arrière sur les dangers de perte de
contrôle de stocker des renseignements à l'extérieur du Québec. Comment
jugez-vous, dans le projet de loi... <Puis...
M. Tanguay
: ...vous
dans
le projet de loi n° 64?
Mme Pineau (Anne) :
Non, pas du tout.
M. Tanguay
: O.K.
Mme Pineau (Anne) :
Pas du tout.
M. Tanguay
: Et
j'aimerais... Merci. Je fais un pas en arrière sur les dangers de perte de
contrôle de stocker des renseignements à l'extérieur du Québec. Comment
jugez-vous, dans le projet de loi... >Puis je vais vous en faire la
lecture, vous n'avez pas besoin d'y aller si vous n'avez pas le texte sous la
main, à la page 19 du projet de loi, l'article 27 qui introduit
l'article 70.1 à la loi accès aux documents organismes publics, et je cite :
«Avant de communiquer à l'extérieur du Québec un renseignement personnel, un
organisme public doit procéder à une évaluation des facteurs relatifs à la vie
privée.» Là, il en nomme quatre : sensibilité du renseignement, finalité
de son utilisation, mesures de protection dont le renseignement bénéficierait
et le régime applicable dans l'État où ces renseignements seraient communiqués.
Ça, trouvez-vous suffisant cette autorégulation-là de l'organisme public qui
procéderait à l'évaluation, qui jugerait puis qui le ferait ou qui ne le ferait
pas en bout de piste?
Mme Pineau (Anne) :
<Bien,
on... >C'est un peu comme pour la recherche. L'évaluation, là, des
facteurs de vie privée, s'il n'y a personne qui contrôle comment c'est fait,
dans quel... avec quel souci, avec quel sérieux on fait ces évaluations-là, pour
nous, c'est un problème majeur. C'est laisser... Au fond, en fonction du
sérieux que tel ou tel organisme voudra bien mettre à... et de l'entreprise
voudra bien mettre à faire son exercice, il nous semble qu'il faut prévoir un
contrôle extérieur pour s'assurer que ces évaluations-là seront faites effectivement,
qu'elles seront faites dans les règles de l'art, et que, souvent, on peut
penser que plusieurs de ces entreprises-là n'ont même pas l'expertise pour
faire une évaluation des facteurs de vie privée parce que ce n'est pas quelque
chose qui est nécessairement si simple qu'on le croit. On a ça pour la
recherche, on remplace la Commission d'accès par une évaluation des facteurs de
vie privée.
Mais, je veux dire, comment ça sera fait
cette évaluation-là? Qui va s'assurer... On peut penser qu'éventuellement, s'il
y a un problème, la commission finira par être avisée, mais il sera trop tard à
ce moment-là, parce qu'à ce moment-là les renseignements seront dans la nature.
• (12 h 50) •
M. Tanguay
: Et ici,
considérant qu'on parle des organismes publics, trouvez-vous, basé sur votre
évaluation du projet de loi n° 64, que l'on serait
suffisamment transparents quant à l'organisme concerné, le type d'information
dont on parle et son évaluation? Trouvez-vous, de un, que vous adhériez au
principe que la plus grande transparence, rendre publics ces éléments, devrait
être mise de l'avant? Et trouvez-vous que le projet de loi y pourvoie
suffisamment?
M. Peschard (Dominique) :
Bien, comme Anne a mentionné, ça prend une expertise puis ça prend un regard
indépendant. Un organisme a beau être public, on sait, par exemple, qu'il <peut...
M. Tanguay
: ...que le
projet de loi y pourvoie suffisamment?
M. Peschard (Dominique) :
Bien, comme Anne a mentionné, ça prend une expertise puis ça prend un regard
indépendant. Un organisme a beau être public, on sait, par exemple, qu'il >peut
y avoir des intérêts de financement de certaines recherches, quelque chose
comme ça, qui font que le recul et, disons, entre guillemets, l'objectivité
nécessaire par rapport à l'évaluation de transmettre ces renseignements-là n'est
peut-être pas ce qu'elle devrait être. Donc, ça prend absolument un regard
indépendant et expert pour juger du caractère approprié du transfert ou non des
renseignements. C'est ça qu'on essaie de...
M. Tanguay
: Merci. J'aimerais
maintenant que l'on parle de la notification obligatoire d'incident de
confidentialité des données. Vous dites que vous... «Cela étant dit, le projet
de loi comporte une réserve importante. Une personne concernée par l'incident n'a
pas à être avisée tant que cela sera susceptible d'entraver une enquête en vue
de détecter ou réprimer le crime. L'enquête sur une fuite ou un vol de
renseignements peut s'avérer longue : priver les personnes intéressées du
droit d'être informées est difficilement justifiable.» Ça, c'est une réserve
importante, donc, du projet de loi.
Vous, voyez-vous des réserves justifiables
quelconques à la notification obligatoire? Est-ce qu'il peut y avoir des
réserves justifiées, selon certains cas que vous pourriez m'identifier ou non,
que, dans tous les cas d'espèce, il faudrait notifier obligatoirement dans les
cas de fuite?
M. Peschard (Dominique) :
Bien, disons qu'on est... la manière dont c'est mis dans le projet de loi que
nuire à l'enquête... ou je n'ai pas les mots exacts, là, c'est très vague. Dans
toutes sortes de domaines, entre autres policiers, les informations ne sont pas
données sur x supports sous prétexte que l'enquête est en cours. C'est un
argument qui est trop... peut trop facilement être invoqué pour retarder d'aviser
la personne du bris de confidentialité face à ses données.
Alors, on peut comprendre qu'il se peut
que, dans des cas très spécifiques, ça puisse... on puisse retarder la
divulgation de l'information, mais il faut que ce soit l'exception. Puis la
manière dont c'est fait dans... dont c'est formulé dans le projet de loi ne
nous rassure pas quant au fait que cette disposition puisse ne pas servir de
manière un peu abusive, dire : Bon, bien, il y a une enquête en cours,
donc on n'a pas divulgué l'information.
M. Tanguay
: Et j'ai
peut-être deux questions en rafale. Vous dites, pour moins que la minute qui me
reste : «Le législateur devrait songer à établir un mécanisme
d'indemnisation des victimes...» Et vous proposez, je pense, à même le fruit
des amendes du côté pénal. Donc, vous plaidez pour un régime public
d'indemnisation, le cas échéant, des victimes de fuite de données personnelles,
de <vol...
M. Tanguay
: ...moins
que la minute qui me reste : «Le législateur devrait songer à établir un
mécanisme d'indemnisation des victimes...» Et vous proposez, je pense, à même
le fruit des amendes du côté pénal. Donc, vous plaidez pour un régime public
d'indemnisation, le cas échéant, des victimes de fuite de données personnelles,
de >vol d'identité, et ainsi de suite, si je vous ai bien compris?
Le Président (M. Bachand) :
...s'il vous plaît. Merci.
Mme Pineau (Anne) : Oui, effectivement.
Écoutez, là encore on n'a pas eu le temps, là, d'élaborer. On a juste voulu
mettre en lumière le fait que des amendes et des sanctions administratives, ça
n'amène pas pour les victimes une indemnisation.
M. Tanguay
: O.K. Merci
beaucoup.
Le Président (M. Bachand) :
Merci. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, monsieur, madame. Merci d'être ici avec nous en commission
aujourd'hui. Je veux revenir sur la question du déréférencement ou du droit à
l'oubli parce qu'il y a peut-être un... je crois percevoir peut-être une
incompréhension ou un malentendu quant à votre position.
Si je lis bien votre mémoire, il n'y a
aucune opposition par principe, à la Ligue des droits et libertés, à cette idée
qu'il puisse exister, dans certaines circonstances, un droit au déréférencement
ou un droit à l'oubli. Ce que je lis, par contre, dans votre mémoire, c'est que
vous ne souhaitez pas que ce soit des entreprises privées, notamment Google ou Facebook
par exemple, qui soient les juges de ce qui doit être oublié puis de ce qui ne
doit pas l'être, ce qui doit être référencé et ne doit pas l'être.
Moi, ce que je lis dans votre mémoire, c'est
une invitation à aller plus loin puis à réfléchir à ce que ce soit un tiers
indépendant, par exemple une cour de justice, qui puisse trancher cette question-là.
Parce que je comprends l'exemple du député de Vachon qui nous dit : Une
victime d'exploitation sexuelle, il faudrait être capable de lui reconnaître ce
droit-là. Moi, je n'ai pas l'impression que c'est ce genre de déréférencement
là que vous souhaitez empêcher mais plus, puis je vais prendre un autre exemple
hypothétique, un P.D.G. d'une grande multinationale qui serait indisposé par un
billet de blogue d'un groupe citoyen qui vient mettre en cause ses pratiques
corporatives. On ne voudrait pas qu'un acteur comme celui-là puisse appeler son
bon ami chez Google ou Facebook pour dire : Eh! t'enlèverais-tu ça? Ça ne
fait pas mon affaire.
Ce que vous voulez protéger, c'est la
liberté d'expression, la liberté de circulation de l'information puis de
trouver un équilibre entre cette liberté-là puis le droit à la vie privée. Est-ce
que je comprends bien l'essence de votre position?
M. Peschard (Dominique) : C'est
exactement ça, mais ce qui reste à discuter, c'est les modalités qui fassent
comment... c'est ça, qu'on n'a pas eu le temps de faire adéquatement.
M. Nadeau-Dubois : C'est ce
que j'avais compris de votre position. Donc, ce n'est pas une opposition à la
notion qu'on puisse faire retirer quelque chose, par exemple, d'une recherche
sur le Web mais plus qui va être le juge de ce qui doit être retiré puis de ce
qui ne doit pas être retiré. Puis vous dites : Attention de ne pas donner
ce pouvoir-là, qui est un grand pouvoir, hein, à l'ère d'Internet, de décider
ce qui est... ce qui circule ou pas comme information. L'avertissement que vous
nous faites, c'est : Attention de ne pas donner ce grand pouvoir qui est,
au fond, pratiquement un pouvoir de censure, là, à des entreprises privées qui
ont des intérêts commerciaux, peut-être qu'il y a d'autres acteurs dans la
société mieux placés pour faire l'équilibre coût-bénéfice de ce qui doit
circuler ou non comme information.
Je veux vous amener sur un autre <sujet...
M. Nadeau-Dubois : ...ce qui
circule ou pas comme information. L'avertissement que vous nous faites, c'est :
Attention de ne pas donner ce grand pouvoir qui est, au fond, pratiquement un
pouvoir de censure, là, à des entreprises privées qui ont des intérêts
commerciaux, peut-être qu'il y a d'autres acteurs dans la société mieux placés
pour faire l'équilibre coût-bénéfice de ce qui doit circuler ou non comme
information.
Je veux vous amener sur un autre >sujet,
parce que vous avez dit : Il y a la question du consentement, mais vous
nous invitez à aller au-delà de la question du consentement. Puis c'est madame
qui disait : Au-delà de ce qu'on peut consentir ou non à transmettre comme
données personnelles, il faut peut-être réfléchir à mettre des limites
objectives à ce que les entreprises peuvent même demander comme données
personnelles.
Êtes-vous capables d'aller plus loin dans
cette idée-là puis de nous donner des exemples concrets de ce dont pourrait
avoir l'air une limite comme celle-là qu'on viendrait inscrire dans le projet
de loi? Quel type de limite il faudrait mettre à la capacité des entreprises de
même récolter des données personnelles?
Le Président (M. Bachand) :...manquer du temps. Alors, écoutez, je veux juste vous
remercier de votre participation en commission.
Une voix
: ...
Le Président (M. Bachand) :
Oui, bien, c'est ça j'allais dire, mais rapidement si vous voulez...
Des voix : ...
Le Président (M. Bachand) :Si vous voulez donner une réponse rapide, s'il vous plaît.
M. Nadeau-Dubois : De consentement
pour une réponse brève, oui.
Mme Pineau (Anne) : Bien, merci.
Écoutez, nous, ce qu'on réclame, c'est un débat, justement, parce que... Est-ce
qu'on peut se permettre de tout collecter? Je vous donne un exemple. Il y a eu,
là, l'an passé ou l'année d'avant, la question des jouets connectés. Or, on
apprenait qu'il y avait des jouets, O.K., qui récoltaient plein d'informations,
qui écoutaient les enfants et qui récoltaient tout ça, ces informations-là. Et
les gens étaient heureux de donner ça sous l'arbre de Noël, mais ils ne
savaient pas que, pendant ce temps-là, la poupée Barbie récoltait de l'information
qui était envoyée sur les réseaux ou sur les... les gens qui vendent ces
produits-là.
Et, bon, on peut... Si vous me dites :
On peut les déconnecter, O.K., mais est-ce que c'est suffisant? Est-ce qu'on
devrait permettre ce genre de jouet là qui, d'une façon ou d'une autre, va
permettre de collecter des informations auprès des enfants? On a des lois qui
interdisent la publicité aux enfants, mais on permet que des jouets comme ça
soient sur le marché pour collecter ce type d'information là. Pour en faire
quoi? Et ça pose aussi la question de : Qu'est-ce qu'on fait ensuite avec
ces données-là du côté des entreprises qui utilisent ces données-là? C'est
toute la question des algorithmes qui sont utilisés, de la transparence nécessaire...
Le Président (M. Bachand) :
Merci beaucoup.
Mme Pineau (Anne) : ...le
fait de s'assurer qu'il n'y a pas de biais tendancieux ou discriminatoire dans
les algorithmes qui sont utilisés. C'est ça, le genre de débat.
Le Président (M. Bachand) :Merci beaucoup, Mme Pineau. Parce que là...
Mme Pineau (Anne) : Ah!
excusez-moi.
Le Président (M. Bachand) :
Merci infiniment de votre participation.
La commission suspend ses travaux jusqu'à
15 heures. Merci.
(Suspension de la séance à 13 heures)
15 h (version révisée)
(Reprise à 15 h 2)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! Merci beaucoup et bon début
d'après-midi. La Commission des institutions reprend ses travaux. Comme vous le
savez, je demande à toutes les personnes présentes dans la salle de bien
vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations particulières
sur le projet de loi n° 64, loi
modernisant des dispositions légales en matière de protection des
renseignements personnels.
Cet après-midi, nous allons recevoir
l'Office de la protection du consommateur, le Pr Vincent Gautrais et
quelqu'un qui était avec nous il n'y a pas tellement longtemps, au mois d'août,
alors M. Steve Waterhouse, qui était ici pour un autre dossier. Alors,
vous connaissez les règles, 10 minutes de présentation, après ça, échange
avec les membres de la commission. Merci d'être ici cet après-midi. La parole
est à vous. Merci.
M. Waterhouse (Steve) : M. le
Président, merci. Membres députés, merci beaucoup de l'invitation.
Le gouvernement du Québec est bel et <bien...
Le Président (M.
Bachand) : ...
alors M. Steve Waterhouse, qui était
ici pour un autre dossier. Alors, vous connaissez les règles, 10 minutes
de présentation, après ça, échange avec les membres de la commission. Merci
d'être ici cet après-midi. La parole est à vous. Merci.
M. Waterhouse (Steve) :
M. le Président, merci. Membres députés, merci beaucoup de l'invitation.
Le gouvernement du Québec est bel et >bien
en voie d'accomplir sa mise à niveau technologique, accompagnée des aspects
judiciaires plus que maintenant nécessaires. Le présent projet de loi devrait
motiver aussi l'entreprise privée à emboîter le pas dans la prévention de
fuites de données, devenue un enjeu sérieux au XXIe siècle comme tout le
monde a été témoin récemment.
Le rapport d'IBM sur le coût des brèches
de données de 2020 précise que 52 % des brèches sont causées par des
attaques malicieuses, 23 % par des erreurs humaines et 25 % par des
erreurs système. 80 % des incidents impliquent des compromissions
d'informations personnelles nominatives. Le Canada, dans ce rapport, s'affiche
au troisième pays qui a eu le plus de brèches déclarées, <au moment… >au
montant de 4,5 millions $ US par incident à régler, en moyenne.
Et quand je dis, j'emphase là-dessus, «déclarées», il y a beaucoup d'incidents
qui ne sont jamais déclarés, pour toutes sortes de raisons, ce qui fait en
sorte que l'interprétation d'un chiffre de 4,5 millions, c'est vraiment
petit, quant à moi et d'autres dans l'industrie. Donc, l'industrie qui est la
plus perdante, elles sont le secteur des soins de la santé, comme qui est… situation
présentement en COVID, envers les chercheurs et les hôpitaux, suivi du secteur
de l'énergie, des finances et des pharmas.
Afin d'éviter ces situations, les
entreprises, les fonctionnaires et les particuliers seraient avantagés de
développer et adopter une culture de la sécurité de l'information qui se veut d'être
définie comme suit :
1. Intégrer une culture d'entreprise
plus large, composée d'actions quotidiennes encourageant les employés à prendre
des décisions réfléchies et conformes aux politiques de sécurité;
2. Exiger du personnel qu'il
connaisse le risque de sécurité et les processus permettant de l'éviter. Donc,
on peut voir ça dans de la sensibilisation; et
3. Mettre en place et appliquer un
processus de fonctionnement des tâches qui assure la sécurité de l'entreprise
soit par des rétroactions ou des exercices dirigés d'équipes bleues, d'équipes
rouges appelées, dans le jargon, «blue team», «red team».
<Ces approches… >Cette
approche culturelle implique une combinaison de saines connaissances et du
suivi des tâches quotidiennes. Découlant d'une solide évaluation des menaces et
de risques, qui est souvent la base qui mène justement à sécuriser les
organisations correctement mais qui est souvent négligée, les priorités de
travail sont établies par l'importance accordée aux manquements à corriger,
sont mises de l'avant <pour… >tout en gardant en vue les menaces
émergentes. Cette façon de faire est certainement plus accessible, pour les
grandes entreprises et les gouvernements, par accès à du personnel dédié alors
que les PME typiques se doivent d'engager des consultants externes, si ce n'est
d'improviser un tel support, qui, souvent, laisse plus de vulnérabilité.
J'ai été témoin de cette approche gagnante
lors d'une visite en Israël en début de 2020. Quoique ce pays soit constamment
sur le qui-vive de menaces terroristes, les autorités ont apporté cette philosophie
constante d'anticipation de la menace dans un monde informatique. Bien sûr, le
marchand de légumes du coin ne s'en fait pas trop parce qu'il n'accepte pas les
paiements en argent... que les paiements en argent, <pardon...
M. Waterhouse (Steve) :
…
gagnante lors d'une visite en Israël en début de 2020. Quoique ce pays
soit constamment sur le qui-vive de menaces terroristes, les autorités ont
apporté cette philosophie constante d'anticipation de la menace dans un monde
informatique. Bien sûr, le marchand de légumes du coin ne s'en fait pas trop
parce qu'il n'accepte pas les paiements en argent... que les paiements en
argent, >pardon, mais les autres entrepreneurs autour le sont certainement,
contre la fraude mais aussi la perte de données qui pourraient se retrouver
dans les mauvaises mains. Avec le RGPD, le règlement général de la protection des
données personnelles, l'Europe a débuté, depuis deux ans, une intensive
promotion de la protection des renseignements personnels avec l'utilisation des
technologies afin de protéger les échanges, même par courrier électronique, en
encourageant l'utilisation de courriels chiffrés, comme avec le leader mondial
ProtonMail. Et donc, ça, ça se veut d'utiliser, donc, une ressource extérieure
que des ressources gouvernementales, qui sont fiables et éprouvées.
Donc, les exigences du présent projet de
loi apporteront des défis importants afin d'adresser la conformité de ces PME,
ce qui, selon moi, laissera des vulnérabilités dans la mise en pratique de la
loi. Tous les entrepreneurs avec qui j'ai conversé récemment, et je converse
sur le sujet de fuites de données, sont unanimes, tous sont pour une bonne
vertu mais signifient qu'il y a des limites à combien qu'ils dépenseront pour
la protection des données personnelles. C'est mon interprétation qu'ils
éclipsent l'impact réel des fuites d'information, souvent, en l'absence de
connaissance des menaces en cours contre le vol d'informations personnelles
versus les dépenses de conformité qu'ils doivent engager et maintenir, sans
compter la mise en place d'une possible réserve de fonds en cas d'incident. N'en
demeure pas moins que les entreprises et des organismes publics possédant un
nombre élevé — qui serait à déterminer, comme nombre élevé qu'on veut
dire ici — d'informations personnelles qui, selon... qu'il leur soit obligatoirement
exigé une journalisation des accès et transferts de données sur les systèmes
d'entreposage de données telle que proposée dans la norme ISO 27001. Avec
un système de surveillance en bonne et due forme, cette mesure aidera
grandement à prévenir la consultation non autorisée des données et leur
exfiltration, telles qu'observées en 2019 lors de la fuite massive
d'information client chez une importante institution financière au Québec.
Tous gardent espoir qu'au moment où une
inévitable fuite de données frappe, les services policiers sauront être
disponibles à prêter assistance, documenter le cybercrime et à réussir à
traduire en justice les cyberbandits. Comme j'en fais état dans le mémoire, c'est
un travail en voie de développement, mais le temps presse et les corps
policiers doivent rattraper temps perdu à reconnaître le cybercrime dans son
importance et former rapidement une relève solide de cyberenquêteurs et de
patrouilleurs à l'affût de la réponse à apporter aux citoyens et aux
entreprises aux prises avec des cyberincidents.
Merci à nouveau pour cette opportunité. Je
suis maintenant disponible à répondre à vos questions.
Le Président (M. Bachand) :
Merci infiniment. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Oui. Bonjour,
M. Waterhouse. Merci d'être présent aujourd'hui pour témoigner devant la commission.
D'entrée de jeu, là, peut-être que
j'aimerais qu'on puisse bénéficier de votre expertise, là, pour expliquer un
peu aux gens qu'est-ce qui arrive à partir du moment où il y a une fuite
d'information, où il y a une brèche dans un système. C'est quoi les
conséquences potentielles? Qu'est-ce que les gens qui récupèrent ces données-là
peuvent faire? Qu'est-ce que ça a comme impact concret dans la vie des gens?
Puis, puisque vous être un expert dans ce domaine-là, juste expliquer, pour la
population, savoir <qu'est-ce qui...
M. Jolin-Barrette :
...
pour expliquer un peu aux gens qu'est-ce qui arrive à partir du
moment où il y a une fuite d'information, où il y a une brèche dans un système.
C'est quoi les conséquences potentielles? Qu'est-ce que les gens qui récupèrent
ces données-là peuvent faire? Qu'est-ce que ça a comme impact concret dans la
vie des gens? Puis, puisque vous être un expert dans ce domaine-là, juste
expliquer, pour la population, savoir >qu'est-ce qui arrive, là, à quoi
ils sont sujets, potentiellement, une fuite de données personnelles, à quoi ça
peut servir.
• (15 h 10) •
M. Waterhouse (Steve) : Un
contexte de fuite de données peut… débute généralement sans que <les… >ceux
qui<… celles qui…> possèdent ou entreposent les données le sachent,
qu'ils ont été infiltrés. «Infiltrer», ça veut dire qu'il y a des gens qui ont
accès à un ordinateur, ont pu se connecter, ont pu gagner l'entrée à
l'intérieur d'un système ou d'une organisation et ont pu, à ce moment-là,
mettre en place des moyens techniques pour être capables de capter
l'information et l'extraire à l'extérieur pour l'amener sur le marché noir et
potentiellement aller la revendre, cette information-là. Bien souvent aussi,
sans être possible de la revendre, ça peut être exploité pour créer des fausses
identités et aussi peut-être des stratégies ou de la propriété intellectuelle,
comme c'est souvent le cas avec des États-nations comme la Chine, qui viennent
en pays, ici, ramassent l'information colligée ou bien travaillée, documentée
par nos chercheurs et ramènent ça, eux autres, dans leurs économies. Et c'est
nous qui en sont perdants, parce que c'est souvent des brevets qui ne sont pas
mis en exploitation, et c'est eux qui en ont la récolte.
Et, pour le particulier, bien, c'est,
encore une fois, des données personnelles qui sont exploitées. Les vols
d'identité, des fois, on en voit. Il y en a... j'en ai eu beaucoup qui sont
venus me voir comme clients et qui ont eu de la difficulté : ils ont… perte
de cellulaire, perte d'informations financières, dédoublement d'identité, tout
ça dans un avenir assez rapproché qu'ils vont avoir de la difficulté à pouvoir
récupérer de ça, si ce n'est jamais, pour la simple et unique raison que, dans
cinq ans, 10 ans d'ici, il y en a toujours un qui va remettre la main sur
l'information qui a déjà fui et pouvoir s'en servir à s'identifier au nom d'une
autre personne, contracter des services et biens, et, à ce moment-là, la
personne qui en est victime, bien, c'est elle qui a le fardeau à toujours
présenter la preuve que c'est toujours bel et bien elle, physiquement, la vraie
personne et non pas celle qui a contracté le bien fraudé.
M. Jolin-Barrette : Il y a
des gens qui sont venus nous dire hier, surtout des regroupements d'entreprises,
qui nous ont dit : Écoutez, il ne faut pas que ça soit trop lourd pour les
entreprises, là, l'encadrement, là, nous, on se sert des données mais il ne
faut pas donner un fardeau supplémentaire aux entreprises. À la lumière de ça,
les conséquences, pour les citoyens, sont quand même importantes. Donc, vous
nous invitez à faire quoi? À écouter davantage les regroupements d'entreprises
nous dire : Ne pas rajouter de fardeau supplémentaire ou plutôt de dire :
On devrait renforcer la loi pour la protection des données pour s'assurer que,
bien, les citoyens soient pleinement protégés?
M. Waterhouse (Steve) : Je
dirais les deux, M. le ministre, parce que c'est une responsabilité autant
individuelle que collective. L'individu a toujours le choix de donner de
l'information ou pas. Souvent, ça va être : s'ils ne donnent pas
l'information requise pour consommer biens et services, il n'y a pas accès, ça fait
que les gens obtempèrent à l'effet qu'ils n'ont pas de deuxième choix. Sinon,
aussi, l'entreprise, bien, il faut qu'elle… Et les lois sont écrites comme ça. Et
surtout, j'espère que le projet de loi n° 64 va «emphaser» là-dessus, c'est-à-dire
de demander qu'un minimum d'information… et non pas de l'information
complémentaire, comme on voit souvent le cas, dans un but de faire une collecte
et, après ça, s'en servir à <d'autres fins...
M. Waterhouse (Steve) :
…
à l'effet qu'ils n'ont pas de deuxième choix. Sinon, aussi,
l'entreprise, bien, il faut qu'elle… Et les lois sont écrites comme ça. Et
surtout, j'espère que le projet de loi n° 64 va «emphaser» là-dessus, c'est-à-dire
de demander qu'un minimum d'information… et non pas de l'information
complémentaire, comme on voit souvent le cas, dans un but de faire une collecte
et, après ça, s'en servir à >d'autres fins de marketing et, si ce n'est
pas, donc, de revente aussi d'information.
Maintenant, quand on va, après ça, avec
les grandes entreprises, les gros data de ce monde, bien, eux, ils s'en servent,
justement, pour faire de la modélisation, pour faire, encore une fois, de l'analyse
comportementale d'achats, si ce n'est d'aller qu'à l'épicerie du coin avec la
carte fidélité qui, à ce moment-là, est analysée. Les habitudes de consommation,
c'est tout ça que les gens, il faut qu'ils prennent conscience, donc, comme
citoyens. À quoi servent ces cartes fidélité là?, ça sert à vous documenter,
premièrement. Et, s'il y a fuite d'information, comme qui est arrivée récemment
avec IGA, bien, c'est là que vos informations personnelles, bien, encore une
fois, sont compromises. Est-ce que vous aviez le choix de ne pas les déposer et
d'utiliser ça? Il y en a qui vont dire : Bien non, je n'avais pas le
choix, parce que, sinon, je n'aurais pas la petite surprise, à la fin de la
semaine, qui vient avec. Bien, ça, c'est, encore une fois, un choix, et souvent,
les gens ne sont pas bien éclairés sur les conséquences potentielles en donnant
leurs informations personnelles. Mais revient aussi à l'entreprise de montrer
patte blanche et de dire : Avez-vous pris toutes les mesures et les
dispositions nécessaires pour protéger cette information-là? Ce qui n'est pas
le cas, et il n'y a pas personne, justement, qui est présentement affecté à
venir valider quelles sont les dispositions de sécurité pour protéger cette
information personnelle.
M. Jolin-Barrette : Donc,
dans chacune des entreprises, oui à l'utilisation de ces données-là, s'il y a
un libre consentement et un consentement éclairé du consommateur. Ce qui,
manifestement, n'est pas tout le temps le cas, parce qu'on voit, il y a beaucoup...
En fait, on nous demande tout le temps notre consentement, puis il y a... Bien,
en fait, pour la majorité des gens, moi y compris, quand on va sur une page Web
ou quoi que ce soit, ce n'est pas... on ne lit pas tout le contrat, on ne lit
pas tous les caractères associés, puis on dit : J'accepte, puis la
transaction se poursuit ou l'information se poursuit.
Alors, sur la question du consentement,
là, vous, vous êtes dans une approche de dire : Bien, on ne doit pas
permettre de récolter les renseignements qui ne sont pas nécessaires. Mais sur
le consentement lui-même, est-ce que vous feriez des consentements en bloc ou
un consentement à chaque fois qu'on demande une information de nature
personnelle?
M. Waterhouse (Steve) : Les
choses telles qu'elles sont présentement, autrement dit les lois de la façon
qu'elles sont écrites, je veux dire, on le voit, il y a beaucoup d'études qui
l'ont prouvé, les gens ne liront pas avant de se commettre à utiliser un
service. On prend une application, une nouvelle application qui sort, un
nouveau logiciel, <ils sont… >les gens, ils ont l'engouement de
s'en servir, l'installent. Après ça, il y aurait 25 pages de petits
caractères à lire pour, justement, comprendre dans quoi ils s'embarquent, et
c'est là aussi que ça devrait être révisé et exigé des compagnies. Et je crois qu'il
y a beaucoup de groupes, à travers le monde, à caractère… de défense du droit
du citoyen qui en font la demande, aux compagnies, de réduire ce fardeau-là aux
consommateurs, de pouvoir être capables de résumer ça en quelques paragraphes
essentiels pour qu'ils comprennent, justement, qu'est-ce que ça prend et qu'est-ce
que ça comporte, se servir du bien ou du service. Et après ça, ça devient
l'éclairage nécessaire. Mais le citoyen, il ne faut pas qu'il se dédouane en
disant : Je n'ai pas eu le temps de lire, ce n'est pas de ma faute, etc.,
alors qu'il y a une responsabilité que, tous et chacun, on se doit de prendre
connaissance dans quoi qu'on s'embarque.
Ça fait qu'à votre question c'est encore
une fois un <travail...
M. Waterhouse (Steve) :
…
justement,
qu'est-ce que ça prend et
qu'est-ce que ça
comporte, se servir du bien ou du service. Et après ça, ça devient l'éclairage
nécessaire. Mais le citoyen, il ne faut pas qu'il se dédouane en disant :
Je n'ai pas eu le temps de lire, ce n'est pas de ma faute, etc., alors
qu'il
y a une
responsabilité que, tous et chacun, on se doit de prendre
connaissance dans quoi qu'on s'embarque.
Ça fait qu'à votre question c'est
encore
une fois un >travail des deux parties pour qu'elles soient capables, à
ce moment-là, de... que les deux démontrent qu'un, il y a une bonne foi qui est
démontrée, d'un côté, mais de l'autre, la personne, à ce moment-là, prend le
temps nécessaire de s'éduquer, et je dis bien le mot «s'éduquer», sur la
technologie qu'elle va utiliser.
M. Jolin-Barrette : Puis,
quel devrait être le rôle de la Commission d'accès à l'information là-dedans?
M. Waterhouse (Steve) : Un
rôle présent. <Que… >Ça fait 26 ans que la Commission d'accès
à l'information, c'est un organisme, quant à moi, qui est fantôme et qui ne
fait pas le travail nécessaire pour aviser, si ce n'est pas d'éduquer la
population quant à quoi est la sécurité de l'information. C'est eux qui sont
supposés être les gardiens, au Québec, de ce service-là. Au Canada, on a le
commissaire à la commission de la vie privée, mais pour le Québec, c'est le
rôle de la CAI. Et la CAI reste renfermée sur ses positions, a un très mauvais
site Web pour amener les gens à aller le consulter. Pourtant, il y a beaucoup
de ressources très intéressantes, mais le site Web est tellement mal fait que
ce n'est pas attrayant d'aller lire l'information là-dedans. Ça fait que, si la
CAI doit être mise à contribution, à travers de ça, et j'en répète souvent son
rôle à travers mon mémoire, bien, c'est d'en faire un de rôle d'éducateur à la
population quant à l'entreprise, et, si ce n'est pas aussi de composer des
ressources pour être capable de faciliter à l'entreprise à contribuer,
justement, à rapporter les incidents. Je vous mets au défi, M. le ministre,
allez chercher le formulaire pour faire… pour rapporter un incident de sécurité
sur le site de la CAI, vous allez avoir besoin d'une journée de congé au
complet pour juste trouver ça, sérieux.
M. Jolin-Barrette : O.K. Je
vous remercie, M. Warterhouse. Je sais que j'ai des collègues qui veulent
intervenir.
Le Président (M. Bachand) :Député de Saint-Jean, s'il vous plaît.
M. Lemieux : Merci beaucoup, M. le
Président. M. Waterhouse, vous avez utilisé l'exemple de la carte fidélité
pour exprimer et illustrer un peu comment, comment, dans le fond, il faut
protéger le citoyen ou le consommateur de lui-même plus qu'autre chose. Il y a
plein de monde qui voudrait mettre la main sur ces données, mais le
consommateur ou le citoyen les laissent aller allègrement. On n'a qu'à penser
aux concours dans lesquels on s'inscrit, c'est écrit gros comme ça qu'ils vont
faire ce qu'ils veulent avec nos données, mais on y va, des fois qu'on gagnerait
un chapeau. Bon. Alors, il y a un peu de ça dans la discussion.
Et pourtant, l'industrie s'ajuste. Pas
plus tard que cette semaine, un des gros fournisseurs de services, Apple, pour
ne pas le nommer, a installé son nouvel IOS, l'IOS 14, puis là, on a vu
toutes sortes de boutons apparaître. C'est comme s'ils nous aidaient à nous
défendre, mais on ne comprend pas nécessairement. La loi va faire ça? Ce que
vous voyez, ce que vous lisez, là, on va aider le consommateur, le citoyen à se
protéger d'abord de lui-même aussi, ou ça, on ne sera jamais capables,
quoiqu'on fasse?
M. Waterhouse (Steve) : J'ai malheureusement
à vous dire que ça n'arrivera pas, si les gens ne s'aident pas. Et ça, ça passe,
encore une fois, par le terme «éducation». Dans n'importe quoi... On demande à
nos jeunes de faire de l'école, présentement, à distance, à partir de chez eux,
mais ils ne savent même... les professeurs ne savent même pas, en général,
comment opèrent et quels sont les intrants et tenants de l'interface avec lesquelles
ils utilisent. Puis après ça, on l'a vu, maints exemples, qu'il y a des intrus
qui s'insèrent là-dedans puis mettent le bordel. Bien, tout ça pour dire que ça
revient, justement, à être, encore une fois, informés correctement, c'est quoi
l'outil, comment <qu'il...
M. Waterhouse (Steve) :
...à distance, à partir de chez eux, mais ils ne savent même... les professeurs
ne savent même pas, en général, comment opèrent et quels sont les intrants et
tenants de l'interface avec lesquelles ils utilisent. Puis après ça, on l'a vu,
maints exemples, qu'il y a des intrus qui s'insèrent là-dedans puis mettent le
bordel. Bien, tout ça pour dire que ça revient, justement, à être, encore une fois,
informés correctement, c'est quoi l'outil, comment >qu'il fonctionne.
Mais après coup, la loi, la façon que je
la vois, aidante, bien, c'est, justement, de faire réaliser aux deux parties — parties,
encore là, entreprenante versus consommateur — qui, à ce moment-là,
les deux ont des responsabilités. Et les gens, ce n'est pas vrai qu'ils vont
toujours s'en sortir en disant : Je m'en sers mais je m'en sers juste en
le prenant et considérant pas autre chose. C'est un... C'est toujours le choix
de la personne de dire : J'accepte les risques et je prends le temps de
m'en servir, de telle application ou outil, peu importe. Mais, si jamais toutes
les... si les gens prenaient le temps de lire, ils verraient qu'il y a des
conséquences, au moment où est-ce qu'ils vont dire… ils vont déclarer. Et ils
ont le pouvoir, après ça, pas affronter mais questionner cette entreprise-là et
demander retrait d'informations qui sont cumulées à son insu ou en connaissance
de cause. Mais les gens, malheureusement, ne savent pas ces droits qu'ils ont
et que ça n'a même pas rapport avec la loi n° 64
encore. Mais j'espère juste que cette loi, le projet de loi n° 64
va amener en avant-plan et «emphaser» ces droits-là, du citoyen.
M. Lemieux : C'est bon
d'entendre ça. Revenons-y, au projet de loi n° 64. Il
y a un principe, derrière ça, qui, malheureusement, est en anglais ou en latin,
je ne suis pas certain, c'est d'être capables de penser qu'on est, par défaut,
confidentiels, là, quand... Ils appellent ça«privacy by default».
M. Waterhouse (Steve) : «Privacy by design», oui.
M. Lemieux : Ça, c'est un
principe. Est-ce que vous appréciez la façon dont le p.l. n° 64
nous présente la carte <sur... >avec laquelle on travaille pour
protéger les données et protéger la vie privée? Est-ce que les principes sont
bons?
• (15 h 20) •
M. Waterhouse (Steve) : Bien
oui, parce qu'il y a sept principes fondamentaux, puis le premier de ces
principes-là, c'est être proactif, et non réactif. Ça fait que, si, dans tout
l'ensemble de la philosophie du «privacy by design», donc conception par
confidentialité, qui est appliquée vraiment dans son essence, bien, ça va être :
Wow! Mais il faut que tout le monde embarque, par exemple, dans ce projet-là.
Même affaire pour le deuxième, <et
non... >la confidentialité, donc «privacy», par réglage, par défaut. Si
on met tout ça en avant-plan — et non pas après coup que tout un
projet a été fait et ficelé à 98 % puis il reste un 2 % — il
faut penser à la sécurité puis à la protection des données. C'est là que ça
déraille puis ça ne marche pas. Parce que là, ça devient une composante à part
du processus complet et c'est souvent là que se retrouvent les vulnérabilités.
Alors que, programmeurs ou peu importe le... que, concepteurs ou bien bâtisseurs
de quoi que ce soit, s'ils mettent la sécurité à l'intérieur... Puis parlons-en
d'un point de vue construction. Si on pense à des moyens de protéger le
bâtiment ou mettre des matériaux qui sont inflammables, puis après ça, on pense
juste à ça à la fin, il va falloir déconstruire beaucoup d'étapes dans ce
projet de construction là.
Donc, dans cette étape-là, je vous dis :
Le «privacy by design», il va faire en sorte que ça devrait aller dans la bonne
direction par après, oui.
M. Lemieux : Aidez-moi, M. le
Président, il y en a d'autres? Oui?
Le Président (M. Bachand) :
Oui. M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Merci, M. le
Président. Merci, M. Waterhouse, pour votre présentation.
Moi, je vais y aller sur un autre volet,
qui est les bases de données. De ce que j'ai lu dans votre position au niveau
du nuagique, malgré le fait que ce soit hébergé à l'extérieur, vous sembliez
favorable à ça. Il y a un groupe, ce matin, qui sont venus nous voir, qui <nous
ont...
M. Lemieux : …
d'autres?
Oui?
Le Président (M.
Bachand) : Oui. M. le député de Vachon, s'il vous plaît.
M. Lafrenière :
Merci,
M. le Président. Merci, M. Waterhouse, pour votre présentation.
Moi, je vais y aller sur un autre
volet, qui est les bases de données. De ce que j'ai lu dans votre position au niveau
du nuagique, malgré le fait que ce soit hébergé à l'extérieur, vous sembliez
favorable à ça. Il y a un groupe, ce matin, qui sont venus nous voir, qui >nous
ont parlé, selon eux, du danger du PATRIOT Act, hein, par exemple. Je voudrais
savoir quelle est votre position, parce que je l'ai lue puis j'ai vu que vous
étiez favorable. Mais qu'est-ce qui vous amène à être favorable à ça, comparativement
à ce qui a été fait avant ça dans les différents ministères, d'avoir ces
données-là qui étaient archivées à différents endroits?
M. Waterhouse (Steve) : Bien,
premièrement, il faut prendre en considération qu'il n'y a pas beaucoup
d'outils de bureautique aujourd'hui qui ne vont pas en infonuagique. Je prends
en exemple la suite Microsoft O 365, il y a encore une portion qui
est possible de garder localement mais la majorité de la plateforme, elle est
«designée» pour être en mesure de tout stocker en infonuagique. Basée
là-dessus, la façon de travailler — le chiffrement impliqué pour
garder l'information confidentielle — elle est telle que ça peut
garder l'information, justement, confidentielle pour les besoins de tous les
jours de bureautique.
Quand on parle d'information plus
croustillante, à caractère plus confidentiel, comme secrets d'entreprises,
etc., là, on pourrait prendre des moyens plus spécifiques. Puis là, à ce
moment-là, ça devient un produit à part que de la suite bureautique Office.
Gardant ça en esprit, de stocker ça en infonuagique, ça permet, justement,
d'avoir un point central. Mais, en même temps, les normes qu'ont les «entreposeurs»,
si je peux utiliser ce terme-là… donc, pour être capables de stocker
l'information, ils ont des normes très strictes, internationalement reconnues…
et qui, eux, je n'ai aucun doute, de stocker de l'information chez un
fournisseur d'infonuagique, que ça va être sécuritaire.
La partie non sécuritaire va être :
moi, quand je la mets dedans, est-ce que c'est de l'information que, si jamais
elle fuit, parce qu'il faut toujours se garder ce scénario-là en tête, va avoir
un préjudice grave pour moi, l'organisation, ma réputation? Et, si c'est le
cas, bien, il y a des moyens de chiffrer l'information avant de l'envoyer chez
cet hébergeur-là puis garantir que c'est juste moi qui y a accès.
Quand on parle du PATRIOT Act, oui, depuis
2001, les États-Unis se sont donné une loi. Évidemment, on pense aussi que tous
les hébergeurs de grosses organisations — on parle, Gmail, Apple,
Microsoft, puis tout ça — ils ont tous leurs centres de données principaux
aux États-Unis. Donc, <sur un… >ce n'est pas, encore là, sur
«figment» imaginaire que les autorités ont accès à cette information-là, il
faut qu'elles documentent le besoin, et, après ça, oui, avec moins de difficultés
judiciaires, ont accès à cette information-là, entreposée aux États-Unis. Ça, ça
va de soi.
Puis, après ça, le CLOUD Act aussi est
venu rectifier quelques lignes pour être capable d'amener les autorités à
comprendre qu'il y a des informations internationales qui s'y rapprochent. Mais
ce n'est pas… encore là, il ne faut pas croire que les autorités vont toujours
aussi montrer patte blanche en disant : Regardez, on va vous aviser,
demain matin, on s'en va dans votre compte, puis on a reçu une demande du FBI
pour aller faire une enquête. Ils ne le diront pas, ça garde certains secrets
parce que c'est des secrets d'enquête. Et à ce moment-là, si jamais c'est les
autorités canadiennes qui font la même demande, on ne le saura pas plus. Ça
fait que ce n'est pas nécessairement un problème américain plus qu'un problème
judiciaire, de la façon qu'il a été, quant à moi, préparé. Et, en même temps,
si les services sont toujours donnés selon l'entente… Encore là, il faut lire
ces ententes-là, dans quoi qu'on s'embarque, parce que c'est légalement décrit
qu'ils peuvent donner, sous mandat, accès au système d'information sans qu'on
soit, nous, consommateurs ou clients, avisés de cette demande-là.
M. Lafrenière : Question très
courte. Donc, puis sans vous <prêter…
M. Waterhouse (Steve) :
...Et,
en même temps, si les services sont
toujours donnés selon
l'entente… Encore là, il faut lire ces ententes-là, dans quoi qu'on s'embarque,
parce que c'est légalement décrit qu'ils peuvent donner, sous mandat, accès au
système
d'information sans qu'on soit, nous, consommateurs ou clients, avisés de
cette demande-là.
M. Lafrenière :
Question
très courte. Donc, puis sans vous >prêter de réponse, si je compare à ce
qui se fait présentement dans les différents ministères, est-ce que vous jugez
que c'est aussi sécuritaire de le mettre dans le nuagique, de ce que vous
connaissez?
M. Waterhouse (Steve) : De l'information
de niveau qui peut causer un préjudice grave à la personne, c'est sécuritaire
de le faire. Mais aussitôt que ça va tomber dans... Il faut mesurer deux
choses. Il faut mesurer, justement, la sensibilité de l'information qui est
mise dans le nuage mais aussi, après coup, l'impact, comme je disais, donc,
dans le cas d'une fuite d'information, quel est l'impact. Ça fait que, si on
dit qu'on met tout l'ensemble de la liste électorale ou, peu importe… d'information
collective des citoyens dans l'infonuagique et qu'il y a une fuite d'information,
que c'est... évidemment, ce ne sera jamais la faute de personne, mais que l'information,
elle a fui quand même, bien, c'est quoi, l'impact? Est-ce qu'à ce moment-là c'est
récupérable ou pas? Les données ne sont pas récupérables, mais est-ce que les
gens vont en avoir un, impact, encore là, suite à d'autres fuites
d'information, qu'ils vont vivre avec ce résultat-là le restant de leurs jours?
C'est là qu'il faut mesurer, donc, est-ce qu'il faut mettre tous nos oeufs dans
le même panier ou non, et, si oui, est-ce qu'on peut rajouter une couche de
confidentialité, donc de sécurité, par de la cryptographie, pour protéger cette
information-là. La réponse, pour moi, c'est oui, en mettant d'autres mesures
comme ça, ça va assurer que l'information n'ira pas dans les mauvaises mains.
M. Lafrenière : Merci
beaucoup.
Le Président (M. Bachand) :
Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: J'ai combien
de temps?
Le Président (M. Bachand) :
Vous avez du temps. Minimum, 13 minutes.
Mme Weil
: O.K.
Plusieurs questions. Bonjour, M. Waterhouse, plaisir de vous avoir avec
nous.
Alors, le Québec compte 1 131 municipalités
qui ont des systèmes informatiques qui contiennent beaucoup d'informations
personnelles des citoyens. Et cette année, par exemple, Châteauguay a été
victime d'un piratage informatique. Selon vous, est-ce que nos municipalités du
Québec sont bien équipées pour protéger les renseignements personnels de leurs
citoyens?
M. Waterhouse (Steve) : Mme la
députée, moi, j'ai pour dire que n'importe qui, <on peut... >tant
qu'il n'arrive pas d'incident, se croit, justement, à l'abri de tout, de
n'importe quoi qui peut leur arriver. Il y a beaucoup de municipalités, des
commissions scolaires, des universités, des cégeps qui en sont victimes sur une
base quasi régulière. Ils apprennent, avec le temps, et corrigent la situation
et ils espèrent évidemment que ça ne revient pas. Et ça, c'est partout sur la
planète, ce n'est pas juste un cas, comme on sait, là, local, ici, c'est propre...
c'est inhérent à la technologie.
À votre question, je me dis : Tant
qu'encore une fois il n'y a pas d'incident, les gens ne font pas de
vérification. Autrement dit, les municipalités tout comme les gouvernements
font rarement des exercices pour valider, si jamais la sécurité est bonne ou
mauvaise. À titre d'exemple, quand qu'on était plus jeunes, à l'école primaire,
à chaque mois de septembre ou octobre, il y avait l'exercice d'incendie,
d'évacuation pour savoir, un, c'est quoi le signal d'alarme, deux, par où
sortir, trois, se rassembler dehors, etc. On ne le fait pas avec
l'informatique. Ça fait que, donc, quand qu'il n'y a pas d'exercice pour être
capables de déterminer c'est quoi l'incident, comment ça peut se passer...
Comme souvent, des fois, je vous donne un type d'exemple, un mandat que j'ai
déjà eu, on veut vérifier s'il y a de la redondance d'impliquée. Donc, on
devrait être capables de continuer à travailler mais avec un lien d'un autre
fournisseur de télécommunications. Est-ce qu'on est... Avec le client, j'ai dit :
Quand vous êtes prêts, vous me le dites. On a signé les papiers légaux, on est <prêts,
3-2-1...
M. Waterhouse (Steve) :
...
quand qu'il n'y a pas d'exercice pour être capables de déterminer c'est
quoi l'incident, comment ça peut se passer... Comme souvent, des fois, je vous
donne un type d'exemple, un mandat que j'ai déjà eu, on veut vérifier s'il y a
de la redondance d'impliquée. Donc, on devrait être capables de continuer à
travailler mais avec un lien d'un autre fournisseur de télécommunications.
Est-ce qu'on est... Avec le client, j'ai dit : Quand vous êtes prêts, vous
me le dites. On a signé les papiers légaux, on est >prêts, 3-2-1 :
j'ai débranché tout simplement les modems. Il a dit : Qu'est-ce que vous
faites là? Bien, je ne vois pas de batterie de secours, on simule une panne
électrique. Plus rien ne marchait.
Donc, c'est dans cet ordre d'idées là que,
si on ne simule pas des situations pour être capables de se préparer, ça va
arriver.
Mme Weil
: Selon vous,
est-ce que ça prendrait, donc, comment dire, un genre de programme pour toutes
les municipalités qui ont un modèle quand même semblable, hein, pour tout le
Québec? Parce que, j'imagine, surtout les petites municipalités, elles seraient
vraiment mal équipées, un peu comme les PME. Puis ce sera peut-être une autre
question, si j'ai le temps. <C'est... >Ils demandent de l'aide
pour être capables de jouer le rôle qu'ils ont, l'obligation qu'ils ont de
protéger les renseignements personnels. Ils sont vraiment mal équipés, mal
informés. C'est une course contre la montre, là, pour être capables, de, hein,
rester à flot dans ce domaine-là. Pensez-vous que ça pourrait être utile, donc,
pour les municipalités qui, quand on y pense, là, bien, c'est un gouvernement,
hein? Et partout, ils détiennent des renseignements personnels sensibles,
importants, comme le Directeur général des élections nous parlait hier, comme
les partis politiques détiennent des informations très personnelles, l'âge et
résidence, l'adresse, etc. Pensez-vous que ça pourrait être... comment
verrez-vous une stratégie pour faciliter la tâche aux municipalités?
M. Waterhouse (Steve) : Bien,
ça découle, premièrement, d'une stratégie de cybersécurité au niveau national,
donc comme c'est déjà commencé, et, après coup, il faut que ça découle dans les
organisations subordonnées. Puis je peux faire très facilement la relation que,
lorsque j'étais à la Défense nationale, ça partait, évidemment, d'une entité du
Conseil du trésor et, après ça, à chaque ministère, descendait jusqu'<à, >après
ça à l'unité de réserve dans chacune des localités qu'il y a ici, au Québec, par
exemple. Et, après coup, elles n'ont pas les ressources pour le faire, mais c'est
le quartier général supérieur qui s'en occupait. Donc, je verrais très bien les
MRC qui auraient les ressources nécessaires, parce qu'ils ont des budgets
supérieurs aux municipalités, et qui, après ça, pourraient voir les différentes
municipalités sous leur chapeau à venir en aide avec ces problématiques-là… pas
«problématiques», mais avec la prévention qu'ils peuvent faire, que ce soit de
l'éducation pour le personnel, après ça, de la vérification de conformité. Et
ça, ça pourrait rentrer facilement dans un programme de certification et
d'accréditation permettant, à ce moment-là, à chaque municipalité de montrer
patte blanche, qu'elles ont fait le minimum nécessaire. Et s'il arrive,
malencontreusement, un incident de sécurité, bien, ça part d'une base commune
avec laquelle ils vont pouvoir faire les vérifications.
Parce que, très souvent, je vais voir de
la clientèle et la première affaire que je leur demande, à la documentation,
est : Donnez-moi une topologie de votre réseau, et elle date de voilà 10 ans.
Ça fait que, donc, c'est pour faire face, justement, à connaître qu'est-ce
qu'il en est, des choses réelles, et après ça, ça va être facile, que ça soient,
aussi, là, les sites Web des municipalités, qui sont souvent hébergés chez
l'ami de l'ami, après ça, qu'ils ont eu un bon prix pour le faire mais que
l'architecture, en arrière, est déficiente, ça fait peur. Bien, c'est de cette
façon-là que, s'il y a des normes minimales, oui, ça aiderait les
municipalités.
• (15 h 30) •
Mme Weil
: Tantôt, vous
parliez de l'importance de la Commission d'accès à l'information, puis le rôle
qu'ils pourraient jouer...
15 h 30 (version révisée)
M. Waterhouse (Steve) :
...municipalités, qui sont souvent hébergés chez l'ami de l'ami, et après ça,
qu'ils ont eu un bon prix pour le faire, mais que l'architecture en arrière est
déficiente, ça fait peur. Bien, c'est de cette façon-là que, s'il y a des
normes minimales, oui, ça aiderait les municipalités.
Mme Weil
: Tantôt,
vous parliez de l'importance de la Commission d'accès à l'information, puis le
rôle qu'ils pourraient jouer, et de travailler à éduquer la population sur les
enjeux de protection de renseignements personnels. Il y a quelques années, la
CAI a mené une tournée, sous l'impulsion de notre ex-collègue Rita de Santis,
et la tournée s'appelait Ce que tu publies, penses-y, afin de
conscientiser les jeunes, dans les écoles, à la réalité. Il y avait une tournée
dans toutes les écoles… bien, beaucoup d'écoles, sur la réalité et les dangers
des médias sociaux.
Selon vous, est-ce que l'on devrait y
aller de façon beaucoup plus présente et active, avec les moyens qui devront
suivre, évidemment, pour que la CAI joue ce rôle beaucoup plus proactif?
M. Waterhouse (Steve) : Vous
souvenez-vous de quelle année que cette tournée-là a été faite?
Mme Weil
: C'était
<dans… >en 2016 à peu près, 2015‑2016.
M. Waterhouse (Steve) : Bien,
c'est drôle, j'étais président d'un comité de parents, à l'école secondaire de
ma fille, je n'ai jamais entendu parler d'un tel programme. Ça vous montre à
quel point que la CAI travaille en vase clos et n'informe pas de façon
grandiose la population, et c'est ça que je dénonce de plus en plus. C'est que
c'est un organisme qui est pourtant mature, après 26 ans, j'espère qu'ils
savent qu'est-ce qu'ils font.
Bien, moi, je peux vous dire qu'ils ne
l'ont pas, le côté communication. Ça fait qu'il faudrait qu'ils se rééduquent
de ce côté-là, qu'ils se rééquipent de ce côté-là, puis après ça qu'ils fassent
une autre tournée de ce type-là, aller éduquer autant la jeunesse, mais que les
parents qui sont en arrière, pour, après ça, répondre aux questions des jeunes,
parce qu'il n'y en a pas.
Cependant, <ils vont se ruer... B>bien,
les gens ne se rueront pas à leurs réunions, parce que les gens, souvent, pour
les rejoindre, bien, ils sont submergés de tâches et ils arrivent le soir :
Ah non! Pas une réunion à 7 heures à soir avec la CAI… Ça fait que quand
est-ce qu'il serait le bon moment d'aller interpeller le parent? Ça, c'est
l'autre question qui serait quand même assez intéressante à débattre parce qu'il
y a le besoin… le parent veut savoir comment aider son jeune, le professeur
veut en savoir davantage, mais, en même temps, le jeune, il est capable de
figurer bien des affaires. Cependant, il faut l'éduquer aussi sur les
conséquences d'aller s'afficher sur une plateforme de média social et
comprendre des fois qu'il y a des pas fins en arrière, puis voici comment
qu'ils se présentent, pour qu'ils réalisent que ça leur arrive au quotidien.
Mme Weil
: Donc,
vous êtes d'accord qu'une initiative importante mais beaucoup plus... bien,
profonde, et élargie, et constante...
M. Waterhouse (Steve) :
Présente, oui.
Mme Weil
: …mais
avec les moyens, évidemment, pour le faire. J'imagine que les moyens étaient
limités à ce moment-là. C'était un genre de projet pilote pour commencer, mais,
comme vous dites, ce n'était pas en continu. Puis finalement c'est un projet
qui a duré un certain temps, publication d'un petit livre, et puis après ça,
bon, je ne sais pas ce qui s'est produit.
M. Waterhouse (Steve) : Vous
apportez un point important, Mme la députée. Et là qu'est qu'on parle
aujourd'hui, surtout le projet de loi n° 64, j'espère que… conscient que
ce n'est pas quelque chose qui est immuable une fois qu'il sera adopté. C'est
quelque chose… La technologie dans laquelle on baigne, les médias sociaux,
etc., c'est en mouvement constant. Bien, juste cette semaine, là, je pense, tout
le monde a réalisé aussi que la plateforme Facebook vient de changer, là.
Personne n'a été avisé par exemple, ça leur tentait de changer ça. Ça fait que
la journée que des grosses plateformes comme ça changent leur modèle, changent
leur façon de faire, ils n'avisent personne. Et c'est qui, encore une fois, il faut
qu'ils réapprennent à s'en servir? Bien, c'est tous et chacun, alors qu'on est
pris à déjà maîtriser cette base-là. Après ça, il faut aller plus loin et
comprendre les changements qui viennent d'être apportés et comprendre des fois
d'autres nouvelles fonctionnalités, mais qui souvent vont ouvrir des <brèches...
M. Waterhouse (Steve) :
…
par exemple, ça leur tentait de changer ça. Ça fait que la journée que
des grosses plateformes comme ça changent leur modèle, changent leur façon de
faire, ils n'avisent personne. Et c'est qui, encore une fois, il faut qu'ils
réapprennent à s'en servir? Bien, c'est tous et chacun, alors qu'on est pris à
déjà maîtriser cette base-là. Après ça, il faut aller plus loin et comprendre
les changements qui viennent d'être apportés et comprendre des fois d'autres
nouvelles fonctionnalités, mais qui souvent vont ouvrir des >brèches. Et
c'est là que le problème est toujours répétitif.
Ça fait que c'est pour ça que je vous
rejoins en disant : Il faut que la CAI, dans son rôle d'éducation, bien
qu'ils le fassent de façon cyclique. Et le mois d'octobre, c'est le mois de la
cybersécurité. Je n'ai rien vu encore de préparé pour ça.
Mme Weil
: Il me
reste encore un peu de temps. Hier, on a eu des échanges avec des organismes
qui… le milieu des entreprises. Le défi que représente... tous d'accord, évidemment,
sur l'importance de protéger les renseignements personnels, mais que les PME
surtout — et une collègue avait parlé de PPME — n'ont vraiment
pas les moyens pour s'occuper ou engager un expert en la matière pour qu'ils
puissent respecter la loi. Ils ont évoqué les peines qui sont prévues dans la
loi, etc.
Donc, ils ont parlé d'accompagnement, et
sans nous donner trop de détails, mais qu'eux auraient besoin d'accompagnement.
Moi, il me semble que cette notion d'accompagnement, évidemment, pour aider
tous ceux qui devront absolument se conformer à la loi, là, il n'y aura pas de
choix. C'est un enjeu tellement sérieux, tellement important, mais on peut
comprendre qu'ils n'ont pas les moyens.
Connaissez-vous des modèles de ce genre où
il y a vraiment un accompagnement d'entrée de jeu ou peut-être même un partage <de
ressources… >de ressources humaines et technologiques pour faire en
sorte que plusieurs puissent bénéficier de cette... sans avoir l'expertise
eux-mêmes, mais compter sur quelqu'un qui s'assure que… Oui, il y a des
consultants, là, mais je pense que même pour eux... C'est quel modèle vous
verrez pour les aider?
M. Waterhouse (Steve) : Il
existe ce que vous mentionnez, des compagnies qui vont être capables d'avoir
des ressources humaines, comme moi je le fais, pour être en mesure de venir
assister ces... peu importe le type d'organisation, OSBL, entreprise, peu
importe le niveau, pour être capable de se débrouiller puis pour comprendre
aussi l'aspect de qu'est-ce qu'ils ont à faire, que ce soit un aspect
d'installation de nouvelles façons de faire, de comprendre la suite Office,
comment elle fonctionne, etc. Il y a plusieurs compagnies au Québec qui ont
l'expertise de le faire. Et tous et chacun, on est débordés tellement qu'on est
peu à rencontrer le besoin. Il y a des gens, là, que… J'ai une liste d'attente
avec laquelle, là… Je les appelle pour leur dire : Je ne vous ai pas
oublié, je vais vous rappeler. Puis ça prend des mois parce qu'on est peu.
Et après ça les problèmes se multiplient plus
vite que se multiplie le nombre d'experts ou de gens compétents dans le
domaine. Et ça on a les universités qui ont des programmes de… qui,
tranquillement pas vite, sont matures pour former les gens à ce qu'ils aient
les connaissances minimales, mais ça n'apporte pas automatiquement l'expérience
nécessaire pour être capable de faire le travail. Et il y en a besoin, l'expérience
joue pour beaucoup, justement, dans ces interventions-là.
Alors, le modèle qu'on jase ici, bien, ça
en est un, oui, de services-conseils, mais il faut qu'il soit, encore là, un service-conseil
abordable. Puis malheureusement, quand je vous dis <d'expérience...
M. Waterhouse (Steve) :
...
les gens à ce qu'ils aient les connaissances minimales, mais ça
n'apporte pas automatiquement l'expérience nécessaire pour être capable de
faire le travail. Et il y en a besoin, l'expérience joue pour beaucoup,
justement, dans ces interventions-là.
Alors, le modèle qu'on jase ici, bien,
ça en est un, oui, de Rservices-conseils, mais il faut qu'il soit, encore là,
un service-conseil abordable. Puis malheureusement, quand je vous dis >d'expérience…
Et des connaissances, bien, souvent, dans le marché, c'est des connaissances de
pointe, qui sont quand même relativement dispendieuses. Malheureusement, il
faut souvent aller s'exproprier aux États-Unis dans le sens que... pas
s'exproprier, mais s'expatrier pour être capable d'aller chercher la
connaissance, alors que, bien, <il y a... >l'industrie
n'est pas voulue de l'offrir ici à prix égal. Ça fait que c'est pour ça que c'est
malheureux, mais il n'y aura pas de... S'il y a des connaissances à rabais dans
ce domaine-là, bien, il faut questionner, parce qu<'il y a...>e,
quand c'est trop beau pour être vrai, peut-être, ce n'est pas vrai aussi.
Mme Weil
: M. le
Président, est-ce que j'ai le temps pour une autre?
Le Président (M. Bachand) :
Oui, bien sûr.
Mme Weil
: Oui.
Le Président (M. Bachand) :Bien sûr, allez-y.
Mme Weil
: Hier,
on a beaucoup parlé… puis vous avez beaucoup de connaissances en la matière,
alors je pense que vous serez une bonne personne pour répondre à la question. Ils
ont aussi amené un dilemme, c'est-à-dire que… bien, un souhait ou une recommandation
que le gouvernement attende, que le gouvernement fédéral apporte ses modifications
à sa propre loi, et aussi que certaines provinces aussi amènent des modifications
à leurs lois. Ils ont dit que, si on a une panoplie de lois qui vont dans des
sens différents, ça va être extrêmement difficile pour nous. Il n'y a pas de
frontière dans le travail qu'on fait, normalement, le Québec n'attend pas. Le système
fédéral n'est pas fait comme ça. On s'inspire des uns des autres, mais on
n'attend pas que l'autre juridiction aille de l'avant quand on a une obligation,
hein, de protéger nos propres citoyens. Qu'est-ce que vous dites par rapport...
Je dois vous dire, je n'ai jamais vraiment trop saisi… Je peux comprendre les
complexités, mais en même temps, il faut avancer. On n'est pas comme l'Europe,
ce n'est pas l'Union européenne, la fédération canadienne.
M. Waterhouse (Steve) : Tout
à fait.
Mme Weil
: Mais
comment vous voyez ça?
M. Waterhouse (Steve) : Bien,
je vois ça que les élus, ils ne font pas le travail nécessaire pour donner les
pouvoirs qui sont requis par les commissaires à la vie privée. M. Therrien,
comme commissaire à la vie privée du Canada, maintes et maintes fois, année
après année, demande des pouvoirs et des façons de faire qui vont être, à ce
moment-là, plus coercitifs, pour ne pas dire qui vont lui donner le pouvoir et
surtout l'autonomie nécessaire pour être capable d'enforcer qu'est-ce qui est
le respect de la vie privée et surtout d'être capable d'accuser si nécessaire.
Mais moi, c'est de même, je le verrais son rôle. Au même titre qu'ici, au
Québec, la CAI pourrait bénéficier de cette même confiance-là de la part des
élus pour qu'ils aient un rôle complètement indépendant et qu'ils puissent, à
ce moment-là, faire le travail d'usage, parce que…
Je donne comme exemple, toujours,
l'enquête sur les caméras de reconnaissance faciale. On attend toujours, après
deux ans, un rapport du commissaire à la vie privée de l'Alberta et du Canada
sur l'utilisation des caméras de reconnaissance faciale en milieu public. Et là
ça se multiplie, ça, à une vitesse grand V, on en retrouve partout. Tout le
monde veut utiliser cette technologie-là, mais il n'y a pas de ligne
directrice. La CAI a émis des lignes directrices ici, au Québec. Fantastique, <mais
les rapports... E>elle est inspirée de bonnes pratiques, mais les
rapports de l'Alberta et du Canada ne sont toujours pas sortis. Alors,
pourquoi, s'ils n'ont pas assez de ressources, ils ne sont pas capables de
produire rapidement un résultat d'enquête, qu'on a besoin là et non pas dans
trois ans d'ici, <alors...
M. Waterhouse (Steve) :
…
mais il n'y a pas de ligne directrice. La CAI a émis des lignes
directrices ici, au Québec. Fantastique, mais les rapports... Eelle est
inspirée de bonnes pratiques, mais les rapports de l'Alberta et du Canada ne
sont toujours pas sortis. Alors, pourquoi, s'ils n'ont pas assez de ressources,
ils ne sont pas capables de produire rapidement un résultat d'enquête, qu'on a
besoin là et non pas dans trois ans d'ici, >alors que ça va être étendu
partout et ça va être quasi impossible à retirer?
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Pouvez-vous me rappeler de...
Le Président (M. Bachand) :
3 min 24 s
M. Nadeau-Dubois : De 3 min 24 s Bonjour, M. Waterhouse.
M. Waterhouse (Steve) : Bonjour.
M. Nadeau-Dubois : Toujours
un plaisir de discuter avec vous en commission parlementaire. J'ai raté votre
présentation puis les premiers échanges, donc vous m'excuserez si je pose des
questions que vous avez abordées. Mais j'ai bien lu votre mémoire puis je
trouve intéressant que vous reconnaissez, d'entrée de jeu, quelque chose que je
pense que tout le monde reconnaît ici, c'est-à-dire que, si on modernise, comme
on souhaite le faire, le cadre légal qui protège les renseignements personnels,
ça va représenter des responsabilités supplémentaires pour les entreprises.
Certains disent un fardeau, certains disent de la paperasse…
M. Waterhouse
(Steve) : Oui.
M. Nadeau-Dubois : …moi,
je préfère dire des responsabilités supplémentaires.
J'aimerais vous entendre, en tant
qu'expert en matière de sécurité, sur un argument qui nous a été présenté hier.
Hier, il y a certains représentants qui, on va se le dire, viennent du milieu
des affaires, qui nous ont dit, grosso modo : Faites attention, si vous
êtes trop sévères, si vous êtes trop exigeants, si vous êtes trop stricts au
niveau de la protection de la vie privée, vous allez faire fuir des entreprises.
Dans le domaine de la technologie, vous allez ou rendre les entreprises
québécoises moins compétitives dans ce marché-là… Et on nous a invité, parfois directement,
parfois indirectement, à, disons, niveler vers le bas les protections à rendre.
On nous a dit : Il faut rendre les données accessibles quand même. Il faut
protéger la vie privée, mais il faut les rendre accessibles quand même. Il y
avait tout un discours qui nous incitait à peut-être diminuer les exigences
pour ne pas, disait-on, brimer l'innovation.
Vous êtes dans le domaine depuis longtemps,
vous êtes un expert de la sécurité. Qu'est-ce que vous pensez de ce
discours-là? Est-ce que vous êtes d'accord, n'êtes-vous pas d'accord? Qu'est-ce
que vous pensez de ces arguments-là, qu'ils nous ont présentés, et qui nous
invitent, nous, les législateurs, <à, >disons, à baisser les
exigences par rapport à l'état actuel du projet de loi?
M. Waterhouse (Steve) : Bien,
j'ai pour dire qu'il n'y a pas de demi-mesure en sécurité, parce qu'aussitôt
que vous abaissez certaines normes… Et les normes, il faut les établir, et il
faut y aller avec les normes les plus strictes et peut-être les adapter. Mais
de dire : Il faut réduire, après ça, des exigences pour satisfaire
certains besoins, ça va être contreproductif et ça va jouer doublement contre
les entrepreneurs en province. Pourquoi? Parce que, si à l'extérieur du pays,
les normes sont plus élevées, mais ici, pour satisfaire une certaine... un
certain marché, pardon, certains marchands, il faut les mettre plus basses,
bien ils ne seront pas compétitifs à l'extérieur, parce que là, il va falloir
qu'ils redoublent d'efforts lorsqu'ils vont aller à l'extérieur pour faire
affaire.
• (15 h 40) •
Donc, c'est dans cet aspect-là que je ne
suis vraiment pas d'accord avec cette évaluation-là. Et pour que ça soit
réaliste, bien, il faut qu'on se mette aussi à un niveau mondial. Est-ce qu'on
veut juste faire aussi du marché local ou on veut aller à l'extérieur? Bien, si
c'est l'extérieur, comme je parle beaucoup d'entrepreneurs… faire, expandre
leurs marchés, bien, il faut aller, à ce moment-là, à parts égales, au même
niveau d'échanges avec le restant de la communauté et de s'assurer qu'on soit
aussi avant-gardistes. Parce que, si on est toujours à la remorque du minimum,
bien, <désolé...
M. Waterhouse (Steve) :
…
on veut juste faire aussi du marché local ou on veut aller à
l'extérieur? Bien, si c'est l'extérieur, comme je parle beaucoup
d'entrepreneurs… faire, expandre leurs marchés, bien, il faut aller, à ce
moment-là, à parts égales, au même niveau d'échanges avec le restant de la
communauté et de s'assurer qu'on soit aussi avant-gardistes. Parce que, si on
est toujours à la remorque du minimum, bien, >désolé, il y en a qui vont
prendre l'avantage sur ceux qui sont en avant et qui sont, justement,
avant-gardistes sur le marché avec leurs nouvelles normes.
M. Nadeau-Dubois : Oui. Très
rapidement, vous parlez de la nécessité de l'accompagnement. Je pense qu'on y
est tous. Qu'est-ce que vous pensez des amendes? Vous nous parlez, dans votre
mémoire, beaucoup de la carotte, aider les entreprises.
M. Waterhouse
(Steve) : Oui.
M. Nadeau-Dubois : Pensez-vous
que c'est aussi nécessaire qu'il y ait un fort volet punitif?
M. Waterhouse (Steve) :
Malheureusement, l'humain étant l'humain, c'est nécessaire pour être capable de
comprendre jusqu'où les gens peuvent aller utiliser… d'une certaine liberté ou
d'une certaine… S'ils voient qu'il n'y a aucune conséquence, comme c'est le cas
présentement, on le voit, il y a des organismes qui ont eu... ils ont fait fi
d'un minimum d'efforts à mettre en place pour protéger l'information
personnelle qu'ils avaient dans leurs responsabilités et, résultat, ils ne sont
pas punis, puis «life goes on», la vie continue. Alors, oui, il faut qu'il y
ait, à ce moment-là, coercition pour être en mesure de faire respecter ça.
Et malheureusement, comme on le voit avec
le RGPD depuis deux ans, il y a des cas types qui se sont dessinés. Il y a des
grosses amendes qui ont été versées pour, souvent, des incidents de fuites
d'informations qui avaient de l'air bénin. Puis là-dessus je pense à British
Airways, bien, qui ont eu une amende de 300 millions de dollars pour des
centaines de milliers de dossiers de clients, c'est quand même disproportionné.
Il y en a qui vont dire : Mais il y a quand même des normes qui commencent
à s'établir. Il y en a qui vont dire : Bien, ça va être 1 000 $
du nom, ça va être l'amende ou ça va être un montant global basé sur les
revenus annuels, etc. Ça fait que, oui, il faut qu'il y ait des paramètres sur
lesquels s'aligner parce que sinon, s'ils n'ont pas cet acte <de droit là…
>de droit sur laquelle savoir jusqu'où qu'ils peuvent tasser, bien, tout
le monde va pogner le clos à un moment donné.
Le Président (M. Bachand) :
M. Waterhouse, merci beaucoup de votre contribution aux travaux. Vous êtes
toujours les bienvenus à la Commission des institutions.
Alors, sur ce, je suspends les travaux
quelques instants. Merci beaucoup.
(Suspension de la séance à 15 h 44)
(Reprise à 15 h 48)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux.
Alors, il nous fait plaisir d'accueillir
les gens de l'Office de la protection du consommateur. Alors, vous connaissez
les règles, un petit 10 minutes de présentation, échanges avec les membres
par après. Alors, je vous invite à débuter, d'abord en vous présentant, puis
merci d'être ici cet après-midi.
Mme Champoux (Marie-Claude) :
Alors, bonjour, mon nom est Marie-Claude Champoux. Je suis présidente de l'Office
de la protection du consommateur et je suis accompagnée de Marjorie Théberge,
qui est vice-présidente de l'office. Alors, je vous remercie de me permettre de
m'adresser à vous aujourd'hui relativement au projet de loi n° 64.
Tout de suite, avant d'aller plus loin, je
tiens à vous rappeler que le rôle de l'Office de la protection du consommateur
consiste, entre autres, à veiller à l'application de la Loi sur la protection
du consommateur. Cette loi régit les relations consommateur-commerçant. En tant
que présidente de l'organisme, je souhaite préciser que nous ne sommes pas, à
l'office, des spécialistes de la Loi sur la protection des renseignements
personnels dans le secteur privé, soit l'une des lois que viendrait modifier le
projet de loi n° 64. C'est évidemment la CAI qui a la
responsabilité de surveiller l'application de cette loi.
Il reste que, malgré tout, plusieurs
consommateurs s'adressent à nous en ce qui concerne la protection des
renseignements personnels, et même si la question ne relève pas de nos lois.
Nous en profitons donc pour les guider, quand l'occasion se présente, car plusieurs
situations de tous les jours dans la vie d'un consommateur peuvent l'amener à
fournir ses renseignements personnels. Je pense à des choses qui nous semblent
aussi banales que s'inscrire à un programme de récompenses ou faire un achat
sur Internet. À l'office, nous agissons en prévention, nous invitons les
consommateurs à faire preuve de prudence. Protéger adéquatement le NIP de sa
carte de crédit, se méfier des courriels non sollicités et vérifier son dossier
de crédit de temps à autre, afin de voir si les renseignements qui s'y trouvent
sont exacts et à jour, sont des exemples de nos interventions en amont.
• (15 h 50) •
Relativement à la protection des
renseignements personnels, nous sommes aussi confrontés à ce que j'appellerais
des appels à l'aide. Nous sommes bien au fait qu'une fuite de donnée peut avoir
des répercussions majeures dans la vie d'un consommateur. Nous savons particulièrement
quelles peuvent en être les conséquences sur son dossier de crédit. Je peux
l'affirmer avec certitude, quand ce dossier comporte une inscription qui ne
devrait pas s'y trouver, le consommateur fait face à des difficultés vraiment importantes.
J'y reviendrai.
Bref, je tenais à rapidement mettre en
lumière ce que nous faisons au quotidien à l'office, parce qu'aujourd'hui, dans
le contexte de la consultation, je vais m'en tenir à des commentaires généraux
sur des modifications qu'il est proposé d'apporter à la Loi sur la protection
des renseignements personnels dans le secteur privé. Les différents spécialistes
qui ont été invités à participer à cette consultation pourront sans doute y
apporter un éclairage plus précis.
Mais juste avant j'aimerais revenir sur la
participation récente de l'office à la consultation particulière dans le cadre
des travaux sur le projet de loi n° 53, projet de loi
qui vise notamment à mieux protéger les consommateurs dans un contexte où ils
risquent de faire l'objet d'un vol d'identité. La consultation sur le projet de
loi n° 53 a été, pour nous à l'office, l'occasion de
démontrer à quel point, dans la vie d'un consommateur, aussi bien de le dire,
dans la vie de tous les Québécois, le dossier de crédit est un élément
fondamental. J'ai glissé un mot à ce sujet tout à l'heure et je le répète, une
note défavorable au consommateur, une inscription qui se trouve à tort dans son
dossier de crédit peut lui nuire énormément. Demander une carte de crédit,
emprunter de l'argent ou <obtenir...
Mme Champoux (Marie-Claude) :
...démontrer à quel point, dans la vie d'un consommateur, aussi bien de le
dire, dans la vie de tous les
Québécois, le dossier de crédit est un
élément fondamental. J'ai glissé un mot à ce sujet
tout à l'heure et je
le répète, une note défavorable au consommateur, une inscription qui se trouve
à tort dans son dossier de crédit peut lui nuire
énormément. Demander
une carte de crédit, emprunter de l'argent ou >obtenir du financement
pour un achat devient alors plus que compliqué. Le consommateur peut se
retrouver avec des conditions moins avantageuses, un prêt à un taux de crédit
plus élevé notamment. Dans le pire des cas, il pourrait aussi faire face à un
refus, pas d'accès au financement, ce qui voudrait aussi dire, si nous
transposons le tout dans une situation concrète, pas de voiture pour se rendre
au travail.
Lors de cette consultation le 25 août
dernier, je me suis permis de faire des suggestions à propos de certaines
mesures de protection. Je pense notamment au gel et à l'alerte de sécurité. J'ai
mis de l'avant plusieurs propositions qui, à notre avis à l'office,
favoriseraient l'efficacité de ces mesures de protection. L'office a, entre
autres, suggéré un accès continu et sans frais au dossier de crédit et l'envoi
aussi gratuitement de notifications aux consommateurs. En effet, il demeure
primordial, du point de vue de l'office, que le consommateur puisse être
informé sans délai quand certains événements se produisent dans son dossier de
crédit comme la baisse de sa cote ou l'inscription d'une nouvelle créance.
Ainsi, le consommateur est non seulement en mesure de constater rapidement
qu'une anomalie figure dans son dossier de crédit, mais il peut aussi agir rapidement.
Devant la commission, j'ai aussi partagé
les préoccupations de l'office à l'égard du fardeau qui pèse sur le
consommateur quand vient le temps de contester une note à son dossier de crédit,
s'il est victime d'un vol d'identité notamment. Une note qui, même contestée, a
une incidence sur la cote de crédit d'un consommateur, et ce, jusqu'à ce qu'il
fournisse des preuves. Une telle démarche de contestation se révèle ardue pour
le consommateur et, j'oserais dire, frustrante quand nous savons qu'un
commerçant, de son côté, peut inscrire une note dans un dossier de crédit sans
même avoir à démontrer qu'elle est justifiée.
Je souhaitais revenir brièvement sur tout
cela parce que je comprends que le projet de loi n° 64 vient protéger...
compléter, pardon, le projet de loi n° 53. Les mesures qu'il contient
pourraient contribuer à éviter la survenance d'incidents ayant des conséquences
graves sur les consommateurs comme les fuites que nous avons connues dans la
dernière année. Et, dans les cas où ces situations malheureuses auraient tout
de même eu lieu, le projet de loi n° 64 viendrait en limiter les
conséquences. Dans le contexte numérique dans lequel nous évoluons aujourd'hui,
avec toutes les technologies de l'information que nous connaissons maintenant
et par lesquelles nos renseignements transitent, la protection de ces données
est de plus en plus d'actualité. Les différents épisodes que nous avons connus
dans les derniers mois démontrent, selon moi, l'importance d'agir pour protéger
les renseignements personnels des consommateurs, des renseignements que
recueillent, utilisent et communiquent les organismes publics et les
entreprises.
Le projet de loi n° 64 propose
d'introduire de nouvelles mesures qui responsabiliseraient davantage les
entreprises en matière de protection des renseignements personnels, ceux
qu'elles détiennent sur les consommateurs. Les mesures concernent, entre
autres, les incidents de confidentialité. Elles exigeraient que les personnes
concernées par un incident soient avisées quand il présente un risque de
préjudice sérieux. Un tel ajout serait sans doute susceptible de contribuer à
ce que les consommateurs concernés aient l'information rapidement.
Conséquemment, ils pourraient, dans les plus brefs délais, utiliser les mesures
de protection relatives à leur dossier de crédit dont il est question dans le
projet de loi n° 53.
(Interruption) C'est un chat, ce n'est pas
la COVID. Nous notons également que des modifications seraient apportées aux
sanctions <auxquelles...
Mme Champoux (Marie-Claude) :
...
Conséquemment, ils pourraient, dans les plus brefs délais, utiliser
les mesures de protection relatives à leur dossier de crédit dont il est
question dans le projet de loi n° 53.
(Interruption) C'est un chat, ce n'est
pas la COVID. Nous notons également que des modifications seraient apportées
aux sanctions >auxquelles s'exposent les contrevenants. Ces
modifications nous paraissent être un incitatif efficace pour amener les
entreprises à agir en tout respect des règles.
Nous constations de plus que des modifications
apportées à la Loi sur la protection des renseignements personnels dans le
secteur privé concernent le consentement. Le consentement est un élément
central dans la Loi sur la protection du consommateur. Il l'est tout autant en
matière de protection des renseignements personnels. La Loi sur la protection
des renseignements personnels dans le secteur privé s'intéresse en effet au
consentement du consommateur à la cueillette de renseignements personnels, à
leur utilisation et à leur communication.
À propos de la cueillette, une entreprise
qui recueille des renseignements personnels auprès d'un consommateur doit lui
livrer plusieurs informations, dont les raisons pour lesquelles ces
renseignements sont recueillis. Ces informations doivent être fournies au
moment de la collecte. Ayant à l'esprit l'approche retenue dans la Loi sur la
protection du consommateur, nous nous demandons si les informations nécessaires
à un consentement éclairé ne devraient pas être fournies au consommateur de
façon préalable, soit avant la collecte. Nous nous demandons même si la façon
de fournir ces informations de la plus haute importance au consommateur ne
devrait pas être davantage encadrée. Nous pourrions ainsi nous assurer qu'elles
sont portées expressément à la connaissance du consommateur d'une façon claire,
nette et sans équivoque. Elles sont après tout indispensables dans sa prise de
décision.
Par ailleurs, de nos jours, des
renseignements peuvent être recueillis grâce à des moyens technologiques. Le projet
de loi prévoit que le consommateur serait au préalable informé du recours à une
telle technologie, ce qui nous semble tout à fait souhaitable. Toutefois, le
consommateur saurait-il au préalable quels renseignements à son sujet
pourraient être recueillis? Je me permets de poser la question, car le projet
de loi semble flou à ce propos.
Le projet de loi prévoit également qu'une
entreprise pourrait utiliser un renseignement personnel à une fin différente de
celle pour laquelle elle l'a recueilli. Une telle utilisation serait admissible
dans certains cas en l'absence du consentement du consommateur, notamment si
l'entreprise est d'avis que cette autre utilisation est manifestement au
bénéfice du consommateur. À l'office, il nous semble que cette exception laisse
une grande discrétion à l'entreprise.
J'aborde la communication des
renseignements maintenant. La loi actuelle prévoit des exceptions qui
permettent à une entreprise de communiquer des renseignements personnels à un
tiers sans que le consommateur y ait consenti. Je comprends que le projet de
loi vient ajouter d'autres circonstances où un tel partage d'informations
serait autorisé, par exemple, si la communication est nécessaire à l'exécution
d'un contrat de service que l'entreprise confie à un tiers. Cette entreprise
serait alors tenue de conclure une entente avec ce tiers. Elle préciserait les
obligations du tiers relatives à la protection des renseignements personnels
qui lui sont communiqués. Une question nous est venue à l'esprit : Quelles
seraient les sanctions applicables si l'entreprise, elle, respecte son
obligation de conclure une telle entente, mais que le tiers, lui, ne respecte
pas les termes de l'entente?
Le projet de loi suggère aussi d'éliminer
la possibilité qu'une entreprise utilise, sans le consentement des personnes
concernées, une liste nominative à des fins de prospection commerciale ou
qu'elle communique cette liste à un tiers. Je salue cette initiative. La
modification nous apparaît être une amélioration des règles actuelles.
Je poursuis, juste avant de terminer, en
parlant du fait que certaines <décisions des...
Mme Champoux (Marie-Claude) :
...Le
projet de loi suggère aussi d'éliminer la possibilité qu'une
entreprise utilise, sans le consentement des personnes concernées, une liste
nominative à des fins de prospection commerciale ou qu'elle communique cette
liste à un tiers. Je salue cette initiative. La modification nous apparaît être
une amélioration des règles actuelles.
Je poursuis, juste avant de terminer,
en parlant du fait que certaines >décisions des entreprises sont rendues
sur la base d'un traitement automatisé des renseignements personnels. Le projet
de loi aborde cet aspect. Il est prévu que l'entreprise informe les personnes
concernées lorsqu'une décision est fondée exclusivement sur un tel traitement.
Cette mesure a suscité quelques questions au sein de notre organisation, je les
partage avec vous. Nous nous demandons pourquoi cette obligation d'information
se limite-t-elle aux cas où la décision est fondée exclusivement sur un
traitement automatisé. Le consommateur pourrait être informé dès que ses
renseignements personnels sont utilisés pour prendre une décision, peu importe
le type de traitement qui en est fait. Le consommateur ne devrait-il pas aussi
être informé si l'utilisation de ses renseignements personnels fait en sorte
que des conditions moins favorables lui sont proposées? Enfin, selon nous, la
façon dont l'information est fournie à la personne concernée aurait avantage à
être encadrée afin qu'elle soit portée à sa connaissance de façon appropriée.
J'aborde un dernier point avant de
conclure. Nous notons que des modifications ont été apportées à des articles
qui s'intéressent à l'accès des personnes à leurs renseignements. Il semble
bien que des frais puissent continuer à leur être exigés pour la transmission
de leurs renseignements personnels. Nous réitérons donc le commentaire formulé
dans le cadre des travaux relatifs au projet de loi n° 53 :
À notre avis, le consommateur devrait pouvoir accéder à son dossier sans frais
et en tout temps. Les renseignements qui s'y trouvent lui appartiennent.
J'espère sincèrement que les commentaires
que j'ai partagés et que les questionnements que j'ai soulevés ici contribuent
aux travaux de la commission. Des règles en matière de protection des
renseignements personnels fondées sur la transparence ne pourront que mieux
protéger les consommateurs québécois. Je vous remercie.
Le Président (M. Bachand) :
Merci beaucoup, Mme la Présidente. M. le ministre, s'il vous plaît.
M. Jolin-Barrette :
Merci, M. le Président. Mme Champoux, Mme Théberge, bonjour. Merci
d'être à l'Assemblée nationale aujourd'hui au nom de l'Office de la protection
du consommateur pour témoigner. Je pense que vous êtes en terrain connu aussi
avec la députée de Notre-Dame-de-Grâce aussi, que je crois que vous connaissez.
Alors, bien, écoutez, d'entrée de jeu, peut-être poser des questions
opérationnelles, là, pour l'OPC. Le consommateur, là, quand qu'il y a des
fuites de données, là, j'imagine qu'il y en a beaucoup qui cognent à la porte
de l'Office de la protection du consommateur pour dire : J'ai eu un vol de
données, qu'est-ce que je fais? Et puis ils doivent s'adresser à vous.
Mme Champoux (Marie-Claude) :
Ça arrive, effectivement. C'est sûr que nous ne sommes pas responsables de
l'accès à l'information puis la protection des renseignements personnels, donc
ce n'est pas... Souvent, on peut les référer à la CAI, mais aussi en amont,
c'est-à-dire, comme je le disais un petit peu plus tôt, on essaie de bonifier
notre information… On a parlé de sites Web, un peu plus tôt. Le site de
l'office est très, très, très fréquenté. Alors, souvent, on y va... pardon,
questions-réponses puis on essaie< de…> en amont de donner
l'information au consommateur.
• (16 heures) •
M. Jolin-Barrette :
Mais, exemple, là, sur le plan gouvernemental, là, parce que pour connaître
tous les rôles, là, de la CAI puis l'OPC, le citoyen, là, pour lui, sa première
réaction, ça peut être l'OPC. Comment est-ce que vous pensez qu'on pourrait
comme, au niveau de l'État, là...
16 h (version révisée)
M. Jolin-Barrette : ...mais, exemple,
là, sur le plan gouvernemental, là, parce que, pour connaître tous les rôles,
là, de la CAI puis l'OPC... le citoyen, là, pour lui, sa première réaction, ça
peut être l'OPC. Comment est-ce que vous pensez qu'on pourrait, comme... au
niveau de l'État, là, faire de la pédagogie avec les citoyens pour dire :
Si vous avez une problématique, ça va être à la Commission d'accès à
l'information puis pas à l'OPC? Et est-ce qu'il y aurait lieu d'avoir des liens
à développer entre l'OPC et la Commission d'accès à l'information?
Mme Champoux (Marie-Claude) : Effectivement,
il n'y a pas vraiment de lien, puis ça pourrait être tout à fait intéressant de
développer des liens. C'est certain que, si, à la suite de l'adoption du projet
de loi, il y a des outils d'information qui sont développés par la CAI ou par
le secrétariat, ça nous ferait plaisir, nous, d'en faire la promotion, de les
mettre sur notre site puis, effectivement, de... Parce qu'on n'aime pas ça
référer, là, les consommateurs. Quand on est capables de leur répondre directement
puis de leur donner de l'information, ne pas les envoyer un peu partout au sein
de l'appareil, certainement, ces collaborations-là peuvent être développées,
là.
M. Jolin-Barrette : Ça fait
que, dans le fond, le citoyen qui a des informations dans des entreprises
privées, des entreprises commerciales, bien souvent, c'est parce qu'il est un
consommateur. Dans le fond, que ça soit dans les institutions financières, que
ça soit les données qu'on donne, on va s'acheter un ordinateur, on remplit la
garantie, toutes les informations de nature personnelle qu'on donne, bien,
c'est intrinsèquement lié aussi un peu en sa qualité de consommateur. Puis ce
n'est pas la même chose que lorsqu'il donne des données à l'État, supposons,
où, là, c'est, supposons, des données de nature fiscale ou des données de
nature personnelle. Bien, supposons, relativement à l'entièreté de la donnée
que l'État détient sur le citoyen, le chapeau est un petit peu différent aussi.
Ça fait que ce serait peut-être intéressant de vous intégrer dans la réflexion
avec la Commission d'accès à l'information pour voir comment est-ce qu'on peut
faire les ponts entre les deux.
<
Est-ce que... >Puis, peut-être,
vous ne pourrez pas me répondre là-dessus parce que l'accès à l'information,
c'est la Commission d'accès, sauf que, dans les pratiques que vous observez au
niveau, là, des affaires, des commerces, est-ce que vous voyez que les
pratiques commerciales font en sorte de récupérer beaucoup de données, beaucoup
plus que ce qui est nécessaire à l'exercice de l'activité commerciale des
entreprises?
Mme Champoux (Marie-Claude) :
On n'a pas fait d'étude là-dessus, je n'ai pas de donnée précise là-dessus.
J'aurais tendance à vous dire oui. Intuitivement, là, on peut penser qu'effectivement
il y a beaucoup d'information qui est demandée au consommateur qui n'est peut-être
pas toujours nécessaire dans les circonstances. Mais on n'a pas de donnée là-dessus,
là, je ne peux pas vous donner une opinion éclairée, là.
M. Jolin-Barrette : Puis,
souvent, avec l'OPC, ce qu'on constate... Puis je sais où vous intervenez,
c'est quand qu'il y a une pratique abusive, supposons, une pratique commerciale
abusive et où le consommateur se retrouve un peu dans une sorte de contrat
d'adhésion, puis les clauses sont là, puis il y a un débalancement. Puis là,
bon, l'OPC peut intervenir, conseiller, tout ça.
Est-ce que vous pensez qu'en matière de
protection des <renseignements personnels ou...
M. Jolin-Barrette :
…une pratique abusive, supposons, une pratique commerciale abusive et où le
consommateur se retrouve un peu dans une sorte de contrat d'adhésion, puis les
clauses sont là, puis
il y a un débalancement. Puis là, bon, l'OPC peut
intervenir, conseiller, tout ça.
Est-ce que vous pensez qu'en
matière de protection des >renseignements personnels ou, en fait, le
fait de donner ces renseignements, c'est un peu la même pratique où est-ce que
le consommateur, dans le fond, quand il veut acheter son bien ou quand il veut
accéder au service qui est offert par l'entreprise, bien, dans le fond, il ne
consent pas vraiment, là? Il clique oui, il clique j'accepte, puis ce n'est pas
nécessairement un consentement éclairé. Est-ce qu'on peut faire le parallèle
entre ça puis le consentement qui est donné en matière de consommation, là, bien,
en fait, le contrat d'adhésion, là, si on peut dire?
Mme Champoux (Marie-Claude) :
Je vais demander à Me Théberge de vous répondre, si ça vous va.
Mme Théberge (Marjorie) : Si
vous permettez, je ferais peut-être un parallèle. Au dernier projet de loi sur
lequel on a eu le privilège de travailler, on avait encadré un peu, par rapport
à la capacité de remboursement du consommateur, les informations que le
consommateur ou le commerçant devait requérir. Donc, par le biais de notre loi
et de notre compétence, on essaie de circonscrire ce que le commerçant peut
exiger, des éléments importants et essentiels pour arriver au but qu'il
souhaite, et puis, d'un autre côté, par rapport au consommateur, qu'il en soit
bien informé et de savoir ce qu'il doit donner et non pas nécessairement qu'il
est obligé de le faire. Donc, on croit encore que, oui, un cadre légal peut
bien aider, mais la pédagogie, l'éducation demeureront quand même un outil
essentiel pour le consommateur.
M. Jolin-Barrette : Puis la
notion de consentement, là, avec la LPC, tout ça, là, <comment est-ce
qu'elle… >pouvez-vous renseigner sur comment est-ce qu'elle est… elle
est abordée comment? Comment est-ce qu'on exprime un consentement valide en
matière de droit de la consommation? Peut-être, ça pourra nous inspirer pour
rendre accès à…
Mme Théberge (Marjorie) : On
va souhaiter l'obtenir au moment de la conclusion du contrat. Bien entendu, le
tout doit être expliqué et déterminé, et le consentement doit être valide, donc,
et éclairé. On ne peut pas le déduire, le consommateur doit l'exprimer de
manière… qu'il en soit bien informé et que ce soit… qu'il l'ait bien exprimé au
moment où il contracte.
M. Jolin-Barrette : Puis les
groupes qui vous ont précédés nous ont dit souvent, là : Bien, tu sais, le
consommateur, il ne prend pas le temps de lire les différents éléments puis il
coche, là, quand même, là. Dans le fond, c'est un consentement, théoriquement,
express parce qu'il y a une manifestation positive. Ça, qu'est-ce que vous en
pensez?
Mme Théberge (Marjorie) :
Bien, c'est surtout, on essaie… Encore là, il y a un volet beaucoup d'éducation.
On essaie de mentionner au consommateur : Oui, c'est bien beau dans un
endroit où on arrive pour conclure un contrat, je vais lier peut-être quelques
domaines, on peut parler de l'automobile, on peut parler de vente... on peut
parler de vente itinérante, pardon, mais que le consommateur ait le choix de
réfléchir. Il n'est pas obligé de consentir dans l'immédiat. Donc, c'est important
qu'il le sache. Bien entendu, il y a certaines situations où il peut avoir une
certaine pression, mais on essaie que le consommateur soit bien au fait de ses
droits.
M. Jolin-Barrette : O.K.
J'aimerais ça qu'on revienne sur les dossiers de crédit. Dans le fond, vous
dites : Bon, bien, l'entreprise qui a pour objet le <prêt d'argent…
Mme Théberge (Marjorie) : ...c'est
important qu'il le sache. Bien entendu,
il y a certaines
situations
où il peut avoir une certaine pression, mais on essaie que le consommateur soit
bien au fait de ses droits.
M. Jolin-Barrette :
O.K. J'aimerais ça qu'on revienne sur les dossiers de crédit.
Dans
le fond, vous dites : Bon, bien, l
'entreprise qui a pour objet le
>prêt d'argent, elle, dans le cadre de la loi qu'on a déposée, elle a
certaines obligations. Mais vous dites : Il y a plein de gens qui vont... ou
plein d'entreprises qui vont consulter le dossier de crédit, donc, puis qui
vont récolter des renseignements de nature personnelle. Donc, vous dites :
Eux aussi devraient être visés par l'article de la loi, là. Je pense, c'est
l'article 19.
Mme Théberge (Marjorie) : On
souhaiterait que, tout comme... bien, c'est surtout que le consommateur puisse
y avoir accès et soit informé immédiatement quand il y a un changement à son
dossier de crédit. Souvent, le commerçant peut y ajouter des informations et le
consommateur ne le sait pas nécessairement, et c'est pourtant lui qui aura,
après ça, à se débattre et à chercher à faire corriger si l'information qui a
été inscrite est inexacte.
M. Jolin-Barrette : O.K.
Donc, qu'il soit avisé en temps réel de l'inscription à son dossier de crédit.
Parce que, dans le fond, supposons qu'il arrive un litige avec un commerçant ou
quoi que ce soit, le commerçant peut inscrire un message défavorable sur la
cote de crédit, sur le dossier de crédit et là le consommateur, lui, il n'a pas
nécessairement de notification, il l'apprend deux, trois ans plus tard
lorsqu'il fait un prêt, un contrat de crédit ou quelque chose comme ça.
Mme Théberge (Marjorie) :
Exactement.
M. Jolin-Barrette : O.K.
Mme Champoux (Marie-Claude) : Plus
encore, si vous me permettez, <plus encore, >le consommateur, s'il
considère que cette indication-là est injuste, il faut qu'il se batte pour
essayer de la faire enlever, puis, pendant ce temps-là, sa cote de crédit est quand
même influencée négativement, même s'il conteste l'indication, alors que le commerçant,
lui, n'a pas à se justifier, il l'a tout simplement inscrit, il n'a pas à se
justifier.
M. Jolin-Barrette : Peut-être,
M. le Président, que les collègues...
Le Président (M.
Bachand) : Merci. Je me tourne vers la banquette... M. le
député de Saint-Jean, s'il vous plaît.
M. Lemieux : Oui, merci
beaucoup, M. le Président. Bonjour, mesdames. On s'est fait dire ce matin
qu'avec 60 articles le projet de loi n° 64, c'était trop puis en même
temps trop peu. Pourtant, on se retrouve, si j'ai bien compris, dans les ligues
majeures, c'est-à-dire qu'il y a des règles qui doivent être aussi fortes que
ce qu'il y a en Europe pour qu'on soit capables de travailler avec l'Europe et
on va s'organiser pour être capables de suivre un peu ce qui se passe sur la
planète. Donc, c'est un peu les tiers pays sûrs, mais dans le monde des renseignements
personnels.
Est-ce que vous avez l'impression<
que>, malgré que le consommateur — vous l'appelez le consommateur — le
citoyen soit au mieux distrait, le plus souvent, quand il va en ligne puis
qu'il fait ses affaires, qu'au lendemain de ce que vous voyez dans le projet de
loi on est rendus ailleurs? C'est-à-dire, on a modernisé, mais pas seulement
modernisé au sens de refaire la loi, mais au sens de ce qu'on vit tous les
jours maintenant. Juste avec des applications qu'on n'avait pas il y a un an,
on se rend compte aujourd'hui que ça change tout par rapport à ce qu'on
communique à plein de monde sans le savoir. <Est-ce que vous avez...
M. Lemieux : ...
pas
seulement modernisé au sens de refaire la loi, mais au sens de ce qu'on vit
tous les jours maintenant. Juste avec des applications qu'on n'avait pas il y a
un an, on se rend compte aujourd'hui que ça change tout par rapport à ce qu'on
communique à plein de monde sans le savoir. >Est-ce que vous avez
l'impression qu'avec ça on a au moins une mesure suffisante pour que, même si
le consommateur ne s'en occupe pas, il ait la protection minimum qu'il devrait
avoir?
• (16 h 10) •
Mme Champoux (Marie-Claude) :
Nous ne somme pas des spécialistes, à l'office, pour savoir si c'est suffisant
ou si... Ce qu'on note, puis <c'est vraiment... >on le voit
comme un... on le reçoit positivement, on note que c'est vraiment une
amélioration pour la protection. Effectivement, on parle toujours des consommateurs,
mais c'est une déformation. Chez nous, les citoyens sont des consommateurs.
Alors, on le reçoit très positivement, mais on n'est pas des spécialistes. Est-ce
que c'est... On n'est pas capables de vous dire si, pour nous, c'est assez ou
trop ou... mais on le reçoit positivement.
M. Lemieux : On n'est pas des
spécialistes personne, sauf celui, peut-être, qui vous précédait tout à l'heure
et quelques autres. Il y a quand même, dans cette loi-là, des dents. À l'Office
de protection du consommateur, vous êtes toujours très près des citoyens qui
ont des recours et vous savez jusqu'à quel point le recours qu'ils ont
peut-être pris au sérieux par quelqu'un qui aurait des pénalités. Dans ce projet
de loi là, il y a des amendes qui sont, je ne sais pas, je voulais vous laisser
les qualifier, costaudes, raisonnables, ambitieuses, baveuses?
Mme Champoux (Marie-Claude) :
Je ne les qualifierai pas. Je vais vous dire que je trouve effectivement
intéressant qu'il y ait des conséquences, parce qu'on a aussi, à l'Office de la
protection du consommateur, des conséquences quand que les gens ne respectent
pas. Alors, oui, c'est intéressant, mais est-ce que... Encore là, je ne qualifierai
pas le montant.
M. Lemieux : Mais ce sont des
sanctions qui sont à prendre au sérieux, disons-le comme ça?
Mme Champoux (Marie-Claude) :
À l'évidence. Mais je repose peut-être la question que j'ai posée lors de mon
allocution : c'est peut-être la sanction sur les entreprises tierces, là,
qu'on n'a pas vue. Je ne sais pas si ça a été prévu.
M. Lemieux : Oui. Il y a les
mesures de protection à l'égard des renseignements personnels. Quand on ne le
sait pas, comme consommateur, qu'on est en train de donner ses informations, c'est
une chose. Quand on est pris dans des fuites ou dans des banques de données ou
des bases informatiques de compagnies qui ont été violées, où là on devient
vite inquiets... Vous, vous avez 160 000 appels ou requêtes par
années, de ce que j'ai lu. J'imagine que, depuis une couple d'années, vous avez
plus de demandes à cet égard-là. C'est ça qui vous fait dire qu'on a besoin de
plus de littératie informatique, plus de programmes qui vont aider les gens à
savoir que, quand ils pèsent sur «enter», c'est plus grave qu'ils pensent?
Mme Champoux (Marie-Claude) :
Je n'ai pas de statistique sur l'augmentation du nombre d'appels ou de plaintes
chez nous. Ceci dit, à l'office, on a constaté qu'effectivement plus on fait
d'information, d'éducation — puis d'ailleurs on a un <programme
d'information et...
M. Lemieux : …
qui
vont aider les gens à savoir que, quand ils pèsent sur «enter», c'est plus
grave qu'ils pensent?
Mme Champoux (Marie-Claude) :
Je n'ai pas de statistique sur l'augmentation du nombre d'appels ou de plaintes
chez nous. Ceci dit, à l'office, on a constaté qu'effectivement plus on fait
d'information, d'éducation — puis d'ailleurs on a un >programme
d'information et d'éducation à l'office — c'est toujours à l'avantage
des consommateurs. Alors, on a toujours fait la promotion d'une meilleure communication,
d'une meilleure information, là,
Le Président (M.
Bachand) : Oui, M. le député de Vachon.
M. Lafrenière : Oui, merci.
Bonjour, mesdames. Mes collègues de Saint-Jean, de Gouin vont comprendre mon
entêtement. Je vais revenir sur une question qui m'apparaît importante dans ce projet
de loi, c'est le déréférencement. Je ne sais pas si vous avez eu la chance de
regarder ce qu'on appelle en Europe le droit à l'oubli, c'est-à-dire de
permettre à un citoyen qu'on oublie quelque chose qui aurait pu être posté sur
les médias sociaux qui les concerne, ce qu'on appelle ici le déréférencement.
Je veux vous entendre parce qu'on a
entendu un autre groupe ce matin qui nous amenait… qui nous levait un petit
drapeau. Je pense qu'ils nous ont levé un drapeau en disant : Écoutez,
faire attention aussi pour ne pas faire en sorte que les personnes soient libres
arbitres de ce qui va être retiré des médias sociaux ou non, des plateformes…
je devais dire les cyberplateformes. Est-ce que, vous, vous avez eu la chance
d'étudier cette partie-là?
Je sais que c'est costaud comme projet de
loi, je sais qu'il y a plusieurs volets, puis mon but ce n'est pas de vous
mettre en boîte, c'est vraiment de… J'ai un entêtement parce que, je dois vous
avouer, comme président de la Commission spéciale sur l'exploitation sexuelle
des mineurs, c'est un enjeu qui est important pour nous, on l'a entendu de la
part de plusieurs victimes, pour retrouver, vous comprenez, son identité numérique
et faire disparaître des choses qui ont laissé des traces. Alors, tout ce grand
laïus pour savoir est-ce que vous avez regardé ce volet-là.
Mme Champoux (Marie-Claude) :
Ce volet-là n'a pas été regardé du côté de l'Office de la protection du
consommateur.
M. Lafrenière : Bien, je pense
que je vais limiter ma question à celle-là pour vous. Merci beaucoup. Merci de
votre présence, encore une fois.
Le Président (M.
Bachand) :Merci beaucoup, M. le député de
Vachon. Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Merci, M. le
Président. Alors, bonjour. Bienvenue à vous. Si on recule un peu, comment... surtout
au fur et à mesure des années puis qu'on voit à quel point ça devient complexe...
Et vous êtes ici parce que la protection du consommateur, c'est au coeur de
votre mission, et, oui, on est tous des consommateurs. Et là on est des
consommateurs qui sont pris dans un genre d'engrenage que personne ne comprend
trop bien, et on est débordés, et on accepte toutes sortes de choses sans bien
lire nécessairement les conditions, etc. Il y a la question de cybersécurité en
tant que telle, il y a la question de consentement, toutes sortes d'éléments
qui affectent le consommateur, carrément, parfois, dans un contexte de
consommateur, littéralement, là, d'acheter un produit quelconque, etc., avec
toutes sortes de renseignements personnels qui sont attachés à notre
inscription à quelque part.
Maintenant, votre rôle est directement en
protection par rapport à une transaction du consommateur, mais est-ce que,
vous, dans votre réflexion, puisque vous êtes là, vous réfléchissez à comment
vous vous inscrivez? C'est sûr qu'il y a le commissaire à la protection de l'information,
tant au niveau fédéral, provincial, mais comment les agences... Puis, si, dans
d'autres... Parce qu'on voit, aux États-Unis, <on voit >l'office
de protection du consommateur au niveau fédéral qui joue un rôle dans tout ce
qui concerne la cybersécurité. Comment vous voyez, <peut-être dans les...
Mme Weil
: ...c'est sûr
qu'
il y a le commissaire à la protection de l'
information, tant
au
niveau fédéral, provincial, mais comment les agences... Puis, si, dans
d'autres...
Parce qu'on voit, aux États-Unis, on voit l'office de
protection du consommateur au niveau fédéral qui joue un rôle dans tout ce qui
concerne la cybersécurité. Comment vous voyez, >peut-être dans les prochaines
années ou actuellement, votre réflexion par rapport au mandat que vous pourriez
vous donner, disons, pour vraiment vous inscrire là-dedans, soit par l'éducation
peut-être, dans un premier temps, et peut-être si vous avez regardé d'autres
modèles ailleurs qui jonglent avec ce défi énorme? Là, il y a un projet de loi.
Vous venez dire : Ça a l'air vraiment bien et intéressant pour protéger, justement,
ce consommateur. Mais vous, quel rôle vous... Est-ce que vous avez pensé à ça,
réfléchi à tout ça, le rôle que vous pourriez jouer?
Mme Champoux (Marie-Claude) :
Je pense que le rôle qu'on peut jouer, c'est encore en information puis en éducation,
effectivement, en prévention. Étant donné qu'il y a, comme disait M. le député,
150 000 appels par année chez nous pour toutes sortes de sujets,
alors c'est sûr qu'on est une référence. Donc, ça va nous faire plaisir de
collaborer avec toute organisation pour pouvoir mieux éduquer et informer les consommateurs.
C'est vraiment le rôle que je pense qu'on peut mieux jouer.
Mme Weil
: Et est-ce
que vous... avez-vous une perspective... Je sais que, souvent, au fil des
années, l'Office de protection a ciblé les jeunes, hein, les jeunes de tous
âges, finalement, qui peuvent être victimes de quelque chose qui se produit
dans ce qu'il a vu, puis, bon, et des ados, et des jeunes adultes, au crédit...
pour s'assurer que, comment dire, ils ne sont pas exploités à ce niveau-là. Est-ce
que vous verriez... Parce que, c'est vrai, il va falloir que vous priorisiez
avec le mandat que vous avez, qui est quand même très large, et le nombre
d'appels que vous avez. Est-ce que vous avez regardé d'autres modèles ailleurs,
là? Et, si oui, quelle serait la tranche de la population que vous considérez,
là, peut-être votre cible, s'il y en avait une?
Mme Champoux (Marie-Claude) :
Pour le dossier de la protection des renseignements personnels, non, on n'a pas
fait de vérification avec d'autres organisations ou d'autres juridictions, au
risque de me répéter, comme ce n'est pas dans notre mission. Puis, nous, on
s'intéresse à l'impact que des fuites peuvent avoir, par exemple, sur le
dossier de crédit d'un consommateur ou sur la vie du consommateur, mais on n'a
pas fait d'étude pour voir comment ça se passait ailleurs, parce que ce n'est
pas notre mandat. Et je réitère que, si on veut... si on souhaite qu'on
collabore avec la Commission d'accès à l'information, nous le ferons avec
plaisir et enthousiasme, mais ça va être, encore là, plus en prévention puis en
amont, pas... sinon, ce n'est pas dans notre mission, là.
Mme Weil
: Donc, cette question,
quand vous dites : Bien, justement, des gens qui sont... quand on est
bombardés puis qu'on achète un produit, justement, puis peut-être qu'on n'a pas
tout compris, est-ce que votre inquiétude, c'est plus au niveau du crédit? Ce
n'est pas par rapport à l'usage de <l'information personnelle...
Mme Champoux (Marie-Claude) :
...sinon, ce n'est pas dans notre mission, là.
Mme Weil
: Donc,
cette
question, quand vous dites : Bien,
justement, des gens
qui sont... quand on est bombardés puis qu'on achète un produit,
justement,
puis
peut-être qu'on n'a pas tout compris,
est-ce que votre
inquiétude, c'est plus
au niveau du crédit? Ce n'est pas
par
rapport à l'usage de >l'information personnelle qui serait utilisée,
comment ces informations pourraient être utilisées à d'autres fins, c'est vraiment
la transaction d'achat, d'une relation de consommateur directe.
Mme Champoux (Marie-Claude) :
L'impact, évidemment, sur le dossier de crédit, que ça soit un vol d'identité
ou de l'information demandée abusivement, là. Mais c'est sûr que c'est vraiment
l'impact sur le dossier du consommateur qui nous interpelle.
Mme Weil
: Très bien.
Donc, ce n'est pas... Oui. Donc, sécurité dans ce sens-là. Vol d'identité,
évidemment, c'est un vaste domaine qui a des ramifications un peu partout,
mais, dans votre cas, c'est l'impact sur le dossier de crédit. Oui. Très bien.
Merci.
Le Président (M.
Bachand) : Merci. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bonjour.
Merci d'être ici. J'ai d'abord une question sur la question de consentement. Puis
je vais en avoir une seconde ensuite, ça fait qu'on va essayer d'aller
rapidement.
• (16 h 20) •
Vous parlez de l'importance de bien
éduquer, outiller, informer les gens sur ce à quoi ils consentent ou non.
Est-ce que vous avez une réflexion sur l'exigence que... le fardeau que ça peut
représenter pour les gens de devoir fournir un consentement comme celui-là? Il
y a une étude, en 2017, qui a démontré qu'un Américain moyen, là, s'il prenait
le temps de lire chacun des contrats de service qu'il signe, c'est l'équivalent
de 250 heures par année. Donc, ça, c'est 10 jours, 24 heures par
jour, à ne faire que ça. C'est un fardeau pour les consommateurs qui est
complètement ridicule, et, même le consommateur le plus éduqué et le plus
conscientisé au monde, c'est un fardeau qu'il ne pourrait pas rencontrer.
Ça fait qu'il y a la question de
l'éducation, mais avez-vous des réflexions sur comment pourrait-on encadrer les
pratiques commerciales pour faire en sorte que le fardeau du consentement soit
le plus réaliste possible?
Mme Champoux (Marie-Claude) :
On n'a pas fait d'étude là-dessus. Chose certaine, c'est une préoccupation, je
pense, de nous tous quand on encadre les informations qui doivent se retrouver
sur un contrat. C'est sûr que, si on dit qu'il y a un déluge d'information, on
est bien conscients que les consommateurs ne seront pas capables d'en... de
tout... Alors, la question, elle est beaucoup sur la pertinence, l'importance,
qu'est-ce qui est essentiel pour s'assurer que la lecture soit relativement
facile à faire, même si on sait que ça peut être quand même pesant puis lourd
mais... Alors, c'est vraiment sur la pertinence des informations puis qu'elles
soient, là, essentielles.
M. Nadeau-Dubois : Est-ce
qu'il y a des législations qui ont encadré ça davantage que nous? Parce que, surtout
si c'est consécutif, c'est bien un contrat, mais, s'il y en a quatre dans la
journée, ça devient complètement illusoire de penser que les gens, même les
plus sensibilisés du monde, vont vraiment se prêter à l'exercice. Il y a-tu des
législations qui ont encadré davantage que nous cette question spécifique?
Mme Champoux (Marie-Claude) :
Je ne pourrais pas dire, on n'a pas fait cette étude-là. On pourrait
probablement le vérifier, mais on ne l'a pas... je n'ai pas cette information.
M. Nadeau-Dubois : O.K. Merci.
Maintenant, si on va au-delà de la question du consentement, vous avez dit
tantôt : <On essaie parfois de...
M. Nadeau-Dubois : ...
les
plus sensibilisés du monde, vont vraiment se prêter à l'exercice. Il y a-tu des
législations qui ont encadré davantage que nous cette question spécifique?
Mme Champoux (Marie-Claude) :
Je ne pourrais pas dire, on n'a pas fait cette étude-là. On pourrait
probablement le vérifier, mais on ne l'a pas... je n'ai pas cette information.
M. Nadeau-Dubois : O.K.
Merci. Maintenant, si on va au-delà de la question du consentement, vous avez
dit tantôt : >On essaie parfois de forcer les entreprises à
distinguer qu'est-ce qui est un renseignement qu'elles doivent absolument
collecter puis qui est essentiel puis qu'est-ce qui n'est pas essentiel,
qu'est-ce qui est superflu. Comment définir ce qui est essentiel puis comment
le distinguer de ce qui est superflu, comme renseignement personnel collecté
par une entreprise?
Mme Théberge (Marjorie) : Si
je peux me permettre certains exemples qu'on a eus par rapport à des projets de
loi antérieurs, on a défini par la loi ce qui était, pour nous, jugé essentiel,
donc on vient restreindre l'information qui peut être demandée. Donc, c'est à
l'aide d'un cadre législatif et réglementaire. Et, dans le règlement, souvent,
on va s'assurer, tout à l'heure, de se donner un certain formalisme dans lequel
on va travailler de plus en plus — c'est quelque chose que vous êtes
au fait puisque vous faites de la législation — avec un langage
clair, qui est simple, justement pour que le consommateur ne se retrouve pas
dans des dédales et des grands termes qui, malgré une bonne connaissance, y
perd...
M. Nadeau-Dubois : Seriez-vous
en mesure de nous donner un exemple d'un renseignement qui a déjà été défini
comme étant superflu?
Mme Théberge (Marjorie) : On y
est allé plutôt à l'inverse, on a établi ce qui était exigé, et le reste...
M. Nadeau-Dubois : Pouvez-vous
nous donner un exemple concret?
Mme Théberge (Marjorie) :
Bien, écoutez, comme, pour une capacité de remboursement, on va demander
l'actif des gens. Donc, ça se dépeint... donc, son actif, ça va être sa maison,
ses biens, son passif et puis sa rémunération, mais ça s'arrête là. Donc, on ne
va pas... Ils peuvent demander, mais, dans le formulaire qui s'enjoint de ça, c'est
limité à ça.
M. Nadeau-Dubois : Est-ce
qu'on pourrait demander, par exemple, le statut migratoire d'une personne, le
statut de citoyenneté d'une personne?
Mme Théberge (Marjorie) : À
mon avis, pour une demande de crédit... ne devrait pas être pertinent. Est-ce
qu'elle est demandée? Peut-être. Est-ce que certains... Outrepassent-ils ce qui
est prescrit? Peut-être.
M. Nadeau-Dubois : Puis là on
aurait un exemple d'une demande qui, selon vous, <qui >serait
superflue.
Mme Champoux (Marie-Claude) :
Ce ne serait pas, je dirais, nécessaire pour les fins de la transaction.
M. Nadeau-Dubois : O.K. Est-ce
que... On a du temps? Parfait. Est-ce que vous jugez que le projet de loi
actuel, parce qu'on l'a entendu de représentants du milieu économique, <est-ce
que >c'est un projet de loi qui est trop sévère, selon vous, sur le plan
des amendes, sur le plan des mesures punitives? Ça nous a été plaidé par certains
représentants du milieu des affaires.
Mme Champoux (Marie-Claude) :
Comme j'ai dit tout à l'heure, je ne suis pas en mesure de qualifier la hauteur
des amendes. Chose certaine, qu'il y ait des sanctions, ça nous apparaît
extrêmement intéressant.
M. Nadeau-Dubois : Sur la
transmission à un tiers, vous avez semblé émettre des inquiétudes, c'est-à-dire
une entreprise qui collecte des données d'un consommateur et qui ensuite les
transmet à une autre entreprise. J'ai cru entendre, tout à l'heure, de votre
part, des inquiétudes sur ce qui est dans le projet de loi à l'heure actuelle
sur cette question-là. C'est quoi, les meilleures pratiques en cette
matière-là? Qu'est-ce que devrait faire l'Assemblée nationale pour s'assurer
que, quand une entreprise collecte des données, elles soient aussi bien
protégées entre ses mains qu'entre les mains de, disons, <ses partenaires
éventuels...
M. Nadeau-Dubois : ...
tout
à l'heure, de votre part, des inquiétudes sur ce qui est dans le projet de loi
à l'heure actuelle sur cette question-là. C'est quoi, les meilleures pratiques
en cette matière-là? Qu'est-ce que devrait faire l'Assemblée nationale pour
s'assurer que, quand une entreprise collecte des données, elles soient aussi
bien protégées entre ses mains qu'entre les mains de, disons, >ses
partenaires éventuels?
Mme Champoux (Marie-Claude) :
On va revenir au concept de consentement, là. Nous, ce qu'on préconise, c'est
que le consommateur donne son consentement le plus largement possible, alors
qu'il y ait le moins d'exceptions possible pour la transmission de ses renseignements
personnels.
M. Nadeau-Dubois : Donc, par
exemple, que, si je donne mes renseignements à un organisme, à une entreprise
x, elles doivent me demander mon consentement avant de l'utiliser à d'autres
fins... de le transmettre à une autre entreprise, pardon.
Mme Champoux (Marie-Claude) : Bien,
l'exception dans le projet de loi qui parle... qui le transmet à un tiers
pour... sous-traitant, par exemple, là, l'interrogation qu'on avait, ce n'était
pas à l'effet que ce n'était pas une bonne idée de le faire, c'était si le
sous-traitant ne respecte pas l'entente. On était d'accord avec l'entente, mais,
si le sous-traitant ne respecte pas l'entente, quelles étaient les sanctions? Puis
ça, c'était vraiment une question qu'on avait. On ne voyait pas...
M. Nadeau-Dubois : O.K. Je
vais vous donner un exemple concret. Il a été révélé dans les médias récemment
que des compagnies de montres d'exercice, là, donc qui collectent des données
biométriques sur le rythme cardiaque, collectaient ces données-là et les
vendaient à des entreprises d'assurances, dont on peut imaginer l'intérêt pour
ce type de données biométriques. Ça, c'est un exemple qui a été documenté dans
les médias récemment. Est-ce qu'on est là devant un exemple d'abus où il
devrait y avoir une action du législateur pour venir réglementer strictement ce
genre de transfert-là d'une entreprise à l'autre?
Mme Champoux (Marie-Claude) :
Je ne suis pas en mesure de le commenter, là. J'avais l'impression que le
transfert de listes comme ça à des fins commerciales était enlevé, cette
possibilité-là était enlevée dans le projet de loi, mais...
Le Président (M.
Bachand) :Merci beaucoup d'avoir
participé à la commission. C'est très apprécié.
On suspend les travaux quelques instants.
Merci encore une fois. Merci beaucoup.
(Suspension de la séance à 16 h 26)
16 h 30 (version révisée)
(Reprise à 16 h 32)
Le Président (M. Bachand) :
Alors, à l'ordre, s'il vous plaît! La commission reprend ses travaux. Il nous
fait plaisir d'accueillir le Pr Gautrais.
Alors, Pr Gautrais, vous avez
10 minutes de présentation et après vous avez... on aura un échange avec
les membres de la commission. Alors, je vous invite formellement à vous
présenter et à débuter votre exposé. Merci beaucoup, M. le professeur.
M. Gautrais (Vincent) : Merci,
merci beaucoup à vous de cette opportunité. Je suis très honoré d'exercer cet
exercice démocratique. Mon nom est Vincent Gautrais et je suis professeur à l'Université
de Montréal, où je suis titulaire d'une chaire de recherche en droit du
commerce électronique. Et je travaille... Ça fait 20 ans, en fait, que je
prétends ne pas être un spécialiste de vie privée, en fait, mais ça fait
20 ans que je m'intéresse comment la vie privée est modifiée par les technologies.
Alors, je <mets...
M. Gautrais (Vincent) :
...cet exercice démocratique. Mon nom est Vincent Gautrais et je suis
professeur à
l'Université de Montréal, où je suis titulaire d'une chaire
de recherche en droit du commerce électronique. Et je travaille... Ça fait
20 ans, en fait, que je prétends ne pas être un spécialiste de vie privée,
en fait, mais ça fait 20 ans que je m'intéresse comment la vie privée est
modifiée par les
technologies. Alors, je >mets mon minuteur pour
respecter mon 10 minutes.
Ce projet de loi n° 64
est une merveilleuse opportunité, me semble-t-il, pour remettre le Québec, en
fait, à l'avant-plan sur la question de la vie privée, cette province qui, dans
les années 90, vous le savez, a été l'une des toutes premières à avoir un texte
applicable, notamment dans le secteur privé. Ce texte, donc, projet de loi n° 64, est vraiment intéressant, très intéressant même,
dans la mesure où il prend la protection des renseignements personnels au
sérieux. Il densifie les obligations des parties prenantes, augmentant les obligations
de la plupart des intervenants dans le processus quant à la gestion de telles
données. Alors, évidemment, un peu comme un médecin, que je ne suis pas, là,
mais les avocats, on fait un peu la même chose, je vais me concentrer sur le
pathos, sur peut-être les éléments plus... qui sont peut-être source d'une
irritation, même si, encore une fois, de manière générale, le projet est très intéressant.
Je ferai cette identification
d'éventuelles améliorations possibles au regard de deux approches. La première,
c'est qu'il me semble important de considérer les spécificités culturelles, économiques,
juridiques, bien sûr, du Québec. Dans cette noble institution, vous connaissez
tous l'adage qui est sur le fronton du Parlement de Québec, Je me souviens,
cette phrase que l'on associe à l'architecte Eugène-Étienne Taché, qui
correspond au fait que je me souviens que, né sous le lys, je croîs sous la
rose, qui nous rappelle notre biculture, notre biculture juridique entre droit
civil et common law. Ensuite, il est aussi important... et je crois que, sur plusieurs
points, c'est déjà le cas, mais de prendre conscience de la révolution
numérique que nous subissons et comment cette révolution est en train d'altérer
le droit.
Alors, mon presque... mon plus tout à fait
10 minutes, en fait, j'aimerais l'entourer autour de trois points, le
premier étant la notion de consentement, j'ai écouté une partie des audiences
hier, qui a été un élément qui a été souvent rapporté, ce consentement, en
fait, qui est le principe quant à l'utilisation des données, son absence étant
l'exception. Et on trouve cette solution même surexposée dans des hypothèses
comme le traitement automatisé, l'article 20, comme le profilage,
l'article 18, à mon avis, où même la capacité d'expliquer ce qu'on fait
avec les données est pour le moins hasardeuse. Alors, même avec les efforts tout
à fait louables de renforcer le caractère explicite de consentement, j'ai bien
des doutes sur cette capacité véritable que le commun des mortels peut avoir,
donc, pour prendre le contrôle de ses données.
En effet, ces dispositions sur le
consentement impliquent que l'usager s'intéresse, qu'il lise, qu'il comprenne
et même que, souvent, l'utilisation de données soit explicable. C'est une
chimère, me semble-t-il, d'ailleurs qui a été... dans lequel le règlement
européen, le RGPD, se drape bien volontiers et que, malheureusement, je trouve,
le projet de loi n° 64 copie-colle encore avec une
déférence un peu dommageable. Une étude, certes ancienne, montrait que ça prend
20 heures par semaine pour un usager...
M. Gautrais (Vincent) : ...c'est
une chimère, me semble-t-il, d'ailleurs qui a été... dans lequel le règlement
européen, le RGPD, se drape bien volontiers et que malheureusement je trouve,
le projet de loi n° 64 copie-colle encore avec une
déférence un peu dommageable. Une étude, certes ancienne, montrait que ça prend
20 heures par semaine pour un usager moyen d'Internet de lire toutes les
politiques de vie privée. Une étude montre que la politique d'Airbnb est plus
compliquée que la Critique de la raison pure d'Emmanuel Kant. Une étude
montre que la capacité de lecture est bien moindre sur un écran que sur du
papier. Une étude montre que le fait d'obliger, par exemple, en cochant dans un
formulaire pour s'assurer de la prise de conscience du lecteur, ça augmente le
taux de lecture de 0,36 %.
Donc, le consentement est, me semble-t-il,
un merveilleux outil de dédouanement, tant des entreprises que de l'État.
L'État demande donc à l'individu de se prendre en charge. Et c'est aussi la
solution souhaitée par Facebook dont le leitmotiv est : Usager, prends le
contrôle de tes données. Ça fait 20 ans, 20 ans où... ça ne fait pas
20 ans que Facebook existe, mais, depuis le tout début, il veut offrir le
meilleur contrôle possible aux usagers.
Donc, derrière ces critiques, je pense
peut-être qu'il y a trois alternatives que je pourrais vous proposer. Il y en a
une que je vais juste citer parce qu'elle a été notamment traitée par
Me Gratton sur le fait qu'il faut créer des exceptions, notamment dans le
domaine du travail. J'ai beaucoup aimé, parce qu'encore une fois c'est une
tradition notamment de la Loi sur l'accès, l'étendue... On a étendu, en fait,
les hypothèses d'ententes de partage, qui existaient déjà depuis 2006, depuis
le dernier changement sur la Loi sur l'accès, des ententes de partage, justement,
où on peut s'exonérer du consentement préalable des individus.
Actuellement, donc, il y en a dans le
domaine de la collecte et des communications, les articles 66, 67, 68. Et
là, avec le projet de loi, on vient l'étendre notamment à deux situations en
matière de recherche et en matière d'information communiquée à l'étranger. Les
modalités de ces ententes sont assez simples, en fait, c'est que l'intéressé
doit déposer auprès de la CAI un cadre de régulation qui explique comment les
données seront utilisées. Et, après la CAI, il y a la possibilité de faire
des... de demander des ajustements, voire éventuellement d'interdire. Donc,
nous voyons d'un très bon oeil... minimalement dans ces deux hypothèses-là, qui
seront ajoutées, où on peut utiliser les données sans consentement, mais je
crois même, en fait, qu'on pourrait étendre cette hypothèse-là dans d'autres
situations où le consentement est pour le moins difficile à obtenir.
La troisième voie, et j'irai très vite,
toujours en matière de consentement, c'est un principe un peu à la mode mais
que je crois intéressant, qu'on aperçoit, qu'on entrevoit vaguement dans le RGPD
mais à peine, qui est le principe d'explicabilité, c'est-à-dire, notamment
quand on parle d'intelligence artificielle, de forcer les concepteurs de
réfléchir sur comment les données sont utilisées. Parce que très souvent les
concepteurs n'ont pas conscience de quelles données ils utilisent et de la
manière dont ils le font. Donc, peut-être pour information, le commissaire fédéral
l'a récemment proposé dans le cadre de sa propre réflexion sur sa propre loi
sur la PRP.
Ça, c'était mon premier point sur le
consentement. Le deuxième, peut-être un peu plus vite, c'est sur la charge des
obligations, en fait, sur la distribution des obligations entre les différents
acteurs. En premier lieu, on <voit que...
M. Gautrais (Vincent) :
...peut-être pour
information, le
commissaire fédéral l'a
récemment
proposé dans le cadre de sa propre réflexion sur sa propre loi sur la PRP.
Ça, c'était mon premier point sur le
consentement. Le deuxième,
peut-être
un peu plus vite, c'est sur
la charge des obligations, en fait, sur la distribution des obligations entre
les différents acteurs.
En premier lieu, on >voit que, quand on
lit que l'entreprise et le ministère et organisme, je dirais, payent, si vous
me permettez l'expression, avec une multiplication de nouvelles charges où il
faut renforcer sa responsabilité, où il faut renforcer son obligation de... où
il faut créer un gestionnaire de vie privée, et bien d'autres, et c'est très
bien, c'est dans la nature du temps, c'est la manière de gérer le numérique, me
semble-t-il, qu'il faille donc imposer de nouvelles obligations comme ça a été
fait.
• (16 h 40) •
La deuxième, c'est l'usager. Comme je vous
l'ai dit, via le consentement notamment mais aussi par la tonne d'informations
qu'il se doit de digérer, l'usager, me semble-t-il, a beaucoup d'efforts sur
les épaules, un peu trop, selon moi, du fait de son inexpérience et de son
inintérêt à bien des égards.
Le troisième grand joueur, c'est l'État.
Et, quand on pense, sur un sujet comme celui-ci, au rôle de l'État, bien, comme
disait une autrice états-unienne, Clare Dalton, dans les années 80, il y a deux
grandes fonctions de l'État, c'est soit la sanction... son rôle de sanction et
son rôle de guide. Alors, sur le rôle de sanction, il y a des prérogatives
nouvelles qui sont offertes à la CAI, qui sont allouées à la CAI, la CAI qui
exerce, en effet, un travail remarqué et remarquable sur... et c'est tout à
fait normal, en fait, que ce rôle lui soit attribué.
Malgré tout, vous comprendrez bien qu'avec
ces nouvelles obligations il y a aussi des ressources augmentées qui devront
lui être attribuées au moins pour trois raisons. La première, c'est, on l'a vu,
ça a été dit hier aussi : les hypothèses d'intervention sont multipliées.
Également, il y a des hypothèses de contrôle a posteriori, notamment les
ententes de communication dont je parlais notamment, c'est également le cas
pour les données biométriques, qui exigent une réactivité, il me semble, tout à
fait accrue de sa part, notamment suite à un délai de 30 jours après le
dépôt des règles déposées par les entreprises et les ministères et organismes.
À titre d'exemple, ce cadre-là a manqué
dans le feu projet COVI, personnellement pour lequel j'avais une certaine
attirance, parce qu'en fait ce projet n'a... Si on prend la comparaison qui a
eu lieu en France, par exemple, en un mois, l'équivalent de la CAI a rendu
trois décisions pour valider le processus qui avait été fait. Actuellement, on
n'a pas cette réactivité dans le processus de contrôle et de sanction de la
part de la CAI.
Enfin, dans la mesure où les sanctions
sont désormais énormes après avoir été... et sont incroyablement faibles, je ne
vois pas comment une instance d'un budget, ça a été... je pense que c'est tombé
hier, le budget de la CAI, qui est de 7 690 000 millions,
pourrait batailler contre une multinationale qui craint de se voir imposer une
sanction de 2 % ou 4 % de son chiffre d'affaires mondial.
Ça, c'est sur le premier rôle de... où
encore une fois la CAI va déjà avoir quelques aides, mais il y a aussi ce rôle
d'animation normative qui, il me semble, sur pas mal de points dans le projet
de loi, manque. C'est-à-dire que, que ce soit la CAI ou une autre institution,
je ne sais pas, bien, il y a <véritablement...
M. Gautrais (Vincent) :
...ça,
c'est sur le premier rôle de... où encore une fois la CAI va déjà
avoir quelques aides, mais il y a aussi ce rôle d'animation normative qui, il
me semble, sur pas mal de points dans le projet de loi, manque. C'est-à-dire
que, que ce soit la CAI ou une autre institution, je ne sais pas, bien, il y a
>véritablement un besoin de préciser les meilleures pratiques
généralement reconnues, comme le projet de loi le réfère notamment sur la
question d'anonymisation. Et ça, je pense qu'il y a un réel besoin, de la part
de l'industrie, de la part des ministères et organismes, d'avoir... Parce que
des normes, il y en a, il y en a beaucoup même, mais il faut savoir faire le
tri entre le bon grain et l'ivraie de tous ces éléments-là.
Donc, vous l'avez compris sur ce second
point, et mon troisième sera beaucoup plus rapide, il y a vraiment une question
d'argent. Traiter la vie privée de manière XXIe siècle, ça coûte cher. Et
je ne dis pas que c'est transposable, mais je veux simplement mettre à la
connaissance de cette noble Assemblée qu'il y a un modèle financier qui existe
en Grande-Bretagne où il y a une taxe, il y a une taxe sur les données, «data
protection fee». Et ce n'est pas pour rien que ce soit la ICO britannique, qui
a été peut-être l'un des rares, avec le FTC aux États-Unis, de vaincre... enfin,
d'investiguer si le projet de... le comment de Cambridge Analytica... toutes
des données... qui auraient transité par Facebook pour infléchir des
comportements des usagers.
Mon temps est écoulé, il est juste
10 minutes. Peut-être, dans le cadre des questions, les deux éléments sur
lesquels j'avais quelques doutes, c'étaient les questions de portabilité et de
droit à l'oubli,< mais...> dans la mesure où je pense qu'il y a
pas mal de flous. Je ne dis pas que c'est forcément mauvais comment principe,
mais je pense que c'est importé d'ailleurs et je pense que, sur l'applicabilité
de ces notions-là, ça reste encore difficile, mais peut-être que j'aurai
l'occasion de répondre à vos questions dans le cadre de vos interrogations. Merci
beaucoup...
Le Président (M. Bachand) :
Merci, M. le professeur. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Bonjour,
M. Gautrais. Merci d'être présent aujourd'hui à l'Assemblée, de contribuer
aux travaux. Bien, justement, parlons de la portabilité de la donnée. Quels
sont vos commentaires relativement à ça et à ce qui est présent dans le projet
de loi?
M. Gautrais (Vincent) : C'est
drôle parce qu'hier j'écoutais le débat ici, enfin, pas dans cette salle mais
avec d'autres intervenants, et, en même temps, il y avait le Federal Trade
Commission qui faisait une conférence d'une journée exactement sur ce point-là.
Parce que, dans la loi californienne, il y a un projet qui, à mon avis... pas
de la portabilité comme les Européens mais plus un droit d'accès, et on
évoquait beaucoup cette question-là. Et plusieurs intervenants trouvaient ça
intéressant, mais il y avait beaucoup de doutes sur la manière de réaliser ça :
Quel format on utilise? Quel type d'information? Est-ce qu'il faut sectoriser
des secteurs plutôt qu'un autre?
Il y a un autre aspect qui m'apparaît
peut-être sans doute problématique, c'est qu'à mon avis c'est une donnée plus
de confort que de protection, hein? Quand on parle de PRP, c'est protection des
renseignements personnels, là, on veut offrir la possibilité à l'usager, bien,
de transporter ses données pour aller les mettre ailleurs. Ça m'apparaît presque
plus une question de confort et peut-être... et là je vais sur un champ que je
maîtrise mal, mais peut-être plus une question de concurrence que de vie
privée, ce qui forcément nous <amène...
M. Gautrais (Vincent) :
...plus de confort que de protection, hein? Quand on parle de PRP, c'est
protection des renseignements personnels, là, on veut offrir la possibilité à
l'usager, bien, de transporter ses données pour aller les mettre ailleurs. Ça
m'apparaît presque plus une question de confort et peut-être... et là je vais
sur un champ que je maîtrise mal, mais peut-être plus une question de
concurrence que de vie privée, ce qui forcément nous >amène à
d'éventuels problèmes applicatifs sur le plan constitutionnel mais sur lequel
je n'ai pas de prétention de bien maîtriser la question.
Donc, je trouve que c'est une avenue
intéressante, mais j'ai beaucoup de doute en lisant l'article correspondant sur
l'applicabilité d'un tel principe.
M. Jolin-Barrette : O.K. Dans
le cadre du projet de loi, on s'inspire beaucoup de ce qui est fait en Europe
avec l'Union européenne. Hier, il y a des acteurs qui sont venus nous dire :
Bien, écoutez, vous devriez prendre davantage le contexte nord-américain, ce
qui est fait dans les États limitrophes du Québec, au Canada, aux États-Unis
également. Comment vous voyez ça? Est-ce que vous pensez qu'on devrait être
moins ambitieux que ce que nous présentons présentement? Ou on devrait
maintenir la ligne et dire : Bien, on va être des précurseurs en Amérique
du Nord?
M. Gautrais (Vincent) : Je ne
pense pas qu'il faut baisser la ligne en termes de l'ambition, je pense juste
qu'il faut s'assurer que notre loi soit conforme à ce que nous sommes. Et puis
je me permets de rebondir là-dessus. Moi, <ça fait... >je suis un
immigrant, ça fait 30 ans que je suis au Québec, donc j'ai la prétention
de bien connaître un petit peu les deux côtés. Et c'est étonnant comme, à
certains égards, on ne fonctionne pas de la même manière. La vie privée est une
donnée éminemment culturelle. Donc, je pense, c'est important d'intégrer ces
distinctions, à mon avis, qui se traduisent, par exemple, dans le droit à
l'oubli, où on n'a pas... On pourrait très bien avoir exactement le même
article que le droit au déréférencement, je peux vous assurer que, par le biais
des politiques internes, par le biais de la jurisprudence, on aura une
application qui sera différente parce que notre culture est distincte. Donc, il
ne s'agit pas de baisser les ambitions, il s'agit, je pense, de s'assurer que
notre projet de loi, nos lois soient en conformité avec ce que nous sommes.
M. Jolin-Barrette : Juste
pour bien vous suivre, là, vous dites : Ça pourrait être la même chose,
mais, de toute façon, de la façon dont ça va être interprété par les tribunaux,
bien entendu, ça ne sera pas interprété de la même façon eu égard aux cas aussi
qui vont être présentés devant eux.
M. Gautrais (Vincent) : Je
vais vous donner un exemple, si vous voulez bien. Quand la décision européenne,
l'affaire Google, en 2014, <qui a créé, >donc, par édition de la
cour de justice européenne, qui a créé cette décision, qui a amené ensuite le
RGPD à intégrer le déréférencement, Google a essayé, en fait, de dire :
Bien, écoutez, on va prendre les parties prenantes, on va négocier et on va
essayer de mettre des politiques pour savoir, par exemple, un article de
Wikipédia qui dit quelque chose sur un homme politique ou une femme politique,
est-ce que j'ai le droit de le déréférencer. Et les cours, l'équivalent de la
CAI ou l'équivalent des commissaires... ont refusé de parler à Google en disant :
On ne négocie pas. Ça, c'est une différence assurément qui serait différente
ici : nous, on négocie.
Le commissaire fédéral, avec une loi
totalement édentée, une loi Mickey Mouse, que je me plais à le dire, a réussi à
<infléchir...
M. Gautrais (Vincent) :
...l'équivalent
de la CAI ou l'équivalent des commissaires... ont refusé
de parler à Google en disant : On ne négocie pas. Ça, c'est une différence
assurément qui serait différente ici : nous, on négocie.
Le commissaire fédéral, avec une loi
totalement édentée, une loi Mickey Mouse, que je me plais à le dire, a réussi à
>infléchir certaines manières de faire de Facebook en 2009, notamment, parce
qu'on négocie avec les partenaires. Et négocier, ce n'est pas flancher, ce
n'est pas baisser nos ambitions. Donc, ça, je le dis, c'est une manière de
faire qui, encore une fois, ne se traduit pas forcément dans la loi mais dans
les manières de faire qui, me semble-t-il, sont assez sensiblement différentes
au moins de l'Europe continentale. Je ne sais pas si j'ai été clair.
M. Jolin-Barrette : Oui, bien,
dans le fond, ce que je comprends, c'est qu'on est beaucoup plus souples dans
les moyens, mais on est fermes sur les objectifs ici, tandis qu'en Europe c'est
plus rigide, donc le cadre est plus rigide, et il y a moins de négociations. Est-ce
que je comprends?
M. Gautrais (Vincent) : Je ne
sais pas si c'est exactement ça. Je crois juste qu'on a un rapport au droit qui
est un peu différent, on a un rapport à la vie privée qui est un peu différent,
et tout ça nous amène, face à une situation donnée, à des traitements qui sont
un peu distincts.
M. Jolin-Barrette : Mais je
vous ramène, tout à l'heure, à ce que vous avez dit : L'État a deux rôles,
soit un rôle de régulateur ou... Quel rôle?
M. Gautrais (Vincent) : De
guide.
M. Jolin-Barrette : Pardon?
• (16 h 50) •
M. Gautrais (Vincent) : Un
rôle de guide.
M. Jolin-Barrette : De guide,
c'est ça. Donc, lequel devrait-on favoriser? Et le projet de loi que nous
avons, le projet de loi n° 64, est-ce que vous pensez
qu'il fait la part des deux?
M. Gautrais (Vincent) : Avec
égards, je crois qu'on pourrait augmenter l'aspect guide. Je pense qu'on
pourrait mettre en place, que ce soit par la CAI ou par une autre institution,
je ne sais pas, mais un pouvoir d'identifier les normes applicables, encore une
fois. Des normes ISO en matière de gestion des données personnelles, il y en a
déjà, mais on pourrait avoir une instance qui va taguer... excusez-moi, vous
êtes responsable de la Langue française aussi, mais identifier les bonnes
pratiques. Comme le dit d'ailleurs le projet de loi en matière d'anonymisation,
il faut qu'on soit capable d'identifier les meilleures pratiques du... ce n'est
peut-être pas du marché, mais meilleures pratiques qui s'opèrent sur un monde
donné.
Vous savez, le droit des technologies
nécessite, comme vous êtes en train de le faire en fait, des principes qui
apparaissent dans les lois, mais après, dans la mise en application, très
souvent il faut référer à des normes plus techniques mais qui ont un rôle. Et
actuellement, que ce soit dans le domaine de la vie privée, que ce soit dans le
domaine de la sécurité, malheureusement ces normes techniques ont trop tendance
à passer sous le radar du droit. Elles sont imposées par des ingénieurs, par
des informaticiens, mais je pense qu'il y a un regard qui doit être opéré
notamment par les représentants des citoyens que vous êtes.
M. Jolin-Barrette : O.K. Je
vous ramène au début, début de votre intervention, vous disiez, bon : La
longueur des contrats ou, bien, en fait, du consentement, sur le Web, dans le
fond, il n'y a pas de limite, là, tu sais, les contrats ont des pages, ont des
pages, ont des pages. Ça a pour effet, dans le fond, que le citoyen, un, ne lit
pas et consent, et il ne sait pas à quoi il consent. On a <eu des...
M. Jolin-Barrette :
...la
longueur des contrats ou, bien, en fait, du consentement, sur le
Web, dans le fond, il n'y a pas de limite, là, tu sais, les contrats ont des
pages, ont des pages, ont des pages. Ça a pour effet, dans le fond, que le
citoyen, un, ne lit pas et consent, et il ne sait pas à quoi il consent. On a
>eu des intervenants qui nous ont dit : Bien, écoutez, vous devriez
demander le consentement à toutes les fois d'une façon express. Le milieu des
affaires dit : Bien, vous ne devriez pas tout le temps demander le
consentement, juste lorsque c'est vraiment nécessaire. D'autres, ils disent :
C'est par bloc.
Comment on fait, là, pour s'assurer que
les citoyens sachent véritablement à quoi ils consentent? Comment est-ce qu'on
fait pour changer la structure, aussi, de dire : Bien, vous ne devriez pas
pouvoir emmagasiner toutes les données des citoyens si ce n'est pas nécessaire
de le faire, là? Comment est-ce qu'on trace la ligne, là, à travers ça?
M. Gautrais (Vincent) : Alors,
je ne pense pas qu'il y ait une solution universelle. Par exemple, dans le
domaine de la santé, parce que ça les intéresse directement, souvent les
citoyens ont un intérêt véritable à savoir ce à quoi ils consentent, mais, dans
des situations classiques d'utilisation d'un site classique ou d'une plateforme
classique, effectivement les rajouts que l'on trouve dans les propositions où
on dit : À chaque fois, pour chaque fin, nouvelle fin, il faut un nouveau
consentement, je crois que c'est une perte de temps. Enfin, c'est une perte de
temps, c'est-à-dire, c'est une illusion, effectivement, que les personnes vont
véritablement aussi lire tout ça.
Alors, effectivement, on peut avoir un peu
de souplesse. Et je sais que vous allez l'entendre, je pense, la semaine
prochaine, mon collègue Pierre Trudel, par exemple, considérait qu'on
devait reconsidérer la notion de finalité, qui est une base où on... une base
dans les principes de vie privée. Pour lui, on pourrait, en fait, élargir la
notion de finalité dès lors que la finalité est conforme aux intérêts de
l'individu ou n'est pas contraire, plutôt, à ses intérêts. Il y a des moyens, peut-être,
de moduler. Je ne suis pas tout à fait persuadé, un peu comme
Pierre Trudel, que le fait d'identifier fin par fin soit un élément qui va
aider à s'assurer... Donc, il y a ces éléments-là.
Et puis, je vous dis, c'est, encore une
fois, parce que le Québec a déjà utilisé ces processus. Moi, je pense qu'il
faut améliorer... enfin, augmenter, pardon, les hypothèses où le consentement
n'est pas requis, comme les ententes de communication l'autorisent déjà. Et le projet
de loi rajoute, j'ai identifié deux nouvelles situations, la recherche et les
données qui vont à l'étranger, mais je pense qu'il y a d'autres situations où,
notamment quand le consentement est illusoire, on pourrait rajouter cette
hypothèse-là. Ça, c'est une solution très concrète.
Peut-être qu'assurément la CAI serait en
mesure de vous répondre, parce que je ne sais pas comment ça se module, comment
eux reçoivent ces éléments-là, comment ils gèrent ces éléments-là, mais
actuellement, dans le droit actuel, des hypothèses, donc, sous ces ententes de
communication, c'est vraiment des éléments qui sont beaucoup trop précis. En
fait, c'est des hypothèses qui sont très circonstanciées et qui, dans les faits,
ne touchent pas la majorité des fois où les personnes signent de tels contrats.
Donc, je pense que les <ententes de...
M. Gautrais (Vincent) :
...ces éléments-là, comment ils gèrent ces éléments-là, mais actuellement, dans
le droit actuel, des hypothèses, donc, sous ces ententes de communication,
c'est
vraiment des éléments qui sont beaucoup trop précis. En fait,
c'est des hypothèses qui sont très circonstanciées et qui, dans les faits, ne
touchent pas la majorité des fois où les personnes signent de tels contrats.
Donc, je pense que les >ententes de communication, c'est une voie, en
lisant les lois actuelles et en lisant le projet de loi, qu'on pourrait étendre
dans un plus grand nombre de situations.
Le Président (M. Bachand) :
M. le député de...
M. Gautrais (Vincent) :
Sinon...
Le Président (M. Bachand) :
Allez-y, M. le professeur.
M. Gautrais (Vincent) : Si
vous permettez, puis ça peut paraître très farfelu, mais l'Europe, dans les
premières versions du RGPD, avait développé l'idée des contrats images ou des
contrats sons, donc de rajouter des images dans des contrats. Et moi, j'ai déjà
travaillé sur un projet de recherche pour appliquer ça dans le domaine de la
consommation. Personnellement, j'y crois, surtout au regard du taux
d'analphabétisme, malheureusement, qui sévit. C'est une idée toute bête. Un
auteur américain prétend d'ailleurs que l'écran est un support qui va très bien
aux images et beaucoup moins aux textes.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Saint-Jean, s'il vous plaît.
M. Lemieux : Oui, avec combien
de temps, M. le Président?
Le Président (M. Bachand) :
Six minutes.
M. Lemieux : Merci. C'était
passionnant, la partie sur le droit de l'informatique, mais je vais rester dans
la ligne du ministre. Parce que je relisais, avant que vous arriviez, des
extraits de ce que vous avez dit aux Affaires, où vous disiez que «le
consentement — c'est de ça dont on parlait — représente un
mauvais outil de protection des données personnelles, car il suppose que les
individus peuvent tous comprendre ce qu'ils acceptent, ce qui est loin d'être
le cas». Et, un peu plus loin, vous expliquez que c'est vraiment avec des
sanctions importantes pour les entreprises qu'on peut arriver à avoir un
équilibre.
Ma question, M. Gautrais :
Est-ce qu'on a l'équilibre, dans le projet de loi n° 64,
par rapport à ce qu'on demande aux entreprises pour ce qu'on a de besoin que
les individus, les citoyens, les consommateurs puissent obtenir sans même le
savoir ou le vouloir?
M. Gautrais (Vincent) : Alors,
si vous m'amenez sur la question des sanctions, j'ai trouvé que le 2 %,
4 % était un trop grand copier-coller du règlement européen, mais, en
revanche, l'idée de sanctionner davantage, je ne me souviens plus des montants
qui existent actuellement, ça, ça m'apparaît évident. Et puis, vous savez,
2 %, 4 % me faisait sourire, dans le sens, je trouvais que c'était
vraiment un copier-coller, mais, je pense, c'est 10 millions ou
25 millions, ça m'apparaît raisonnable.
Encore une fois, ce projet de loi prend la
vie privée au sérieux. Et je sais que ça a été un débat hier avec certains
partenaires de l'industrie : même l'hypothèse d'avoir une sanction de
25 millions n'est pas quelque chose qui va faire partir les entreprises
dans d'autres juridictions. Donc, je pense que, sur le plan des sanctions,
l'importance qui est mise sur le fait... En fait, comme toute loi, qui dit
infraction dit punition, ça m'apparaît dans la logique des choses. C'était plus
sur le 2 %, 4 % que j'avais quelques <doutes...
M. Gautrais (Vincent) : ...n'est
pas quelque chose qui va faire partir les entreprises dans d'autres
juridictions. Donc, je pense que, sur le plan des sanctions, l'importance qui
est mise sur le fait... En fait, comme toute loi, qui dit infraction dit
punition, ça m'apparaît dans la logique des choses. C'était plus sur le
2 %, 4 % que j'avais quelques >doutes, mais sur le 10 et 25 millions,
je n'ai pas... ça m'apparaît très bien.
M. Lemieux : De toute façon,
on pourrait probablement dire, si on oublie que, depuis six mois, on est devenu
hyperlocal, que, dans le monde global dans lequel on vit, tout ce qu'on fait, c'est
qu'on ramène la barre pas mal tout le monde à la même place, là. D'ailleurs, c'est
un des principes du projet de loi où on dit qu'on va avoir une sorte de tiers
pays sûrs avec lesquels on va pouvoir avoir de l'échange d'information puisqu'ils
vont respecter ce que nous, on promet aussi de respecter.
Donc, la finalité de l'histoire, c'est
quelqu'un qui dirait qu'on en fait trop, ou que ça va trop loin, ou que c'est trop,
comme sanctions, bien, dans le fond, on ne sera pas mieux ni pire que le reste
de la planète, là.
M. Gautrais (Vincent) : Si
vous le permettez, je vais faire une comparaison avec le droit de la
consommation, la Loi sur la protection du consommateur, qui est une loi aussi
qui vise à protéger un type d'individu. Le processus... Donc, les gros
changements qui ont eu lieu dans la LPC en 2006 et en 2009 ont été le fruit d'une
collaboration pancanadienne qui a eu lieu en 2000‑2001. Il y a eu une trame générale
qui a été faite, qui a été globalement copiée par toutes les provinces, mais,
après, le Québec garde ses spécificités. Et, par exemple, il y a toujours une
interdiction... je prends cet exemple-là<, mais...> parce que c'est
propre au Québec, il y a des interdictions sur la publicité destinée aux
enfants, spécificité québécoise qu'on ne trouve pas dans les autres provinces,
mais malgré tout, par exemple la rétrofacturation, on la trouve dans la plupart
des autres provinces parce que, justement, c'est des modalités reliées au
paiement, où là on touche à l'industrie, où c'est très intégré.
Donc, il y a des éléments qu'on peut...
sur lesquels on peut s'accoter et notamment avec nos partenaires du reste du
Canada. Après, je pense qu'il ne faut pas non plus se pervertir et, encore une
fois, <il faut que... >et c'est du Montesquieu, hein, il faut que nos
lois nous ressemblent, il faut qu'une loi soit en conformité avec... L'élément
qui me vient toujours en tête, c'est notre culture, hein, la culture prise en
sens très, très large.
Et donc je pense que le fait qu'on ait
quelques distinctions avec le droit européen n'empêchera pas, me semble-t-il,
qu'il y ait un avis de conformité qui soit un peu plus explicite que ce qui a
été cité dans le mémoire de Me Gratton. En 2015, il y a eu un avis qui, à
mon avis, n'était pas un refus de conformité, mais la Commission européenne
avait émis un rapport assez condescendant, à mon avis, vis-à-vis du droit
québécois actuel. Et,< je pense que la...> même si l'Europe est forcément
un partenaire important, même si l'Europe établit un standard, je pense qu'il
faut quand même garder un lien avec nos spécificités et notamment le fait qu'on
est moins sensibles sur certains aspects, qu'on est prêts à fonctionner de
manière différente.
• (17 heures) •
Donc, c'est une question un peu entre les
deux, dont je vous réponds. Je pense, c'est intéressant, le droit comparé, assurément...
17 h (version révisée)
M. Gautrais (Vincent) : ...un
partenaire important. Même si l'Europe établit un standard, je pense qu'il faut
quand même garder un lien avec nos spécificités, et notamment le fait qu'on est
moins sensibles sur certains aspects, qu'on est prêts à fonctionner de manière
différente.
Donc, c'est une question un peu entre les
deux, donc, je vous réponds... Je pense, c'est intéressant. Le droit comparé,
assurément, est une voie qu'il faut considérer, mais... Et puis, vous savez,
Facebook... Facebook est capable de distinguer des manières de faire. Vous
allez aux États-Unis, c'est possible d'avoir la reconnaissance faciale sur les
sites Facebook, ce n'est pas possible en Europe.
Donc, à bien des égards, il est possible
aussi de demander à ces plateformes, puis ce n'est pas compliqué, là. L'idée du
monde global, c'est vrai, mais le droit, ça reste une prérogative qui vous
appartient. Je pense que c'est important de savoir qui nous sommes et qu'est-ce
qu'on veut.
Le Président (M. Bachand) :Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, s'il
vous plaît.
Mme Weil
: Merci, M. le
Président. Je vais vous amener justement sur cette question puis ensuite des
questions plus générales. Vous dites que la reconnaissance faciale est
interdite en Europe, donc, avec les grands du Web. Alors, pouvez-vous nous
expliquer? Et, quand vous dites... ça ne veut pas dire qu'on... c'est-à-dire
qu'on pourrait imaginer, nous aussi, aller dans ce sens-là? C'était ça, votre intervention?
M. Gautrais (Vincent) : Oui, c'est
que même une entreprise mondialisée comme Facebook, multinationale qui vaut je
ne sais pas combien de centaines de milliards ou de milliers de milliards,
on est capables de leur demander d'avoir des traitements qui soient distincts
d'une juridiction à une autre.
Donc, ça se fait déjà, puis je ne veux pas
rentrer dans le détail, parce que c'est une donnée que j'ai lue il y a quelques
semaines ou mois, plutôt mois, mais effectivement, les Européens ne veulent pas
que, quand on... quand je... je n'ai pas de compte Facebook, mais si je mets
une photo d'un ami et de moi, bien, qu'on reconnaisse la photo de l'ami, alors
que Google l'autorise. Moi, j'ai un compte Gmail où il reconnaît la face de mes
enfants. Bien, il y a des possibilités de dépluguer ça dans des juridictions
données. Dépluguer, excusez-moi, enfin, débrancher ce type de service là.
Mme Weil
:
Bien, je trouve ça intéressant, oui. Non, j'ai été surprise quand, à un moment
donné, soudainement, je voyais mon visage — ils ont tiré ça de
partout — et de deux de mes filles, parce qu'ils ont vu la
ressemblance, et, sans qu'on demande, c'était juste là. Donc, vous dites
qu'ici... Est-ce qu'en Amérique du Nord il y a des juridictions qui l'ont
empêché?
M. Gautrais (Vincent) : Je...
Je...
Mme Weil
: Vous ne le
savez pas. Parce que vous êtes, donc, directeur d'un centre de recherche, c'est
peut-être intéressant de vous poser des questions plus vastes, un peu l'applicabilité
d'un projet de loi qui est ambitieux, évidemment, comme on l'a toujours été, mais
d'avoir l'adhésion et la compréhension de tous les acteurs qui devront
comprendre ce qu'on est en train de faire pour les protéger. Je pense que les consommateurs,
déjà, sont... bien, on a parlé de consommateurs, les citoyens et les
utilisateurs de l'Internet, etc., les gens sont débordés, on a beaucoup parlé
de ça <hier...
Mme Weil
: ...et la
compréhension de tous les acteurs qui devront comprendre ce qu'on est en train
de faire pour les protéger. Je pense que les
consommateurs,
déjà,
sont... bien, on a parlé de
consommateurs, les
citoyens et les
utilisateurs de l'Internet, etc., les gens sont débordés, on a
beaucoup
parlé de ça >hier, justement, puis... débordés, ils ne savent pas trop
comment se protéger, quand on leur pose des questions, puis, pour aller vite,
on accepte. Mais on ne sait pas ce que ça veut dire d'accepter, puis on
procède.
Et qu'est-ce que ça prend? Et qu'est-ce
que l'Europe a fait pour essayer d'aller chercher justement une compréhension
de... parce que c'est complexe, et la volonté, une volonté commune de se
protéger? Mais ce qui veut dire qu'il faut aussi qu'on soit acteurs dans cette
protection. On ne peut pas être passifs. Donc, il y a un minimum d'efforts
qu'il faut faire, j'ai l'impression, pour être capable de se protéger.
Est-ce que vous avez réfléchi à tout ça? Parce
que c'est très technique, ce qu'on est en train de faire, on comprend... Parce
qu'il y a eu des vols de données, dans des cas, vraiment, de criminalité, essentiellement,
et c'est très préoccupant. Et les gens qui ont eu leur identité volée, bon, ils
savent les conséquences de ça. Mais, sinon, c'est complexe, et c'est sans cesse
en évolution. Alors, c'est comme tellement énorme, ce défi-là. Qui sont...
Donc, je vous pose la question un peu comme ça, c'est un peu philosophique,
mais, au-delà de ça, c'est l'application d'une loi dans ce contexte.
M. Gautrais (Vincent) :
Écoutez, je suis directeur d'un centre, mais je suis professeur et, forcément,
je crois à l'éducation, l'éducation, d'ailleurs, qui n'est pas au niveau
universitaire, qui est sans doute au niveau scolaire. Moi, j'ai trois garçons
qui ont des approches très, très différentes par rapport aux technologies,
certains sont très prompts, d'autres... Mais je suis étonné qu'au secondaire où
ils sont, il y a très peu d'enseignement, en fait, sur ces éléments-là. Donc,
je pense qu'il y a un élément culturel qui est évident.
Je pense qu'il y a une sensibilité, quand
même, qui est croissante, et puis le projet de loi y participe. Je crois aussi
que... Encore une fois, je disais tout à l'heure que l'usager avait beaucoup
d'efforts sur les épaules, mais il fait partie du processus, donc, d'où
l'intérêt... Moi, j'origine du domaine du droit de la sécurité, et, dans la
sécurité, il y a un élément qui est récurrent, c'est que tout le monde est
responsable, tout le monde a un rôle à jouer. En matière de cartes de crédit, il
y a la banque qui a un rôle à jouer, mais aussi le titulaire de la carte qui a
un rôle à jouer. Donc, il y a une répartition des responsabilités qui doit être
bien établie. Il y a une sensibilité, par l'éducation, qui m'apparaît très
importante. Et puis, bien, les parlementaires ont un rôle à jouer, à mon avis,
dans les innovations à proposer.
J'entends parler... je ne connais pas bien
le dossier, mais je sais... je travaille beaucoup en ce moment, notamment parce
que je représente le Canada sur un groupe de travail, avec...(/dt :6718)
en matière d'identité numérique, je pense que... On est en 2020 et,
effectivement, on a besoin, comme il semble... et comme le Québec semble avoir
un <rôle...
M. Gautrais (Vincent) :
...
dans les innovations à proposer.
J'entends parler... je ne connais pas
bien le dossier, mais je sais... je travaille beaucoup en ce moment, notamment
parce que je représente le Canada sur un groupe de travail, avec... en matière
d'identité numérique, je pense que... On est en 2020 et, effectivement, on a
besoin, comme il semble... et comme le Québec semble avoir un >rôle de
leader sur ces questions-là, je pense qu'on a besoin de passer à des
identifiants un peu plus robustes.
Je suis assez vieux, moi, j'étais en
doctorat, à la fin des années 90, et je me rappelle, c'était Jacques
Parizeau, à l'époque, qui avait voulu faire un identifiant unique pour chaque
Québécois. Pour des raisons de coûts, ça n'a pas été fait, mais je pense que,
25 ans plus tard... Et, quand on parle de vol d'identité, quand on parle
de Desjardins, le problème de Desjardins, c'est qu'on peut ouvrir un compte
avec un... là, qui est un outil éminemment peu sécuritaire.
Donc, je crains que ma réponse était, elle
aussi, très éclatée, mais, assurément, c'est à tous les étages. Donc, toutes
les parties prenantes que j'ai évoquées, me semble-t-il, ont un rôle à jouer
dans une société plus numérique. Parce que, moi, je suis... j'adore mon sujet
d'étude, c'est un... malgré toutes les choses mauvaises qui tournent autour de
ça, nous vivons une époque formidable, nos enfants vivent une époque
formidable, donc, mais c'est un partage qui doit se faire. Tout... Le numérique
est transversal, tous les ministères sont concernés.
Mme Weil
: J'aimerais
vous poser une question sur... C'est-à-dire, les entreprises qui sont venues — je
ne sais pas si vous avez pu suivre les discussions — qui
représentaient, je vous dirais, surtout les petites et moyennes entreprises,
qui ont réagi aux peines, les sanctions et de... pour dire que... écoutez,
premièrement, le défi d'être capable de bien protéger, on n'est pas équipé pour
faire ça, on n'a pas la formation, etc., et donc plaidé pour un genre
d'accompagnement, d'accompagnement pour mieux comprendre, pour les aider à
remplir leur engagement, est-ce que... Je ne sais pas, vous connaissez d'autres
systèmes de... si vous êtes capable de comparer. Comment vous réagissez? Comment
vous voyez cette notion d'accompagnement? C'est sûr que la réaction un peu,
ici, c'est que : Oui, mais la loi, ce sera la loi, de toute façon, d'une
manière ou d'une autre, mais que l'accompagnement pourrait être une idée pour
les amener à niveau.
M. Gautrais (Vincent) : C'est
un petit peu la fonction de guide que j'évoquais dans mon deuxième point tout à
l'heure. C'est peut-être un aspect que je trouve manquant dans ce projet de
loi. Donc, l'aspect sanction est présent, mais l'aspect accompagnement, guide,
est effectivement moins présenté. Alors, comment il se matérialise? Encore une
fois, la CAI le fait un peu, mais du fait de ressources qui ne sont pas
infinies... Et donc, régulièrement, la CAI fait des lignes directrices en
matière de biométrie, par exemple. Donc, ça pourrait être la CAI, à mon avis,
qui pourrait proposer des contrats types, des politiques types, identifier les <normes...
M. Gautrais (Vincent) :
...
mais du fait de ressources qui ne sont pas infinies... Et donc,
régulièrement, la CAI fait des lignes directrices en matière de biométrie, par
exemple. Donc, ça pourrait être la CAI, à mon avis, qui pourrait proposer des
contrats types, des politiques types, identifier les >normes qui
seraient possibles à suivre.
• (17 h 10) •
Pour avoir travaillé avec plusieurs ministères — et
puis c'est complètement apolitique, ce que je vous dis, là — depuis
20 ans, les gouvernements sont très frileux à se commettre en disant :
Telle norme est bonne. Je pense qu'il faudrait un peu... N'ayez pas peur, comme
disait Jean-Paul II. Je pense à... Ce serait bien d'identifier, de se
commettre un tout petit peu en disant : Écoutez, cette norme est une
norme, quand elle est suivie, elle est intéressante.
Le problème des normes techniques, si je
peux me permettre aussi, c'est que, souvent, elles sont payantes. Mais il y a
quand même certaines normes qui sont quand même bien suivies et sur lesquelles
on pourrait avoir, associé à la CAI ou pas, mais des instances qui
identifieraient des politiques types, le type de politique qu'il faudrait avoir
en accès libre. Ça pourrait... Donc, une sorte de travail... La loi demande aux
entreprises de documenter. Bien, pourquoi on n'aurait pas un rôle de création
de documentation type qui pourrait être offert dépendamment de la grosseur des
entreprises? Ça m'apparaît...
Et puis sur les peines... sur les peines,
c'est vrai que 2 %, 4 %, c'est énorme, mais faisons confiance à
l'intelligence des juges, là. J'aurais une PME, là, ils ne vont pas leur donner
10 millions d'un coup, là. Donc, moi, sur cet aspect-là, le 10,
25 millions, encore une fois, ne m'effraie pas.
Mme Weil
: Oui.
Dernière petite question : Est-ce qu'il y a des modèles en Amérique du
Nord qui pourraient nous inspirer par rapport à l'accompagnement sur cet
enjeu-là, je ne sais pas, dans vos études, soit aux États-Unis, soit au Canada,
soit au niveau fédéral?
M. Gautrais (Vincent) :
Alors, vous avez beaucoup d'organisations, mais marchandes, généralement, qui
offrent des contrats types. Surtout aux États-Unis, il y a des organisations
qui offrent des modèles qui sont un peu plus précis, moi, que j'utilise ou
j'analyse des fois.
Mme Weil
: ...
M. Gautrais (Vincent) :
Mais, c'est ça, il n'y a pas de lien direct ou indirect, au meilleur de ma
connaissance, avec l'État.
Mme Weil
: Très
bien. Merci beaucoup.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci,
M. le Président. Bonjour. D'abord, un retour sur un truc que vous avez dit plus
tôt puis... Bien, merci d'être avec nous. Un retour sur un truc que vous avez
dit plus tôt puis qui m'a beaucoup intéressé. Vous avez dit : C'est
possible pour des juridictions d'imposer même à des entreprises qui nous
apparaissent géantes et inflexibles, c'est possible pour des juridictions,
donc, d'imposer certaines normes, certains changements. Et vous avez donné
l'exemple de l'Europe et de Facebook. Ces plateformes-là peuvent se plier à
certaines modifications légales. Est-ce que vous diriez que c'est possible même
pour une juridiction de la taille du Québec?
M. Gautrais (Vincent) :
Alors, dès qu'on parle de Facebook, Google, et <autres...
M. Nadeau-Dubois : ...
d'imposer
certaines normes, certains changements. Et vous avez donné l'exemple de
l'Europe et de Facebook. Ces plateformes-là peuvent se plier à certaines
modifications légales. Est-ce que vous diriez que c'est possible même pour une
juridiction de la taille du Québec?
M. Gautrais (Vincent) :
Alors, dès qu'on parle de Facebook, Google, et >autres, encore une fois,
il y a tout l'aspect constitutionnel, là. Dans la mesure où on est dans
l'international, je ne sais pas dans quelle mesure ça peut s'appliquer au Québec
au regard d'une simple question constitutionnelle, encore une fois, que je ne
maîtrise pas. Ceci dit, en faisant ma préparation, il y a eu, dans le cadre
d'unobiter, une décision de la CAI qui affirme que oui, que le Québec a la
capacité d'agir sur les entreprises multinationales qui font affaire aussi au Québec.
M. Nadeau-Dubois : Parfait,
merci. Sur la question du consentement, vous avez déroulé une série de
statistiques, certaines que je connaissais, d'autres dont vous m'avez appris
l'existence, qui sont assez troublantes puis assez claires sur le caractère
parfois illusoire du consentement. Puis j'ai trouvé ça intéressant, quand vous
avez dit : Ça sert un peu de... c'est un peu une stratégie pour se
décharger des... Puis il y a plein d'acteurs qui se déchargent de leurs
responsabilités sur l'individu en disant : Ah! mais il y a consentement,
alors qu'on voit bien que, dans l'effectivité réelle des choses, c'est un
consentement qui, en majorité du temps, est purement factice, purement formel,
mais qui n'a aucune effectivité.
On a parlé de consentement avec les intervenants
précédents qui venaient de l'Office de la protection du consommateur puis qui
nous parlaient beaucoup de consentement dans un contexte de transaction
commerciale. Or, il y a beaucoup de consentements qui sont accordés dans des
contextes qui ne sont pas des contextes de transaction commerciale, notamment
les médias sociaux, notamment le fait d'aller simplement visiter un site
Internet, ce n'est pas une transaction, pourtant, il y a des consentements qui
sont demandés aux utilisateurs et il y a récolte de données personnelles.
Comment on encadre le consentement dans ces contextes spécifiques où on n'est
pas dans une situation de transaction commerciale? Par exemple, moi, si je fais
une recherche Google, Google collecte des données sur où je suis dans l'espace
pendant que je fais cette recherche, sur quel lien je clique, jusqu'où je
descends dans la page, etc.
M. Gautrais (Vincent) : Parce
que vous avez accepté.
M. Nadeau-Dubois : Parce que
soi-disant, en tout cas, formellement, on dit que j'ai accepté. Comment on
encadre, par le droit, ce type de consentement là?
M. Gautrais (Vincent) : J'ai
critiqué le droit européen. En droit français, sur la base des clauses
abusives, plusieurs contrats de médias sociaux ont été... ou de fournisseurs
d'accès Internet ont été complètement refaits. Donc, le bon vieux Code civil, à
mon avis, serait susceptible de s'appliquer en sachant que, puis ça, j'imagine,
les gens de l'OPC vous l'ont déjà dit, on a déjà eu des jugements qui
considéraient, en fait, que même si Facebook n'a rien à vendre, ça reste une
relation de consommation, et donc les dispositions applicables sont
susceptibles de <s'appliquer...
M. Gautrais (Vincent) : …serait
susceptible de s'appliquer en sachant que, puis ça, j'imagine, les gens de
l'OPC vous l'ont déjà dit, on a déjà eu des jugements qui considéraient, en
fait, que même si Facebook n'a rien à vendre, ça reste une relation de
consommation, et donc les dispositions applicables sont susceptibles de >s'appliquer.
Donc, on peut contraindre par le droit,
par les clauses abusives, par les clauses qui sont incompréhensibles, 1436 du Code
civil, mais, dans une certaine mesure, je crois qu'à date les meilleurs résultats
ont été faits via des négociations et comme un petit peu l'a fait le commissariat
fédéral où certaines clauses qui étaient problématiques ont été négociées.
Donc, à certains égards, c'est presque
plus une réponse politique, si je puis dire, de négociation des organismes de
contrôle avec ces multinationales qui… Le problème, actuellement, c'est qu'avec
nos juridictions, puis ce n'est pas uniquement le Québec, mais nos juridictions
centrées sur le consentement, eh bien, c'est exactement ce que Facebook veut
entendre. Donc, ça impliquerait un changement de paradigme assez conséquent qui
ne devrait évidemment pas être uniquement la voix du Québec, il faudrait que ce
soit quelque chose de pas mal plus… Alors, je dirais, sur le plan juridique,
malheureusement, c'est long, c'est des processus qui sont compliqués.
M. Nadeau-Dubois : Et l'idée
d'utiliser les incitatifs financiers pour peut-être contraindre certaines
pratiques de collecte abusive... Si ce n'est pas le droit, la réponse, est-ce
que ça peut être par des... en fait, des désincitatifs financiers qu'on
pourrait restreindre certaines pratiques commerciales abusives, bien, certaines
pratiques de collecte de données qui sont abusives ou qui ne sont pas
nécessaires?
M. Gautrais (Vincent) : Je ne
sais pas. Sans doute. Si je peux me permettre, dans les années 80, et c'est une
prof de l'Université Laval qui avait négocié, je puis dire, avec des gens de
l'OPC, avec des gens de l'industrie, avec les banques et Mme L'Heureux, on
avait négocié, on avait offert des contrats types en matière de cartes de
crédit, les cartes de crédit arrivaient sur le marché. Et, au départ, c'est
moins vrai maintenant, mais tous les contrats de cartes de crédit, quelles que
soient les banques, étaient basés sur cette même structure. On avait un contrat
type qui faisait une page et qui était… il y avait eu une approche collective,
en fait, à une relation contractuelle entre une banque et un titulaire de
carte. Je ne sais pas dans quelle mesure on serait en mesure de faire ça. Encore
une fois, l'internationalité de ces structures rend cette négociation un peu
complexe.
M. Nadeau-Dubois : ...
Le Président (M. Bachand) :Pr Gautrais... Malheureusement, c'est tout le temps qu'on
a. Pr Gautrais, merci beaucoup d'avoir été avec nous cet après-midi.
Sur ce, la commission ajourne ses travaux
jusqu'à demain, 24 septembre, à 12 h 10. Merci beaucoup.
(Fin de la séance à 17 h 18)