Journal des débats (Hansard) of the Committee on Institutions
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Thursday, September 24, 2020
-
Vol. 45 N° 95
Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
-
Jolin-Barrette, Simon
-
Bachand, André
-
Lévesque, Mathieu
-
Tanguay, Marc
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lévesque, Mathieu
-
-
Lévesque, Mathieu
-
Bachand, André
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lemieux, Louis
-
Tanguay, Marc
-
-
Tanguay, Marc
-
Auger, Georges-Adélard
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Jolin-Barrette, Simon
-
-
Jolin-Barrette, Simon
-
Bachand, André
-
Lévesque, Mathieu
-
Tanguay, Marc
-
Weil, Kathleen
-
-
Weil, Kathleen
-
Bachand, André
-
Tanguay, Marc
12 h (version révisée)
(Douze heures douze minutes)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît!
Des voix : ...
Le Président (M. Bachand) :
À l'ordre, s'il vous plaît! S'il vous plaît! Merci. Ayant constaté le quorum,
je déclare la séance de la Commission des institutions ouverte. Je vous
souhaite, bien sûr, la bienvenue. Et, comme vous le savez, je vous demande d'éteindre
la sonnerie de votre appareil électronique.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant
des dispositions <législatives en…
Le Président (M.
Bachand) : ...
s'il vous plaît! S'il vous plaît! Merci.
Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte. Je vous souhaite bien sûr la bienvenue. Et, comme vous le
savez, je vous demande d'éteindre la sonnerie de votre appareil électronique.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64,
Loi
modernisant des dispositions >législatives en
matière de protection des renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois
(Gouin).
Le Président (M. Bachand) :Merci beaucoup. Est-ce qu'il y a des droits de vote par
procuration?
La Secrétaire
: Oui. M. Lévesque
(Chapleau) a un droit de vote pour les députés suivants : M. Lafrenière
(Vachon), Mme Lecours (Les Plaines), M. Lamothe (Ungava). M. Tanguay
(LaFontaine) a un droit de vote pour M. Birnbaum (D'Arcy-McGee).
Auditions (suite)
Le Président (M. Bachand) :Merci beaucoup. Ce midi, nous allons recevoir les représentants
du Conseil du patronat du Québec. Alors, bienvenue. Je vous rappelle que vous
disposez de 10 minutes de présentation, et, par après, nous aurons un échange
avec les membres de la commission. Donc, je vous invite à débuter, d'abord, en
vous présentant et, après ça, de procéder à votre exposé. Merci.
Conseil du patronat du Québec
(Visioconférence)
M. Blackburn (Karl) : Alors,
merci. Je m'appelle Karl Blackburn. Je suis président et chef de la direction
du Conseil du patronat du Québec. Je suis accompagné de Me Karolyne Gagnon, qui
est vice-présidente, Travail et affaires juridiques, au Conseil du patronat.
D'abord, M. le ministre, Mmes et MM. les
députés, merci de permettre au Conseil du patronat du Québec de venir exprimer
son point de vue de cette réforme importante. Le Conseil du patronat du Québec,
c'est 50 ans de cohésion et de dialogue. Le CPQ incarne la voix des employeurs
du Québec et représente les intérêts de plus de 70 000 employeurs de
toutes tailles et de toutes les régions, issus du secteur privé ou parapublic,
et cela, directement ou par l'intermédiaire de 70 associations sectorielles qui
les regroupent.
D'emblée, nous saluons la volonté du gouvernement
et son leadership à l'effet de moderniser l'encadrement qui doit assurer la
protection des renseignements personnels. Nous vivons désormais dans une ère
numérique. Si les transformations ont été graduelles sur plusieurs décennies...
l'évaluation… l'évolution, pardon, a été fulgurante au cours des dernières
années. Les modes de collecte, d'utilisation et de conservation des données… On
a vu décupler leur capacité et leur accessibilité.
Jamais dans l'histoire les rapports entre
citoyens n'ont été transformés aussi rapidement et à aussi grande échelle. Les
gouvernements, les entreprises, les institutions, les individus ont tous été
rapprochés et interconnectés sur pratiquement toutes les facettes de leurs
activités. Avant la pandémie... avec la pandémie, pardon, l'apport du numérique
dans l'économie et dans nos rapports sociaux a été accentué encore davantage et
de manière exponentielle.
Les échanges commerciaux évoluent également
dans un environnement numérique de plus en plus complexe, obligeant les
gouvernements à mettre leurs efforts en commun afin d'harmoniser et de
renforcer leurs mesures d'encadrement car il faut éviter de placer nos
entreprises et nos institutions en situation d'isolement par rapport à leurs
voisins. Dès lors qu'un projet de loi affecte la transmission transfrontalière
de données, un arrimage s'impose pour harmoniser le tout <avec les
autres...
M. Blackburn (Karl) : ...et
de renforcer leurs mesures d'encadrement. Car il faut éviter de placer nos
entreprises et nos institutions en situation d'isolement par rapport à leurs
voisins. Dès lors qu'un projet de loi affecte la transmission transfrontalière
de données, un arrimage s'impose pour harmoniser le tout >avec les
autres provinces, le fédéral et nos partenaires commerciaux. Nous comprenons à
quel point ce défi d'arrimage est grand, mais nous sommes confiants que le gouvernement,
à terme, ne commettra pas l'erreur de faire cavalier seul dans un univers
interconnecté.
C'est donc avec cet oeil que nous avons
analysé ce projet de loi qui modernise la protection des renseignements
personnels dans le secteur privé. Le mémoire que vous avez en main propose
trois angles d'approche : l'importance de la coordination avec les autres
juridictions au Canada et les autres partenaires économiques; l'atteinte des objectifs
et les coûts d'implantation pour les entreprises; et les exigences issues des dispositions
particulières du projet de loi n° 64 et les enjeux
des entreprises.
D'abord, il nous paraît fondamental de
chercher par tous les moyens à coordonner et à harmoniser nos exigences
législatives avec celles de nos voisins et autres marchés économiques. Notre
mémoire rappelle, par exemple, que votre projet de loi s'inspire en bonne
partie du Règlement général sur la protection des données de l'Union
européenne.
Ce règlement comporte des différences
significatives par rapport à la loi canadienne sur la protection des renseignements
personnels et les données électroniques. Pour ne citer que quelques exemples, la
notion de consentement explicite, le droit à la portabilité, le droit à
l'effacement ou à l'oubli et la protection du droit à la vie privée dès la
conception, ce ne sont pas des notions présentes dans la loi canadienne. Ces
différences significatives entre ces deux régimes de protection risquent de
poser un problème de fond.
En effet, comme le projet de loi n° 64 est essentiellement inspiré de la réglementation
européenne, alors que ce dernier n'est pas en adéquation avec la loi
canadienne, le Québec risque de devoir se conformer à un régime différent de
celui de nos voisins et partenaires. Ce faisant, les distinctions majeures qui
existent risquent inévitablement d'isoler et de ralentir plusieurs activités
économiques du Québec.
C'est pourquoi nous recommandons d'assurer
une action concertée avec les autres provinces et le fédéral avant l'adoption
de la forme définitive du p.l. n° 64 et d'assurer que
l'encadrement des données personnelles et de leur circulation transfrontalière sont
harmonisés avec les principaux partenaires commerciaux du Québec.
De plus, qu'en est-il du vol des données
personnelles par les fraudeurs? Vous savez que, si une entreprise doit assumer
des pénalités plus importantes lorsqu'elle est victime d'un vol de données, on
ne réglera en rien la situation de l'individu dont les renseignements
personnels sont utilisés par les fraudeurs. De ce fait, ne serait-il pas
important d'évaluer toutes les solutions permettant d'assurer la protection des
données personnelles, par exemple en mettant disponible un processus <automatique...
M. Blackburn (Karl) : ...on
ne réglera en rien la
situation de l'individu dont les
renseignements
personnels sont utilisés par les fraudeurs. De ce fait, ne serait-il pas
important d'évaluer toutes les solutions permettant d'assurer la protection des
données personnelles,
par exemple en mettant disponible un processus >automatique
d'anonymisation lors d'un vol de données? En revanche, le CPQ reconnaît qu'il
est important de prévoir des sanctions pour les organisations délinquantes.
Même le gouvernement n'est pas à l'abri des défis de sécurité que comporte la
cybercriminalité.
Cela étant, l'État doit pouvoir jouer un
rôle d'accompagnateur pour favoriser les meilleures pratiques et établir des
mesures visant à gagner et conserver la confiance du public. C'est pourquoi
nous recommandons d'explorer, d'abord, les meilleures pratiques pour contrer
les cyberattaques et de s'assurer que les dispositions législatives préconisées
se limitent à ce qui est essentiel pour assurer la protection des renseignements
personnels.
En juillet dernier, un grand nombre
d'associations, des grandes, des moyennes et des petites entreprises du Québec
ont mentionné que l'analyse d'impact réglementaire du projet de loi n° 64
faite par le gouvernement sous-estimait de manière importante les coûts réels
engendrés par une telle réforme. Notre mémoire démontre que les coûts
d'implantation, les coûts de maintien récurrents et tout le fardeau
administratif, notamment, pour les PME, n'est pas suffisamment pris en compte.
C'est pourquoi nous recommandons de
procéder à une analyse d'impact réglementaire en ciblant plus particulièrement
les mesures qui ont un impact réel sur la protection des renseignements
personnels… de celles qui n'en ont pas afin de diminuer le fardeau
réglementaire des entreprises.
• (12 h 20) •
Aussi, le projet de loi n° 64 propose
de modifier l'article 14 de la loi sur le privé, qui prévoit déjà que le
consentement doit être manifeste, libre, éclairé et être donné à des fins
spécifiques. Il souhaite y ajouter que ce consentement doit être requis de
nouveau pour chacune des fins, des termes simples et clairs, distinctement de
toute autre information communiquée à la personne concernée.
En plus d'alourdir et complexifier les
processus, notamment pour le secteur financier et commercial, et même dans la
gestion des dossiers des employés, cette notion de consentement spécifique est
inexistante dans la législation canadienne et européenne. Conséquemment, nous
recommandons de permettre le consentement en bloc dans la mesure où le
consentement vise généralement à accéder aux informations nécessaires dans un
cadre contractuel ou autre.
Quant à la circulation transfrontalière
des renseignements personnels, des changements proposés dans le projet de loi
viennent ajouter un fardeau considérable sur les épaules des entreprises québécoises
qui transigent dans d'autres juridictions. Par exemple, le projet de loi
propose d'obliger les entreprises à effectuer une évaluation individuelle des
équivalences des lois sur la protection des données dans toutes les
juridictions auxquelles elles pourraient être amenées à transférer des données.
C'est pourquoi nous recommandons de
procéder à une évaluation globale de la notion de degré d'équivalence et de
coordonner cette disposition avec celles <des autres...
M. Blackburn (Karl) : ...
évaluation
individuelle des équivalences des lois sur la protection des données dans
toutes les juridictions auxquelles elles pourraient être amenées à transférer
des données.
C'est pourquoi nous recommandons de
procéder à une évaluation globale de la notion de degré d'équivalence et de
coordonner cette disposition avec celles >des autres juridictions
canadiennes, qui n'affecterait pas la compétitivité des entreprises québécoises.
Et aussi nous recommandons de prévoir que les mesures contractuelles puissent
être un élément, d'office, qui permet d'assurer la protection des
renseignements personnels.
Enfin, sur la question des sanctions, nous
reconnaissons qu'un resserrement de l'encadrement doit comporter des
ajustements, des pénalités afin de dissuader les contrevenants. Le projet de
loi prévoit une augmentation substantielle des sanctions administratives
pécuniaires et des amendes pénales, mais, vu l'ampleur des nouveaux concepts
introduits par le projet de loi, la moindre interprétation erronée entraînera
d'importantes pénalités.
Par ailleurs, le fait que la transmission
des données peut traverser plusieurs juridictions canadiennes et qu'aucun
arrimage n'est encore prévu à cet effet… Un seul événement pourrait se voir
sanctionner plusieurs fois et ainsi recevoir une pénalité disproportionnée eu
égard à la faute. C'est pourquoi nous demandons une certaine souplesse à cet
égard afin de donner le temps aux entreprises de s'adapter aux nouvelles
dispositions avant que des sanctions importantes leur soient imposées et que
soit inclus dans la loi qu'une seule amende à la juridiction où la faute a été
commise puisse être imposée.
M. le ministre, en somme, nous souscrivons
évidemment à l'idée de moderniser les mesures de protection des renseignements
personnels. Nous avons cherché à démontrer toute l'importance de travailler de
pair avec nos voisins et partenaires et les conséquences négatives, pour nos
entreprises et notre économie, de faire cavalier seul. Vous devez utiliser le
leadership qui vous caractérise non pas comme rempart contre les autres, mais
comme tremplin pour faire en sorte que le Québec assume son rôle de leader
partout sur la planète.
Le Conseil du patronat du Québec demeure
convaincu que le meilleur moyen d'arrimer des dispositions législatives plus
robustes dans la société québécoise tout en s'assurant de leur application réside
en grande partie dans le rôle de l'État de mettre en place des moyens, des
guides de bonnes pratiques, des contrats types, des lignes directrices
d'interprétation, des normes plus complexes, qui assureront le respect des
normes et, ultimement, une réelle protection des renseignements personnels. Nos
recommandations se veulent constructives et nous offrons à nouveau toute notre
collaboration au gouvernement pour s'assurer de la mise en oeuvre de moyens
efficaces, réalistes et adaptés pour que les entreprises puissent poursuivre
leurs activités économiques dans un monde de concurrence interjuridictionnelle,
en s'assurant du respect de la protection des renseignements personnels de tous
les citoyens du Québec. Merci.
Le Président (M. Bachand) :
Merci beaucoup, M. Blackburn. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M.
le Président. Bonjour, M. Blackburn. Merci d'être <présent...
M. Blackburn (Karl) : …
poursuivre
leurs activités économiques dans un monde de concurrence interjuridictionnelle,
en s'assurant du respect de la protection des renseignements personnels de tous
les citoyens du Québec. Merci.
Le Président
(M. Bachand) :
Merci beaucoup, M. Blackburn. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette :
Merci, M. le Président. Bonjour, M. Blackburn. Merci d'être >présent en
commission parlementaire. Vous me permettrez de vous féliciter pour votre
nomination à la tête du Conseil du patronat. On n'avait pas eu l'occasion de se
voir, bien là c'est virtuellement, mais toutes mes félicitations et bonne
continuité aussi dans votre mandat à la tête du Conseil du patronat.
Peut-être, d'entrée de jeu, là, au niveau
des entreprises, la FCEI est venue avant vous avant-hier. On a eu également la Fédération
des chambres de commerce. Et ce qu'on constate, et je le dis, là, de façon très
pondérée, c'est qu'il y a peut-être une petite réticence de la part du milieu
des affaires relativement à la rapidité avec laquelle on devrait aller de l'avant
avec le projet de loi n° 64 ou la protection des renseignements
personnels.
Ce que je lis, là, des trois
organisations, des trois mémoires, c'est de dire : Faites attention, vous
devez vous assurer d'avoir le même cadre d'encadrement, si je peux dire, là, que
les autres juridictions canadiennes et nord-américaines. Dans la balance, de l'autre
côté, par contre, on a les citoyens qui réclament ardemment un renforcement de
la Loi sur la protection des renseignements personnels. Donc, comment on arrime
tout ça? Puis, peut-être, sous-question aussi, comment vous voyez ça, la
détention des informations personnelles par les tiers?
M. Blackburn (Karl) : Ce que
je peux faire, M. le ministre… D'abord, merci pour vos bons mots. Je les prends
avec beaucoup de fierté.
Ceci étant, le monde des affaires n'est
pas contre, au contraire, un meilleur encadrement au niveau des renseignements
personnels. Nous sommes tous, à la base, des individus qui… On voit bien à
chaque semaine, dans les médias, des histoires d'horreur concernant le vol de
données personnelles. Il est clair que, pour nos organisations, on est d'accord
avec la démarche qui vise à encadrer le respect ou la garde de ces données
personnelles pour éviter que des fraudeurs, pour éviter que des groupes mal
intentionnés puissent, malheureusement, les utiliser et causer des torts
extrêmement importants aux citoyens qui se verraient ainsi floués de leurs
données personnelles.
Maintenant que je vous dis ça,
effectivement, il y a quand même une certaine préoccupation concernant l'application
de telles mesures, parce que, qu'on le veuille ou non, la COVID-19, la pandémie
dans laquelle, malheureusement, toute l'économie mondiale a été plongée, je
dirais qu'elle nous a plongés dans le XXIe siècle. Si, en 2000, on pensait
que tout allait arrêter, bien, tout a continué de fonctionner, mais, en mars
dernier, je pense qu'on a frappé notre bogue de l'an 2000. Et, depuis ce
temps, la vitesse grand V prévaut pour les mesures d'aide, les programmes mis
en place, l'accélération de l'utilisation de la technologie en termes de
capacité de transiger avec nos clients, de capacité de transiger avec nos
fournisseurs et nos partenaires, mais également la capacité de transiger avec
le gouvernement. Qui aurait pensé, il y a quelques mois à peine, qu'on était <rendus
à cette étape-là…
M. Blackburn (Karl) :
...les programmes mis en place, l'accélération de l'utilisation de la
technologie en termes de capacité de transiger avec nos clients, de capacité de
transiger avec nos fournisseurs et nos partenaires, mais également la capacité
de transiger avec le gouvernement. Qui aurait pensé, il y a quelques mois à
peine, qu'on était >rendus à cette étape-là?
Alors, force est de constater que la technologie
occupe maintenant beaucoup plus de place dans notre environnement économique. Et
je suis convaincu que, si nous positionnons correctement le leadership qui vous
caractérise, M. le ministre, nous pouvons faire en sorte que ce tremplin de
protection des données personnelles, de la volonté que le gouvernement, que les
citoyens et que les entreprises ont de faire en sorte qu'on puisse protéger ces
données-là de façon efficace et correcte, bien, que ça ne soit pas un frein à
la relance économique pour le Québec, mais, au contraire, que ça puisse nous
servir de tremplin, parce que, nos inquiétudes, elles se retrouvent là.
Bien évidemment, on l'a présenté dans
notre mémoire, à partir du moment où, malheureusement, il y aurait des éléments
qui feraient en sorte qu'on deviendrait un peu plus isolés par rapport à nos partenaires
d'affaires des autres provinces ou des autres pays, bien, malheureusement, il y
a des avantages économiques qui, inévitablement, pourraient se traduire par des
conséquences sur notre relance économique, sécuritaire et durable à laquelle,
tous, nous aspirons.
Alors, ce qu'on dit au gouvernement :
On a quelque chose d'extrêmement solide entre les mains. Vous avez quelque
chose d'extrêmement solide entre les mains. Je pense que ça serait important de
prendre le temps nécessaire de mettre en place chacune des pièces du puzzle
pour nous assurer que ces mesures de protection qui visent à protéger puis à
rassurer les citoyens ne soient pas un frein à la relance économique, mais, au
contraire, puissent être un avantage sur les entreprises au Québec, pour le
gouvernement du Québec et pour les citoyens du Québec.
Et, pour votre deuxième sous-question, de
la façon de garder, je vous dirais, les données par rapport à la question que
vous souleviez dans le projet de loi, je demanderais à ma collègue,
Me Karolyne Gagnon, de vous donner davantage de concret ou d'explications
concernant la garde spécifique des données. Karolyne?
Mme Gagnon (Karolyne) : Alors,
merci, M. le ministre. Merci, M. Blackburn.
Ce qu'il est important de savoir, en fait,
au niveau de la conservation, de la transposition des données, surtout dans un
système, là, comme le nôtre, c'est bien toutes ces notions d'équivalence, parce
que je crois que c'est un des éléments qu'on a soulevés. Par rapport aux tests
d'équivalence et aux notions qui ont été établies dans le projet de loi
n° 64, on ne retrouve plus la possibilité, de façon contractuelle, de
s'entendre sur les bonnes pratiques, les bonnes façons de faire. Puis je pense
qu'avant tout, pour protéger les données des citoyens, il est important que ça
soit les entreprises, les tiers, entre eux, qui prennent les meilleures
dispositions.
• (12 h 30) •
Alors, on n'est pas contre le fait de
protéger. En fait, on a parlé également de la notion de consentement du
citoyen. Mais, comme vous l'avez entendu, là, longuement, le 22 et le 23, là,
devant vous, la notion de consentement est un risque aussi pour le citoyen qui
n'a pas toujours toutes les données possibles, là, pour savoir à quoi il doit
être protégé.
Alors, nous, dans ces tests-là, les tests
d'équivalence qui, en ce <moment, sont très rigides, qui...
>
12 h 30 (version révisée)
< Mme Gagnon (Karolyne) :
...entendu, là, longuement, le 22 et le 23, là, devant vous, la notion de
consentement est un risque aussi pour le
citoyen, qui n'a pas
toujours
toutes les données possibles pour savoir à quoi il doit être protégé.
Alors, nous, dans ces tests-là, des
tests d'équivalence qui,
en ce >moment, sont très rigides, qui, également,
là, demandent aux entreprises, petites, moyennes et grandes, il faut dire que
les grandes, quelquefois, ont plus de moyens que les petites… mais de faire en
sorte de faire une étude exhaustive, d'envoyer des experts dans les différentes
juridictions. Nous croyons que, généralement, et ça s'est déjà fait, et ça se
fait, dans l'économie, et ça s'est toujours fait, que des bons contrats, des
bonnes ententes avec... entre les tiers, entre les différentes parties
prenantes, là, d'un contrat de transfert de données, demeurent importantes et
doivent être ajoutées à la loi.
Là, je ne peux pas vous dire en détail…
Naturellement, je suis la vice-présidente du travail et des affaires juridiques,
mais ces éléments-là, en particulier, je pense, ça vous a été bien présenté. C'est
une préoccupation. Et, souvent, ce sont les entreprises qui sont les mieux
outillées pour faire en sorte qu'un contrat protège le consommateur, protège
les citoyens, puis ça, c'est un élément qui est très important.
M. Jolin-Barrette : Peut-être
juste une question là-dessus, Me Gagnon. Souvent, le consommateur, ça va être
un contrat d'adhésion où, même s'il s'engage, par voie contractuelle, au niveau
des données, bien, ce qu'on constate, c'est que le consommateur ne lit pas
nécessairement le contrat ou n'est pas au courant du détail. Puis c'est
l'entreprise qui établit le contrat sur le partage d'information ou les
données. Là, le consommateur va vouloir avoir le produit, lui, ou le service,
et cette notion-là de consentement n'est pas si apparente que ça. Bien, ce que
je veux dire, la personne, elle signe, elle dit : J'accepte, j'ai compris,
tout ça. Mais on a un défi de pédagogie, d'expliquer en quoi le fait de
contracter, le fait de souscrire, ça va être quoi, les conséquences, puis je ne
suis pas sûr que c'est toujours saisi de la façon appropriée, là. Hier, on a
des gens qui sont venus nous expliquer, là, les contrats, là, qu'il y a sur le
Web, là, qui ont des pages et des pages aussi. Comment est-ce qu'on fait pour
encadrer ça puis s'assurer que les citoyens, réellement, consentent aux
conséquences, là, du partage de leurs informations?
Mme Gagnon (Karolyne) : C'est
une bonne question, M. le ministre. Et je pense que c'est fondamental, parce
que je suis un citoyen, vous l'êtes aussi, puis la première préoccupation par
rapport à une loi qui origine, en fait, du droit à la vie privée, c'est qu'on
protège les données, c'est qu'on protège les informations, parce que moi, aussi,
je veux, de façon pertinente, efficace, pouvoir faire des achats, pouvoir
contracter et pouvoir, comme on a dit un peu plus tôt, puis vous l'avez bien
entendu, peser rapidement sur le consentement pour avoir accès au produit.
Alors, c'est pour ça qu'on vous dit puis
qu'on dit dans notre mémoire… Ce qui est important… En fait, quand on parle de
problèmes transfrontaliers, j'aimerais ça revenir également sur ça, on ne parle
pas de freiner, parce que, M. Blackburn, il a bien, bien répondu : On
ne veut pas freiner la mise en oeuvre de dispositions qui <nous...
Mme Gagnon (Karolyne) : ...
consentement
pour avoir accès au produit.
Alors, c'est pour ça qu'on vous dit
puis qu'on dit dans notre mémoire ce qui est important... En fait, quand on
parle de problèmes transfrontaliers, j'aimerais ça revenir également sur ça, on
ne parle pas de freiner… parce que M. Blackburn, il a bien, bien
répondu : On ne veut pas freiner la mise en oeuvre de dispositions qui >nous
semblent fondamentales. Ce qu'on demande, c'est de discuter avec l'ensemble de
nos partenaires provinciaux.
Alors, c'est important au fédéral. Moi,
j'ai beaucoup de grandes entreprises qui sont de juridiction fédérale, qui ont
leur place d'affaires ici, au Québec, qui nous disent : Les façons de
faire, on veut les arrimer, on veut avoir le temps de vous parler pour bien
faire les choses, on ne dit pas de changer la loi, on dit simplement :
Écoutez-nous.
On comprend que, cette semaine, on a une
commission parlementaire qui est restreinte, là. On est bien honorés de pouvoir
s'exprimer au nom des entreprises qu'on représente, mais il y a plusieurs
grandes entreprises et il y a même des organismes paragouvernementaux, et, bon,
moi, j'ai eu affaire plus à des entreprises paragouvernementales, qui sont
soucieux de certaines dispositions, naturellement, qui aimeraient vous en
parler, qui ont des experts pour vous en parler, parce que je n'ai aucune
prétention d'une expertise aussi poussée.
On a parlé, par exemple, de la
biotechnologie au niveau du commerce. On a parlé de plusieurs notions qui
étaient... Puis, vous le savez, le monde technologique nous demande une
expertise particulière. Et il y a des gens qui, spécifiquement, se posent les
bonnes questions, et je pense qu'au niveau... puis se servir de tremplins pour
justement parler de ces choses-là et faire en sorte qu'on les expose de manière
précise.
Au niveau du consommateur, parce que ça me
semble être le plus important, quand je vous disais : Oui, il faut
informer le consommateur, on n'est pas dupes, là. Le consommateur espère, puis
je l'espère avant tout, que, lorsqu'il appuie sur un consentement de
30 pages, ou de deux pages, ou de 10 pages, maintenant, l'Internet
n'a plus de limite, là, pour un consentement écrit, bien oui, que l'État ait fait
en sorte que ce type de consentement là reflète quelque chose qu'il protège.
Alors, naturellement, ce qui est important,
puis ce qui est important dans notre mémoire… Je pense que l'État a un rôle
d'éducation et, surtout, d'accompagnement des entreprises. Quand on vous a
parlé puis quand on vous a suggéré de mettre des guides de bonnes pratiques, de
mettre des contrats types, parce que les contrats types peuvent aider les
entreprises… Ça va être un temps énorme, des montants qui sont importants.
Alors, si on va dans la réduction des
montants pour l'évaluation de l'analyse d'impact, ça, c'est des éléments qui
sont importants, de faire en sorte... Bien là, je ne peux pas penser que la
Commission d'accès à l'information va tout faire, mais qu'on pourrait faire en
sorte, peut-être, là, de donner des instruments qui permettent aux entreprises,
oui, d'établir des régimes de protection pour les individus et de faire le
meilleur qui soit pour qu'on protège ces données-là de façon importante.
Alors, vous avez parlé un petit peu plus
tôt, là, dans des conversations avec d'autres, lors des représentations : Est-ce
que ça se fait ici? Moi, je vais vous dire que le CPQ travaille de pair avec la
CNESST, et, déjà, on protège les individus parce qu'on leur donne des instruments.
Ne serait-ce que la politique de harcèlement au <travail...
Mme Gagnon (Karolyne) : ...
vous
avez parlé un petit peu plus tôt, là, dans des conversations avec d'autres lors
des représentations : Est-ce que ça se fait ici? Moi, je vais vous dire
que le CPQ travaille de pair avec la CNESST, et, déjà, on protège les individus
parce qu'on leur donne des instruments, ne serait-ce que la politique de
harcèlement au >travail, on met des modèles pour les entreprises. Alors,
c'est important d'accompagner, puis de bien accompagner, faire en sorte que,
oui, on va respecter le but premier, qui est la protection des renseignements
personnels.
Et j'irais peut-être même un petit peu
plus loin, parce qu'il faut le souligner au niveau de ces éléments-là, quand on
parle de mettre des choses en place pour les individus, oui, on se fie à l'État.
On se fie à une loi solide. Mais je vous ai mis également une expertise, là,
qui m'a un peu surprise, au niveau de l'Europe, Même après plusieurs années…
L'Europe est bien organisée avec ses 27 États. Ils ont même une possibilité… Parce
qu'ils sont en commission. Ils sont regroupés. C'est beaucoup plus développé,
là, que ça ne l'est ici. Puis on souhaiterait avoir le même genre de
protection, mais qui coûte très cher aussi pour l'État. Alors, ils ont mis
ensemble toutes leurs connaissances pour permettre, là, aux entreprises de
pouvoir réagir très vite et d'en arriver à des résultats, là, qui sont
probants. Et, malgré ça, ce que je lisais, puis vous le lirez dans notre
mémoire, c'est seulement 33 % des entreprises, en ce moment, qui sont
conformes à la loi.
Alors, malgré tout l'appui puis la bonne
volonté qu'on veut mettre en place le régime, là, qu'on trouve tout à fait
sérieux, puis probablement le meilleur régime au monde, là, même s'il y a des
distinctions qu'il faudrait avoir ou qu'il faudrait adapter ici, au Québec… Alors,
c'est un régime qui nous permet, à ce moment-là, de comparer un peu qu'est-ce
qu'on veut, tout mettre sur la table ou choisir les meilleures dispositions
pour protéger le citoyen, pour protéger le consommateur et de permettre aux
entreprises de continuer à pouvoir travailler dans un système où la concurrence
est énorme, la concurrence est mondiale, et de les accompagner, et de poursuivre,
là, en ce sens-là.
M. Jolin-Barrette : Je vous
remercie. J'invite les membres… bien, en fait, s'il y a des partenaires qui
veulent déposer des mémoires à la Commission des institutions, à le faire. Peut-être,
je vais céder la parole, M. le Président, à mes collègues.
Le Président (M. Bachand) :
M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui,
merci, M. le Président. Bonjour, M. Blackburn, Me Gagnon. Merci de votre
présentation.
Peut-être, pour poursuivre un peu sur
l'idée d'arrimage dont vous avez fait mention, là, il y avait des intervenants
qui étaient venus, précédemment, nous mentionner qu'au niveau... Il faudrait un
peu attendre et s'arrimer avec les partenaires provinciaux, au fédéral, puis il
faudrait attendre que le fédéral légifère. J'aimerais vous entendre, pour vous,
qu'est-ce que ce serait, la notion d'arrimage puis quelles étapes vous voyez.
Est-ce qu'on devrait attendre que le fédéral légifère ou le Québec peut aller
de l'avant, peut, dans le fond, élaborer sa loi puis ensuite s'arrimer, donc,
juste pour voir un peu, là, où vous vous situez?
M. Blackburn (Karl) : Juste
avant de céder la parole à Karolyne, ce qui nous habite là-dedans, c'est certain
que… Nos frontières n'existent plus aujourd'hui. Les frontières n'existent
plus. On est capables, à un clic de souris, d'être en communication avec
n'importe quel État à travers le monde. Donc, il y a quand même, je dirais, une
responsabilité de ce qu'on va <mettre...
M. Blackburn (Karl) :
...
avant de céder la parole à Karolyne, ce qui nous habite là-dedans,
c'est de… certain que… Nos frontières n'existent plus aujourd'hui. Les
frontières n'existent plus. On est capables, à un clic de souris, d'être en
communication avec n'importe quel État à travers le monde. Donc, il y a quand
même, je dirais, une responsabilité de ce qu'on va >mettre en place
puisse bien desservir les objectifs que poursuit le gouvernement en termes de
protection, mais que ça puisse également être conforme et applicable de façon
efficace, en lien avec la volonté du gouvernement de protéger les données personnelles
des citoyens.
Donc, je pense que cet objectif-là nécessite
qu'il y ait une coordination, un arrimage entre nos juridictions voisines justement
pour faire en sorte que ce qui va être mis en place ne fasse pas cavalier seul,
mais, au contraire, soit un vaste réseau de protection où les juridictions
voisines, les juridictions avec lesquelles on a plus de transactions, bien,
soient également au même niveau ou au même diapason.
Et, de façon plus concrète, au niveau
légal ou au niveau de quel projet de loi devrait être déposé avant ou quel
règlement devrait être amené avant, je demanderais peut-être à Karolyne de vous
donner exactement le positionnement qu'on chérit en termes d'application étape
par étape.
• (12 h 40) •
Mme Gagnon (Karolyne) :
Alors, merci, M. Blackburn. Je pense que je n'ai pas la prétention de
pouvoir vous fournir les étapes, mais je crois que ce qui est vraiment important…
Donc, moi, je… Le dépôt du projet de loi est sensationnel. Le fait qu'on le
dépose maintenant, au début… Puis, M. Blackburn l'a dit, nos entreprises,
en ce moment, sont prises avec la COVID, avec une reprise économique, avec plusieurs
arrimages à faire, mais c'est un début. Le dépôt nous permet de discuter.
Ce qu'on demande à ce moment-ci, c'est… Oui,
il y a plusieurs préoccupations, il y a plusieurs subtilités. On a entendu le
Pr Gautrais, là, je ne voudrais pas faire erreur sur son nom… mais qui
nous disait : On est une société particulière puis on a un arrimage
particulier aussi, parce qu'on est à l'intérieur d'États qui, eux, font les
choses différemment, bon, naturellement, ne serait-ce qu'au niveau du common
law, si on l'applique au niveau d'une notion de droit civil.
Alors, on ne demande pas d'attendre que le
fédéral adopte… parce qu'on ne l'attendra pas, là, puis je pense qu'on est
souvent les pionniers dans bien des domaines. Puis, naturellement, la
protection des renseignements personnels nous incombe tous, comme société, et
puis nous préoccupe. Alors, je suis autant préoccupée que le citoyen à côté et
je veux que ça se fasse rapidement, mais on veut que ça se fasse bien.
Et, quand on parle de concertation, posons
la question : Quelles sont les problématiques, quand je suis une compagnie
qui a son siège social au Québec et qui est régie, pour envoyer des données,
des données, qui, quelquefois, ne sont pas nécessairement des données
personnelles, qui peuvent se retrouver dans le bottin téléphonique, par exemple?
Alors, une loi qui me dit : Bien là, il faut que je fasse une étude
d'impact en Alberta, parce que j'ai une filière à qui je veux transférer des
données… C'est des petits ajustements, et ces ajustements-là…
Le Président (M. Bachand) :
Merci, Me Gagnon. Malheureusement, je dois vous interrompre. Le temps
passe tellement bien en bonne compagnie, tellement vite en bonne compagnie. M.
le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Pour
combien de temps, M. le Président?
Le Président (M. Bachand) :15 m 36 s.
M. Tanguay
:
15 min 36? Merci <beaucoup…
Mme Gagnon (Karolyne) : …
parce que j'ai une filière à qui je veux transférer des données… C'est des petits
ajustements, et ces ajustements-là…
Le Président (M.
Bachand) : Merci, Me Gagnon. Malheureusement, je dois vous
interrompre. Le temps passe tellement bien en bonne compagnie, tellement vite
en bonne compagnie.
M. le député de
LaFontaine,
s'il vous
plaît.
M. Tanguay
: Pour
combien de temps,
M. le Président?
Le Président (M.
Bachand) :15 m 36 s.
M. Tanguay
:
15 min 36 s? Merci >beaucoup. Bien, bonjour,
M. Blackburn. Heureux de vous retrouver, de même que Me Gagnon. Merci
d'être là avec nous aujourd'hui pour répondre à nos questions. Je pense que
votre mémoire puis votre point de vue est assez limpide. On sait où vous…
quelles sont vos préoccupations, qui, je pense, sont des préoccupations tout à
fait légitimes. Et je vais m'assurer, M. le Président, de laisser du temps pour
que ma collègue de Notre-Dame-de-Grâce puisse également poser des questions.
Dans votre mémoire, bon, on parle… On voit
évidemment des impacts que pourraient avoir, au niveau de la compétitivité, des
frais engendrés, même des pénalités, là, le cas échéant, d'une lourdeur dans
l'application de ce que seraient des éléments quand même assez nouveaux, d'où
l'importance d'avoir, là, des guides de bonnes pratiques, des contrats types,
des lignes directrices. Vous voulez, bref, avoir une assistance, je dirais ça
de même, du gouvernement, peut-être de la Commission d'accès à l'information,
que soient rendus publics, donc, des guides de bonnes pratiques, et tout ça.
Puis j'ai peut-être mal compris puis je vous
inviterais peut-être à me préciser ça. Vous avez, par ailleurs, dit… Dans le
contexte de la gestion des risques et tests d'équivalence plus restrictifs au Québec
qu'en Europe, vous dites : «Prévoir — à votre recommandation n° 7 — <prévoir >que les mesures
contractuelles puissent être un élément d'office qui permette d'assurer la
protection des renseignements personnels.»
Pouvez-vous expliciter en quoi… Moi, quand
je lis ça, puis de ce que je comprends, puis peut-être que je fais fausse route,
vous allez me corriger si j'ai tort, mais je vois une sorte d'autorégulation
par négociation contractuelle, qui pourrait, par ailleurs, atteindre les
standards requis par la loi québécoise. Mais pouvez-vous expliciter en quoi ça,
ça pourrait être une avenue plus souple, efficace et qui n'affecterait pas la
compétitivité hors frontière, là, des entreprises québécoises?
M. Blackburn (Karl) : Alors,
merci, M. le député. D'abord, d'entrée de jeu, je vais peut-être faire un peu
un retour sur votre première partie de commentaire et, par la suite, je céderai
la parole à Karolyne, qui pourra davantage vous donner de détails au niveau
précis.
La volonté qu'on poursuit, comme
organisation, c'est clair qu'elle est la même que ce que vous poursuivez comme
parlementaires, que ce que poursuit le gouvernement, c'est de nous mettre dans
une situation où les données personnelles soient sécurisées, et ce, pour le
bien de tout le monde.
Maintenant, on fait un pas de recul et on
se remet dans le contexte de la COVID-19, malheureusement, qui a mis sur pause
l'économie mondiale. On est au coeur probablement de la pire crise économique
des 150 dernières années. On voit bien qu'il y a des secteurs de
l'économie qui se relèvent plus rapidement, qui sont moins affectés que d'autres,
mais, en contrepartie, il y a d'autres secteurs qui sont durement affectés et
qui, probablement, risquent de ne pas être capables de se relever.
Donc, dans le contexte, souvent, vite et
bien, ça ne fait pas toujours… ce n'est pas toujours la meilleure <façon…
M. Blackburn (Karl) :
... de l'économie qui se relèvent plus rapidement, qui sont moins affectés que
d'autres. Mais, en contrepartie, il y a d'autres secteurs qui sont durement
affectés et qui, probablement, risquent de ne pas être capables de se relever.
Donc, dans le contexte, souvent, vite
et bien, ça ne fait pas toujours… ce n'est pas toujours la meilleure >façon
de procéder. Donc, dans ce contexte, les éléments qu'on soulève par rapport à
l'application du mémoire, les objectifs qu'on poursuit comme organisation sont
les mêmes que poursuit le gouvernement, alors, ça, c'est clair : la
protection des données et un encadrement des mécanismes régissant cette
protection des données.
Maintenant, le contexte un peu... pas un
peu, le contexte très particulier dans lequel on se retrouve nécessite, je
dirais, d'accorder une importance plus grande à plusieurs points de détails qui
risquent, dans un monde normal, d'être très difficiles, voire impossibles à
appliquer. Et la question que vous soulevez, elle est extrêmement pertinente,
et, à ce moment-ci, je demanderais à Karolyne de vous donner davantage les orientations
par rapport au point précis que vous avez soulevé dans votre commentaire, M. le
député.
Mme Gagnon (Karolyne) : Alors,
merci, M. Blackburn. Bonjour, M. le député de LaFontaine. Ça me fait plaisir.
Vos questions sont toujours à point et pertinentes, là, relativement à des dispositions
particulières, et c'en est une principalement très intéressante, puisque
l'article 17... En fait, l'article 17 nous permet de s'assurer que le régime
juridique d'un autre État a suffisamment de protection ou offre suffisamment de
protection lorsque je décide de transmettre des données. Alors, c'est le but
premier de l'article 17.
Quand je parle d'obligations contractuelles,
je me réfère plus au paragraphe 3°, où on dit : Il y a différentes façons
de le faire. Alors, une est d'aller voir quel type de régime juridique on a,
quelle est la finalité, quelles sont les protections dont il bénéficie. Alors,
ce qui est important, quand j'ai un contrat, c'est que je peux transférer cette
obligation-là à un tiers. Je peux lui dire : Tu dois t'assurer que les
données ou que la façon de les traiter sont sécuritaires selon nos propres
critères.
Alors, ça se passe... un peu la même chose
en construction, dans les appels d'offres. Naturellement, je ne peux pas penser
que le sous-traitant, au niveau de l'environnement, va respecter les règles de
l'environnement, puis je ne peux pas toutes les mettre non plus, mais je peux
exiger, de façon contractuelle, qu'il respecte les obligations du Québec, les obligations
de l'environnement ou autres, ce sur quoi je n'aurai pas de prise lorsqu'il
aura les données entre ses mains.
Alors, ça devient une exigence
contractuelle qui supplée puis qui s'ajoute aux autres exigences. C'est
simplement parce que ce n'est pas prévu. Peut-être que le législateur ou… En
fait, peut-être, quand on a déposé le projet de loi, que c'était une volonté,
parce que ça a toujours existé, mais, quand je parle à différents grands
bureaux d'avocats, des gens qui sont préoccupés de la question, on me dit :
On ne le voit pas apparaître. Et ce serait bon que ce soit également prévu,
pour que, justement, quand je transfère des données, j'aie une protection supplémentaire
qui... parce que je peux faire une grande étude par rapport au terrain, je peux
envoyer un expert, puis, l'expert, je ne peux pas savoir si, effectivement, ce
qu'il va me rendre est <concret...
Mme Gagnon (Karolyne) :
...on ne le voit pas apparaître, et ce serait bon que ce soit
également
prévu pour que,
justement, quand je transfère des données, j'aie une
protection
supplémentaire qui... parce que je peux faire une grande
étude par rapport au terrain. Je peux envoyer un expert, puis, l'expert, je ne
peux pas savoir si, effectivement, ce qu'il va me rendre est >concret,
m'assure une protection. Je peux tout faire ça par rapport à l'étude qui est
très exhaustive.
Mais, en plus de ça, si mon partenaire, de
façon contractuelle, s'engage à respecter toutes les données qui sont... ou
tous les moyens qui sont pris ici, au Québec, pour protéger les données personnelles
d'un individu, ça devient un élément supplémentaire. Ce qu'on dit dans notre mémoire :
Est-ce que cet élément-là n'est pas suffisant ici pour se prémunir contre une
étude exhaustive de ces données-là à l'étranger, qui ne vont jamais me garantir
que j'ai l'expert qui est approprié? Je crois que oui. Ça c'est toujours fait au
niveau des contrats, et le bris d'un contrat ou l'irrespect d'une de ses
dispositions, à ce moment-là, peut encourir de graves… bien, de graves
poursuites, là, de part et d'autre.
• (12 h 50) •
Puis je pense qu'on vous avait souligné également,
plus tôt, que c'est important pour les entreprises, puis on m'a téléphoné ce
matin à ce niveau-là. Vous savez, une entreprise, là, tient à ce que les
données qu'elle transmet, les données qu'elle a en sa possession, soient
gardées confidentielles et à respecter les règles. Il en va souvent de sa
réputation. Il en va souvent même de sa pérennité. Et ça, vous l'avez entendu,
mais c'est ce qu'ils nous disent : On veut… On est d'accord… Quand on dit :
On est d'accord, mais on veut tellement bien faire les choses, on veut aider le
gouvernement, on veut qu'il y ait un arrimage et faire en sorte que, quand on
aura un système qui est bien parti… parce qu'on a un beau projet de loi, là,
avec des dispositions dont la majorité sont intéressantes, mais, quand on aura
un projet de loi qui est un guide, comme le dit Karl, pour l'ensemble de tous
les territoires et du Québec et d'ailleurs, on sera des pionniers, puis des
pionniers qui seront probablement imités par la suite. Merci.
M. Tanguay
:
...laisser du temps, M. le Président, avec votre permission, à ma collègue de Notre-Dame-de-Grâce.
Dans le fond, si je résume, l'article 17
pourrait, selon cette option-là, se résumer, pour une entreprise, à faire une vérification
diligente du sérieux et de la raisonnabilité de son sous-traitant ou de son
cocontractant. Puis, une fois qu'il a fait cette vérification diligente là que
mon cocontractant est une entreprise sérieuse, m'offre toutes les indications
qu'elle va bien gérer et protéger les renseignements, donc ça simplifie l'évaluation,
l'analyse.
Puis on a toujours, comme cocontractant,
aussi… Quand on a de l'information, par exemple, ou quoi que ce soit, un bien
qui appartient à un tiers ou pour lequel un tiers pourrait réclamer des
dommages et intérêts, bien, on a toujours l'obligation de faire affaire avec
des sous-traitants, des contractants qui sont, à nos yeux, après vérification
qu'on n'a pas commis de faute, <qui sont >dignes de notre
confiance. Donc, ça résumerait l'analyse à cela et la responsabilité à cela
aussi.
Mme Gagnon (Karolyne) :
Bien, vous l'avez bien exprimé. Il y aura peut-être des particularités, là, par
rapport à ce qu'on fait, mais, vraiment, parce que moi, je dis… Quand on dit :
Les mesures de <protection...
M. Tanguay
: … qui
sont dignes de notre confiance. Donc, ça résumerait
l'analyse à cela et
la
responsabilité à cela aussi.
Mme Gagnon (Karolyne) : Bien,
vous l'avez bien exprimé,
il y aura peut-être des particularités, là,
par rapport à ce qu'on fait, mais, vraiment, parce que moi, je dis… Quand on
dit : Les mesures de >protection dont les renseignements
bénéficiaient, y compris les mesures contractuelles, ça vient, en fait, donner
l'assurance supplémentaire, là, qui est au niveau, là, de la diligence
raisonnable… pourrait être complétée puis favoriser un bon contrat. Merci. Je
vous entends…
Le Président (M. Bachand) :
Merci, maître. Alors, je cède la parole à la députée de Notre-Dame-de-Grâce,
s'il vous plaît.
Mme Weil
: Merci
beaucoup. Alors, hier, on a entendu le Pr Gautrais. Et puis je vous dirais que
le point et les arguments apportés par le milieu économique et les acteurs de
l'économie, c'est un peu… beaucoup ce que vous avez dit, mais on a mis beaucoup
l'accent sur les petites et moyennes entreprises, où ils sont démunis pour être
capables de vraiment livrer la marchandise, selon eux.
Alors, on leur posait des questions sur
comment arrimer, donc, d'une part, l'obligation de protéger les renseignements
personnels, et qu'eux soient conformes à la loi, et on est arrivés sur la
question d'accompagnement du gouvernement, et, vous, c'est presque comme… Ce
serait une recommandation additionnelle que vous auriez peut-être à expliciter,
parce que, lui, qui est très enthousiaste par rapport à l'orientation du projet
de loi… mais, quand on posait cette question, il dit : L'État… je ne sais
pas s'il a dit «en Amérique du Nord», là, mais l'État, souvent, ne fait pas
tout ce qu'ils ont à faire pour aider et accompagner ceux qu'ils ont à
accompagner. Et, dans votre phrase, vous dites ça. Vous recommandez un peu ce
qu'on a entendu hier, des guides de bonnes pratiques et une aide qui serait,
comment dire, ajustée au niveau de l'entreprise, les grandes, grandes, dans un
premier temps.
Donc, ça c'est une question que j'ai. Je
vais vous poser les deux questions pour que vous ayez le temps de répondre. L'autre,
la réaction, en tout cas, que moi, j'ai eue hier, c'est d'essayer d'arrimer le
fédéral, et toutes les provinces, et les États-Unis. C'est complexe, presque
impossible. Comment proposez-vous, au-delà des discussions, de ne pas constater
éventuellement une certaine inertie et que, souvent, c'est parce qu'il y a un
État en Amérique du Nord… Notamment, nous, on avance, on bouge. Je comprends
tout à fait votre recommandation de consulter, bien consulter, et se donner le
temps de bien consulter, apporter les modifications, consulter le fédéral et
d'autres, mais sans tomber dans l'inertie, sur un enjeu aussi important.
M. Blackburn (Karl) : Je
pourrais peut-être, Mme la députée, prendre la première partie de votre
question, concernant la grandeur de l'entreprise et les capacités de cette
entreprise de pouvoir implanter des systèmes qui sont plus onéreux, plus
coûteux, avec les expertises nécessaires, versus, des fois, les plus petites
entreprises, qui n'ont pas nécessairement l'agilité ou les capacités de
s'adapter à une vitesse, je dirais, plus importante.
Mais, en même temps que je vous dis cela,
il y a aussi des petites entreprises qui sont très rapides, très agiles. Ce <matin…
M. Blackburn (Karl) : …
pouvoir
implanter des systèmes qui sont plus onéreux, plus coûteux, avec les expertises
nécessaires, versus, des fois, les plus petites entreprises, qui n'ont pas
nécessairement l'agilité ou les capacités de s'adapter à une vitesse, je
dirais, plus importante.
Mais, en même temps que je vous dis
cela, il y a aussi des petites entreprises qui sont très rapides, très agiles.
Ce >matin, j'avais une rencontre téléphonique avec une petite entreprise
d'ici, du Québec, qui est un fleuron dans son domaine d'activité et qui fait en
sorte que la réalité dans laquelle notre économie se retrouve soit, pour elle,
un tremplin pour être capable d'aller plus vite, plus loin que ses
compétiteurs.
Donc, dans l'accompagnement souhaité par
la part du gouvernement, c'est d'abord et avant tout de s'assurer que tous
soient au même niveau en ce qui a trait à l'application et les mécanismes, ou
les cahiers, ou les guides pratiques d'utilisation de cette façon de protéger
les renseignements personnels, et, encore une fois, c'est la volonté que nous
poursuivons. Mais, entre le fait de le faire seul, dans un univers de juridictions
qui ne sont pas au même endroit, ou de le faire comme étant un leader, avec la majorité…
Il y aura probablement toujours certains États
ou certaines réalités de juridictions qui ne seront pas au même niveau que ce
que nous voudrons bien comme organisation. Mais, dans ce sens-là, au moins, on
aura la capacité d'être capables de mixer les objectifs poursuivis, et de le
faire dans un plus grand espace, et ce, au bénéfice des clients ou des
consommateurs qui vont voir leurs données, de façon plus importante, corrigées,
mais, en même temps, pour les entreprises ou les employeurs, de fonctionner sur
une base qui est essentiellement la même et qui ne vient pas défavoriser
certains secteurs de l'économie versus d'autres secteurs qui n'ont pas les
mêmes critères.
Et, peut-être, Karolyne pourrait davantage
expliquer un peu plus précisément le deuxième point de votre question, sur si
on fonctionne seuls ou si on ne fonctionne pas nécessairement seuls, où,
malheureusement, certains États pourraient ralentir le pas de façon volontaire.
Le Président (M. Bachand) :
Sur ce, le temps est écoulé. Je dois passer la parole au député de Gouin. M. le
député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Pour trois minutes…
Le Président (M. Bachand) :
…
M. Nadeau-Dubois : 3 min 24 s?
Vous constatez comme moi… Bonjour, M. Blackburn, Mme Gagnon. J'ai peu de temps.
J'ai deux sujets que j'aimerais aborder avec vous.
D'abord, sur la question de la récolte de
données par les entreprises, il y a plutôt un consensus scientifique, un
consensus auprès des experts qu'au moment où on se parle il y a certaines
entreprises qui ont des pratiques de collectes de données qui sont abusives,
autrement dit, qui collectent plus de données que ce qui est vraiment
nécessaire, notamment parce qu'elles font le pari que ces données-là ne sont
peut-être pas monétisables aujourd'hui, mais que, l'avancement technologique
étant ce qu'il est, elles le deviendront éventuellement.
Donc, c'est documenté, comme pratique de surtout
les grandes entreprises, de collecter plus que nécessaire en se disant : Bien,
un jour, il y aura peut-être moyen de faire de l'argent avec ça. Donc, on ne
prend pas de chances. On en prend plus que ce qu'on a besoin aujourd'hui. Ce
phénomène-là, il existe. En tout cas, c'est ce que les experts nous disent. C'est
ce qu'ils nous disent depuis au moins deux jours, Puis, dans la littérature,
aussi, c'est largement admis. Est-ce que vous reconnaissez que ce phénomène-là
existe? Et, si oui, puisque j'imagine que vous le reconnaissez, êtes-vous
d'accord qu'un projet de loi sur la protection des renseignements personnels
devrait, au-delà de la <question…
M. Nadeau-Dubois : ...
phénomène-là, il existe. En tout cas, c'est ce que les experts nous disent.
C'est ce qu'ils nous disent depuis au moins deux jours, puis, dans la
littérature aussi, c'est largement admis. Est-ce que vous reconnaissez que ce
phénomène-là existe? Et, si oui, puisque j'imagine que vous le reconnaissez,
êtes-vous d'accord qu'un projet de loi sur la protection des renseignements
personnels devrait, au-delà de la >question du consentement, venir
imposer des limites sur même ce qui est permis de demander aux citoyens et aux
citoyennes comme données?
M. Blackburn (Karl) : Votre
question me permet d'ouvrir le débat sur une façon très philosophique et très
large, de concentrer un certain élément de réponse. Peut-être je vais laisser
la chance à Karolyne de finaliser, je dirais, la deuxième question de votre
volet.
Mais les données personnelles auxquelles
nous, comme consommateurs, ou comme clients, ou comme citoyens, on est amenés à
donner, c'est, bien sûr, toujours sur une base volontaire. Et je n'ai jamais
senti, moi, de pression, pour mon point de vue personnel, de partager
l'ensemble de mes données personnelles avant de faire une transaction ou de
devenir un membre dans une organisation ou dans une grande entreprise. Et là ça
vient aussi à une certaine responsabilité des consommateurs et des citoyens.
Tout peut se faire, mais tout ne peut pas... obligé de se réaliser également.
Alors, je pense qu'il faut être conscient
de... Effectivement, il y a des réalités, au niveau informatique, au niveau de
données, qui font en sorte qu'on est rentrés dans le XXIe siècle de façon extrêmement
rapide, mais, en même temps, on n'est pas obligés de tout faire et de tout
donner.
M. Nadeau-Dubois : Je suis
désolé d'être cavalier, mais mon temps file très vite. Sur ma deuxième
question, est-ce que, dans le projet de loi, il devrait y avoir des limites
objectives à ce qui est même permis aux entreprises de demander comme données
personnelles?
M. Blackburn (Karl) :
Me Gagnon, je vous laisse la parole.
Mme Gagnon (Karolyne) : Merci,
M. Blackburn.
Le Président (M. Bachand) :
Rapidement, Me Gagnon, s'il vous plaît.
Mme Gagnon (Karolyne) : Oui. Au
niveau des données nécessaires, en fait, pour la loi sur le secteur public et
parapublic, ça a toujours été prévu qu'on ne collecte uniquement que ce qui est
nécessaire à l'entreprise. Naturellement, lors de l'utilisation, si on a une
utilisation autre, qu'est-ce que va changer la loi? On a déjà que c'est bien
circonscrit, la notion de nécessité, et qu'on le définisse ou qu'on l'ait,
parce que tout ça est une question d'éducation. Alors, c'est ce qu'on vous
disait, peut-être, puis je sais que ça se fait en Europe, d'établir qu'est-ce qui
est vraiment nécessaire, quel est le titre, quelle est la définition.
Qu'importe comment je vais pointu dans la loi, ce sera toujours une
compréhension générale de la notion de nécessité qui se retrouvait déjà dans
une loi plus grande. Alors, je vois...
Le Président (M. Bachand) :
Merci. Dernier commentaire, M. le député de Gouin, <dernier commentaire, >rapidement.
M. Nadeau-Dubois : Donc, je
comprends que vous n'êtes pas fermés à cette idée-là?
Mme Gagnon (Karolyne) : Bien,
en fait, ce qu'on vient de décrire, la notion de nécessité, on est certains que
les décisions vont le décrire. Je sais qu'en Europe, ce qu'ils faisaient
souvent, c'est… Quand je vous parle de guide de bonnes pratiques, c'est de
définir et interpréter la notion de nécessité et de donner les outils aux
entreprises pour savoir et bien définir leur mandat.
M. Nadeau-Dubois : Merci.
Le Président (M. Bachand) :
Merci beaucoup. Sur ce, Me Gagnon, M. Blackburn, merci beaucoup
d'avoir participé aux <travaux de la commission…
>
13 h (version révisée)
<17859
Le Président (M. Bachand) :…
merci
beaucoup. Sur ce, Me Gagnon, M. Blackburn,
merci beaucoup
d'avoir participé aux >travaux de la commission.
Et la commission suspend ses travaux jusqu'à
15 heures. Merci.
(Suspension de la séance à 13 heures)
15 h (version révisée)
(Reprise à 15 h 6)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! Bon après-midi. La Commission des
institutions reprend ses travaux. Je demande, bien sûr, à toutes les personnes
présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils
électroniques.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, loi modernisant des dispositions législatives en matière de
renseignements personnels.
Nous avons maintenant la chance et le
plaisir d'accueillir deux avocats de chez la firme Fasken. Alors donc,
comme vous le savez, vous avez 10 minutes de présentation. Merci beaucoup
d'être avec <nous en...
Le Président (M.
Bachand) : …La
commission est réunie afin de poursuivre
les auditions publiques dans le cadre des
consultations particulières
sur le
projet de loi
n° 64,
Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Nous avons
maintenant la chance
et le plaisir d'accueillir deux avocats de chez la firme Fasken. Alors
donc, comme vous le savez, vous 10 minutes de
présentation. Merci
beaucoup d'être avec >nous en visioconférence. Et puis je demanderais, d'abord,
de vous identifier et de débuter votre exposé. La parole est à vous. Merci
beaucoup.
MM. Karl Delwaide et Antoine Aylwin
(Visioconférence)
M. Aylwin (Antoine) : Bonjour,
M. le Président, M. le ministre, MM. Et Mmes les députés. Mon nom est Antoine
Aylwin. Je suis accompagné de mon collègue, Karl Delwaide.
M. Delwaide (Karl) : Bonjour.
M. Aylwin (Antoine) : Je vous
remercie pour l'invitation. On est contents de vous revoir à la Commission des
institutions. Depuis juin, quand le projet de loi n° 64 a été déposé, avec
l'équipe, on a eu des réunions à toutes les semaines pour discuter des
différents sujets. C'est un projet de loi qui est costaud. Il y a plusieurs
modifications qui sont apportées. On a publié, depuis le mois de juin, à toutes
les semaines, des commentaires, là, au bénéfice de nos clients, pour discuter
des enjeux.
Comme vous le savez, on est des avocats d'affaires.
On conseille des petites, moyennes, grandes entreprises, des organismes
publics, des ordres professionnels, bref, toute la panoplie d'organisations qui
sont touchées par les lois qui sont visées aujourd'hui. Je veux remercier, là,
les membres de l'équipe, Jennifer Stoddart, Guillaume Pelegrin, Julie
Uzan-Naulin, Aya Barbach et William Deneault-Rouillard, qui ont travaillé avec
nous sur les représentations, notre mémoire, qui est Moderniser, mais
conserver un équilibre. On applique la loi tous les jours, comme je vous le
disais, puis on essaie, aujourd'hui, de vous véhiculer quelques préoccupations
très pratiques dans notre quotidien sur l'impact des dispositions qui sont
proposées.
Puis je vais céder la parole à mon
collègue, Karl Delwaide, qui va commencer avec les premiers sujets.
M. Delwaide (Karl) : Alors,
bonjour à tous. Le premier sujet, c'est la communication des renseignements
personnels à l'extérieur du Québec, les articles 27 et 103 du projet de
loi. Vous me permettrez de me concentrer sur l'article 103 qui traite de l'article 17
de la loi sur le secteur privé, mais vous avez son parallèle dans la loi sur l'accès,
l'article 70.1 de la loi sur l'accès, l'article 27 du projet de loi.
Le projet de loi tel qu'il est rédigé
prévoit qu'avant de communiquer à l'extérieur du Québec un renseignement
personnel… Je veux juste, au moins, attirer votre attention qu'à l'extérieur du
Québec… Contrairement à d'autres lois qu'on a au Canada, ça ne dit pas : À
l'extérieur du Canada. Ça dit : À l'extérieur du Québec. Donc, vous avez
plusieurs entreprises qui ont des divisions, que ce soit au Québec, en Ontario,
en Alberta, au Nouveau-Brunswick, aux États-Unis, des filiales. Donc, à l'extérieur
du Québec, ça couvre la réalité même dans les autres provinces. Ça couvre la
réalité dans chacun des États des États-Unis.
Pourquoi c'est important? Parce que vous
exigez… Le projet de loi, s'il est adopté tel qu'il est, exige deux critères
avant de pouvoir transférer des renseignements personnels à l'extérieur du
Québec même au sein d'une même entreprise. Ça exige une évaluation comparative
et une entente contractuelle, une entente contractuelle qui vise à s'assurer
que la juridiction réceptrice adopte des mesures de protection similaires à
celles du Québec.
Vous réalisez que l'évaluation
comparative, c'est très exigeant. Si vous exigez ça au sein de la fonction
publique, vous avez peut-être plein d'avocats qui sont heureux, plein de
juristes de l'État qui vont être heureux de faire du droit <comparé…
M. Delwaide (Karl) : ...la
juridiction réceptrice adopte des mesures de protection similaires à celles du
Québec.
Vous réalisez que l'évaluation
comparative, c'est très exigeant. Si vous exigez ça au sein de la fonction
publique, vous avez peut-être plein d'avocats qui sont heureux, plein de
juristes de l'État qui vont être heureux de faire du droit >comparé. Mais
je vous jure que, pour les entreprises du Québec, là, petites, moyennes et
grandes, de faire l'exercice d'une évaluation comparative en plus d'une entente
contractuelle, c'est un fardeau extrêmement lourd que vous imposez, selon moi,
bien respectueusement.
Vous savez, une évaluation comparative
pour chacune des juridictions, ça veut dire... Au Canada, c'est, quoi, 10 provinces,
bon, neuf si on exclut le Québec. Donc, l'Ontario, le Nouveau-Brunswick,
Alberta, il faut faire cette évaluation comparative. Il faudrait faire
l'évaluation comparative pour les 51 États américains. Respectueusement,
c'est un fardeau qui est extrêmement lourd.Le système actuel fonctionne
bien. Le système... Vous savez, l'article 17 actuel comporte une exigence
similaire, sauf l'évaluation comparative. Et, à date, ce que nous avons
toujours fait, ce sont des ententes contractuelles, et, les ententes
contractuelles, ça fonctionne.
• (15 h 10) •
Alors, respectueusement, une
recommandation qu'on se permet de faire, c'est d'éliminer la notion
d'évaluation comparative. Si le gouvernement, ou si vous voulez donner le
pouvoir à la Commission d'accès de le faire, libre à vous, vous désirez cibler
des juridictions pour lesquelles ce serait automatique comme c'est prévu, ou, à
l'inverse, si vous désirez vous conférer le pouvoir de cibler des juridictions
pour lesquelles ce serait automatiquement non autorisé de transférer des
renseignements personnels, libre à vous. Mais, respectueusement, je ne pense
pas que vous devriez imposer aux entreprises le fardeau de faire ces
évaluations comparatives, à moins que vous vouliez procurer de l'emploi à la
meute de nouveaux avocats qui sortent de l'École du Barreau. Je vous remercie,
parce que ça, c'est une job d'avocat. On n'a de cesse d'avoir des questions des
clients. Si c'est ce que vous souhaitez… Mais je ne pense pas que ce soit le
but de la chose.
Deuxième commentaire. Je me permets d'aller
rondement. Puis il y a d'autres éléments, vous savez, à ce sujet-là, sur la
communication à l'extérieur du Québec. On le souligne dans notre mémoire. C'est
la définition d'un État… Pourquoi je vous disais, tantôt, que ça couvre autant
l'Ontario, que le Nouveau-Brunswick, que les États américains? Un État n'est
pas défini, dans le projet de loi, à l'article 103. Vous savez que le Québec
est un État. Et là je ne veux pas faire de politique. Dieu m'en préserve, ce n'est
pas le but. Mais, sur le plan constitutionnel, chaque province canadienne est
souveraine dans sa juridiction, même chose pour les États américains.
Alors, il va falloir que ce soit précisé.
Qu'est-ce que vous entendez? Est-ce que vous désirez conserver cette notion
d'évaluation comparative et imposer un fardeau aux entreprises du Québec de
faire ce travail à chaque fois ou si le système, tel qu'on le connaît
actuellement, de requérir une entente contractuelle, est un système qui est
efficient, efficace et qui permet aux entreprises de faire des transferts de
données, tout en assurant une <protection...
M. Delwaide (Karl) : ...
Québec
de faire ce travail à chaque fois ou si le système, tel qu'on le connaît actuellement,
de requérir une entente contractuelle, est un système qui est efficient,
efficace et qui permet aux entreprises de faire des transferts de données tout
en assurant une >protection légitime?
Vous me permettrez maintenant de passer au
deuxième point : les conséquences du non-respect des lois. Les
conséquences du non-respect des lois, ce sont principalement les
articles 150 à 152 du projet de loi. Je veux vous glisser un mot des
pénalités administratives qui sont prévues au projet de loi et qui prévoient
des pénalités administratives pouvant aller jusqu'à 10 millions de
dollars. J'ai deux commentaires que je me permets de vous soulever.
Le premier commentaire, c'est : C'est
à la mode, ça, les pénalités administratives, c'est nouveau, ça. Vous savez, on
a vu ça maintenant avec la loi antipourriel au fédéral, là, vous savez, la loi
qui a un nom long comme ça, là, pour empêcher l'envoi de pourriels. Ça existe
aussi en vertu du RGPD, je le reconnais, mais, selon moi, c'est... on s'écarte
des principes de base de nos systèmes juridiques.
S'il y a des sanctions à imposer à une
entreprise, bien, soit, qu'elle en supporte les conséquences. Mais le principe
pénal a généralement servi à permettre à l'État ou à un organisme régulateur d'amener
des sanctions contre des récalcitrants, mais en préservant des droits, comme
préserver contre l'auto-incrimination, la présomption d'innocence, le fardeau
de preuve. Tout ça fout le camp, excusez mon langage familier, avec la notion
de pénalités administratives. Puis, vous savez, je suis persuadé que c'est
voulu, ça. C'est voulu parce que ça écarte les protections fondamentales des
chartes des droits. Et, selon moi, respectueusement, ce n'est pas un bon choix.
Ce n'est pas un choix avisé. C'est dangereux de glisser là-dessus, surtout
quand vous allez jusqu'à permettre jusqu'à 10 millions de dollars en
pénalités administratives.
Mon deuxième commentaire qui se joint à
ça, c'est… Vous verrez votre… le processus qui est implanté, n'est-ce pas, par
les articles 150 à 152, et ça, ça réfère… Excusez, je vais vous le dire, c'est
les nouveaux articles du projet de loi, ce sont les articles 90.1 et
suivants. La mécanique que vous avez mise en place ou que vous suggérez de
mettre en place, c'est de confier, à une personne désignée par la Commission
d'accès à l'information, mais une personne qui ne ferait pas partie ni de la
section surveillance ni de la section juridictionnelle, les fonctions de
décider d'une pénalité administrative… pas de décider, pardon, de décider de
l'envoi d'un avis de non-conformité et d'imposer… oui, de décider d'imposer une
pénalité administrative sujette au pouvoir de la commission de réviser la
décision de cette personne-là.
Moi, je trouve ça un peu particulier. Vous
avez un organisme administratif, qui est la Commission d'accès, ou bien vous
lui <faites...
M. Delwaide (Karl) :
...avis de non-conformité et d'imposer… oui, de décider d'imposer une pénalité
administrative, sujet au pouvoir de la commission de réviser la décision de cette
personne-là.
Moi, je trouve ça un peu particulier.
Vous avez un organisme administratif, qui est la Commission d'accès. Ou bien
vous lui >faites confiance ou vous ne lui faites pas confiance, sujet, encore
une fois… Si vous confiez un tel fardeau à une commission comme la Commission
d'accès, il va falloir qu'elle ait les moyens de les appliquer, mais, de
confier à une personne désignée, qui est-ce? Est-ce que c'est mon confrère, Me Aylwin?
Est-ce que ça va être quelqu'un du système des enquêteurs de la Commission
d'accès?
De confier le soin à une personne comme ça
de décider d'exposer mes clients à des pénalités de… jusqu'à 10 millions
de dollars, en mettant de côté les garanties habituelles du système judiciaire,
je trouve ça dangereux. De confier le tout à la Commission d'accès en révision,
bien, ça ne fait qu'augmenter les coûts du système. Et on vous propose, dans
notre mémoire, de tout simplement réserver ces pénalités administratives
uniquement pour certaines sanctions, pour des éléments strictement techniques,
et de réduire de beaucoup le maximum.
Je laisse mon confrère continuer avec nos
autres recommandations.
M. Aylwin (Antoine) : S'il
y a une question qui n'apparaîtra pas, du projet de loi, puis qui est
sous-jacente à tous les enjeux de renseignements personnels, ce sont les
ressources de la Commission d'accès à l'information. On est venus vous voir
depuis plusieurs années pour vous dire que c'était une lacune. Rajouter des
pouvoirs à la Commission d'accès à l'information, comme on le fait ici, ça ne
réglera pas la question des ressources. Si on veut s'attaquer… sur un contrôle
effectif, il va falloir que le gouvernement puisse mettre les ressources,
mettre des spécialistes à la Commission d'accès.
Dans les recommandations... On a fait
21 recommandations, là. Je ne vous les reprends pas toutes, mais j'aimerais
attirer votre attention sur la question de renseignements sensibles, qui, pour
nous, est une source de difficultés pour nos clients. En l'absence de
définition, on vous propose de se coller aux catégories de renseignements qui
sont prévus par la charte comme étant les renseignements qui ne peuvent pas
faire l'objet de discrimination, qui sont jugés suffisamment sensibles. Donc,
ça nous permettrait d'avoir une définition claire, parce qu'ici on pourrait
avoir le même renseignement qui est sensible dans certaines circonstances et
pas dans d'autres, ce qui est très difficile d'application.
Au niveau des transactions commerciales,
on vous invite à avoir une définition qui est plus large que celle qui est
suggérée et de se coller au texte des autres lois pareilles dans le domaine
pour que ce ne soit pas seulement dans le cadre de changement de propriété que
cette exception-là au consentement s'applique. Puis…
Le Président (M. Bachand) :
Maître, je dois vous... Maître, malheureusement, je dois vous arrêter.
M. Aylwin (Antoine) :
Oui, je vais conclure.
Le Président (M. Bachand) :
Je dois vous arrêter parce qu'on est rendus maintenant à la période d'échange.
Je suis désolé.
M. Aylwin (Antoine) :
Parfait.
Le Président (M. Bachand) :
Vous pourrez, durant la période de questions, répondre davantage. Alors, M. le
ministre, s'il vous plaît.
M. Jolin-Barrette :
Merci, M. le Président. Bonjour, messieurs. Merci de participer à la commission
parlementaire.
Bon, d'entrée de jeu, sur la notion
d'État, le sens que l'on donnait, c'était effectivement qu'une autre province
constitue un autre État. Alors, on prend bonne note de votre commentaire de
spécifier l'intention du législateur. On le garde en mémoire lorsqu'on fera
l'étude détaillée.
Revenons, si vous le voulez bien, sur la
question des amendes et des sanctions administratives <pécuniaires. Là...
M. Jolin-Barrette :
…
autre province constitue un autre État. Alors, on prend bonne note de
votre commentaire de spécifier l'intention du législateur. On le garde en
mémoire lorsqu'on fera l'étude détaillée.
Revenons, si vous le voulez bien, sur
la question des amendes et des sanctions administratives >pécuniaires.
Là, je comprends que vous dites : Écoutez, ce n'est pas la bonne solution,
ça va être vraiment préjudiciable pour les entreprises, notamment, ça permet,
avec ce régime-là… bien, en fait, ça donne moins de garanties de protection
juridique associée aux chartes pour les entreprises. Donc, si l'État veut
encadrer le tout, ça devrait vraiment être dans le régime pénal et non pas dans
le régime de sanctions administratives pécuniaires, comme on voit, supposons,
en matière environnementale, maintenant.
M. Delwaide (Karl) : Oui,
essentiellement, c'est ça. Écoutez, même avant l'avènement des chartes, les
protections fondamentales en matière pénale, comme par exemple le fardeau de
preuve ou… incrimination, ça existait. Il me semble que, de transférer ce qui
est, en principe, des pénalités… de transférer ça à un régime strictement
administratif, vous vous rendez compte… En plus, il y a d'autres dispositions
dans le projet de loi qui permettent à la commission d'exiger de fournir de
l'information sans… tout simplement de forcer une entreprise à fournir de
l'information. Alors, vous avez là un outil administratif qui est très… qui va
loin. Je ne vous dis pas que ce n'est pas correct d'imposer l'obligation, de répondre
à une demande de la commission. Ça, c'est très correct, c'est normal. Mais,
lorsque vient le temps de l'étape des sanctions, il nous semble que le
processus pénal donne des garanties plus en lien avec les fondements de notre
système judiciaire.
• (15 h 20) •
M. Aylwin (Antoine) : Je peux peut-être
ajouter une chose sur les sanctions pénales. Maintenant, il va y avoir des
dents. C'est des sanctions qui vont être importantes. On n'a pas fait la
preuve, dans les dernières années, que le système pénal ne fonctionnait pas.
Dans les 26 premières années d'application de la loi, les dispositions
pénales existaient. En 2006, le gouvernement a augmenté certains montants
de plafond de pénalités, là, dans… notamment pour la communication hors Québec,
sauf que ces dispositions-là n'ont pas été appliquées. Donc, c'est très
difficile de vous dire que les sanctions pénales ne fonctionnent pas. Elles
n'ont pas été essayées encore. Donc, on n'a pas encore la démonstration qu'il
faut passer à un régime administratif, selon nous.
M. Jolin-Barrette : Vous
dites : On devrait attendre de voir… d'éprouver le système pénal avant
d'aller au régime administratif. Mais le régime administratif est là aussi pour
convaincre, supposons, les entreprises, surtout en matière de protection des renseignements
personnels, de l'importance de se conformer à la législation. C'est un régime
qui est moins lourd aussi et qui peut constituer un facteur, très certainement,
d'adhésion pour les gens, bien, les personnes morales qui détiennent les
données des Québécois, à titre d'exemple.
Donc, je comprends votre point, où est-ce
que vous dites : Bien, écoutez, on devrait être prudents là-dessus. Mais,
d'un autre côté, quand on fait la balance des inconvénients, mais on peut se
dire : Bien, il y aurait peut-être lieu de mettre ce régime-là justement
pour diriger l'orientation, pour dire à quel point la protection des
renseignements personnels, c'est <important, là, puis qu'on…
M. Jolin-Barrette :
...les données des Québécois, à titre d'exemple.
Donc, je comprends votre point où
est-ce que vous dites : Bien, écoutez, on devrait être prudent là-dessus,
mais, d'un autre côté, quand qu'on fait la balance des inconvénients, bien, on
peut se dire : Bien, il y aurait peut-être lieu de mettre ce régime-là
justement pour diriger l'orientation, pour dire à quel point la protection des
renseignements personnels, c'est >important, là, puis qu'on doit vraiment
encadrer le tout, parce qu'on voit, là, il y a des fuites de données. Parfois,
il y a de la négligence. Parfois, c'est des attaques, malgré le fait que l'entreprise
ait pris tous les moyens nécessaires et a fait preuve de diligence raisonnable.
Mais comment vous recevez ça si on retourne la situation de l'autre côté?
M. Delwaide (Karl) : Juste bref
commentaire de ma part, et Me Aylwin complétera. Vous savez que la
commission a déjà des pouvoirs d'ordonnance. Alors, au niveau justement de cet
encadrement que vous souhaitez, bien, la commission peut très bien l'exercer
par ses pouvoirs d'ordonnance. Et, s'il y a un manquement qui est strictement
technique... Vous remarquerez, on dit : Les pénalités administratives pour
des manquements strictement techniques pourraient exister. Quelqu'un qui a
manqué, là... son système a fait défaut ou des choses comme ça… mais, si quelqu'un
est un contrevenant volontaire, bien, allez-y sur le plan pénal, et qu'il en
subisse les conséquences, respectueusement.
M. Aylwin (Antoine) : Je pense
que vous avez plusieurs outils. Si vous regardez notre recommandation n° 5, ce n'est pas d'abolir les sanctions administratives,
mais plutôt d'avoir un ratio de un pour 20 entre le pénal puis l'administratif,
ce qu'on estimait à 125 000 $ pour une sanction pénale, maximum de
25 millions. Nos recommandations sont reprises à la fin, là, si vous les
cherchez.
Puis je pense que vous avez comme trois étapes.
La commission, avec ses enquêtes puis sa surveillance, a un pouvoir de ce qu'on
appelle, en anglais, le «name and shame», c'est-à-dire de nommer une entreprise
qui a eu un comportement qui est inadéquat, qui, au niveau de la réputation,
est néfaste. Les sanctions administratives pourraient être une première étape
dans un... On ne vous dit pas de ne pas en mettre, mais de dire qu'il y ait un
plafond qui est plus bas que celui de 10 millions, parce que ça devient
excessivement important, presque du pénal, rendu là, et d'avoir la troisième
étape qui est pénale, un peu comme on fait avec la sécurité routière. On va
avoir des constats d'infraction pour la vitesse, mais, si on a une conduite
dangereuse, ça va être une infraction criminelle. Donc, c'est juste d'avoir des
étapes puis des niveaux, des paliers qui sont appropriés dans ces
circonstances-là.
M. Jolin-Barrette : O.K., je
comprends. Sur la question des politiques internes que doivent adopter les
entreprises, là, on propose que ça soit rendu public. Là, vous, vous dites dans
votre mémoire : Écoutez, attention, ça pourrait faire le contraire, ça
pourrait mettre plus à risque ces politiques internes là. Pourquoi?
M. Aylwin (Antoine) : Je peux peut-être
commencer en vous disant : Ça dépend du niveau de détail que vous
attendez. Si on attend à un niveau de détail qui est de dire : On a un
système de... Je vais vous donner un exemple pratique. On a un système de
sécurité avec des caméras cachées. Ça, c'est une chose. Si, après ça, je dis :
Mon système de sécurité, mes caméras cachées sont situées là, là et là, je
viens de complètement défaire la sécurité que j'ai parce que, là, je vais être
exposé aux gens qui voudraient rentrer dans mon système, où est ma protection,
donc, et toutes les <tentatives...
M. Aylwin (Antoine) : ...Ça,
c'est une chose. Si, après ça, je dis : Mon système de sécurité, mes
caméras cachées sont situées là, là et là, je viens de complètement défaire la
sécurité que j'ai, parce que, là, je vais être exposé aux gens qui voudraient
rentrer dans mon système, où est ma protection. Donc... Et, toutes les >tentatives
de «phishing», par exemple, sur les personnes qui peuvent être appelées à
intervenir sur des systèmes de sécurité, si on met de l'information publique,
ça peut aider les fraudeurs.
Donc, le niveau d'information qui doit
être transparent risque, si on veut protéger comme il faut les données, <risque
>d'être un peu de la vanille dans tous les cas. C'est qu'on va retrouver
des politiques qui vont se ressembler d'une organisation à l'autre parce qu'on
ne voudra pas mettre un niveau de détail qui permettrait aux fraudeurs de s'en
servir contre l'organisation.
M. Jolin-Barrette : O.K., je
comprends. Sur la question du consentement implicite, vous dites : Bon,
bien, c'est absent du projet de loi n° 64. Qu'est-ce
que vous voulez dire par consentement implicite?
M. Delwaide (Karl) : Bien,
écoutez, il y avait une interprétation de l'article 14 autrefois, là, l'exigence
était qu'il fallait, puisqu'on voulait un consentement clair, précis,
spécifique, que le consentement implicite, donc, le...
Je vais vous donner un exemple. Quelqu'un
vient porter son C.V. ici pour être engagé. Donc, il y a manifestement un
consentement. Et malheureusement il n'y a pas de poste aujourd'hui, mais il
pourrait y en avoir un dans trois mois. Je conserve son C.V. et je ne lui
ai pas demandé de cocher : Désirez-vous que je conserve votre C.V. pendant
x semaines, au cas où une ouverture se présenterait? Il y a une notion
de... C'est un peu implicite que quelqu'un qui vient me porter son C.V., s'il
n'y a pas d'emploi aujourd'hui, bien, il accepte que je le conserve pour une
durée raisonnable, au cas où un emploi s'ouvrirait. On disait que, tel que
rédigé, l'article 14 ne permettait pas ces consentements implicites. Il fallait
un consentement exprès.
Maintenant, vous avez, dans le projet de
loi, deux ou trois endroits où, clairement, vous dites que, pour tel type
de renseignement sensible, il faut un consentement exprès, sous-entendu le
consentement implicite est donc permis. D'ailleurs, je dois avouer, un peu à ma
surprise personnelle, quand j'ai lu le dernier rapport de la Commission d'accès
à l'information, la Commission d'accès reconnaissait qu'il y avait existence
d'un consentement exprès ou implicite possible.
Alors, tout simplement, ce qu'on veut vous
souligner, c'est que nous, on comprend que le projet de loi avalise la notion
de consentement implicite par le fait que vous exigez à certains endroits... Je
pourrai vous retrouver les articles précis, là, on les a, où vous exigez le
consentement exprès pour certains types de renseignements. Donc, vous
comprendrez qu'en logique juridique l'interprétation est que le consentement
implicite n'est pas écarté. Il est donc possible de
dégager des consentements implicites. Si c'est ce que vous voulez, parfait, il
y a certaines circonstances qui s'y prêtent bien.
M. Aylwin (Antoine) : En
d'autres mots, on vous demande d'être un peu plus explicites sur le
consentement implicite pour que ça soit clair, quand est-ce qu'il est permis.
M. Delwaide (Karl) : C'est un
peu ça.
M. Jolin-Barrette : Sur la
question, là, il y a des <intervenants qui vous ont précédés, qui...
M. Delwaide (Karl) : …possible
de dégager des consentements implicites. Si c'est ce que vous voulez, parfait,
il y a certaines circonstances qui s'y prêtent bien.
Alors...
M. Aylwin (Antoine) : En
d'autres mots, on vous demande d'être un peu plus explicite sur le
consentement
implicite pour que ça soit
clair, quand est-ce qu'il est permis.
M. Delwaide (Karl) : C'est
un peu ça.
M. Jolin-Barrette :
Sur la question, là,
il y a des >intervenants qui vous ont
précédés, qui nous ont dit : Bien, vous devriez également permettre les consentements
en bloc ou ne pas exiger des consentements systématiquement. Qu'est-ce que vous
en pensez, considérant qu'on viendrait exiger trop souvent des consentements, ou
en fonction de la nature de l'information de la donnée personnelle, sa
considération stratégique, là, de sa sensibilité?
M. Aylwin (Antoine) : C'est le
point 4.1 de notre mémoire. L'article 14, pour nous, pose une certaine difficulté
pratique quand on demande le consentement distinct de toute autre information
communiquée. Je peux comprendre, par exemple, quand on parle de renseignements
sensibles, qu'on pourrait demander un consentement distinct comme on fait au
niveau de la loi antipourriel. La loi antipourriel demande un consentement
distinct pour la sollicitation commerciale. Donc, il y a une fin particulière
pour laquelle on demande un consentement distinct.
Mais, présentement, comment l'article 14
est rédigé, c'est comme si on devait désincarner le consentement du contexte
parce qu'on ne doit pas donner d'informations. Dans la mesure où on demande le consentement
dans la rédaction actuelle, je vous dirais, au niveau pratique, j'ai
l'impression que ça va être très difficile d'application, mais je peux
concevoir que, dans certains cas, on va vouloir scinder. C'est peut-être là
qu'on devrait intervenir pour dire quand est-ce qu'on va avoir un consentement
spécifique, séparé du reste, plutôt que d'instituer un régime général, qu'il va
falloir avoir des formulaires ou il va falloir cocher huit fois pour dire
oui quand ce n'est pas tout à fait nécessaire, quand ça peut être compris comme
un bloc, là, dans la relation entre les parties.
M. Delwaide (Karl) : Il y a
des… Par exemple, l'ouverture d'un compte, le traitement du compte, la
fermeture du compte, l'échange d'information, tout ça, ça va de soi. Alors,
est-ce qu'on a besoin de cocher à chacun, ouvrir le compte, l'appliquer, le
fermer, échanger l'information? Ça nous semble un peu de la paperasserie. Je
veux que vous compreniez que, nous, ce qui nous guide, c'est un petit peu une
recherche d'équilibre, hein, entre : Oui, il faut protéger les renseignements
personnels, mais, d'un autre côté, on est à une époque où il y a une
globalisation de l'information. On ne veut pas être en porte-à-faux, à un
moment donné, avec des fonctionnements plus globaux, là, de la planète
économique, là.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M. Bachand) :
M. le député de Chapleau, s'il vous plaît.
• (15 h 30) •
M. Lévesque (Chapleau) :
Bonjour, maîtres. J'espère que vous allez bien. Merci beaucoup pour votre
présentation et votre mémoire.
J'aurais peut-être deux petites
questions, là, à vous poser. Vous avez parlé, là, des contraintes que l'évaluation
comparative et que… combinée avec les ententes contractuelles, pouvait poser à
votre clientèle. J'aimerais peut-être qu'on revienne là-dessus.
Puis j'aimerais aussi vous entendre sur… Bon,
j'imagine que vous avez eu l'occasion de parler avec plusieurs de vos clients,
aborder le projet de loi n° 64. Est-ce qu'il y a un autre son de cloche
dont vous aimeriez nous faire part, que vous avez entendu, là, sur le terrain? Puis
vous <disiez, d'entrée de jeu, là, que vous…
>
15 h 30 (version révisée)
<17851
M.
Lévesque (Chapleau) : ...à votre
clientèle. J'aimerais
peut-être qu'on revienne là-dessus.
Puis j'aimerais aussi vous entendre
sur... Bon, j'imagine que vous avez eu l'occasion de parler avec plusieurs de
vos clients, à aborder le projet de loi
n°
64.
Est-ce qu'il y a un autre son de cloche dont vous aimeriez nous faire part, que
vous avez entendu, là, sur le terrain? Puis vous >disiez, d'entrée de
jeu, là, que vous desserviez autant les petites, moyennes entreprises que les
grandes entreprises. Est-ce que vous faites une distinction entre ces types d'entreprises
là?
M. Delwaide (Karl) : Bien, en
fait...
M. Aylwin (Antoine) :
...commencer par la première question.
M. Delwaide (Karl) : Oui, je
vais commencer par la première question. Le complément… Quand vous regardez le
RGPD... Moi, là, je vous donne ma lecture personnelle. J'ai vu le projet de loi
n° 64 comme étant une tentative de s'arrimer au RGPD,
à certains de ses grands principes, notamment dans un but d'adéquation, et
c'est très correct, là, O.K.? En vertu du RGPD, à moins que je ne me trompe, il
a... l'Union européenne peut énoncer des juridictions qui sont jugées comparables,
alors, donc, où vous pouvez échanger des renseignements personnels. Et, à
défaut d'avoir ça, il faut un système contractuel, n'est-ce pas? Il faut une
entente contractuelle.
Il y a une décision récente, là, cependant,
qui vient dire qu'il faudrait faire une évaluation comparative malgré ça. Ça,
on en reparlera. Il y a plusieurs chroniqueurs qui sont un petit peu
interloqués par cette décision-là. Mais donc nous, on pense que le processus
des ententes contractuelles est suffisant. Vous savez qu'il est reconnu, notamment,
aussi, entre filiales ou entre divisions d'une même entreprise, ce qu'on
appelle, en anglais, le «binding corporate rules», là, les règles et les
directives internes. Ça aussi, ça devrait être permis, faire en sorte que la
compagnie X qui a une filiale en Ontario ou une division en Ontario, s'il y a
une directive d'entreprise qui lie tout le monde, ça devrait être permis.
Alors… et, à moins que je ne me trompe
encore, il y a même eu des décisions du commissariat fédéral à la vie privée,
qui a dit qu'il y a... À un moment donné, les ententes contractuelles, il faut
quand même aussi que ce soit avec une juridiction où le système de justice est
signifiant. Je veux dire, je ne veux pas nommer de pays, là, mais, certains
pays, vous allez me dire : Si j'ai une entente contractuelle, c'est
peut-être plus difficile de la faire exécuter. On se comprend? Alors, le
gouvernement, vous pourriez adopter des décrets à cet effet-là. Vous pourriez
vous donner le pouvoir de dire : Il y a certaines juridictions où on pense
que ça n'a pas de bon sens.
Bon, l'autre chose, il y a... il faut
faire attention avec le... Comment je pourrais vous expliquer ça en simple…
Vous exigez une évaluation comparative et un contrat. On fait beaucoup... Vous
savez, les données commerciales avec les États-Unis, c'est immense, l'économie,
les échanges économiques entre le Québec, les États-Unis, le Canada et les
États-Unis. Il y a eu une décision de la cour de justice européenne qui dit que
le système de «privacy shields» américain ne présente pas les garanties
d'adéquation, donc, de comparabilité acceptable.
Alors, est-ce que ça veut dire que nous,
ici… Nos entreprises <qui font affaire avec...
M. Delwaide (Karl) : ...i
l
y a eu une décision de la cour de justice européenne qui dit que le système de «privacy
shields» américain ne présente pas les garanties d'adéquation, donc de
comparabilité acceptable.
Alors, est-ce que ça veut dire que
nous, ici… Nos entreprises >qui font affaire avec le Maine, le Vermont,
le Massachusetts, la Californie, est-ce qu'elles vont pouvoir arriver et dire
que c'est comparable, et là se mettre en porte-à-faux, si elles font aussi
affaire avec l'Europe, <se mettre en porte-à-faux >avec le RGPD?
Je ne vous dis pas qu'une évaluation faite ici... qu'une décision va lier les
évaluations faites ici, mais vous comprenez que c'est un élément qui, il me
semble, pourrait être invoqué pour encore un grain de sable dans l'engrenage
par rapport à une relation d'adéquation avec l'Europe.
M. Aylwin (Antoine) : Pour
répondre à votre deuxième question, deux points rapides.
Nos plus gros clients qui font affaire
dans plein de juridictions, leur principale préoccupation, c'est : Comment
est-ce que je vais pouvoir respecter la loi du Québec en même temps que les
autres lois, d'avoir un système qui est cohérent, O.K.? Ce n'est probablement
pas la première personne qui vous dit ça, là, donc, c'est d'essayer de pouvoir
avoir une conformité qui va fonctionner à l'ensemble de l'Amérique du Nord ou
même à travers le monde.
Les plus petits clients qui, eux,
intègrent de plus en plus la question, puis ce n'est pas encore fait, là, les
questions de consentement, de politiques de renseignements personnels,
maintenant, les évaluations de facteurs de la vie privée, ils voient ça comme
un monstre. La loi prévoit présentement que, dans tout système d'information,
bien, c'est à peu près tout le temps qu'il va falloir faire des évaluations des
facteurs de la vie privée. Puis la loi ne nous dit pas c'est quoi, une
évaluation des facteurs de la vie privée. Donc, pour eux, ils voient ça comme
excessivement complexe pour le traitement des données, alors que ce n'est
peut-être pas nécessaire d'être complexe, mais peut-être que la loi pourrait
être plus précise à l'égard des attentes qu'on va avoir à ce niveau-là.
Le Président (M. Bachand) :
Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Oui, bonjour.
Merci beaucoup. Vraiment, beaucoup, beaucoup de commentaires préoccupants,
évidemment, dans le sens qu'on sent qu'il va falloir vraiment revoir
attentivement les conséquences des modifications autant pénales, mais punitives,
généralement, mais aussi les implications pour le Code civil. Donc, j'aimerais
que vous reveniez un peu sur vos commentaires par rapport à vos craintes des
conséquences du non-respect des lois et le choix de régime à appliquer, comment
le régime pénal fonctionne, normalement, que vous, vous voyez vraiment une
atteinte dans certains cas. Je pense que c'est tellement important. J'aimerais
vous entendre plus…
Mais, aussi, je ne sais pas, il me semble
que vous n'avez pas... peut-être que vous avez glissé dessus, l'introduction d'une
nouvelle clause d'action civile, peut-être commencer par celui-là pour bien
expliquer la préoccupation que vous avez à cet égard, parce qu'on n'a pas le
Barreau. On ne pourra pas entendre le Barreau. D'ailleurs, une petite question.
Est-ce que vous faites partie d'un comité du Barreau du Québec en la matière
sur cette question? Oui?
M. Aylwin (Antoine) : Oui, vous
allez voir mon nom dans un autre mémoire qui va vous être <acheminé...
Mme Weil
: ...
pour
bien expliquer la préoccupation que vous avez à cet égard, parce qu'on n'a pas
le Barreau, on ne pourra pas entendre le Barreau. D'ailleurs, une petite
question : Est-ce que vous faites partie d'un comité du Barreau du Québec,
en la matière, sur cette question?
Mme Weil
: Oui.
M. Aylwin (Antoine) : Vous
allez voir mon nom dans un autre mémoire qui va vous être >acheminé par
le Barreau du Québec.
Mme Weil
: Qui viendra bientôt?
O.K., parce qu'on a vraiment besoin de bien comprendre les conséquences
juridiques. Puis je pense que le ministre aussi va vouloir bien comprendre pour
être capable d'amener les correctifs au besoin. Alors, peut-être, commençons
avec l'introduction de cette nouvelle cause d'action civile.
M. Aylwin (Antoine) : Merci, Mme
la députée. Je m'excuse, M. le Président, je présume que la parole est à nous,
parce qu'on ne vous voit pas dans...
Le Président (M. Bachand) :
C'est une commission qui est très ouverte, parce que les gens sont disciplinés.
Alors, allez-y, il n'y a pas de problème.
M. Aylwin (Antoine) : Merci.
Donc, la nouvelle cause... Vous savez, des dispositions pour des dommages
punitifs, c'est très rare dans les lois québécoises. On a la charte québécoise
des droits et libertés qui en contient. Il y a la Loi sur la protection des
arbres, la Loi sur la protection du consommateur. Donc, peut-être, j'en oublie
une, là, mais je pense que je viens de faire le tour.
Donc, premièrement, s'il y avait une
atteinte intentionnelle et illicite au droit à la vie privée en vertu de la
charte québécoise, il y aurait eu des recours ou il y aurait un endroit là pour
le prévoir. Donc, le prévoir dans une loi, même dans le Code civil, c'est
extraordinaire d'avoir des dommages punitifs.
Ce qu'on voit aussi, c'est qu'avec la
protection des renseignements personnels il y a des facteurs multiplicatifs.
Donc, les entreprises ne gèrent pas un renseignement personnel de façon... en
silo. Ils vont avoir une clientèle. Ils vont avoir des employés. Donc, ils vont
avoir une base de données, ce qui fait que, quand on prévoit des dommages
punitifs de l'ordre de 1 000 $ minimum, nous, dans notre tête, ce que
ça vient dire, c'est action collective puis c'est facteur multiplicatif. Donc,
on vient prendre la solution de la Californie, qui dit : Moi, je ne mets
pas de sanction pénale importante, je ne mets pas de sanction administrative
importante, mais je mets des dispositions pour que les recours civils puissent
être exercés, donc je privatise le mode de sanction pour le non-respect de la
loi.
Donc, ici, ce qu'on fait, on fait les
trois ici en amenant cette disposition-là. On a une juridiction où des actions
collectives sont plus présentes que dans d'autres juridictions. Il y a
énormément d'actions collectives présentement. Il y en a en matière de vie
privée. On a été impliqués dans certains de ces recours-là. Donc, on va juste
multiplier les recours. Est-ce que c'est une bonne façon de voir à la mise en
vigueur de la loi? J'en doute. J'ai l'impression que les autres solutions de
sanctions pénales sont peut-être plus appropriées et vont plus rejoindre les
objectifs du législateur que de confier ça… ou de privatiser ces sanctions-là.
M. Delwaide (Karl) : Et
n'oubliez pas le principe d'escalier dont Me Aylwin parlait tout à l'heure. Vous
savez, ça peut commencer par une ordonnance, ça peut être une pénalité
administrative si c'est encadré de façon plus raisonnable que, et je le dis
bien respectueusement, 10 millions de dollars, qui nous apparaissent <un
peu, beaucoup...
M. Aylwin (Antoine) :
...
que de confier ça ou de privatiser ces sanctions-là.
M. Delwaide (Karl) : Et
n'oubliez pas le principe d'escalier dont Me Aylwin parlait tout à l'heure.
Vous savez, ça peut commencer par une ordonnance, ça peut être une pénalité
administrative, si c'est encadré de façon plus raisonnable que, et je le dis
bien respectueusement, 10 millions de dollars, qui nous apparaissent >un
peu, beaucoup, et, ensuite, l'étape pénale si quelqu'un ne veut pas se plier.
• (15 h 40) •
M. Aylwin (Antoine) :
Peut-être, pour compléter ma réponse au député de Chapleau, il y a une chose
que nos clients nous parlent, c'est la sanction pénale de 25 millions. Ça
fait que soyez-en sûrs qu'ils sont sensibilisés et que, même si la disposition
finale nous prévoit une entrée en vigueur 12 mois après l'adoption, ils
sont déjà en train de penser à comment est-ce qu'ils vont être en conformité.
Mme Weil
: Et des
meilleures pratiques que vous avez pu voir, peut-être, ailleurs au Canada,
peut-être, aux États-Unis, c'est moins comparable, est-ce que vous avez des
exemples à nous donner en matière de contrôle et de répression, si on veut, de
corrections, de pénalités? Est-ce qu'on ferait vraiment bande à part, le
Québec, avec les approches qui sont proposées?
M. Delwaide (Karl) : Il y
en a deux qui me viennent à l'esprit. Il y a…
Je pense, en 2019, British Airways, en vertu
du Data Privacy Act du U.K., là, du Royaume-Uni, a été condamnée à je ne sais
plus que montant en «pounds» de pénalités administratives, parce qu'eux, ils
suivent le modèle du RGPD. Alors, ça a été une pénalité administrative. Et là
le montant m'échappe, mais c'est un montant substantiel. Et, tout récemment,
encore, il y a Cathay Pacific, Cathay Airlines, qui a fait l'objet… je pense, c'est
500 000 «pounds» de pénalité administrative.
Ça, c'est des exemples que moi, j'ai vu
passer, là, dont on m'a informé, mais c'est le régime du RGPD. 500 000 «pounds»,
c'est l'équivalent de quoi, 800 000 $ canadiens à peu près, là,
écoutez, là, peut-être un peu plus, un peu moins, là. Mais, des exemples, à
notre connaissance, il y a ces deux-là, à ma connaissance à moi. Je ne sais pas
si Antoine en a d'autres. Et c'est assez récent, mais c'est le modèle RGPD. C'est
le modèle pénalités administratives. Vous avez des exemples. En vertu de la Loi
canadienne anti-pourriel, là, des pénalités ont commencé à être émises, mais ça
ne rend pas le système plus acceptable sur le plan des principes par rapport
aux fondements de notre système juridique québécois tel qu'on le connaît.
M. Aylwin (Antoine) : C'est
surtout qu'on n'a pas de données qui nous permettraient de conclure que les
gens se conforment davantage dans ces systèmes-là non plus.
Mme Weil
: Vous
parlez de l'exemption lors de transactions commerciales. C'est page 11 de
votre mémoire. Pourriez-vous me donner un exemple de ce que... une illustration
de votre propos, ici, où on… une exception spécifique au principe de
consentement, dans un contexte de transaction commerciale, où ça s'applique?
M. Aylwin (Antoine) : Ce
qu'on a en tête principalement… Puis c'est couvert par les autres législations
qui ont cette exception-là. Le Québec, on est comme à la fin, là… Les autres
lois ont déjà des exceptions. C'est <une opération de financement...
Mme Weil
: ...
une
exception spécifique au principe de consentement dans un contexte de
transaction commerciale, où ça s'applique?
M. Aylwin (Antoine) :
Ce qu'on a en tête principalement… Puis c'est couvert par les autres
législations qui ont cette exception-là, le Québec, on est comme à la fin, là…
Les autres lois ont déjà des exceptions. C'est >une opération de
financement. Donc, une entreprise qui veut aller chercher le financement dans
des marchés privés va devoir, par exemple, donner des renseignements sur ses
hauts dirigeants, donc, des renseignements sur des employés, des renseignements
personnels pour pouvoir s'assurer que l'entreprise est entre bonnes mains. En
raison du manque d'exceptions, ça veut dire, techniquement, qu'il faut aller
chercher le consentement de ces gens-là pour pouvoir faire l'opération de
financement. Donc, c'est pour ça qu'on voit que ça n'implique pas nécessairement
un changement de propriété de l'entreprise, comme c'est défini présentement,
mais que ça appartient à la même logique que l'entreprise a des opérations
commerciales à mener sur ses opérations.
Mme Weil
: Je ne sais
pas combien de temps... Ah! parfait, peut-être parler aussi... Vous vous exprimez
sur la section concernant... En matière d'emplois, les défis que vous voyez, le
modèle que vous prônez, peut-être expliquer un peu ce que votre mémoire... C'est
à la page 15 de votre mémoire.
M. Aylwin (Antoine) : Bien, c'est
une question qui est fondamentale, parce que la loi québécoise repose, contrairement
à la loi européenne, par exemple, sur la pierre d'assise unique du
consentement. Donc, soit il y a consentement soit il y a exception au
consentement. C'est la pierre d'assise. Mais la relation employeur-employé n'est
pas une relation où le consentement s'exprime au niveau de l'utilisation des renseignements
personnels. Le consentement s'exprime au niveau de l'embauche. Donc, le fait de
fournir son numéro d'assurance sociale pour être payé, ça va un peu de soi
quand on est embauché. Puis les renseignements qui vont avec le fait d'être un employé
d'une entreprise découlent de l'embauche.
Donc, de dire qu'il y a vraiment une
opération de consentement distincte, c'est un peu théorique. Et, comme le projet
de loi le fait, peut-être, timidement, mais met le pied là-dessus, c'est que peut-être
qu'on doit penser davantage à un système de transparence plutôt qu'à un système
de consentement, et c'est ce que... La relation employeur-employé est encadrée
spécifiquement dans les lois de la Colombie-Britannique et de l'Alberta. Il y a
une exception spécifique qui prévoit que les notions de consentement générales
qui s'appliquent aux clients, etc, ne s'appliquent pas. On a un cadre qui est très
bien défini pour les employés.
Mme Weil
: Et donc,
plus concrètement, quand vous parlez de transparence, dans quel sens…
M. Aylwin (Antoine) : Ce que
le projet de loi dit, notamment, dans les politiques qui doivent être rendues…
connues, bien, c'est d'exprimer aux employés expressément ce qu'on va faire
avec leurs données. Puis c'est la décision d'être à l'emploi qui va faire foi
du consentement à ces pratiques-là et non pas un consentement distinct que
celui d'être employé.
Mme Weil
: O.K. Donc,
en fournissant l'information, il y a comme une adhésion implicite au fait du
partage de cette information.
M. Aylwin (Antoine) : Exact.
Mme Weil
: Santé,
recherche, vous allez un peu <là-dessus...
M. Aylwin (Antoine) : …p
uis
c'est la décision d'être à l'emploi qui va faire foi du consentement à ces
pratiques-là, et non pas un consentement distinct que celui d'être employé.
Mme Weil
: O.K.
Donc, en fournissant l'information, il y a comme une adhésion implicite au fait
de partage de cette information.
M. Aylwin (Antoine) :
Exact.
Mme Weil
: Santé,
recherche, vous allez un peu >là-dessus. On n'a pas eu le temps de… Vous
n'avez pas eu le temps d'en parler, puis, dans mes quelques minutes… C'est un
sujet bien important. On en parle beaucoup ici, au Parlement. Pourriez-vous peut-être
vous adresser à cette question-là? Comment vous voyez ça?
M. Aylwin (Antoine) : En fait,
on pourrait prendre une heure là-dessus seulement, là, mais je vais essayer de
résumer, au fait que… Bien, nous, ce qu'on constatait, c'est que le système
actuel demande des autorisations dans des cadres d'études et de recherches…
n'était pas approprié. Il y a une question de ressources. Au niveau de la Commission
d'accès à l'information, des fois, ça prenait un an, un an et demi, d'avoir une
réponse, puis là on arrivait au bout du financement pour faire le programme de
recherche.
Donc, cette modification-là, de ne pas
demander une autorisation en amont, c'est très positif pour nous. Puis, même si
ça peut être mis en vigueur avant le 12 mois de l'entrée en vigueur du projet
de loi, ça serait encore mieux. Ceci étant, ça ne veut pas dire qu'on se penche
sur l'ensemble du processus. Ça reste quand même un processus qui est balisé,
puis qu'il faut s'assurer qu'il soit cohérent avec les pratiques actuelles en
matière de recherche.
Là, la question qui se pose, c'est les utilisations
en matière de recherche. Puis je vais vous parler autant d'intelligence
artificielle que d'études cliniques. Aller chercher un consentement spécifique,
d'entrée de jeu, c'est extrêmement complexe, ou de définir l'utilisation, d'entrée
de jeu, c'est complexe, parce qu'on cherche. On ne sait pas encore l'utilisation
précise qu'on va faire. On a essayé d'illustrer avec l'exemple d'une recherche
sur le cancer du sein qui pourrait donner des résultats pertinents à une
recherche sur le cancer des ovaires. Bien, c'est le genre de chose qui peut
être découverte en cours de recherche. Si les utilisations secondaires des
données ne sont pas permises, bien, on vient se bloquer des possibilités qui
pourraient être très positives au niveau de la recherche parce qu'on a une
règle qui est trop restrictive en matière de l'utilisation des données.
Mme Weil
: Très bien, merci.
M. Delwaide (Karl) : ...
Le Président (M. Bachand) :Oui, allez-y, maître, allez-y, oui.
M. Delwaide (Karl) : …non,
non, non, ce qui n'écarte pas de demander que des mesures de protection des
renseignements soient prises. Comprenez-nous, là, c'est deux choses distinctes.
Et nous, là-dessus, au niveau de la protection, on vous suit.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Gouin, pour 3 min 34 s, s'il
vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, messieurs. J'ai peu de temps. Je vais être expéditif
dans mes questions. Merci de me faire le plaisir de réponses assez courtes.
Vous parlez... Vous exposez des réticences
à l'idée que les entreprises publient leurs politiques puis leurs pratiques
concernant la protection des renseignements personnels. Vous avez soulevé un
argument tantôt en disant : Ça pourrait révéler des vulnérabilités qui
pourraient être exploitées par des gens malveillants. Mais il y a un deuxième
argument qui m'intrigue. Dans votre mémoire, vous dites, à la page 14, et je
cite : «Ces renseignements peuvent par ailleurs constituer des
renseignements commerciaux privilégiés pour les entreprises.»
En quoi une <politique qui…
M. Nadeau-Dubois : ...ç
a
pourrait révéler des vulnérabilités qui pourraient être exploitées par des gens
malveillants. Mais il y a un deuxième argument qui m'intrigue. Dans votre
mémoire, vous dites, à la page 14, et je cite : «Ces renseignements
peuvent, par ailleurs, constituer des renseignements commerciaux privilégiés
pour les entreprises.»
En quoi une >politique qui
explique aux consommateurs les mesures qui sont prises pour protéger les
renseignements… Puis on s'entend que ce ne sera pas des politiques avec :
Voici le mot de passe pour rentrer puis voici où est le serveur, c'est des
principes généraux, là. En quoi ça... Dans quel contexte, dans quelles
circonstances ça peut être un renseignement commercial privilégié?
M. Aylwin (Antoine) : Je suis
d'accord avec vous. Ce n'est pas sur les mesures de sécurité que ce
commentaire-là s'applique, mais sur l'utilisation. Dans la façon dont le niveau
de détail va être donné sur l'utilisation, on peut révéler des méthodes qui
sont propres aux entreprises sur comment est-ce qu'on utilise les données de
façon dérivée, comment est-ce qu'on peut faire de la déduction à partir des
données qu'on a puis comment est-ce qu'on va nourrir certains algorithmes qu'on
va faire dans l'aide de la recherche à l'interne de l'entreprise. C'était plus
au niveau des utilisations potentielles.
M. Nadeau-Dubois : Mais
donc... Bien, vous comprenez que ça peut être dérangeant pour un citoyen
d'entendre que, le fait d'expliquer aux gens ce qu'on fait avec leurs données,
ça va déranger certaines entreprises parce qu'elles veulent pouvoir protéger… Pour
faire de l'argent, faire du profit avec les données, on est mieux de ne pas
trop expliquer ce qu'on fait avec pour pouvoir protéger notre avantage
concurrentiel. Voyez-vous comment c'est un argument qui peut être dérangeant
pour certaines personnes?
M. Aylwin (Antoine) : Je
comprends votre préoccupation. Ce n'est pas qu'est-ce qu'on fait avec les
données, mais c'est plutôt comment on le fait, je pense, qui est la
préoccupation.
• (15 h 50) •
M. Nadeau-Dubois : Mais est-ce
que ce n'est pas justement ça, l'objectif d'une loi comme le projet de loi
n° 64, d'ajouter de la transparence sur ce que les entreprises font avec
les renseignements personnels des gens, ce n'est pas ça, même, l'intention
d'avoir un projet de loi comme ça?
M. Aylwin (Antoine) : Je vais
vous donner un exemple où je fais la distinction. Quand on parle de ciblage de
publicités, O.K., c'est une préoccupation, je pense, qui est de connaître que
nos données sont… pour faire du ciblage. Ça, c'est une utilisation qui peut
être communiquée puis qui fait partie de l'objectif de transparence que vous
décrivez. Mais, quand on rentre dans les outils puis comment ça fonctionne dans
la boîte, là, comment est-ce qu'on fait les maillages, comment est-ce qu'on
fait les arrimages, bien, c'est là que ça devient la propriété intellectuelle
de l'entreprise qui développe ses techniques pour être performante au niveau de
son ciblage. Mais, si je vous dis que j'utilise votre nom, votre résidence,
votre revenu pour dire qu'on va faire du ciblage sur vous, <j'ai... >je
pense atteindre l'objectif de transparence que vous recherchez.
M. Nadeau-Dubois : Mais où
est-ce que vous voyez dans le projet de loi qu'il y aurait des exigences beaucoup
plus élevées que ce que vous venez de décrire là?
M. Delwaide (Karl) : On ne
veut pas qu'elles soient moins élevées. C'est tout à fait…
M. Nadeau-Dubois : Vous
souhaitez qu'elles soient... Ah! pour vous, ce serait... par exemple, ce serait
mal avisé de demander à des entreprises de révéler que l'adresse, la date de
naissance, le lieu de résidence est utilisé pour faire du ciblage, pour
reprendre notre exemple, là?
M. Aylwin (Antoine) : Non,
c'est parce que ce que vous nous demandez, c'est : Où est-ce que vous
voyez dans le projet de loi que ça va aussi loin? Nous, notre réponse, c'est :
On ne voit pas dans le projet de loi que ça ne va pas <aussi loin...
M. Nadeau-Dubois : ...
par exemple, ce serait mal avisé de demander à des entreprises de révéler que
l'adresse, la date de naissance, le lieu de résidence est utilisé pour faire du
ciblage, pour reprendre notre exemple, là.
M. Aylwin (Antoine) :
Non, c'est parce que ce que vous nous demandez, c'est : Où est-ce que vous
voyez, dans le projet de loi, que ça va aussi loin? Nous, notre réponse, c'est :
On ne voit pas, dans le projet de loi, que ça ne va pas >aussi loin. Il
n'y a pas ces... Ce n'est pas défini d'une façon qui limite l'information qui
doit être rendue disponible.
M. Delwaide (Karl) : Ce
n'est pas encadré, c'est qu'on ne sait pas... On est devant une zone grise. On
ne sait pas comment le régulateur va l'interpréter et jusqu'à quel niveau de
précision ce sera exigé.
Le Président (M. Bachand) :Merci beaucoup, merci beaucoup. Sur ce, messieurs, merci
beaucoup de votre collaboration aux travaux de la commission. C'était très
apprécié.
Et là-dessus la commission suspend ses
travaux quelques instants. Merci beaucoup, très bon après-midi.
(Suspension de la séance à 15 h 52)
>
(Reprise à 15 h 54)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux.
Alors, il me fait plaisir d'accueillir Me Daniel Therrien,
commissaire à la protection de la vie privée du Canada. Alors, Me Therrien, encore
une fois, grand plaisir de vous accueillir ici de façon virtuelle, bien sûr. C'est
la façon de faire dorénavant. Alors, comme vous savez, vous avez
10 minutes de présentation. Après ça, nous aurons un échange avec les
membres de la commission. Donc, la parole est à vous, Me Therrien. Merci
beaucoup.
Commissariat à la protection de la vie privée du
Canada
(Visioconférence)
M. Therrien (Daniel) : Merci
beaucoup, M. le Président. Mmes et MM. les députés, je vous remercie de votre
invitation à discuter du projet de loi n° 64 qui modernise
les lois québécoises sur la protection des renseignements personnels.
Nos sociétés ont terriblement besoin de
moderniser leurs lois en la matière après plusieurs années de révolution
numérique, qui est une force perturbatrice de nos habitudes, de nos pratiques
et de nos droits. Votre projet de loi est extrêmement opportun. Les
perturbations occasionnées par les technologies de l'information ne sont pas
que négatives. Ces technologies sont au coeur de la quatrièmerévolution
industrielle et elles vont contribuer à l'amélioration des services publics.
La pandémie actuelle fait, d'ailleurs,
ressortir l'importance des sciences, des données et de la technologie dans la
gestion de la crise. Elle accélère grandement la révolution numérique, ce qui,
selon moi, est une raison de plus pour modifier sans délai le cadre juridique.
Donc, ces technologies de l'information peuvent servir l'intérêt public.
Cependant, ces technologies posent aussi
des risques importants pour la vie privée. Les fuites de données ont touché,
l'an dernier, 30 millions de Canadiens. On parle de plus en plus de
l'existence d'un capitalisme de surveillance, cela quelques années après
l'affaire Snowden, qui identifiait, bien sûr, la surveillance de l'État. Plus
récemment, le scandale Cambridge Analytica a mis en lumière les risques pour la
démocratie. La télémédecine offerte en temps de pandémie comporte des avantages
indéniables, mais, si elle fait appel à des plateformes privées, il y a un
risque pour la confidentialité des renseignements de santé. L'éducation à
distance amène des risques semblables.
Il faut moderniser les lois, entre autres,
parce que la population ne croit pas que les nouvelles technologies sont
utilisées d'une manière qui respecte leur vie privée. Des sondages du
commissariat révèlent qu'environ 90 % des Canadiens sont inquiets. La vie
privée est une valeur fondamentale de nos sociétés démocratiques et un droit
protégé par la charte québécoise des droits et libertés.
Selon nous, le point de départ d'une
réforme devrait consister à s'assurer que les lois de protection des
renseignements personnels respectent le caractère fondamental de ce droit et le
mettent en oeuvre de façon moderne et durable. En clair, les lois devraient
autoriser l'innovation responsable, qui est dans <l'intérêt public...
M. Therrien (Daniel) : …
des
droits et libertés.
Selon nous, le point de départ d'une
réforme devrait consister à s'assurer que les lois de protection des
renseignements personnels respectent le caractère fondamental de ce droit et le
mettent en oeuvre de façon moderne et durable. En clair, les lois devraient
autoriser l'innovation responsable, qui est dans >l'intérêt public et
propre à susciter la confiance, mais interdire les utilisations de la
technologie qui sont incompatibles avec nos valeurs et nos droits. C'est
l'approche que j'ai mise de l'avant dans mon rapport annuel de l'an dernier au
Parlement fédéral, qui comprenait une proposition détaillée de réforme des lois
fédérales en matière de vie privée. Plusieurs des propositions du projet de loi
n° 64 vont dans ce sens.
Par exemple, le projet de loi prévoit des
dispositions encadrant le profilage et protégeant le droit à la réputation. Il
assujettit les partis politiques aux dispositions de la loi sur le secteur
privé. Le projet de loi n° 64 vise, entre autres, à
accroître le contrôle que les citoyens ont sur leurs renseignements personnels.
Les règles concernant le consentement sont donc bonifiées. Je souscris à ces
améliorations, ayant moi-même rehaussé, il y a deux ans, les exigences prévues
dans les lignes directrices du commissariat en matière de consentement.
Mais il est capital de dire qu'en 2020 la
protection des renseignements personnels ne peut reposer que sur le
consentement. Il n'est tout simplement pas réaliste ou raisonnable de demander
aux individus de consentir à toutes les utilisations possibles de leurs données
dans une économie de l'information aussi complexe que celle d'aujourd'hui. Le
rapport de force est trop inégal. En fait, le consentement peut servir à
légitimer des usages qui, objectivement, sont complètement déraisonnables et
contraires à nos droits et valeurs et le refus de donner son consentement peut
parfois desservir l'intérêt public.
Le projet de loi n° 64
prévoit certaines exceptions au consentement, par exemple en matière de
recherche ou lorsque les renseignements personnels sont utilisés à des fins
compatibles aux fins pour lesquelles ils ont été recueillis. Ce sont des pas
dans la bonne… dans la direction du réalisme, mais il faut faire attention. Par
exemple, l'exception pour les fins compatibles pourrait être interprétée de façon
très large, permettant toutes sortes d'utilisations. C'est pourquoi il existe
d'autres modèles de protection des données personnelles qui tiennent compte des
limites du consentement et qui cherchent par d'autres moyens à réaliser à la
fois l'atteinte de l'intérêt public et la protection de la vie privée.
Le modèle européen en est un exemple. En
Europe, on permet l'utilisation des données lorsqu'elle est nécessaire à l'exécution
d'une mission d'intérêt public ou aux fins des intérêts légitimes poursuivis par
une entreprise ou un organisme public dans le respect des droits fondamentaux. Je
note qu'au Québec une entreprise doit avoir un intérêt sérieux et légitime pour
recueillir des renseignements personnels.
• (16 heures) •
C'est une notion proche des intérêts
légitimes du droit européen. À mon avis, l'approche européenne mérite d'être
considérée parmi d'autres. Ce qui compte, c'est que la loi autorise les
utilisations des données personnelles dans l'intérêt public, les fins légitimes
ou le bien commun à l'intérieur d'un régime fondé sur le <respect des
droits…
>
16 h (version révisée)
< M. Therrien (Daniel) :
...proche des
intérêts légitimes du droit européen. À mon avis,
l'approche européenne mérite d'être considérée, parmi d'autres. Ce qui compte,
c'est que la loi autorise des utilisations des
données personnelles dans
l'
intérêt public, les fins légitimes ou le bien commun, à l'intérieur
d'un régime fondé sur le >respect des droits. Ce régime devrait imposer
aux entreprises et aux ministères la transparence et l'obligation d'une responsabilité
démontrable à l'organisme de réglementation.
Mon dernier point, si j'ai quelques
secondes, serait de vous dire l'importance de l'interopérabilité des lois. Il
est important que les données puissent voyager, mais évidemment dans le respect
des droits des citoyens.
Pardon, je mets un point important et
capital, en fait, qui est les pouvoirs de contrôle et de sanction. Alors, évidemment,
il n'est pas suffisant d'avoir des lois qui protègent bien la vie privée. Il
faut assortir ces lois de mécanismes d'application de la loi qui sont rapides
et efficaces. Dans plusieurs pays du monde, cela passe par l'octroi à
l'autorité administrative compétente de pouvoirs d'ordonnance et de sanctions
pécuniaires importantes.
Il est important de dire, surtout à la
lumière de certains témoignages que vous avez reçus, que de telles lois ne
visent pas à punir les contrevenants ou à les empêcher d'innover. Elles visent
à assurer une plus grande conformité, condition essentielle à la confiance et au
respect des droits. Il faut dire que plusieurs entreprises et organismes
prennent au sérieux leurs obligations à l'égard des renseignements personnels,
mais pas toutes.
Il est donc important que les lois ne
confèrent pas d'avantages aux contrevenants. Les sanctions doivent être
proportionnelles aux gains financiers que peuvent réaliser les entreprises qui
font fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs
pratiques. Les sanctions dérisoires seront un coût qu'elles seront prêtes à
absorber dans la recherche du profit. Le caractère proportionnel des sanctions
est aussi un avantage pour les petites entreprises. Les dispositions prévues,
donc, en matière de contrôle et de sanctions dans le projet de loi n° 64 sont, à mon avis, excellentes, et il est important,
même primordial, qu'elles soient conservées.
Donc, mon dernier point porte sur
l'interopérabilité des lois. Cette interopérabilité sert à faciliter et à
réguler les échanges de données. Elle sert aussi à rassurer les citoyens puisque
les données sont protégées de semblable façon lorsqu'elles quittent nos
frontières. Et enfin elle sert les entreprises en réduisant les coûts reliés à
la conformité. Plusieurs intervenants vous ont mis en garde contre l'adoption
d'une loi qui serait plus stricte que le règlement européen ou d'autres lois de
notre zone économique.
À ce sujet, ma suggestion serait de ne pas
craindre d'utiliser le règlement européen, le RGPD, comme source d'inspiration,
mais d'éviter d'aller au-delà de ce règlement, sauf si vous le jugez nécessaire,
le RGPD n'étant évidemment pas parfait. Si vous le voulez, il nous fera <plaisir...
M. Therrien (Daniel) :
...À ce sujet, ma suggestion serait de ne pas craindre d'utiliser le règlement
européen, le RGPD, comme source d'inspiration, mais d'éviter d'aller au-delà de
ce règlement, sauf si vous le jugez nécessaire, le RGPD n'étant évidemment pas
parfait. Si vous le voulez, il nous fera >plaisir d'élaborer sur ce
point.
Donc, en conclusion, je salue les efforts
du Québec d'amener ses lois sur la vie privée au XXIe siècle. D'autres juridictions
ont aussi pris des initiatives dans ce sens, entre autres, l'Ontario et la Colombie-Britannique,
mais vous montrez la voie. Espérons que d'autres la suivront. En effet, il est
urgent d'agir. Merci, M. le Président.
Le Président (M. Bachand) :
Merci infiniment, M. le commissaire. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Oui,
merci, M. le Président. Bonjour, M. le commissaire. Merci de participer à nos
travaux de la commission sur le projet de loi n° 64.
Si vous permettez, reprenons sur votre
dernier point, en termes d'interopérabilité des lois. Les témoins qu'on a eus,
à date, surtout du milieu des affaires, nous ont dit : Écoutez, faites
bien attention, parce qu'il faudrait attendre après le fédéral, il faudrait
attendre les autres juridictions canadiennes pour voir ce qu'elles vont faire
pour... avant d'avancer une réforme ici, au Québec. Vous, de votre propos, vous
dites : Non, montrez la voie, agissez à titre de leaders pour protéger les
renseignements personnels, les données personnelles des Québécois. On ne
devrait pas attendre, dans le fond.
M. Therrien (Daniel) : Tout à
fait. C'est sûr que l'interopérabilité est importante. C'est sûr qu'il faut
vérifier ce que les voisins immédiats font. Mais, franchement, ça fait six ans
que je suis commissaire fédéral puis ça fait six ans qu'il n'y a pas
d'action à ce niveau-là, d'amélioration des lois. La dame qui m'a précédé,
Mme Stoddart, aussi, pendant plusieurs années, plaidait pour la réforme
des lois fédérales, et, jusqu'à présent, il n'y a pas eu de telle réforme.
Alors, il faut agir. Et d'ailleurs on voit
certaines juridictions canadiennes, l'Ontario, la Colombie-Britannique, comme
je le mentionnais, qui ont fait des pas. L'Ontario fait des consultations. La Colombie-Britannique
a eu des commissions parlementaires avant que l'élection soit appelée. Et je
crois qu'au gouvernement fédéral aussi on est à la veille d'avoir un projet de
loi. Il y a eu une charte numérique, comme vous le savez sans doute, qui a été
déposée il y a un peu plus d'un an. Alors, je pense qu'il est tout à fait le
temps d'agir.
M. Jolin-Barrette : Et
donc, si on est plus ambitieux rapidement au Québec, ça pourrait amener le gouvernement
fédéral à être plus ambitieux, lui aussi, sur la protection des ressources personnelles.
M. Therrien (Daniel) : C'est
certainement une possibilité, oui. Et votre projet de loi est excellent. De
façon générale, c'est un excellent projet de loi.
M. Jolin-Barrette :
Bien, écoutez, je vais... je l'apprécie. Merci de vos commentaires. Je vais
redonner à César ce qui est à César, par contre, c'est l'équipe ici, Me Miville-Deschênes,
M. Martin-Philippe Côté, et surtout la <ministre...
M. Therrien (Daniel) : ...Et
votre
projet de loi est excellent. De façon générale, c'est un excellent
projet de loi.
M. Jolin-Barrette :
Bien,
écoutez, je vais... Je l'apprécie. Merci de vos commentaires. Je
vais redonner à César ce qui est à César,
par contre. C'est l'équipe
ici, Me Miville-Deschênes, M. Martin-Philippe Côté et
surtout
la >ministre présidente du Conseil du trésor, Mme la députée de
Champlain, que je ne peux pas nommer ici, qui est l'auteure du projet de loi.
Alors, je vais lui partager vos commentaires et vos félicitations.
En ce qui concerne le contexte européen,
donc, oui, on a des échanges avec l'Europe. Cependant, est-ce qu'on est trop
collés sur le volet européen versus le contexte nord-américain, en termes de
partage d'informations, de données et de protection, ou vous nous dites :
Ça va, ce que vous incorporez de l'Europe, c'est une bonne idée?
M. Therrien (Daniel) : Alors,
le Canada et le Québec, évidemment, ont des transactions commerciales et avec
l'Europe et avec les États-Unis. Les États-Unis sont un partenaire économique extrêmement
important. Et on ne peut pas ignorer ce que les États-Unis et le reste du Canada
font, mais l'Europe aussi est importante. Et ce que j'ai demandé au gouvernement
fédéral depuis quelque temps, et ce qui est très clair depuis quelques années,
Cambridge Analytica, d'autres scandales, les fuites de données, c'est que ce
qui est en jeu avec la protection de la vie privée, des renseignements
personnels, ce sont les droits des citoyens. Quand on regarde Cambridge
Analytica, par exemple, il y avait une utilisation des renseignements
personnels dans le but de changer... d'influencer les gens à voter d'une façon
ou d'une autre.
Alors, c'est des droits fondamentaux qui
sont en cause. Et une des raisons importantes, évidemment, pour laquelle le règlement
européen doit servir d'inspiration, ne pas faire de copier-coller, mais
d'inspiration, c'est que le règlement européen est fondé sur la vie privée
comme droit de la personne. Alors, je pense que... Et, au Québec, aussi, évidemment,
la vie privée, la protection des renseignements personnels, en vertu de la
charte, en vertu du Code civil, est un droit de la personne. Donc, il y a des
analogies en termes de droit et de régime juridique qui font en sorte que de
s'inspirer du droit européen est important, mais évidemment sans oublier aussi
le contexte nord-américain.
M. Jolin-Barrette : Vous avez
débuté votre allocution en disant notamment : 30 millions de
Canadiens ont subi des fuites de données l'an passé. Vous avez dit aussi :
On est dans un capitalisme de surveillance. Qu'est-ce que vous voulez dire?
M. Therrien (Daniel) : Bien,
quand on regarde l'utilisation par les compagnies, puis surtout, mais pas
exclusivement, les grandes compagnies américaines comme Facebook, Google, par
exemple, on voit que les données personnelles des citoyens de différents pays
sont utilisées pour des fins de publicité, qui fait en <sorte...
M. Therrien (Daniel) : …les
compagnies, puis surtout, mais pas exclusivement, les grandes compagnies
américaines comme Facebook, Google, par exemple, on voit que les données
personnelles des citoyens de différents pays sont utilisées pour des fins de
publicité, qui fait en >sorte que ces contenus-là sont extrêmement
profitables. Donc, ce sont des compagnies qui sont à l'avant-garde de ce
capitalisme-là qui utilise les renseignements personnels pour faire des
affaires. Il n'y a pas de… Ce n'est pas un problème, que de faire des affaires,
mais il faut faire en sorte que le commerce fonctionne dans le respect des
droits. Et la surveillance des citoyens par Facebook, par Google, par la
géolocalisation, qui est une des questions qui est traitée dans le projet de
loi, doit être extrêmement réglementée.
• (16 h 10) •
M. Jolin-Barrette : O.K. On
prévoit un encadrement des communications de renseignements personnels avec
l'extérieur du Québec, et ça, ça va n'être possible qu'avec une analyse de
risque, qui inclut une analyse de la législation étrangère, et qui doit
conclure que la protection est équivalente. Quelle est votre position par
rapport à ça si on exige ça dans le projet de loi?
M. Therrien (Daniel) : Alors,
je disais, à la fin de mon allocution, qu'il y a peut-être certains points où
je vous recommanderais de ne pas aller plus loin que le RGPD, et, à cet
égard-là, il est possible que le projet de loi n° 64 aille plus loin.
Alors, c'est une bonne chose que le projet de loi n° 64 fasse en sorte que
les entreprises québécoises évaluent l'impact du transfert des données des
Québécois à l'extérieur du Québec. Ça, c'est une bonne chose, et c'est une
chose qui existe dans le règlement européen. Dans le règlement européen, il y a
différentes façons d'assouplir ces règles-là, par exemple l'adoption de
contrats types ou de codes de conduite, par exemple, qui n'existent pas dans le
projet de loi n° 64 et que je vous encouragerais à étudier pour, d'une
part, s'aligner, mais surtout ne pas assujettir les entreprises québécoises à
des règles encore plus strictes que le RGPD.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Saint-Jean, s'il vous plaît.
M. Lemieux : …M. le Président.
Bonjour, M. le commissaire Therrien.
M. Therrien (Daniel) :
Bonjour.
M. Lemieux : Juste avant vous,
on s'est fait dire que ce serait bien que le projet de loi n° 64 soit plus
explicite par rapport au consentement implicite. On l'a trouvée bien drôle,
mais, en même temps, il y a quelque chose là-dedans de fondamentalement
intéressant, dans la mesure où le consentement, dans le contexte actuel, et je
pense que c'est moi qui le disais hier ou, en tout cas, on en a beaucoup parlé
hier aussi… Il faut aider les consommateurs à se protéger d'eux-mêmes, dans le
fond, tellement ça va vite. Vous, vous êtes où dans le consentement? Vous êtes
où dans le sens de… Est-ce qu'effectivement… Et l'exemple qu'on nous a servi
tout à l'heure, c'est : Je vais déposer un C.V. pour obtenir un emploi, il
n'y a plus d'emplois de disponibles, mais on garde mon C.V., on conserve mon
C.V. parce que c'est <implicite que…
M. Lemieux : …
tellement
ça va vite. Vous, vous êtes où dans le consentement? Vous êtes où, dans le sens
de… est-ce qu'effectivement… Et l'exemple qu'on nous a servi tout à l'heure,
c'est : Je vais déposer un C.V. pour obtenir un emploi. Il n'y a plus
d'emploi de disponible, mais on garde mon C.V. On conserve mon C.V., parce que
c'est >implicite que, si j'ai déposé mon C.V., les informations qu'il y
a là-dedans, j'étais d'accord pour les communiquer. Je n'ai pas eu la chance de
poser la question, mais j'allais la poser et je vous la pose à vous. On le
garde combien de temps? Il est là, mon problème, moi.
M. Therrien (Daniel) : Alors, il
y a, d'une part, une question sur la conservation des documents. Donc, les documents
devraient être conservés uniquement pour la durée pour laquelle ils sont utiles
à l'entreprise. Et, s'il n'y a plus d'emploi à offrir, l'entreprise ne devrait
pas, généralement, conserver les renseignements en question. Ça, c'est pour la
conservation.
Pour le consentement, il y a une place
pour le consentement dans nos lois de protection des renseignements personnels,
mais, avec l'économie axée sur l'information qu'on a présentement et les
politiques de vie privée extrêmement longues qu'on voit, la vie privée, la
protection des renseignements personnels ne peut pas reposer que sur le
consentement. Alors, je suis d'accord avec les dispositions du projet de loi
qui viennent bonifier les conditions du consentement, mais il faut absolument
prévoir d'autres façons de permettre l'utilisation des renseignements, et c'est
dans ce sens-là, entre autres, que le règlement européen peut être utile.
M. Lemieux : Bien, justement,
je voulais revenir sur le règlement européen, parce que vous venez de dire au
ministre : Attention, c'est bien de s'aligner sur les Européens, mais, un
jour, il va falloir aller plus loin, ou, en tout cas, j'espère, parce que,
comme vous dites, on est entrés finalement dans la modernisation de tout ça, mais,
un jour, il va falloir continuer de s'ajuster. Puis vous en parliez avec le
ministre, au sens de dire : Vous en demandez plus, pour l'instant, en tout
cas, là, on verra ce que le projet de loi devient, mais vous en demandez plus
dans la mesure où il n'y a pas nécessairement des ententes contractuelles et
les autres possibilités d'aller plus loin, d'aller plus vite que juste de
faire… Et c'est beaucoup demandé aux entreprises québécoises de faire l'analyse
des risques. Donc, comment vous proposez ou comment vous voyez, vous envisagez
la suite des choses? Si on fait juste s'aligner avec les Européens, on est
toujours à leur remorque, on s'entend au fur et à mesure pour, tout le monde,
remonter un peu le niveau? Comment ça va fonctionner?
M. Therrien (Daniel) : Comme
je pense l'avoir dit, le règlement européen n'est pas parfait, évidemment. Et
la raison pour laquelle je vous suggère humblement de ne pas aller plus loin
que le règlement européen, puis, généralement, il pourrait y avoir des
exceptions, c'est que des entreprises québécoises ne devraient probablement pas
être désavantagées par rapport à d'autres entreprises en ayant des exigences,
des obligations plus restrictives que ce qui est déjà ce qu'on appelle le «gold
standard», la norme internationale, qui est le règlement <européen…
M. Therrien (Daniel) : …c'est
que des entreprises québécoises ne devraient probablement pas être
désavantagées par rapport à d'autres entreprises en ayant des exigences, des
obligations plus restrictives que ce qui est déjà… ce qu'on appelle le Global
Standard ou la norme internationale, qui est le règlement >européen. En
grande partie, c'est pour des raisons de compétitivité que je vous suggère de
ne pas aller plus loin que le règlement européen, et, comme je le dis, le
règlement européen n'est pas parfait.
Et, par exemple, il y a un concept très
intéressant dans le projet de loi n° 64, qui est de traiter de la vie
privée dès la conception et de faire en sorte que les entreprises, lorsqu'elles
essaient de colliger des renseignements, utilisent des paramètres qui protègent
le mieux possible la vie privée, d'avoir le plus haut standard possible pour
protéger la vie privée dans la collecte des renseignements. Le règlement
européen ne va pas aussi loin que ça. Sur ce point-là, je vous encouragerais à
aller plus loin que le règlement européen, parce qu'il n'y a pas de problème à
demander, de façon générale, que, quand les compagnies colligent les
renseignements, <que >les paramètres soient à ce niveau-là. Si une
compagnie veut convaincre un consommateur de lui remettre ses renseignements de
façon… pour d'autres raisons qui n'atteindraient pas cette règle-là, que la
compagnie convainque le consommateur de le faire, mais, à défaut, que les
paramètres soient toujours ceux qui protègent le mieux la vie privée, ça me
semble une bonne idée du projet de loi n° 64 qui ne se retrouve pas dans
le règlement européen.
M. Lemieux : Est-ce qu'il y a…
Quand on regarde… Puis ça a été la première question qui vous a été posée, mais
je veux revenir dessus un petit peu. Par rapport à la capacité de la loi
québécoise et des autres lois canadiennes et provinciales au Canada,
l'interopérabilité, est-ce qu'il y a un moment où il y a une espèce de… pas un
vide, mais une complication supplémentaire pour, entre autres, les compagnies,
pour qui vous nous dites qu'à l'étranger ça peut devenir lourd? Est-ce qu'il va
y avoir une sorte de flou au début, selon vous, ou c'est tellement proche et on
parle tellement de la même chose, peut-être différemment, qu'au final ça ne
sera pas un problème de l'opérationnaliser? C'est ce que vous avez dit tantôt.
Je voudrais comprendre plus comment ça va s'opérationnaliser.
M. Therrien (Daniel) : C'est
une question à 6 millions de dollars, probablement, là. Le concept
d'adéquation, dans le projet de loi québécois, ce qui existe déjà en droit
européen, c'est un exercice extrêmement complexe de comparaison des lois.
Alors, non, les lois ne sont pas toutes pareilles. Et il peut y avoir un régime
qui n'est pas adéquat par rapport à un autre pour des aspects importants des
lois. Par exemple, si, dans un pays, le tribunal administratif a des pouvoirs
d'ordonnance et de sanction administrative, et que, dans un autre, ces
moyens-là n'existent pas, il se peut très bien que dans… le deuxième pays ne soit
pas adéquat par rapport aux lois de la première.
Donc, dans l'état actuel des choses, la <CAI
a des…
M. Therrien (Daniel) : ...a
des pouvoirs d'ordonnance et de sanctions administratives et que, dans un
autre, ces moyens-là n'existent pas, il se peut très bien que le deuxième pays
ne sera pas adéquat par rapport aux lois de la première.
Donc, dans l'état actuel des choses, la
>CAI a des pouvoirs d'ordonnance que… Le projet de loi prévoit que la
CAI pourrait imposer des sanctions administratives, des pouvoirs que je n'ai
pas. Ce sont des différences importantes, mais je ne pense pas que ça devrait
vous empêcher d'adopter un projet de loi qui va plus loin que les autres
juridictions canadiennes, essentiellement, parce que j'espère et je pense que
les autres juridictions vont vous rejoindre.
M. Lemieux : On revient encore
au même principe que j'énonçais tout à l'heure : On fait comment à
l'avenir… À partir du moment où on a pris un peu d'avance, les autres nous
rejoignent, comme vous venez de suggérer qu'il va se passer. Pourquoi on règle
ça tout le temps en allant le plus loin possible? Est-ce que vous, vous
considérez que ce qu'on a... Puis vous avez dit : Par rapport à l'Europe,
on est à la limite, là, mais, par rapport au reste du Canada, on est loin
devant, en tout cas, loin devant vous, si j'ai bien compris ce que vous venez
de me dire.
M. Therrien (Daniel) : Le
projet de loi n° 64 va certainement beaucoup plus
loin que la loi fédérale actuelle, mais j'ai bon espoir que la loi fédérale va
être modifiée pour rejoindre… Est-ce que ça va rejoindre tout à fait le projet
de loi n° 64? Je l'espère, mais je n'en suis pas
certain.
M. Lemieux : Merci, M.
Therrien.
Le Président (M. Bachand) :
Merci, M. le commissaire. M. le député de LaFontaine, s'il vous plaît.
• (16 h 20) •
M. Tanguay
: Pour
combien de temps, M. le Président?
Le Président (M. Bachand) :Je vais vous dire ça dans quelques secondes sur mon temps.
13 min 36 s.
M. Tanguay
: Parfait, merci
beaucoup, M. le Président. Bonjour, M. Therrien. Merci d'être avec nous pour
discuter du projet de loi n° 64 et de ses enjeux très
importants de protection des renseignements personnels et de la vie privée.
Vous faites bien de mentionner, dans
votre… d'entrée de jeu, là, dans votre intervention, 90 % des Canadiens
sont inquiets, une statistique qui m'a frappée. 30 millions de Canadiens,
l'an dernier, ont été touchés par des fuites de données. Alors, c'est nettement
substantiel. J'aimerais vous entendre sur... Dans mon rapport de l'an dernier…
Je vous cite, page 2 : «Dans mon rapport de l'an dernier au Parlement,
je recommandais que le caractère fondamental du droit à la vie privée soit
reconnu dans les principes et l'énoncé d'objet des lois fédérales régissant les
secteurs public et privé.» Donc, vous nous suggérez, si je comprends bien,
d'inscrire ça dans la loi... le projet de loi n° 64.
Nous recommanderez-vous de l'inscrire ailleurs dans une autre loi? Et pourquoi
c'est important, cet énoncé de principe?
M. Therrien (Daniel) : Comme
je le disais tantôt, ce que l'histoire des dernières années <démontre,
Cambridge Analytica...
M. Tanguay
:
...ailleurs dans une autre loi? Et pourquoi c'est
important cet énoncé
de principe?
M. Therrien (Daniel) :
Comme je le disais tantôt, ce que l'histoire des dernières années >démontre,
Cambridge Analytica, entre autres, mais d'autres scandales dans l'utilisation
des renseignements personnels, c'est que les droits de la personne, des citoyens,
dont la démocratie… Le droit à l'égalité est en cause par l'intelligence
artificielle, par exemple. Alors, ce qui est en cause, d'une part, les
technologies donnent des avantages importants, qu'il faut continuer à
privilégier, mais dans le respect des droits. Les droits ont été violés, ces
dernières années, par la collecte des renseignements personnels. Alors, c'est
le problème fondamental. Il faut que ça, ça soit reconnu dans les lois. Le Québec,
qui… est déjà en avant par rapport, certainement, à la loi fédérale dans ce
sens-là, en ce que le droit à la vie privée est déjà reconnu par la charte
québécoise. Le droit… Le Code civil parle aussi de l'importance de la vie
privée.
Alors, certainement, dans le contexte
fédéral… Dans le contexte fédéral, la protection des renseignements personnels,
présentement, c'est plus une question de régulation économique, d'équilibre
entre la protection de la vie privée… mais aussi de promouvoir l'utilisation
des renseignements pour des fins économiques. Et la question des droits de la
personne n'entre pas vraiment en jeu dans la loi, par exemple, de la vie privée,
pour ce qui est du secteur privé, au niveau fédéral. Dans ce contexte-là, il
est particulièrement important d'indiquer dans une nouvelle loi fédérale que la
vie privée est un droit fondamental.
Au Québec, encore une fois, il y a déjà
des actions qui ont été prises, mais je recommanderais… Et je crois, d'ailleurs,
que la commission québécoise des droits de la personne, il y a quelques années,
a recommandé que, dans le préambule des lois québécoises sur la protection des
renseignements personnels, <que >l'importance de la vie privée,
comme droit fondamental, comme droit de la personne, soit explicitement
reconnue, ce qui pourrait avoir comme conséquence d'être utile à
l'interprétation des textes de loi dans le détail. Alors, c'est un peu pour ça
que je recommande que la vie privée et que la protection des renseignements
personnels soient mentionnées en termes d'objectifs des lois sur la protection
des renseignements personnels.
M. Tanguay
: Et, si
c'était le cas, de façon plus claire aussi, juridiquement, dans un débat
judiciaire, ça permettrait, s'il y avait... si l'on plaidait puis on avait gain
de cause qu'il y a eu infraction ou violation d'un droit ou d'une liberté
fondamentale en vertu de la charte québécoise, il y aurait lieu, à ce
moment-là, de demander, qui plus est, des dommages-intérêts, des dommages
punitifs, ce qui pourrait aussi ajouter aux signaux qui seraient envoyés aux
récalcitrants.
M. Therrien (Daniel) : Vous y vous
connaissez mieux dans l'application de cette loi-là que moi. Mon <objectif...
M. Tanguay
: ...d'un
droit ou d'une liberté fondamentale en vertu de la charte québécoise, il y
aurait lieu, à ce moment-là, de demander, qui plus est, des dommages et
intérêts, des dommages punitifs, ce qui pourrait aussi ajouter aux signaux qui
seraient envoyés aux récalcitrants.
M. Therrien (Daniel) : Vous
vous connaissez mieux dans l'application de cette loi-là que moi. Mon >objectif,
ça serait plus dans l'interprétation d'un concept, par exemple, du consentement
éclairé. Alors, la loi parle de consentement éclairé. Si cette notion-là
apparaît dans une loi dont un des objectifs est de reconnaître la vie privée
comme droit de la personne, le concept de consentement éclairé risque d'être
interprété à la lumière de l'importance du droit en question.
M. Tanguay
: Ce qui est
particulièrement intéressant… de vous avoir, M. Therrien, c'est votre
regard, évidemment, pancanadien. On a eu, d'entrée de jeu, le Directeur général
des élections, qui nous a fait référence... qui a fait référence à ce qui se
passe en Colombie-Britannique en ce qui concerne l'application du régime des entreprises
privées aux partis politiques. Vous soulignez, dans votre document : Il
assujettit... Vous soulignez le fait que le projet de loi n° 64 assujettit
les partis politiques aux dispositions de loi sur le secteur privé. Donc, on a
le cas de l'exemple de la Colombie-Britannique. J'aimerais savoir, au niveau
fédéral, quel régime, s'il y en a un, peut-être pas, je ne le sais pas, vous
allez nous le dire, encadre les partis politiques à ce chapitre.
M. Therrien (Daniel) : Alors,
les partis politiques fédéraux ne sont pas assujettis aux lois sur la
protection des renseignements personnels. Il y a certaines dispositions, que je
qualifierais de basiques, sur l'obligation des partis politiques d'avoir des
registres et… Il y a des obligations extrêmement minimalistes, mais, de
façon... Les partis politiques, donc, ne sont pas assujettis aux lois sur la
protection des renseignements personnels au fédéral ni, d'ailleurs, dans aucune
province, à part la Colombie-Britannique.
M. Tanguay
: Et quelle
est votre idée… De façon un peu plus précise, vous semblez, donc, saluer
l'approche préconisée par le gouvernement ici, à Québec, dans le projet de loi
n° 64, d'assujettir les partis politiques provinciaux au régime des
entreprises privées. J'aimerais avoir votre idée là-dessus. Ne trouvez-vous pas
qu'il y aurait lieu de faire une distinction… entreprise privée à vocation de
faire des profits versus, dans notre démocratie, des partis politiques qui
doivent rejoindre, communiquer, parler à la population — c'est
l'objectif central et ultime d'un parti politique — et, à la limite,
faire une analogie en disant : Bien, écoutez, on a déjà mis des
atermoiements pour des organismes qui exercent, pour des fins d'études, de
recherches, de production statistique… On ne leur a pas... Là, dans ces cas-là,
on extensionnait le consentement. Alors, j'aimerais vous entendre là-dessus,
sur l'à-propos de faire copier-coller entreprise privée, parti politique, dans
le contexte démocratique et de leur mission très <particulière.
M. Therrien (Daniel) : Le
copier-coller...
M. Tanguay
: ...Là,
dans ces cas-là, on extensionnait le consentement. Alors, j'aimerais vous
entendre là-dessus, sur l'à propos de faire copier-coller, entreprise privée,
parti politique, dans le contexte démocratique et de leur mission très >particulière.
M. Therrien (Daniel) : Le
copier-coller, je ne suis pas nécessairement... Je ne pense pas que c'est nécessairement
la seule solution. Laissez-moi revenir en arrière un peu. Alors, je dirais,
l'utilisation de renseignements personnels pour des fins d'influence des opinions
politiques est certainement un sujet de préoccupation. Cambridge Analytica en
est un exemple.
Donc, selon moi, les communications aux
fins politiques devraient faire l'objet d'une réglementation. Vous avez raison.
En tout cas, vous laissez entendre que le contexte n'est pas le même entre les
compagnies privées et les partis politiques, et effectivement le contexte n'est
pas le même. Et, dans le contexte de l'utilisation des renseignements par des
partis politiques, il y a une question d'exercice de droits fondamentaux qui
est importante.
Alors, je n'ai pas de recommandation
extrêmement pointue sur : est-ce que le régime du secteur privé est le
meilleur pour les partis politiques? Ce que je vous suggère, c'est que ça prend
une réglementation des partis politiques pour ce qui est de leur utilisation
des renseignements personnels. Et j'ajouterais, en terminant, que je pense que
mon collègue, le directeur fédéral des élections, devrait faire des
recommandations sur ces questions-là d'ici peu.
M. Tanguay
: Ah! c'est
intéressant.
M. Therrien (Daniel) : Alors,
je ne suis pas un expert dans le domaine des élections. Donc, réglementation
des partis politiques, quelle devrait être la réglementation exactement, je ne
prétends pas être un expert là-dessus.
M. Tanguay
: O.K. Bien,
j'en déduis, puis détrompez-moi si j'ai tort, que vous avez probablement été
consultés dans cette préparation-là par le directeur d'Élections Canada.
M. Therrien (Daniel) : Oui.
M. Tanguay
: J'aimerais,
s'il vous plaît, que vous explicitiez… page 3, le troisième paragraphe de
votre document, donc, à la page 3, troisième paragraphe, on peut y lire :
«Le projet de loi n° 64 prévoit certaines exceptions
au consentement, par exemple en matière de cherche ou lorsque les
renseignements personnels sont utilisés à des fins compatibles aux fins pour
lesquelles ils ont été recueillis. Ce sont des pas dans la direction d'un plus
grand réalisme, mais il faut faire attention. Par exemple, l'exception pour les
fins compatibles pourrait être interprétée de façon très large, permettant
toutes sortes d'utilisations.»
Votre mise en garde est claire. Avez-vous
des exemples auxquels vous pensiez, peut-être, en écrivant cela? Et pouvez-vous
nous dire, donc, quels dangers auxquels... À quels dangers faites-vous
référence? Et quelle serait, dans un deuxième temps, <quelle serait >la
façon d'endiguer ça, pour nous?
• (16 h 30) •
M. Therrien (Daniel) : Oui.
Alors, par exemple, il y a une disposition de la loi <fédérale dans...
>
16 h 30 (version révisée)
<11789
M.
Tanguay
: ...à quel danger faites-vous référence et quelle
serait… Dans un deuxième temps, quelle serait la façon d'endiguer ça, pour
nous?
M. Therrien (Daniel) : Oui.
Alors,
par exemple, il y a une disposition de la loi >fédérale
dans le secteur public qui utilise cette notion-là de fins compatibles. Et donc
un ministère fédéral peut colliger des renseignements pour la fin a et prétendre
que la fin b est compatible. Ce qu'on a vu, c'est que, par exemple, il y a des ministères
qui disaient : Tout ce qui relève de l'application de notre loi est une
fin compatible, tout notre mandat, on collige un renseignement, on fait un x,
ensuite on peut l'utiliser pour toute autre fin qui relève de notre mandat.
Un exemple dans le secteur privé. On voit
souvent le concept qu'une compagnie privée va obtenir des renseignements pour
une fin précise x et, ensuite, va dire : Est-ce que vous nous donnez le
consentement pour que ça soit utilisé pour améliorer le service à la clientèle?
Alors là, on a encore une fois une définition extrêmement large d'une fin
secondaire des renseignements, et fin compatible peut être interprété de façon
aussi large que ça.
Alors, le défi, c'est qu'il faut être
capable de permettre une utilisation pour des fins assez larges pour que ça
rejoigne l'intérêt public ou des intérêts légitimes des compagnies ou des ministères.
Donc, c'est nécessaire, dans l'économie et dans l'industrie technologique d'aujourd'hui,
d'avoir des fins assez larges, mais d'une façon qui… où les droits de la vie
privée soient pris en compte, d'où l'intérêt du règlement européen, d'où
l'intérêt de considérer la vie privée comme étant un droit de la personne.
Donc, si vous utilisez les fins
compatibles comme un moyen pour permettre aux entreprises et aux ministères
d'utiliser des renseignements pour des fins autres que celles premières, ce n'est
pas nécessairement une mauvaise chose, dans la mesure où la loi oblige la
personne qui veut utiliser les renseignements à tenir compte de l'impact sur la
vie privée. Et, quand on regarde le projet de loi n° 64 tel qu'il est
rédigé présentement, on parle de fins compatibles sans qu'il y ait de prise en
compte de la protection des droits de la personne.
M. Tanguay
: Pour les
quelque 30 secondes, ou un peu plus, qu'il me reste, j'aimerais vous
entendre… Là, je vais un pas en arrière, là, je suis très, très, très général,
sans dire, l'affirmation serait trop forte, que, justement, parce que l'on
parle de la vie privée, droits fondamentaux, on ne devrait pas permettre que
soient vus certains types de renseignements très sensibles, qui participent de
la vie privée, comme étant commerciables, ne trouvez-vous pas qu'il y aurait
lieu d'avoir une réflexion <sur...
M. Tanguay
: ... là,
je suis très, très, très général, sans dire, l'affirmation serait trop forte,
que, justement, parce que l'on parle de la vie privée, droits fondamentaux, on
ne devrait pas permettre que soient vus certains types de renseignements très
sensibles, qui participent de la vie privée, comme étant commerciables, ne
trouvez-vous pas qu'il y aurait lieu d'avoir une réflexion >sur retirer
de l'approche mercantiliste certains types de données puis de faire en sorte… sans
dire, là, qu'elles ne pourraient pas être vendues, comme certains objets de
culte, là, mais ne trouvez-vous pas qu'il y a peut-être une approche
philosophique, un questionnement qu'on devrait avoir, collectivement,
là-dessus?
M. Therrien (Daniel) : Ce qui se
rapproche le plus de ça, probablement, c'est la biométrie, la reconnaissance
faciale, par exemple. Alors, il y a des renseignements extrêmement sensibles
qui ne peuvent pas être changés. On peut changer notre mot de passe quand on
fait affaire avec une entreprise, mais on ne peut pas changer notre iris ou
notre visage. Alors, si ces données-là sont... font l'objet de piratage, par
exemple, alors là c'est fini, personne ne peut plus vraiment protéger sa vie
privée.
Donc, on parle de renseignements
extrêmement sensibles. Est-ce que certaines de ces données-là devraient être
sorties du champ du commerce? Je n'irais pas nécessairement jusque-là. Je
privilégierais quand même une approche contextuelle, qui ferait en sorte que,
dans ces contextes-là où les renseignements sont particulièrement sensibles, la
réglementation devrait être extrêmement pointue; de prohiber complètement,
peut-être, mais, disons, je n'irais pas nécessairement jusque-là.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bonjour, M.
le commissaire. J'ai envie de prendre la balle de mon collègue de l'opposition
officielle au bond et de poursuivre la réflexion avec vous sur cette
question-là, parce que ce que vous avez dit sur le consentement… Vous avez
résumé de manière très élégante quelque chose que j'essaie moi-même de dire
depuis quelques jours, c'est-à-dire que la question du consentement… On ne peut
pas baser l'ensemble de notre approche sur le consentement parce qu'il y a
beaucoup trop de situations où ce consentement est fragile, voire illusoire.
Vous avez parlé de rapport de forces inégal. Je pense que c'est une manière
très intéressante de le présenter.
À la page 3 de votre… de la déclaration
écrite que vous nous avez fournie, vous concluez… Donc, suite... après nous
avoir dit que le consentement, ça ne pouvait pas être l'alpha et l'oméga de
notre approche en matière de protection des renseignements personnels, qu'en
s'inspirant de l'Europe on mériterait de considérer une approche où on demande
aux entreprises de justifier pourquoi elles veulent collecter certains
renseignements, quitte à ce qu'on dise qu'il y a certains renseignements qui
sont... qu'on ne peut pas récolter, concrètement, dans une loi comme le projet
de loi n° 64, de quoi pourrait avoir l'air une telle
limitation?
M. Therrien (Daniel) : Une
limite qui viendrait carrément interdire certaines pratiques?
M. Nadeau-Dubois : Oui.
M. Therrien (Daniel) : Alors,
ce qui me viendrait en tête, c'est la surveillance. Quelle est l'essence de la
vie privée? C'est de pouvoir vivre et, dans un monde <technologique...
M. Therrien (Daniel) :
...
carrément interdire certaines pratiques?
M. Nadeau-Dubois :
Oui.
M. Therrien (Daniel) :
Alors, ce qui me viendrait en tête, c'est la surveillance. Quelle est l'essence
de la vie privée? C'est de pouvoir vivre et, dans un monde >technologique,
consulter des renseignements, s'informer de façon libre de surveillance de la
part des entreprises ou du gouvernement. Alors, quand on parle de surveillance
pure, on se rapproche pas mal, je pense, d'une pratique qui pourrait être
interdite carrément. Et il y a certaines pratiques commerciales de
reconnaissance faciale, par exemple, qui se rapprochent de très près du type de
pratiques qui devraient probablement être interdites complètement.
M. Nadeau-Dubois : Des
applications ou des logiciels, par exemple, qui… à partir du moment où on
l'installe une première fois puis qu'on donne un premier consentement, au
moment où on coche sans lire — c'est ce que les données
disent — le contrat d'utilisation, et qui, suite à ce premier
consentement-là, enregistrent et conservent la totalité de l'activité qu'on
fait sur l'application ou l'appareil en question, est-ce que ça, c'est le genre
de pratique commerciale qui pourrait être interdite puisque c'est une forme de
surveillance? Dans le fond, on consent une fois, puis tout est enregistré, tout
est conservé, tout ce qui est conservable et tout ce qui peut être enregistré
l'est.
M. Therrien (Daniel) : C'est
difficile de parler d'une interdiction totale dans un monde où le contexte est
important. Alors, une des réalités du monde technologique, y compris de
l'économie numérique, c'est qu'il y a une valeur indubitable qui vient avec les
données personnelles. On est capables...
Prenons un cas patent de recherche
médicale. Alors, l'État et des compagnies, par exemple, pharmaceutiques ou de
services médicaux vont colliger des renseignements au sujet de patients
normalement pour offrir un traitement précis, mais, dans la collecte de ces
renseignements-là, peuvent mettre ces renseignements-là avec d'autres pour
faciliter une recherche qui va servir le bien commun.
Alors, le fait que des renseignements
soient colligés ou mis ensemble, ça peut, à prime abord, avoir l'air assez
distant de la fin première pour laquelle les renseignements ont été colligés,
mais je ne pense pas que ce serait une bonne idée d'interdire ce genre de mise
en commun de ces renseignements-là dans la mesure où ça sert le bien commun.
M. Nadeau-Dubois : Donc,
il faudrait trouver des critères, puis, selon les contextes… D'accord.
Le Président (M. Bachand) :Malheureusement, sur ce, M. le député de Gouin, je suis <désolé...
M. Therrien (Daniel) : ...
peut, à prime abord, avoir l'air assez distant de la fin première pour laquelle
les renseignements ont été colligés, mais je ne pense pas que ce serait une
bonne idée d'interdire ce genre de mise en commun de ces renseignements-là dans
la mesure où ça sert le bien commun.
M. Nadeau-Dubois : Donc, il
faudrait trouver des critères, puis, selon les contextes…
d'accord.
Le Président (M.
Bachand) :
Malheureusement, sur ce,
M. le député de
Gouin, je suis >désolé...
M. Therrien (Daniel) : Essentiellement,
oui.
Le Président (M. Bachand) :Sur ce, M. le commissaire, je vous remercie infiniment de votre
participation à la commission. Ça a été plus qu'intéressant.
Et la commission suspend ses travaux quelques
instants. Merci, M. le commissaire.
(Suspension de la séance à 16 h 39)
>
(Reprise à 16 h 45)
Le Président (M. Bachand) :
À l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il nous
fait plaisir d'accueillir le Pr Pierre-Luc Déziel. Alors, comme vous savez,
Pr Déziel, vous avez 10 minutes de présentation, et, par après, nous
aurons un échange avec les membres de la commission. Alors, très heureux de
vous revoir à la Commission des institutions et la parole est à vous.
M. Pierre-Luc Déziel
(Visioconférence)
M. Déziel (Pierre-Luc) : Ça
me fait plaisir. Merci beaucoup, M. le Président, M. le ministre, Mmes et MM.
les députés. Alors, bonjour. Laissez-moi d'abord vous remercier de l'invitation.
Je suis très heureux d'être avec vous aujourd'hui. C'est un véritable plaisir
et honneur de venir discuter avec vous du projet de loi n° 64.
Alors, mon nom est Pierre-Luc Déziel.
Je suis professeur à la Faculté de droit de l'Université Laval. Je suis
également coresponsable de l'axe droit, cyberjustice et cybersécurité, de l'observatoire
international sur les impacts sociaux de l'IA et du numérique. Et je suis
également impliqué, dans mes activités de recherche, dans un certain nombre de
projets de recherche interdisciplinaires avec différents collègues des facultés
de médecine, en santé publique, en génie informatique, en intelligence
artificielle, donc, impliqué dans un certain nombre de projets de recherche qui
nécessitent l'utilisation de différents jeux de données qui comprennent des
renseignements personnels.
Donc, la perspective que je vais adopter aujourd'hui
est vraiment une perspective de recherche. J'entends souligner certains des
aspects du projet de loi n° 64 qui portent plus précisément sur
l'utilisation des renseignements personnels à des fins de recherche. Donc, je
crois qu'une des intentions du législateur qui est très claire à la lecture du projet
de loi n° 64… une de ces intentions-là est de faciliter l'accès et de
faciliter la circulation des renseignements personnels dans un contexte de
recherche. Alors, dans une perspective où le gouvernement du Québec amorce un
grand projet de transformation numérique et qu'il mise sur la valorisation des
données, je crois que c'est une intention qui est tout à fait louable et qui
mérite d'être saluée.
Néanmoins, je crois aussi que le projet de
loi comporte certains éléments qui sont problématiques en termes de recherche.
Il y en a quelques-uns, mais je vais me concentrer sur un de ces éléments-là. Nous
aurons très certainement l'occasion de revenir sur d'autres de ces éléments au
cours de la période de questions, mais je veux me concentrer sur un des éléments
qui me paraissent particulièrement importants, et c'est celui de l'attribution
des autorisations de recherche pour l'utilisation des renseignements personnels,
donc, à des fins d'étude, de recherche et de statistiques, donc, la manière
dont les chercheurs, dans un écosystème qui favorise la recherche, peuvent
avoir accès à des renseignements personnels pour conduire une recherche de
pointe.
Dans le modèle actuel, les chercheurs qui
veulent obtenir des renseignements personnels à des fins de recherche, sans
avoir à passer par le consentement individuel qui peut être difficile à obtenir
ou impraticable, doivent obtenir une autorisation auprès de la Commission
d'accès à l'information. Une fois que cette autorisation-là est obtenue, ils doivent
aller voir les organismes publics ou les entreprises pour obtenir les renseignements
personnels.
Donc, une des critiques principales de ce
modèle-là est celle de la multiplication des autorisations et les <délais…
M. Déziel (Pierre-Luc) :
...une fois que cette autorisation-là est obtenue, ils doivent aller voir les
organismes publics ou les entreprises pour obtenir les
renseignements
personnels.
Donc, une des critiques principales de
ce modèle-là est celle de la multiplication des autorisations et les >délais
importants que ces autorisations-là peuvent encourir pour l'accès aux données
dans des fins de recherche, donc, multiplication des autorisations, parce que
les chercheurs vont normalement avoir à aller chercher une autorisation du
comité d'éthique à la recherche de leur institution, vont passer à travers
souvent des processus rigoureux d'évaluation de leur protocole de recherche par
les pairs, vont avoir à aller chercher l'accord des organismes ou des
entreprises aussi pour obtenir ces renseignements personnels là, donc, et une
autorisation auprès de la CAI.
Donc, ça peut engendrer des délais qui
sont particulièrement importants. Il y a une multiplication des procédures qui
sont en place. Et je tiens à attirer votre attention ou vraiment souligner que
ces délais-là ne sont pas uniquement dans une perspective d'inconvénients. Il y
a un impact réel sur la recherche. C'est-à-dire que plusieurs des projets de
recherche qui sont conduits au Québec et qui sont subventionnés sont
subventionnés pendant trois ou quatre ans, et la première année de ces
projets-là va souvent être consacrée à remplir ces formulaires-là, ces
formulaires d'autorisation, et à attendre d'avoir accès aux données.
Il y a plusieurs étudiants qu'on peut
aller chercher, qu'on peut aller recruter au niveau international. On les amène
au Québec. On les amène dans les universités, dans les facultés. Ils entament
un processus de recherche, de mémoire à la maîtrise ou de doctorat et ils
passent les premiers temps de leurs études à simplement attendre de pouvoir
recevoir les données. Et donc ce n'est pas juste un inconvénient. Il y a des
enjeux réels pour l'attractivité des étudiants au niveau international, la
diplomation, mais aussi l'avancement et la compétitivité de l'écosystème de
recherche au Québec.
Donc, une des solutions qui est apportée
par le projet de loi n° 64, qui est une solution intéressante, mais qui, à
mon sens, comporte aussi un certain nombre de problèmes, c'est de couper
l'intermédiaire que représente la CAI, donc, d'évacuer la CAI de ce processus
d'autorisation là et de favoriser l'échange ou le dialogue entre les chercheurs
et les organismes publics ou les entreprises auprès desquelles ils vont aller
chercher les renseignements personnels.
• (16 h 50) •
Donc, l'objectif derrière tout ça, c'est
d'accélérer les choses, de favoriser le partage, de faire en sorte qu'on aille
plus vite, donc, de réduire ces délais-là, et c'est quelque chose de très
important. Donc, on parle, par exemple, de l'article 125 de la loi sur
l'accès qui est supprimé. On le remplace par les articles 65.0.1 à 65.0.3
de la loi sur l'accès. Les articles 12 et 21 de la loi sur le privé qui
sont modifiés aussi. On ajoute les articles 21.0.1 et 21.0.2 de la loi sur
le privé. Donc, le but est de faciliter l'accès aux données de recherche,
d'accélérer les processus, mais, à mon sens, au final, et c'est, je crois, ce
que le milieu de la recherche craint, c'est qu'on va, en fait, déplacer le problème.
On va déplacer le problème, c'est-à-dire qu'on va imposer d'autres délais, et
ce, pour deux raisons.
La première, c'est qu'il y a une crainte,
en fait, de la multiplication des interprétations des critères qu'on va trouver
dans la loi. Donc, jusqu'à présent, on avait la Commission <d'accès...
M. Déziel (Pierre-Luc) :
…c'est qu'on va, en fait, déplacer le
problème. On va déplacer le
problème,
c'est-à-dire qu'on va imposer d'autres délais, et ce, pour deux raisons.
La première, c'est
qu'il y a une
crainte, en fait, de la multiplication des
interprétations des critères
qu'on va trouver dans la loi. Donc,
jusqu'à présent, on avait la
Commission
>d'accès à l'information qui fournissait l'interprétation unique des
différents critères qu'on trouve dans la loi. Donc, ce qu'on peut craindre
maintenant, c'est qu'en l'évacuant les chercheurs soient amenés à dialoguer
avec différents organismes, différentes entreprises qui, eux, vont interpréter
de manière différente ces critères qu'on va trouver dans la loi.
Donc, il y aura peut-être un problème
d'uniformisation, d'application ou de l'interprétation de la loi, un problème
de prévisibilité aussi des effets de la loi. Et donc les chercheurs vont être
dans une situation où ils vont devoir se familiariser avec ces différentes
interprétations là. Ils ne vont pas savoir, si une demande passe à un endroit,
pourquoi est-ce qu'elle est refusée dans un autre endroit. Donc, ça peut
entraîner des délais qui sont supplémentaires.
Le deuxième point, qui est
particulièrement important, à mon sens, c'est l'idée que les chercheurs seront…
auront maintenant l'obligation de conduire les évaluations sur le facteur
relatif à la vie privée. Ces évaluations-là, elles sont des évaluations qui
sont longues, qui sont fastidieuses, qui sont complexes, qui demandent un haut
niveau de connaissances et d'expertise qui, dans certains cas, vont peut-être
manquer aux chercheurs. De plus, les trois conseils fédéraux, trois organismes
subventionnaires fédéraux, ont comme ambition d'imposer aux chercheurs de
développer des plans de gestion de leurs données.
Donc, ce qu'on voit à travers tout ça, c'est
qu'en fait on essaie d'accélérer les choses, mais on remplace par d'autres
mécanismes qui vont peut-être encore une fois ralentir les choses. Et, à mon
sens, à mon avis, le problème, en fait, n'est pas la CAI qu'on essaie de… ou la
Commission d'accès à l'information qu'on essaie d'écarter de ce processus-là. Le
problème, à mon sens, c'est le niveau à travers lequel on va exercer le
contrôle. Donc, le contrôle, à quel niveau on va l'exercer?
Et, présentement, dans le modèle actuel,
mais dans le modèle qui est proposé aussi, le contrôle s'exerce à la pièce,
dans une manière très granulaire, c'est-à-dire projet par projet. Donc, un
chercheur qui va avoir cinq, 10, 15 projets de recherche, et c'est des
choses qu'on voit très bien dans les grands centres de recherche ou dans les
grandes chaires de recherche, va devoir faire cinq, 10, 15 fois ces
différentes autorisations là, cinq, 10, 15 fois ces évaluations de
facteurs relatifs à la vie privée.
Donc, à mon sens, la solution idéale <ne
serait pas… >ou une solution qui serait envisageable ne serait pas d'exercer
un contrôle au niveau des projets de recherche, mais d'exercer un contrôle au
niveau des chercheurs en tant que tels, et c'est quelque chose qu'on va
retrouver ailleurs au Québec, au Canada aussi. On pourra en parler un petit peu
plus tard. Mais donc l'idée d'exercer ce contrôle au niveau des chercheurs
pourrait se décliner en quatre temps.
Donc, dans un premier temps, ça serait de
ne pas attribuer des autorisations d'utilisation des renseignements personnels
à des fins de recherche seulement pour des projets de recherche, mais
d'habiliter des chercheurs à pouvoir utiliser des renseignements personnels
dans un contexte de recherche, pour une programmation de recherche et non pas
pour un protocole de recherche <particulier…
M. Déziel (Pierre-Luc) :
...donc, dans un premier temps, ça serait de ne pas attribuer des autorisations
d'utilisation des renseignements personnels à des fins de recherche seulement
pour des projets de recherche, mais d'habiliter des chercheurs à pouvoir
utiliser des renseignements personnels dans un contexte de recherche, pour une
programmation de recherche et non pas pour un protocole de recherche >particulier.
Ce serait de rendre ces chercheurs-là imputables, de les former, de les
accompagner. Je crois que mon collègue, le Pr Vincent Gautrais, vous parlait
d'accompagnement, donc, de les former, de les accompagner, d'auditer leurs
pratiques, d'auditer…
Donc, dans le projet de loi, on parle
d'élaborer des politiques de gestion des données, des plans de gestion des
données, donc, d'auditer leurs pratiques et d'auditer leurs politiques sur une
base régulière. La CAI pourrait faire ce travail avec les ressources adéquates…
et d'assurer une traçabilité des données dans un écosystème qui favorise un
mode de gestion collective des données de recherche.
Alors, peut-être, s'il me reste un peu de
temps… Je vous ai dit qu'il y avait certains exemples. Ce n'est pas un modèle
qui est particulièrement ou radicalement novateur. C'est des choses qu'on voit
ailleurs. En Ontario, par exemple, il y a l'ICES, donc, l'Institute for
Clinical Evaluative Sciences, qui, en fait, fédère différentes banques de
données sur la santé, qui va chercher ces données-là auprès des hôpitaux,
auprès des laboratoires, auprès des cliniques, et va, en fait, permettre l'accès
à ces données-là à différents chercheurs.
Les chercheurs doivent obtenir une
autorisation préalable en fonction de leur compétence, de leur programmation de
recherche, ou obtenir une autorisation qui est provisoire, vont être audités
sur une base régulière. Mais, une fois que le chercheur est authentifié, est
jugé comme pouvant... a l'autorisation d'utiliser ces renseignements personnels
là, il a beaucoup plus de flexibilité, beaucoup plus d'agilité pour évoluer
dans l'écosystème. ICES est régulièrement audité au niveau macro par le Commissaire
à l'information et à la protection de la vie privée de l'Ontario, donc, le
penchant de la CAI, et attribue ces autorisations à des chercheurs qui sont
compétents.
On a aussi certains exemples, dans une
certaine mesure, ou certains précédents en droit québécois. La Loi concernant
le partage de certains renseignements de santé, par exemple, institue ce genre
de mode de circulation de l'information. C'est-à-dire que la loi va permettre
le regroupement de différentes banques de données, d'actifs informationnels. Il
y aura un processus pour offrir la possibilité d'autoriser certains
intervenants, donc, notamment les médecins, les pharmaciens, les infirmiers et
les infirmières, à consulter ces banques de données là. Donc, à mon sens...
Le Président (M. Bachand) :
Merci beaucoup, M. le professeur. On doit passer maintenant à la période
d'échange, Pr Déziel. Désolé.
M. Déziel (Pierre-Luc) :
Parfait.
Le Président (M. Bachand) :
Merci beaucoup pour votre présentation. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M.
le Président. Pr Déziel, bonjour. Merci de participer aux travaux de la
commission parlementaire.
Revenons, là, sur la réalité
pratico-pratique, là, des chercheurs, là. Vous dites, là : Écoutez, on a
des projets de recherche, là, on passe un an à remplir des documents. J'imagine
que ce n'est <pas...
M. Jolin-Barrette :
…
merci,
M. le Président. Pr Déziel, bonjour. Merci de participer aux travaux de la
commission parlementaire.
Revenons, là, sur la réalité
pratico-pratique, là, des chercheurs, là. Vous dites, là : Écoutez, on a
des projets de recherche, là, on passe un an à remplir des documents. J'imagine
que ce n'est >pas l'objectif des chercheurs de remplir de la paperasse
pendant un an aussi. Alors, comment est-ce qu'on fait pour que ça soit plus
efficace tout en s'assurant de protéger les données personnelles des individus?
M. Déziel (Pierre-Luc) :
Bien, c'est un petit peu comme je... Donc, c'est ça, la question est extrêmement
pertinente. Donc, merci beaucoup. Donc, évidemment, comme je le disais, ces
délais-là ont des enjeux considérables au niveau du milieu de la recherche, et,
souvent, il faut qu'on attende un certain temps avant d'avoir accès aux
données. Le problème, à mon avis, justement, c'est pour les chercheurs qui
commencent des projets de recherche… doivent, à chaque projet de recherche,
obtenir ces différents types d'autorisations là.
Les modèles qu'on voit ailleurs, par
exemple en Ontario, ce n'est pas d'autoriser des projets de recherche individuellement,
mais de donner une autorisation qui est beaucoup plus globale à un chercheur en
particulier. On passe à travers un processus rigoureux. On regarde la
compétence de ce chercheur-là. On forme ce chercheur-là. Et, une fois qu'il a
accès aux données, il peut conduire les différents projets de recherche qu'il a
à faire.
Donc, quand il commence un nouveau projet
de recherche, il n'a pas besoin encore une fois de remplir la paperasse. Il a
déjà cette autorisation-là. On fait un audit régulier de ces processus de
recherche là. Les banques de données font ces processus d'audit là aussi
auprès... par exemple, ici, ça pourrait être de la CAI. Et donc, à partir de ce
moment-là, on donne beaucoup plus de flexibilité, beaucoup plus d'agilité au
chercheur. On contrôle non pas chacun de ses projets de recherche, mais lui
comme personne, sa capacité à assurer la protection de la vie privée.
Donc, dans une perspective de protection
des renseignements personnels, l'objectif est vraiment plus de travailler sur
la confidentialité et les mesures qui sont prises pour assurer le caractère
confidentiel de ces renseignements-là. Donc, les banques de données vont
permettre des accès qui sont contrôlés, des forts processus d'authentification
des personnes. Donc, est-ce que c'est <bien... >bel et bien la
bonne personne qui a accès à ces... qui essaie d'avoir accès aux données? On va
avoir des ententes de partage de données ou des clauses qui sont très
importantes, qui interdisent toute forme de réidentification des données, toute
forme de transfert de l'extérieur des données. Et il y a plusieurs modèles,
aussi, qui vont, tout simplement d'un point de vue technique, rendre impossible
le fait que le chercheur puisse télécharger ou amener ces données-là ailleurs.
Donc, l'enjeu, ce n'est pas, en matière de
protection de la vie privée, <ce n'est pas >tant de contrôler
chacun des projets de recherche et de faire en sorte qu'on a des politiques
pour un projet, mais vraiment d'assurer la confidentialité beaucoup plus
globale de l'infrastructure de recherche.
• (17 heures) •
M. Jolin-Barrette : Donc, je
comprends aussi qu'il y a des moyens alternatifs comparativement à ce qu'on
fait présentement, et, pour faciliter la recherche, notamment dans ce
domaine-là, qui est assez compétitif, il faut trouver un mécanisme qui va faire
en sorte de s'assurer que les chercheurs puissent se concentrer sur leurs
recherches tout en assurant la confidentialité.
Vous avez abordé un peu, là, le rôle de la
Commission d'accès à l'information. Pour que je <comprenne bien, là...
>
17 h (version révisée)
<15359
M.
Jolin-Barrette :
...faciliter la recherche,
notamment,
dans ce domaine-là qui est assez compétitif, il faut trouver un
mécanisme
qui va faire en sorte de s'assurer que les chercheurs puissent se concentrer
sur leurs recherches, tout en assurant la confidentialité.
Vous avez abordé un peu le rôle de la
Commission
d'accès à l'information, là. Pour que je >comprenne bien, là, les pouvoirs
supplémentaires qu'on veut lui donner, là, est-ce que vous êtes en faveur ou
vous dites : Ce n'est pas nécessaire parce qu'il y a déjà énormément de
pouvoirs à la Commission d'accès?
M. Déziel (Pierre-Luc) :
Bien, je pense que les pouvoirs supplémentaires qu'on entend donner à la Commission
d'accès à l'information sont nécessaires et sont pertinents. J'ai eu l'occasion
d'écouter plusieurs des… ou certaines des présentations qui ont été faites. C'est
vrai que, dans une certaine mesure, le fameux 2 %, ou 4 %, est, dans
une certaine mesure, peut-être largement inspiré du règlement européen, et,
surtout dans un contexte de sanctions administratives, peut être particulièrement
imposant et dissuasif.
Toutefois, je note aussi, dans le
contexte... à la lecture du projet de loi, qu'on ne dit pas que ça va être des
sanctions qui sont automatiquement autour de ces montants-là, hein? On parle de
«jusqu'à». Donc, très certainement, il y aura possibilité, il y aura une marge
de manœuvre, pour la Commission d'accès à l'information, de pouvoir ajuster les
sanctions à la grosseur ou à la taille d'une entreprise et à la gravité de
l'infraction. Donc, à mon sens, ils sont nécessaires. Je crois que le 2 %
ou 4 %, les 15 ou 25 millions, c'est un plafond. Ça ne veut pas dire
que c'est quelque chose qui est automatique. Il va falloir que la CAI soit très
claire sur la manière dont elle va attribuer... ou que ce soit prévisible,
comment elle va attribuer ces sanctions-là.
Mais, au-delà de tout ça, je crois qu'il y
a surtout un besoin de renforcer les ressources qui sont mises à la disposition
de la Commission d'accès à l'information. C'est-à-dire que les délais qui sont
imposés… Là, on parlait un petit peu de recherche. Les délais sont longs, mais
sont justifiables aussi dans la mesure où c'est important, pour la Commission
d'accès à l'information, de s'assurer que le traitement des renseignements
personnels protège bien la vie privée. On travaille beaucoup avec la Commission
d'accès à l'information. On connaît comment ils fonctionnent. Les délais, ce
n'est pas par paresse, c'est parce qu'il y a... Il manque, à mon avis, un petit
peu de ressources de ce côté-là, donc, quelque chose qui pourrait accélérer ou
rendre la recherche plus compétitive. Si on regarde un modèle, comme on l'a,
actuellement, ce qui est proposé dans le projet de loi n° 64,
ce n'est pas juste ce pouvoir de sanctions, mais c'est vraiment d'augmenter les
ressources qui sont mises à sa disposition.
M. Jolin-Barrette : Je
comprends que ça prend des bras aussi à la Commission d'accès pour faire son
travail.
M. Déziel (Pierre-Luc) :
Exactement, oui.
M. Jolin-Barrette : O.K.
Est-ce qu'avec le projet de loi vous estimez que la Commission d'accès a tous les
pouvoirs, maintenant, là, pour intervenir avec les entreprises privées puis les
organismes publics? Est-ce que c'est suffisamment... C'est suffisant ou il
manque des choses?
M. Déziel (Pierre-Luc) : Je
vous dirais qu'à mon avis, en tout cas, et ça, c'est mon avis personnel, j'ai
l'impression que c'est un effort considérable et qu'il y a une augmentation
considérable des pouvoirs. Je pense qu'on la dote de pouvoirs beaucoup plus
importants, qu'on lui donne des outils qui sont très pertinents, très puissants.
À savoir si on a tout, tout, tout, peut-être, il faudrait lui demander. C'est
elle <qui est dans...
M. Déziel (Pierre-Luc) :
...
et ça, c'est mon avis personnel, j'ai l'impression que c'est un
effort considérable et qu'il y a une augmentation considérable des pouvoirs. Je
pense qu'on la dote de pouvoirs beaucoup plus importants, qu'on lui donne des
outils qui sont très pertinents, très puissants. À savoir si on a tout, tout,
tout, peut-être, il faudrait lui demander, c'est elle >qui est dans la
réalité des choses. Mais, à mon sens, et je pense qu'il y a consensus
là-dessus, c'est qu'il y a vraiment une augmentation considérable et importante
pour lui donner les outils pour bien protéger la vie privée.
À mon avis, par contre, c'est peut-être
que... La Commission d'accès à l'information devrait aussi... On lui reproche
souvent un certain biais. En fait, c'est-à-dire qu'elle protège peut-être ou elle
surprotège peut-être les renseignements personnels. Et, à mon sens, en fait, la
Commission d'accès à l'information, elle fait ce que la loi lui demande de
faire et ce que le mandat lui est confié… À mon avis, dans une perspective de
recherche, encore une fois, il devrait y avoir un mandat, à la CAI, ou une
section particulière sur la recherche. On l'a déjà un petit peu avec les
autorisations. Puis c'est une protection de la vie privée, mais aussi une
valorisation des données dans une perspective de recherche, d'innovation et de
progrès scientifique, finalement. Donc, la CAI a des ressources, mais, même
avec ses ressources ou ses nouveaux outils que vous évoquez, qu'on a dans le
projet de loi, il y aurait peut-être quelque chose à… même sur la mission ou
son mandat qu'on lui donne à la base, l'élargir, tout ça pour arrimer cet
équilibre-là entre la protection de la vie privée puis la valorisation de la
recherche.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M. Bachand) :M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, M.
le Président. Bonjour, Pr Déziel. Un plaisir de vous retrouver. Nous
avions eu l'occasion d'échanger lors de la commission, là, sur l'application de
traçage de la COVID-19, comme le président l'a si bien mentionné.
Je sais que vous avez axé votre
présentation sur la notion de recherche, mais j'aimerais aller également sur le
fond du projet de loi, là, un petit peu plus large, là, comme réflexion. Puis
je sais que vous avez ces capacités-là. On a eu des discussions par rapport à
ça, peut-être, en lien avec les fameuses définitions des renseignements
personnels. On a eu tout à l'heure, là, la notion de renseignements sensibles
qui a été intégrée ou même tout ce qui était, là, renseignements anonymisés,
dépersonnalisés. J'aimerais peut-être vous entendre sur ces questions-là. Qu'est-ce
que vous en pensez? Devrions-nous définir… Certains disaient qu'il fallait
utiliser les notions de la charte. Il y a aussi la notion européenne. Donc,
j'aimerais avoir un peu, là, votre son de cloche par rapport à ça.
M. Déziel (Pierre-Luc) :
Absolument. Bien, c'est une question qui est très importante et c'est vrai que
c'est dans une perspective de recherche, mais ça éclaire aussi sur le débat
beaucoup plus large. Donc, moi, une de mes préoccupations, c'est, par exemple,
la définition de renseignements qui sont dépersonnalisés. Donc on veut ajouter
un peu plus de flexibilité, dire : Une fois qu'un renseignement est
dépersonnalisé, c'est-à-dire qu'on a retiré les identifiants directs ou
indirects, on a plus de flexibilité pour pouvoir les utiliser.
Toutefois, la définition actuelle ou celle
qui est proposée de la dépersonnalisation, à mon sens, elle n'est pas assez
précise. C'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à
partir du moment où il n'est plus possible d'identifier directement une
personne. Alors, on peut ne plus identifier directement une personne tout
simplement en enlevant <son nom...
M. Déziel (Pierre-Luc) :
...
proposée de la dépersonnalisation, à mon sens, elle n'est pas assez
précise, c'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à
partir du moment où il n'est plus possible d'identifier directement une
personne. Alors, on peut ne plus identifier directement une personne, tout
simplement en enlevant >son nom, mais, indirectement, ça peut demeurer
très, très, très facile de réidentifier la personne.
Et donc ce qu'on n'a pas dans la loi,
actuellement, ou dans le projet de loi, actuellement, c'est une définition plus
rigoureuse ou plus précise de ce qu'est un renseignement dépersonnalisé. Par
exemple, dans le reste du Canada, il y a différentes juridictions ou… en fait,
presque l'ensemble des provinces, dans leurs lois sur la protection des
renseignements personnels dans le domaine de la santé, qui vont dégager des
seuils à partir duquel… beaucoup plus précis, des seuils plus précis à partir desquels
on peut dire qu'un renseignement est dépersonnalisé.
Par exemple, en Ontario, dans la loi de
2004, sur la protection des renseignements personnels dans le domaine de la
santé, on dit : Un renseignement est dépersonnalisé une fois qu'on ne peut
plus identifier directement la personne, mais où il n'y a pas de fortes
probabilités de réindentifier la personne. Et ces fortes probabilités-là sont
évaluées en fonction du contexte, donc, quels types de renseignements on a, c'est
quoi, les capacités de la personne qui va maîtriser ces renseignements-là. En
Alberta, en Saskatchewan, on a un autre critère qui va nous dire : Est-ce
que ça va être facile de réindentifier les personnes? Et il y a même de la
jurisprudence au niveau fédéral, la règle Gordon c. Santé, de 2008, qui va nous
dire est-ce que ça serait… est-ce que c'est raisonnablement possible de prévoir
qu'il y aura une forme de réindentification.
Donc, à mon sens, la définition, elle
n'est pas assez précise dans le projet de loi. Elle pourrait être plus précise
en s'adaptant d'exemples qui sont canadiens, <qui sont... >qu'on
comprend et qu'on connaît. Finalement, il n'y aura aucun seuil qui va être
parfait, mais ça va amener un petit plus de précision derrière tout ça. À mon
sens, là, on aurait quelque chose qui serait peut-être imprécis, mais trop
large aussi.
Concernant les données anonymisées, donc,
le projet de loi n° 64 prévoit qu'une donnée anonymisée est, en quelque
part, une mesure de sécurité qui peut remplacer la destruction des données. Et
ça, c'est assez intéressant parce que ça veut dire qu'on peut les garder, les
anonymiser et les utiliser à différentes fins. Toutefois, le projet de loi
propose qu'un renseignement va être anonymisé à partir du moment où on va taire
l'identité de la personne et que ça va être impossible ou ça va être
irréversible qu'on va être capable de réidentifier des personnes.
Alors, <l'écho que j'ai… >c'est
quelque chose qu'on trouve beaucoup dans la doctrine, mais même l'écho que j'ai
des chercheurs qui travaillent sur des techniques d'anonymisation parle beaucoup
plus de pseudoanonymisation et va nous dire que le risque zéro, le risque de
réidentification est presque... il peut être réduit à très, très, très bas, finalement.
Mais l'idée de mettre dans la loi quelque chose comme étant irréversible ou
impossible va peut-être, en fait, amener une barrière trop importante, et dans
le sens où, en fait, ces données n'existeront pas, puis on ne pourra jamais
utiliser ça, finalement. Donc, c'est l'une des craintes qu'on a.
M. Lévesque (Chapleau) : …à
cette crainte-là, c'est la destruction des données lorsqu'on a fini
l'utilisation qu'on avait à en faire, avec le consentement, bien entendu?
M. Déziel (Pierre-Luc) : Non.
Je pense que la solution, ça serait de mieux définir qu'est-ce qu'on entend par
données qui sont anonymes, finalement, ou <anonymisées, c'est-à-dire,
peut-être, de...
M. Déziel (Pierre-Luc) :
...des craintes qu'on a.
M. Lévesque (Chapleau) : Et
est-ce que la solution à cette crainte-là, c'est la destruction des données
lorsqu'on a fini... joindre l'utilisation qu'on avait à en faire avec le
consentement, bien entendu?
M. Déziel (Pierre-Luc) :
Non, je pense que la solution, ça serait de mieux définir qu'est-ce qu'on
entend par données qui sont anonymes, finalement, ou >anonymisées,
c'est-à-dire, peut-être, de préciser qu'on peut... C'est possible, par exemple,
de pseudoanonymiser un jeu de données, d'enlever tous les identifiants directs
et indirects, de remplacer ça par des codes et de détruire la clé qui nous
permet de réidentifier des personnes. Mais, dans les données, il y aura souvent
des signatures uniques, finalement, c'est-à-dire un historique personnel, un
taux de cholestérol qui est très individuel ou l'évolution d'un trouble de
cholestérol qui est très individuel. Mais on va pouvoir identifier les
personnes seulement quand on va se joindre à d'autres banques de données, on va
croiser avec d'autres banques de données.
Donc, à mon sens, l'idée, ce n'est pas de
se départir de cette notion, elle est excessivement importante pour un
domaine... dans le domaine de la recherche, mais de mieux préciser qu'est-ce
qu'on veut dire par là et de dire, par exemple… irréversible ou un faible
risque de réidentification avec les techniques d'anonymisation, finalement, donc,
c'est plus de travailler ou de préciser cette notion-là.
M. Lévesque (Chapleau) : O.K.,
merci. Est-ce que vous êtes à l'aise avec le concept de gradation de
sensibilité de certaines données? Parce que certains sont venus nous parler…
bon, plus sensibles, moins sensibles, selon certains critères de gradation.
Est-ce que c'est un concept qui vous parle ou ce ne serait pas à intégrer nécessairement?
M. Déziel (Pierre-Luc) :
Bien, c'est un concept qui est intéressant. Ce qu'on voit, par contre, c'est
que... En fait, une des choses qu'on remarque, notamment, dans le milieu de la
recherche, c'est que tous les renseignements, même les plus anodins ou les plus
banals, peuvent devenir particulièrement sensibles à un moment ou à un autre
puis être utilisés pour réidentifier les personnes ou indiquer des choses qui
sont assez intimes auprès de la personne. Donc, par exemple, des données de
géolocalisation ou des achats de carte de crédit… Il y a plusieurs études qui
démontrent que les achats de cartes de crédit… qui a de l'air assez banal, c'est-à-dire
qu'est-ce qu'on est allés acheter à… bien, on peut quand même retracer des
choses assez intimes au sujet des personnes.
Par contre, moi, je trouve que la
définition de renseignements sensibles qui est proposée <dans la loi… >dans
le projet de loi est quand même très intéressante et permettrait quand même, justement,
une approche qui serait beaucoup plus contextuelle, donc, pas dire tout le
temps : Ce renseignement-là n'est pas très sensible, celui-là est
sensible, celui-là est très sensible, mais vraiment d'avoir une approche plus
contextuelle. L'expression même, «des attentes raisonnables»… En quelque part,
je ne peux pas m'empêcher de faire un lien avec l'article 8, où la
jurisprudence relative à l'article 8 de la charte canadienne permet une
évaluation qui serait beaucoup plus contextuelle, pas nécessairement uniquement
en fonction de ce renseignement-là, mais dans le contexte au sein duquel il a
été utilisé.
M. Lévesque (Chapleau) :
Parfait, merci. J'aimerais peut-être vous amener sur la notion de consentement.
On a eu, là... Bon, il y a des modifications qui sont proposées au projet de
loi. Je ne sais pas si vous êtes en accord avec ces modifications-là ou vous
auriez peut-être d'autres propositions par rapport au consentement. On a eu des
spécialistes qui sont venus nous dire que, bon, en Europe, par exemple, le
consentement, c'est presque explicite, c'est presque la dernière étape, puis
les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés,
là, de longs <textes...
M. Lévesque (Chapleau) : …
ou
vous auriez peut-être d'autres propositions par rapport au consentement. On a
eu des spécialistes qui sont venus nous dire que, bon, en Europe, par exemple,
le consentement, c'est presque explicite, c'est presque la dernière étape. Puis
les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés,
là, de longs >textes en petit texte, là, in-octavo, puis c'est presque
compliqué de le lire. Donc, je ne sais pas ce que vous en pensez de ce
concept-là.
M. Déziel (Pierre-Luc) :
Bien, pour avoir suivi un petit peu les auditions depuis le début et pour être quand
même au fait de ce que la littérature va dire, c'est vrai que le consentement a
ses limites, a des limites qui sont assez importantes. Vous en avez discuté. Le
Pr Gautrais, que vous avez entendu, a l'expression, souvent, que c'est, en
quelque part, un bouclier, presque, pour les entreprises, c'est-à-dire qu'ils
peuvent <déresponsabiliser... >se déresponsabiliser, mettre la
responsabilité sur les individus.
À mon sens… Et le consentement demeure un
élément essentiel d'une bonne protection des renseignements personnels,
nécessaire, mais non suffisante, et il faut que ça soit renfoncé aussi par
d'autres mécanismes. À mon avis, une des choses sur lesquelles on doit jouer ou
on pourrait jouer, c'est quelque chose qui pourrait être développé par la
jurisprudence aussi, c'est qu'est-ce qu'on entend par un intérêt sérieux et
légitime de collecter, d'utiliser ou de divulguer des renseignements personnels.
Ce qu'il ne faut pas oublier, à mon avis… Donc,
nos lois sont structurées pour faire en sorte qu'obtenir le consentement n'est
pas suffisant même pour faire un traitement des renseignements personnels. Il
faut que l'entreprise m'informe de la fin pour laquelle il va collecter ces
renseignements-là. Et, avant même de tout ça, il va falloir que cette fin-là
puisse être considérée comme contribuant à l'atteinte d'un objectif qu'on
considère comme étant sérieux et légitime. Au niveau fédéral, on va parler de
raisonnable et acceptable, dans les circonstances.
Donc, à partir de ce moment-là, c'est
beaucoup plus de… ça serait beaucoup plus de travailler aussi sur les fins ou
sur les objectifs qu'on peut viser en matière de protection et de traitement
des renseignements personnels qu'on considère comme étant acceptables et
légitimes dans le contexte québécois, finalement. Donc, ce que je veux dire par
là, c'est que la manière, dont nos lois sont construites aujourd'hui, même si
on a le consentement de la personne puis on ne participe pas à l'atteinte d'un objectif
qu'on considère légitime et raisonnable, le consentement ne suffit pas. Il faut
remplir ce critère-là avant.
Et c'est un article… C'est l'article 4, par
exemple, de la loi dans le secteur privé... sont très peu utilisés, finalement.
Le paragraphe 5 (3) de la loi fédérale est très peu utilisé. Il y a peu de
débats autour de ces notions-là. Il y a peu de décisions autour de ces
notions-là. À mon sens, on pourrait agir encore un petit peu plus tôt puis
régir ou encadrer les utilisations qu'on considère comme étant acceptables ou
pas, finalement, peut-être offrir des «guidelines» un peu plus... pardon, des
lignes directives un peu plus précises à ce sujet-là puis jouer sur ce point de
vue là.
Le Président (M. Bachand) :Merci beaucoup, M. le professeur. Je me tourne vers l'opposition
officielle pour 17 minutes. M. le député de LaFontaine.
M. Tanguay
: Bonjour,
Pr Déziel. Bonjour. Merci d'être virtuellement avec nous, mais d'échanger,
donc, sur le projet de loi n° 64 et sur des enjeux qui, de façon très,
très évidente, je pense, touchent la population, le respect de la <vie
privée....
Le Président
(M. Bachand) : ...je me tourne vers l'
opposition
officielle pour 17 minutes.
M. le député de
LaFontaine.
M. Tanguay
:
Bonjour, Pr Déziel. Bonjour. Merci d'être virtuellement avec nous, mais
d'échanger donc sur le projet de loi n° 64 et sur des enjeux qui, de façon
très, très évidente, je pense, touchent la population, le respect de la >vie
privée. Et ce qui est intéressant avec votre intervention, c'est que vous
apportez, sous un chapitre très particulier, la recherche. Vous apportez votre
expertise concrète également, pas juste théorique, mais très concrète.
J'aimerais ça, pour ma gouverne, parce que
je ne suis pas comme vous, loin de là, un expert en la matière… Ça semble... D'entrée
de jeu, vous avez fait le commentaire, ou durant votre première intervention :
Un parcours du combattant pour se faire reconnaître chercheur. Vous parliez de…
La première année, on remplit des formulaires. Juste pour ma gouverne puis,
peut-être, la gouverne des collègues, ça prend quoi pour être qualifié de
chercheur? Et quelle est l'évolution de cela? Est-ce que c'est plus difficile? Est-ce
que c'est plus souple? Et est-ce qu'on n'aurait pas une réflexion aussi à se
faire quant à ce processus de qualification là, au-delà de la paperasse, là?
M. Déziel (Pierre-Luc) : Oui,
bien, en fait, c'est ça, c'est qu'en ce moment, présentement, ce n'est pas le chercheur
lui-même qui se qualifie, c'est son... Il qualifie son projet de recherche, finalement.
Donc, il obtient l'autorisation en fonction d'un projet de recherche. Donc,
normalement, pour avoir accès à des fonds d'un organisme subventionnaire pour
pouvoir conduire ces recherches-là, il va falloir avoir, par exemple, un poste
de professeur ou ce genre de chose là, avoir un certain nombre de publications,
avoir déjà participé à d'autres projets de recherche dans le cadre des études,
par exemple, mais c'est un parcours beaucoup plus axé le projet de recherche
individuel que sur le chercheur en tant que tel.
Le modèle qu'on voit en Ontario, le modèle
d'ICES, par exemple, est beaucoup plus sur le pedigree, si on veut, ou le C.V.
du chercheur en tant que tel, ses compétences, est-ce qu'il a publié dans des
revues ou des publications qui sont revues par les pairs, est-ce que c'est un
chercheur qui est reconnu par sa communauté, par ses pairs, est-ce que c'est un
professeur d'université, par exemple, est-ce que vous avez déjà contribué à
d'autres projets qui ont participé à l'avancement de la science.
Donc, c'est un petit peu comme ça qu'on
évalue tout ça. Mais, sinon, au Québec, on y va pièce par pièce, projet par
projet, finalement. Et c'est effectivement beaucoup de formulaires à remplir,
beaucoup de paperasse à remplir. Et, si je peux me permettre, en fait, un des
grands obstacles qu'il y a aussi, ce n'est pas juste remplir les formulaires,
demander les autorisations, c'est d'essayer de faire cadrer la manière dont la
recherche est actuellement conduite au Québec, notamment dans le contexte de
l'intelligence artificielle, et les critères qui sont demandés par la loi et
interprétés par la CAI pour avoir aux renseignements personnels.
Donc, je vous donne un exemple très
simple. Par exemple, il va falloir, dans un contexte scientifique, respecter un
critère qui est établi par la loi et qui est interprété par la Commission
d'accès à l'information, qui est le critère de nécessité. C'est-à-dire qu'il va
falloir, pour aller faire une recherche, n'aller chercher que les
renseignements qui sont nécessaires à l'atteinte de notre objectif de
recherche. Si un renseignement est pertinent, mais non nécessaire, on ne <pourra
pas avoir...
M. Déziel (Pierre-Luc) :
…qui est établi par la loi et qui est interprété par la Commission d'accès à
l'information, qui est le critère de nécessité. C'est-à-dire qu'il va falloir,
pour aller faire une recherche, aller chercher que les renseignements qui sont
nécessaires à l'atteinte de notre objectif de recherche. Si un renseignement
est pertinent mais non nécessaire, on ne >pourra pas avoir accès à ce renseignement
personnel là.
Alors, beaucoup des techniques qui sont
développées dans le contexte de l'intelligence artificielle vont devoir
fonctionner avec beaucoup de jeux de données très, très, très importants, très
grands. Et un des objectifs de l'intelligence artificielle, c'est justement de
déterminer quels types de renseignements peuvent être nécessaires pour prédire…
par exemple, le patient a telle maladie… chez telle personne… ou quelle
personne est plus… quel type de personne est plus à risque de développer telle
maladie.
Donc là, on a vraiment un achoppement qui
est très important. C'est-à-dire qu'on demande aux chercheurs de nous dire qu'est-ce
qui est nécessaire pour ta recherche, et l'objectif de la recherche, c'est de
dire : Bien, j'essaie de savoir justement qu'est-ce qui est nécessaire. Donc,
ce n'est pas la faute de la CAI en tant que telle. Elle interprète ces critères-là.
Mais là il y a un achoppement qui est assez direct, qui est assez frontal. Comment
est-ce que la recherche est conduite et quels sont les critères qu'on demande
aux chercheurs de remplir dans le cadre d'un projet en particulier?
M. Tanguay
: Et donc
vous nous invitez aussi… Vous ne le retrouvez pas, cet amendement-là, dans le
projet de loi n° 64. Vous nous invitez même, j'imagine, à reconsidérer
cela, ce critère-là, qui pourrait être quoi? Je prends mon crayon de
législateur : Toute nécessité… Ce serait pertinent à la recherche,
j'imagine?
M. Déziel (Pierre-Luc) : …pertinent,
ça pourrait être quelque chose d'intéressant. On pourrait dire que, de toute
façon, il y a une branche de l'interprétation du critère de nécessité qui porte
justement sur la pertinence. La pertinence, c'est quelque chose... ou le
critère de pertinence, quelque chose…
M. Tanguay
: Ça peut
être plus large.
• (17 h 20) •
M. Déziel (Pierre-Luc) :
…qu'on trouve dans le Code civil aussi. Je pense, le critère de nécessité, vous
en avez parlé. Ce principe de limitation de la collecte là demeure important
dans le contexte, par exemple, du secteur privé, auprès des organismes publics
aussi. Je pense qu'un des arguments qui est sous-jacent à mon propos
aujourd'hui, c'est de dire que le domaine de la recherche est un petit peu un
secteur différent et unique, dans une certaine mesure, qui ne s'apparente pas à
de l'administration publique, tel qu'est visé par la loi sur l'accès, qui ne
s'apparente pas à des activités commerciales telles qu'elles sont visées par la
loi sur le secteur privé. Donc, je pense que ce qui serait intéressant, ce
serait de réfléchir à une manière dont on pourrait jouer sur les particularités
ou l'unicité de ce milieu-là et d'avoir des dispositions, une section ou
quelque chose qui soit un régime d'encadrement qui soit propre au milieu de la
recherche, finalement.
M. Tanguay
: Et
j'imagine… Je serais curieux de savoir… Je veux vous poser la question. J'imagine
qu'on ne parle pas de compétitivité au point de vue mercantile de l'expression.
Mais, au niveau de la compétitivité de nos chaires de recherche, et tout ça, au
point de vue international, est-ce que nous sommes… Puis là vous avez donné un
bel exemple, le critère de nécessité un peu plus limitatif. Comment on se
compare à l'international? Puis, pour nous, on n'est pas peu fiers de savoir
que telle université… L'Université Laval, pour reprendre votre… là où vous êtes
professeur, on n'est pas peu fiers, socialement, collectivement, de dire :
Aïe! Nos chercheurs ont fait toute une découverte, et ainsi de suite. Comment
on se compare, à ce chapitre-là, accès à l'information, ce dont on parle, là,
avec les autres universités, par exemple?
M. Déziel (Pierre-Luc) :
Bien, à mon sens, on se <compare très bien, mais les échos…
M. Tanguay
: ...
professeur,
on n'est pas peu fiers, socialement, collectivement, de dire : Aïe! Nos
chercheurs ont fait toute une découverte, et ainsi de suite. Comment on se
compare à ce chapitre-là, accès à l'information, ce dont on parle, là, avec les
autres universités, par exemple?
M. Déziel (Pierre-Luc) :
Bien, à mon sens, on se >compare très bien, mais les échos que j'entends
du terrain, surtout dans le domaine de la recherche, c'est qu'on a des ressources
informationnelles, des données de recherche là-dessus, dans le domaine de la
santé, pardon, qui sont excessivement riches, qui sont particulières, qui sont
uniques, en quelque part, dans le monde, et que, même si on est compétitifs, on
les sous-exploite, dans une certaine mesure.
Et, par exemple, dans le domaine de la
recherche, ce qui se passe, je vous donnais l'exemple d'ICES en Ontario, plusieurs
des chercheurs, au Québec, qui font de la recherche dans le domaine de la santé,
vont chercher leurs données en Ontario, finalement. Donc, ils sont reconnus par
ICES comme étant des chercheurs, font de la recherche au Québec, mais avec des
données de l'Ontario parce que c'est trop difficile ou presque impossible pour
eux d'avoir des données québécoises. Donc, les recherches sont faites au
Québec. On essaie de trouver des solutions, dans certains cas, pour des
problématiques québécoises, mais on s'entraîne sur des données qui… de
l'extérieur.
Donc, on est très compétitifs. On pourrait
probablement être encore... et compétitifs, comme vous le dites, vous faites
bien de le dire, pas dans un point de vue mercantile, là, finalement, mais on
est très bons, à mon avis. Mais il y aurait une possibilité, peut-être, d'être
encore meilleurs, finalement. Et le règlement européen donne beaucoup de marge
de manoeuvre aux scientifiques au niveau de la science. C'est-à-dire qu'une des
conditions de la nécessité du traitement de l'information dans le RGPD… Il y en
a plusieurs. Il n'y a pas juste le consentement. Il y a l'intérêt... Il y a des
missions d'intérêt public, et les considérants du RGPD vont nous dire
clairement qu'une recherche scientifique, bien balisée, là, évidemment, bien
encadrée, bien structurée, qu'on aura révisée aussi, participe à ces intérêts
publics et communs, finalement.
M. Tanguay
: Est-ce
qu'il y a un aspect… Puis vous m'inspirez cette question-là. Au niveau de la
conservation des données pour x période de temps suite au dépôt du résultat, du
rapport de recherche, il n'y a pas un aspect aussi de... Donc, quel est l'état
des lieux par rapport à cette capacité de conserver? Y a-t-il une limite de
temps à l'heure où on se parle?
M. Déziel (Pierre-Luc) :
Normalement, le principe... Puis c'est pour ça que je vous dis que le milieu de
la recherche, c'est un principe... assez unique puis qu'en le soumettant à des
lois qui sont prévues pour d'autres choses il y a certains problèmes.
C'est-à-dire que le principe général… Normalement, en protection des
renseignements personnels, si on va chercher des renseignements pour une fin,
une fois que notre fin est atteinte, on détruit les renseignements ou, là,
comme on le propose, mais c'est quelque chose qu'on trouve plutôt au niveau
fédéral, on les anonymise.
Donc, comme je le disais un petit peu plus
tard... un peu plus tôt, l'anonymisation, dans la manière dont elle formulée
dans le projet de loi, à mon sens, elle est presque inopératoire, là. Ça va
être très difficile de s'en servir. Donc, normalement, le principe général,
c'est de faire en sorte que le chercheur, une fois qu'il a collecté ses données,
des fois, ça peut lui prendre très longtemps, ou il a eu accès à ces
renseignements-là, une fois que son projet est fini et que ses objectifs sont
atteints, il doit se départir de ces données-là. Et donc, s'il veut faire une
nouvelle recherche qui serait différente, mais avec ces données-là, il doit
tout repasser par le processus d'autorisation, donc, et ça, ça peut être une problématique
et ça peut rajouter des délais supplémentaires, encore une fois. Donc, la
conservation, ce <serait quelque chose...
M. Déziel (Pierre-Luc) :
...
départir de ces données-là. Et donc, s'il veut faire une nouvelle
recherche qui serait différente, mais avec ces données-là, il doit tout
repasser par le processus d'autorisation, donc... Et ça, ça peut être une
problématique et ça peut rajouter des délais supplémentaires, encore une fois. Donc,
la conservation, ce >serait quelque chose de... ou la réutilisation, quelque
chose d'envisageable.
Peut-être un dernier point sur ça. Les
trois conseils fédéraux vont dans une direction où on considère que les données
qui sont générées par la recherche, en quelque part, sont financées par les
fonds publics et devraient, en quelque part, appartenir à la collectivité
aussi. Et donc, de plus en plus, ce qu'on va demander aux chercheurs, ça va
être de conserver leurs données, de pouvoir les verser dans des dépôts ou dans
des grands dépôts qui vont permettre cette réutilisation des données là, publier
des catalogues de métadonnées, savoir quelle donnée est disponible puis essayer
de faciliter cet accès-là.
Donc, le milieu de la recherche essaie
d'évoluer dans cette direction-là. À l'Université Laval, il y a une initiative
que vous connaissez peut-être, qui s'appelle PULSAR, où on essaie de faire une
centralisation des données de recherche, des lacs de données, pour une
réutilisation ou une utilisation secondaire des données, une revalorisation des
données. Mais, encore une fois, comme je vous expliquais, on est confrontés à
plusieurs des contraintes qui sont imposées dans la loi et qui, à mon sens,
sont plus ou moins pertinentes dans un secteur d'activité comme la recherche.
M. Tanguay
: Et, au
niveau des technologies qui avancent rapidement, évidemment, là, c'est un
euphémisme, pour les bons motifs puis, des fois, pour les mauvais motifs, le
piratage, au niveau de nos chaires de recherche, au niveau des chercheurs,
chercheuses au Québec, sommes-nous bien outillés, conscients... Je n'ai pas
d'exemple, peut-être que vous en avez, où des chercheurs ont été piratés.
Alors, quel est notre niveau de protection là-dessus? Puis est-ce qu'il n'y aurait
pas, au-delà, peut-être, de modifications législatives, lieu de se pencher sur
cette question-là ou pas?
M. Déziel (Pierre-Luc) : Moi,
à ma connaissance, en tout cas, je n'ai pas vraiment eu connaissance
d'incidents majeurs, là, ou même mineurs, là, au niveau de la protection des
renseignements personnels par les chercheurs. À mon avis, pour parler avec
plusieurs d'entre eux, bien... Et c'est normal, ce ne sont pas des juristes, donc,
les concepts de la loi sont peut-être peu familiers pour eux, mais ce que je
vous dirais, c'est que c'est une population qui est... Je dirais, c'est des
gens qui sont assez faciles à... peuvent apprendre rapidement, sont
sensibilisés, très certainement, à ces questions-là et sont... Ils sont mus
aussi par des intérêts ou des impératifs qui sont différents… d'organismes
publics ou les entreprises.
C'est-à-dire qu'un chercheur, par exemple,
typiquement, ne va pas vraiment avoir besoin de l'identité des personnes. Des
données anonymisées ou dépersonnalisées, dans la grande majorité des cas, va
pouvoir servir ses fins. Dans une mesure où il y aurait tentative de
réindentification, il n'a pas besoin d'aller vers les gens pour leur vendre un
produit, pour leur proposer un service. L'identité lui importe plus ou moins. Donc,
les risques de réidentification sont... Les intérêts qui mèneraient à une
réidentification des personnes à partir de données dépersonnalisées ne sont pas
très élevés. Qui plus est, si <jamais il y a un incident...
M. Déziel (Pierre-Luc) :
...
il n'a pas besoin d'aller vers les gens pour leur vendre un produit,
pour leur proposer un service, l'identité l'importe plus ou moins, donc les
risques de réidentification sont... Les intérêts qui mèneraient à une
réidentification des personnes, à partir de données dépersonnalisées, ne sont
pas très élevés. Qui plus est, si >jamais il y a un incident ou il y a
quelque chose qui est problématique, bien, le chercheur n'obtiendra plus ou
aura de la difficulté à obtenir les autorisations auprès de la Commission d'accès
à l'information, et, sans données, bien, ça veut dire un peu... plus de projet
de recherche, et la carrière est un peu terminée.
Donc, moi, plusieurs des chercheurs, ce
qu'ils me disent, c'est : On n'est pas une entreprise, on n'est pas
Facebook, on n'est pas Google, on n'a pas les mêmes intérêts, moi, il faut que
je fasse attention aux données, parce que, si je n'y ai plus accès, ma carrière
est terminée. Donc, je pense que c'est...
M. Tanguay
: Oui. Je ne
vous poserai pas la question à savoir ce que vous pensez, si on devrait
appliquer la règle applicable aux entreprises privées aux partis politiques. Je
pense qu'on bifurquerait sur un autre domaine à ce niveau-là. Mais ça me
faisait penser, ce que vous avez dit là… Effectivement, je veux dire, on n'est
pas Google. On n'est pas... Quand vous dites : Nous, les chercheurs… on a
d'autres vocations.
Un concept que je trouvais intéressant,
permettre la programmation de recherche, donc, permettre l'accès à des données
pour une programmation de recherche, pouvez-vous expliciter… Autrement dit,
pour plus... Vous nous l'avez clairement dit, quand on applique, on applique
pour un projet. Là, on pourrait appliquer pour plus d'un projet ou une sorte de
parapluie de projets. J'aimerais ça vous entendre là-dessus.
M. Déziel (Pierre-Luc) : Oui,
bien, en fait, c'est que le projet de loi… La terminologie qui est utilisée ou
le terme qui est utilisé en matière... pour les évaluations relatives aux
facteurs d'impact sur la vie privée, c'est le terme de protocole de recherche.
Donc, «protocole de recherche», ça veut dire quelque chose de très précis :
exactement mes méthodes de recherche, ma méthodologie de recherche étape par
étape, qu'est-ce que je vais faire avec les données. «Programmation de
recherche», c'est un concept qui est plus large, finalement, c'est-à-dire, je
vais mener différents projets de recherche où l'objectif de la recherche, c'est
d'aller faire ça, je risque d'avoir besoin d'à peu près de ce type de donnée
là. Et un des problèmes qu'on a, puis c'est un petit peu comme je vous
expliquais tout à l'heure, c'est… Le protocole de recherche, souvent, est
tellement précis qu'on va déjà avoir besoin, en quelque part, des données pour
être capables de l'élaborer.
Donc, je vous donne un exemple très rapide,
finalement. J'étais dans une rencontre récemment entre un organisme public et
des chercheurs en intelligence artificielle, et les chercheurs en intelligence
artificielle, bien, ils n'avaient pas leur protocole de recherche encore parce
qu'ils ne savaient pas encore quel algorithme ils allaient utiliser pour
traiter les données, et, pour savoir quel algorithme utiliser, bien, il fallait
déjà qu'ils aient une idée générale des données qui se trouvaient là, et
l'organisme ne peut pas donner les données tant qu'il n'y a pas le protocole de
recherche.
Donc, vous voyez qu'on est un peu dans une
confrontation où on ne peut pas faire le protocole tant qu'on n'a pas les
données puis on ne peut pas donner les données tant qu'on n'a pas le protocole.
Donc, «programmation», ce serait un terme peut-être plus flexible, peut-être
plus général, qui donnerait un peu plus de marge de manoeuvre aux chercheurs
pour l'accès aux données.
Le Président (M. Bachand) :
Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, pour deux minutes.
• (17 h 30) •
Mme Weil
: O.K., d'accord.
Donc, pour revenir sur les dispositions du projet de loi qui sont proposées
concernant des renseignements personnels à utiliser sans le consentement pour
des fins d'études, recherche et production statistiques, juste pour revenir…
pour bien comprendre, est-ce que vous avez des recommandations de <modifications
ou est-ce que c'est bien libellé, selon vous, la proposition...
>
17 h 30 (version révisée)
<33
Mme
Weil
: ...donc, pour revenir sur les dispositions du
projet
de loi qui sont proposées concernant des
renseignements personnels à
utiliser sans le
consentement pour des fins d'études, recherche et
production
statistique, juste pour revenir, pour bien comprendre,
est-ce
que vous avez des
recommandations de >modifications ou est-ce que
c'est bien libellé, selon vous, la proposition?
M. Déziel (Pierre-Luc) : Oui…
Non, c'est ça… Bien, ma recommandation ou mes recommandations plus précises,
bien, ça serait de prendre le domaine de la recherche, un peu comme je disais à
votre collègue, de manière… comme un secteur différent, mais… Je vais répondre
très rapidement. J'aurai des recommandations précises, mais je n'ai pas eu le
temps de terminer mon mémoire. Donc, je vous enverrai mon mémoire.
Mme Weil
: Ah! ça,
écoutez…
M. Déziel
(Pierre-Luc) :Donc, je suis désolé. La
rentrée a été très occupée. On fait des cours en ligne.
Mme Weil
: Formidable!
Donc, c'est une des…
M. Déziel (Pierre-Luc) : Donc,
j'aurai des recommandations précises dans les prochains jours. J'ai presque
terminé la rédaction, mais j'ai préféré attendre de vous envoyer quelque chose
d'exhaustif et de final avant… au lieu de précipiter les choses. Je suis
vraiment désolé pour ça.
Mme Weil
: Non, pas du
tout, et je vous remercie beaucoup, M. Déziel, parce que votre
présentation est très, très riche, très riche. Et donc, pour nous, de saisir
tout ça sans avoir un écrit, ce n'est pas évident. On peut aller écouter votre
témoignage. Mais vous avez... Je regardais vos recherches. Il y a des choses
intéressantes. Vous avez écrit sur le droit à l'oubli, hein?
M. Déziel (Pierre-Luc) : Oui.
Mme Weil
: Le droit à
l'oubli, est-ce que vous avez quelque chose à nous dire sur... vos perspectives
sur ce droit à l'oubli, si c'est applicable. L'autre, c'est, dans cette époque
d'intelligence artificielle… Est-ce qu'il y a des limites du droit à la vie
privée dans cette ère d'intelligence artificielle? C'est les deux autres
questions, mais, en une minute, ça va être peut-être impossible, mais peut-être,
dans votre mémoire…
Le Président (M.
Bachand) : Il reste quelques secondes, Pr Déziel.
Mme Weil
: En votre
mémoire, peut-être vous allez pouvoir y répondre.
M. Déziel (Pierre-Luc) : Peut-être
répondre un peu plus dans le mémoire… Peut-être, rapidement, sur le droit à
l'oubli, disons, là, le droit à l'oubli, pour moi, c'est un outil... Il y a beaucoup
de débats. Est-ce que c'est vraiment quelque chose qu'on pourrait être capables
d'appliquer? Est-ce que la version européenne est applicable au Québec? Est-ce
que ça ne serait pas trop un impact important sur la liberté d'expression,
l'enjeu de la territorialité?
À mon sens, j'aime beaucoup, même, la
façon dont le commissaire à la protection de la vie privée du Canada aborde
cette problématique-là, c'est-à-dire un déréférencement qui serait local. À mon
sens, peut-être que ce n'est pas nécessairement de la protection de la vie
privée, le droit à l'oubli, mais c'est quelque chose d'intéressant. Moi, je
n'ai pas de problème à ce que ça soit dans une loi sur la protection des
renseignements personnels. Et, à mon avis, sur l'enjeu de la liberté
d'expression, je pense que les tribunaux vont être très bien capables de
l'appliquer dans une manière qui va respecter la liberté d'expression au Québec,
au Canada, même si c'est dans une façon qui est différente d'en Europe.
Le Président (M. Bachand) :Merci beaucoup, Pr Déziel. Très appréciée, votre collaboration
à la commission.
J'avais le député de LaFontaine pour une
demande de directive.
Demande de directive concernant la possibilité d'entendre un
intervenant qui ne fait pas partie de l'ordre donné par l'Assemblée
M. Tanguay
: M. le
Président, je ne veux pas allonger notre séance plus que raisonnablement, demande
de directive, M. le Président. Notre secrétaire, que je salue, très efficace
secrétaire de la commission, nous a envoyé un courriel cet après-midi,
spécifiant : Le Commissaire à la santé et au bien-être réitère sa demande
d'être entendu sur le projet de loi n° 64… pour vous souligner, M. le
Président, que nous avons, selon l'horaire, une plage horaire de disponible la
semaine prochaine. Pourrions-nous donner suite à cet acteur, Commissaire à la
santé et au bien-être, qui <réitère...
M. Tanguay
:
...réitère sa demande à être entendu sur le
projet de loi
n° 64 pour vous souligner,
M. le Président, que nous
avons, selon l'horaire, une plage horaire de disponible la semaine... la
semaine prochaine, pardon. Pourrions-nous donner suite à cet acteur
Commissaire
à la santé et au bien-être qui >réitère… Ce n'est pas peu dire, là, il
veut être entendu, puis on a une place la semaine prochaine. Pouvons-nous, M.
le Président, demande de directive, s'assurer qu'il pourra combler ladite place
libre?
Le Président (M.
Bachand) : Écoutez, il y a une place. Je vais prendre ça en
considération. Effectivement, il y a une opportunité pour mardi après-midi. Alors,
je prends ça en considération et je vous reviens très rapidement. Merci
beaucoup.
M. Tanguay
: Merci, M.
le Président.
(Fin de la séance à 17 h 34)