Journal des débats (Hansard) of the Committee on Institutions
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Tuesday, September 29, 2020
-
Vol. 45 N° 96
Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lévesque, Mathieu
-
-
Bachand, André
-
Weil, Kathleen
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lévesque, Mathieu
-
-
Lévesque, Mathieu
-
Bachand, André
-
Tanguay, Marc
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lévesque, Mathieu
-
Lemieux, Louis
-
Tanguay, Marc
-
Weil, Kathleen
-
-
Weil, Kathleen
-
Bachand, André
-
Tanguay, Marc
-
Jolin-Barrette, Simon
-
Lafrenière, Ian
-
-
Lafrenière, Ian
-
Bachand, André
-
Lemieux, Louis
-
Tanguay, Marc
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Jolin-Barrette, Simon
-
Lafrenière, Ian
-
Lemieux, Louis
-
Weil, Kathleen
-
-
Weil, Kathleen
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Ouellet, Martin
-
Jolin-Barrette, Simon
-
-
Jolin-Barrette, Simon
-
Bachand, André
-
Lafrenière, Ian
-
Lévesque, Mathieu
-
Tanguay, Marc
-
Weil, Kathleen
-
Nadeau-Dubois, Gabriel
-
-
Nadeau-Dubois, Gabriel
-
Bachand, André
10 h (version révisée)
(Dix heures)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! Bon
matin. Ayant constaté le quorum, je déclare la séance de la Commission des
institutions ouverte. Je vous souhaite, bien sûr, la bienvenue, en ce beau
matin, et demande aux personnes présentes dans la salle de bien vouloir
éteindre la sonnerie de leurs appareils électroniques.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M. le
Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois
(Gouin) et M. LeBel (Rimouski) par M. Ouellet (René-Lévesque).
Le Président (M.
Bachand) : Merci. Est-ce qu'il y a des droits de vote par
procuration?
La Secrétaire
: Oui.
M. Lévesque (Chapleau) pourra voter pour M. Lamothe (Ungava), pour
M. Martel (Nicolet-Bécancour) et pour Mme Lecours (Les Plaines),
et Mme Weil (Notre-Dame-de-Grâce) pourra voter pour M. Birnbaum
(D'Arcy-McGee).
Le Président (M.
Bachand) : Merci beaucoup. Je souhaite donc la bienvenue aux
représentants du Bureau d'assurance du Canada. Bienvenue, bon matin, et je vous
rappelle que vous disposez de 10 minutes de présentation, et après ça, on
aura un échange avec les membres de la commission présents. Donc, bienvenue, et
la parole est à vous. Je vous demanderais de vous identifier, cependant, pour
débuter.
(Visioconférence)
Mme Grignon (Marie-Pierre) :
Oui, bonjour. Je suis Marie-Pierre Grignon. Je suis accompagnée de Me Alain
Camirand.
Le Président (M.
Bachand) : Merci.
Mme Grignon (Marie-Pierre) :
Donc, M. le Président, chers membres de la commission, je suis Me Marie-Pierre
Grignon, donc, directrice des affaires techniques et juridiques au Bureau
d'assurance du Canada. Donc, je suis accompagnée, comme je viens de le dire,
avec M. Alain Camirand, vice-président associé, conformité, chez compagnie
d'assurance habitation et auto TD, une société qui est membre du BAC.
Je souhaite d'abord vous remercier pour
l'invitation faite au Bureau d'assurance du Canada de participer aux consultations
particulières sur le projet de loi n° 64. J'aimerais
aussi vous rappeler que la mission du Bureau d'assurance du Canada est de
représenter les sociétés privées d'assurance de dommages, soit les compagnies
qui assurent les automobiles, les habitations et les entreprises. Le BAC est
donc le porte-parole de plus de 100 assureurs, représentant plus de 90 %
des parts de marché au Québec et au Canada. Ces sociétés sont des acteurs de
premier plan dans l'économie québécoise et canadienne, tant au niveau de
l'emploi, de la fiscalité que de la protection du patrimoine des entreprises et
des citoyens. Le BAC joue également un rôle d'importance au chapitre de l'accès
à l'assurance et à la sensibilisation des consommateurs aux risques et aux mesures
de prévention des sinistres.
L'industrie d'assurance de dommages salue
la volonté du gouvernement d'actualiser le cadre législatif qui protège les
renseignements personnels au Québec. Comme nous l'avons déjà mentionné lors de
la sortie du dernier rapport quinquennal de la Commission d'accès à
l'information, nous croyons que le cadre actuel ne répond plus aux besoins tant
des entreprises que des consommateurs.
La <récente...
Mme Grignon
(Marie-Pierre) : ...le cadre
législatif qui protège les
renseignements
personnels au
Québec. Comme nous l'avons
déjà mentionné lors de
la sortie du dernier
rapport quinquennal de la
Commission d'accès
à l'information, nous croyons que le cadre actuel ne répond plus aux besoins
tant des
entreprises que des consommateurs.
La >récente rétro des règles
encadrant l'utilisation des renseignements personnels au sein de l'Union
européenne est un exemple à suivre selon nous. Il est cependant important de
noter que ce succès est le résultat d'une vision commune de la protection des renseignements
personnels entre les différentes juridictions. Ceci évite de nombreux obstacles
qui peuvent nuire de manière importante aux entreprises dont les activités
s'étendent au-delà de leurs propres frontières nationales.
Notre industrie est composée de sociétés à
charte québécoise ainsi que de sociétés à charte canadienne qui opèrent dans plusieurs
provinces. C'est aussi une des industries les plus réglementées. Et c'est
notamment pour ces deux raisons que nous sommes particulièrement sensibilisés
aux enjeux d'harmonisation entre les lois qui visent les mêmes objectifs, que
ce soit au sein d'une même province ou au niveau fédéral.
Je voudrais aussi mentionner que la nature
même des activités d'assurance nécessite le traitement d'un grand volume de
renseignements personnels et financiers. Pour établir une prime d'assurance qui
est équitable pour chaque assuré, il est essentiel de bien... évaluer, pardon,
le risque que représente chaque individu et chaque bien. Cette appréciation du
risque se base sur des modèles prédictifs qui utilisent de nombreuses
variables. La collecte d'informations est donc au coeur du processus
d'assurance depuis toujours, et c'est pourquoi les assureurs accordent beaucoup
d'importance à la protection des renseignements personnels de leurs clients. La
confiance de ces derniers, leur réputation en dépend.
À la page 3 de notre mémoire, vous
aurez vu la liste des principaux enjeux que nous souhaitons vous présenter
aujourd'hui. Parmi eux, on retrouve l'harmonisation de la loi avec l'ensemble
de l'encadrement législatif des assureurs. Aussi nous suggérons certaines
exceptions, mesures transitoires aux droits acquis afin de ne pas nuire
indûment aux opérations. Vous remarquerez qu'il s'agit généralement de
problématiques liées à l'application de la loi plutôt qu'à son fondement.
Le BAC et ses membres souhaitent, par
cette démarche, vous proposer de maintenir l'équilibre entre la protection
adéquate des consommateurs et la capacité de conduire des affaires efficacement
dans une économie en pleine évolution, et ce, dans un secteur où le fardeau
réglementaire peut devenir un frein important à l'innovation.
Pour bien comprendre l'enjeu que
représente un manque d'harmonisation avec l'encadrement législatif qui existe
déjà dans la province et le reste du Canada, il faut connaître le contexte dans
lequel les compagnies d'assurance de dommages évoluent. Comme mentionné plus
tôt, les activités des sociétés d'assurance sont déjà rigoureusement encadrées
par le ministère des Finances, par l'Autorité des marchés financiers, et ce, à
travers plusieurs lois, règlements et plus d'une vingtaine de lignes
directrices, et ce, seulement au Québec. Comme la majorité d'entre elles font
des affaires ailleurs au pays, elles sont soumises à un encadrement tous aussi <rigoureux...
Mme Grignon
(Marie-Pierre) : …déjà rigoureusement encadrées par le
ministère
des Finances, par l'
Autorité des marchés financiers, et ce, à travers
plusieurs lois, règlements et plus d'une vingtaine de lignes directrices, et
ça, seulement au Québec. Comme la majorité d'entre elles font des affaires
ailleurs au pays, elles sont soumises à un encadrement tout aussi >rigoureux
dans chaque province où elles sont présentes, en plus de devoir respecter la
réglementation fédérale.
À titre d'exemple de redondances ou
d'incohérences potentielles, certains aspects visés par le projet de loi
n° 64, comme les incidents de sécurité et les communications à l'extérieur
du Québec, sont déjà encadrés par les lignes directrices émises par l'Autorité
des marchés financiers. Le fait d'ajouter de nouvelles règles ayant le même
objet que celles qui existent déjà peut créer une importante confusion et même
donner lieu à des contradictions. Dans notre mémoire, nous identifions des
articles qui nécessitent, à notre avis, une harmonisation et nous y proposons
certaines modifications.
Plusieurs de nos recommandations visent
également à ce que la loi soit davantage basée sur les principes, comme le
proposait d'ailleurs le dernier rapport quinquennal de la Commission d'accès à
l'information. Une telle approche permet aux entreprises d'établir leur propre
cadre de gouvernance et d'atteindre les objectifs de protection du consommateur
plus facilement. Elles permettraient également à chaque entreprise d'établir
des mécanismes qui cadrent avec leur culture et leur structure de manière à
rendre les mesures de protection des renseignements plus efficaces et durables.
Pour le consommateur qui veut que son information soit protégée, c'est le
résultat final qui compte et non la façon d'y parvenir.
Les mécanismes proposés dans le projet de
loi n° 64 pour le transfert d'information imposent d'importantes barrières
aux entreprises. Tout d'abord, il est important de faciliter le transfert des
renseignements personnels entre entités faisant partie d'un même groupe
financier ou lors de transactions commerciales comme des fusions ou des
acquisitions. Le projet de loi propose seulement de limiter les circonstances
pour lesquelles un échange de renseignements personnels entre entreprises est
permis, sans obtenir le consentement de la personne concernée, au transfert de
propriété. Ceci n'est pas suffisamment large pour inclure toutes les
transactions commerciales entre entreprises qui devraient bénéficier d'une
telle possibilité.
En ce qui concerne la communication de
renseignements personnels entre les provinces, les mesures proposées nous
semblent trop contraignantes et difficiles à justifier étant donné l'existence
de lois protégeant et responsabilisant les entreprises en matière de
renseignements personnels dans les autres provinces canadiennes. Selon nous, il
serait plus approprié que l'obligation d'effectuer une étude d'impact et de
risques ne s'applique qu'en présence d'une transmission de renseignements
personnels à l'extérieur du pays.
J'aimerais aussi vous parler de prévention
de la fraude. En assurance de dommages, la fraude représente plus de 15 %
du montant payé par les assureurs en règlement de sinistre. On parle donc de
plus de 1 milliard de dollars par année à travers le Canada. Les assureurs
doivent donc être vigilants, et c'est l'ensemble des assurés qui finissent par
payer pour ce <fléau…
Mme Grignon
(Marie-Pierre) : ...en assurance des dommages, la fraude représente
plus de 15
% du montant payé par les assureurs en règlements
sinistres. On parle donc de plus de 1 milliard de dollars par année à
travers le Canada. Les assureurs doivent donc être vigilants et c'est
l'ensemble des assurés qui finissent par payer pour ce >fléau.
• (10 h 10) •
L'article 18 de la loi sur le secteur
privé donne déjà aux entreprises le droit de communiquer entre elles des
renseignements personnels lorsqu'elles ont des motifs raisonnables de croire
que la personne concernée a commis ou est sur le point de commettre un crime ou
une infraction à la loi. Ceci n'est pas suffisant pour prévenir la fraude à
grande échelle, de façon significative. Les assureurs doivent pouvoir
collecter, utiliser ou échanger des renseignements avec d'autres organismes ou
entreprises. Vous comprendrez que si l'on doit obtenir le consentement d'un
individu à cette fin, l'objectif de lutte contre la fraude est compromis. À cet
égard, l'industrie de l'assurance de dommages souhaite donc que la
communication entre assureurs de certains renseignements relatifs à la... une
information relative à la prévention de la fraude soit clairement permise.
En ce qui concerne les sanctions
proposées, nous nous expliquons mal leur ampleur à la lumière de
l'environnement économique et législatif qui prévaut au Québec. La dissuasion
doit bien entendu faire partie des objectifs des sanctions, mais celles préposées…
celles proposées, pardon, nous semblent démesurées. Elles s'apparentent à
celles qu'on retrouve dans le marché européen, alors que ce dernier est très
différent du nôtre. En effet, la population de l'Union européenne, qui compte
27 États membres, est de 447 millions d'habitants. Ainsi, nous
suggérons que les sanctions soient davantage de l'ordre de celles que l'on
retrouve dans les lois québécoises.
Et finalement, les dispositions
transitoires devraient prévoir des droits acquis, tant pour le traitement des
informations et des consentements obtenus avant l'entrée en vigueur de la loi
que pour les conditions applicables aux relations contractuelles qui sont en
cours. Dans le cas contraire, il en résulterait un fardeau énorme sur les
opérations des entreprises, en plus de créer de la confusion chez les
consommateurs et de l'incertitude dans les relations commerciales.
En terminant, nous insistons sur
l'importance d'harmoniser les différentes législations applicables aux
assureurs de dommages, tant au Québec que dans l'ensemble du pays, de mettre en
place des moyens pour contrer la fraude en assurance et de s'assurer que la loi
s'adapte tant à l'évolution technologique, qui ne cesse de s'accélérer, qu'aux
besoins des consommateurs, et ce, en étant basée sur des principes plutôt que
sur des façons de faire.
Merci beaucoup pour votre attention. Nous
sommes maintenant prêts à répondre à vos questions.
Le Président (M. Bachand) :
Merci beaucoup, Me Grignon. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Oui.
Bonjour, M. le Président, heureux de vous retrouver après cette... en début de
semaine. Me Grignon, Me Camirand, bonjour, merci de participer aux travaux de
la commission sur le projet de loi n° 64.
D'entrée de jeu, au niveau, là, du Bureau
d'assurance du Canada, là, j'aimerais qu'on revienne, là, sur le <concept...
M. Jolin-Barrette :
...Me Camirand, bonjour. Merci de participer aux travaux de la
commission
sur le
projet de loi n° 64.
D'entrée de jeu,
au
niveau, là, du Bureau d'assurance du
Canada, là, j'aimerais qu'on
revienne, là, sur le >concept de décision automatisée, qui ne contient
aucune distinction d'application, notamment sur les contrats et le droit d'opposition.
Je voudrais que vous me parliez de ça, parce que c'était soulevé dans votre mémoire,
et vous disiez : Bon, bien, ça entraîne un fardeau administratif pour les
entreprises. Pouvez-vous nous expliquer précisément ce que vous voulez dire par
là?
Mme Grignon (Marie-Pierre) :
Bien, en fait, je pense que ce qui est proposé, c'est... On comprend qu'au
niveau de la transparence, c'est très important, donc, il faut informer les
consommateurs, tout ça. Je veux juste… au niveau de votre question, vous voulez
savoir exactement... Est-ce que vous parlez de la télématique puis de ces
choses-là ou... peut-être juste préciser un petit peu votre question.
M. Jolin-Barrette :
Bien, la télématique, c'est les décisions automatisées?
Mme Grignon (Marie-Pierre) :
Pardon?
M. Jolin-Barrette : La
télématique, comme vous dites, c'est les décisions automatisées?
Mme Grignon (Marie-Pierre) :
Pardon, vous parlez... excusez, la… oui, au niveau des décisions… je vais
peut-être laisser Alain, mon collègue Alain, répondre à cette question au
niveau de l'automatisation des réponses. Merci.
M. Camirand (Alain) :
Oui. Bien, je pense que ce qu'il est important de comprendre, dans l'environnement
des assureurs, c'est que, de façon générale, toutes les décisions d'assurance
sont... automatisées, là. C'est-à-dire que la façon dont on fonctionne, c'est
que les clients nous fournissent un certain nombre d'informations, et on prend
cette information-là et on la met dans nos systèmes, qui vont générer les
primes, qui vont générer les propositions de couvertures qui seront adaptées
aux besoins des clients... Et donc, dans ce sens-là, quand on regarde le
libellé du projet de loi, bien, on note, là, à peu près toutes nos décisions, finalement,
là, en tant qu'assureur seraient sujettes à la disposition, là, du projet de
loi concernant les décisions fondées exclusivement sur un traitement
automatisé. Donc, ça vient alourdir singulièrement, là, nos opérations, là, parce
que c'est de la façon dont on fonctionne, là. Je ne sais pas si ça répond à
votre question?
M. Jolin-Barrette :
Donc, je comprends, là, que vous, là, dans votre modèle d'affaires, là,
supposons que moi, là, je veux avoir une soumission pour une assurance, là,
bien, en fait, je transmets mes informations personnelles et nominatives à
l'assureur avec mon niveau de risque, et là, ensuite, souvent, c'est mis dans
un programme informatique, puis ça me donne ma cotation, mon niveau de risque,
sur lequel vous pouvez me présenter une police d'assurance. C'est un peu ça,
votre crainte, au niveau... parce que vous avez des mécanismes automatisés,
puis là vous dites : Bien, avec la modification législative, nous, ça va
entraîner une problématique au niveau de notre modèle d'affaires parce qu'on
traite beaucoup de renseignements personnels. Est-ce que c'est ça que je
comprends?
M. Camirand (Alain) :
Oui, exactement. À peu près toutes les <décisions...
M. Jolin-Barrette :
...et une police d'assurance. C'est un peu ça votre crainte
au niveau...
parce que vous avez des mécanismes automatisés puis, là, vous dites :
Bien, avec la modification législative, nous, ça va entraîner une problématique
au niveau de notre modèle d'affaires parce qu'on traite beaucoup de
renseignements personnels. Est-ce que c'est ça que je comprends?
M. Camirand (Alain) :
Oui, exactement. À peu près toutes les >décisions qu'un assureur va
prendre vont faire l'objet d'un processus automatisé, là, jusqu'à un certain
point, et on doute que le but de la disposition soit de rendre sujettes à cette
disposition-là, toutes les décisions qu'un assureur peut prendre, là,
concernant son client, là. Donc, c'est dans cette optique-là qu'on a émis des
préoccupations par rapport au libellé de cette disposition-là sur les décisions
automatisées. Ça nous semble trop large pour les... compte tenu de notre modèle
d'affaires.
M. Jolin-Barrette : O.K.
Donc, vous, vous voudriez qu'on ait un assouplissement à ce niveau-là. Mais sur
l'importance de protéger les renseignements et sur la demande de consentement,
ça, vous êtes à l'aise avec ça?
M. Camirand (Alain) :
Bien évidemment, la question de la protection des renseignements, c'est quelque
chose, là, qui nous tient à coeur, là, ce n'est pas du tout l'enjeu, là, pour
nous. Je pense que les assureurs, là, ont à coeur de protéger l'information de
leurs clients, là, pour la simple et bonne raison qu'on est une… des
institutions financières, et la confiance est à la base de nos modèles d'affaires
respectifs. Donc, si les clients n'ont pas confiance en nos organisations pour
protéger leurs renseignements, ils ne nous les confieront pas. Donc, c'est
clairement... de l'industrie de ne pas faire ce qui est nécessaire pour
protéger l'information des clients, là. C'est vraiment les impacts
opérationnels, là, qu'on essaie de prévenir de façon à éviter d'alourdir
inutilement le processus, parce qu'encore une fois, là, il n'y a pas de valeur
ajoutée pour nous d'informer le client, là, à chaque fois, là, qu'on prend une
décision sur lui parce que c'est quelque chose qu'on fait de façon…
Je pense que la disposition visait à
prendre en considération des préoccupations légitimes pour un certain nombre de
transactions qui pourraient être faites, là, à l'insu du client, mais, dans
notre milieu à nous, ce n'est pas vraiment une préoccupation. Je pense que les
gens s'attendent à ce qu'on utilise leurs informations pour leur proposer des
produits qui sont adaptés à leurs besoins et aussi des produits pour lesquels
la tarification, là, tient compte de leurs circonstances spécifiques, là.
M. Jolin-Barrette : O.K.
Vous proposez également que... bien, vous dites : C'est important
d'harmoniser les critères de divulgation d'un incident de confidentialité avec
le fédéral. Donc, vous dites : On devrait avoir les mêmes règles qu'au
fédéral au niveau d'un incident de confidentialité.
Mme Grignon (Marie-Pierre) :
En fait, je peux prendre... peut-être répondre à cette question-là. C'est que,
de façon générale, on demande à ce qu'il y ait une harmonisation à travers le
pays. On ne suggère pas qu'il y ait des lois qui soient meilleures, donc que la
loi fédérale soit meilleure que ce qui est proposé. Je pense qu'on est allé
chercher effectivement ce qui est peut-être plus intéressant, puis la loi
fédérale a été <modifiée...
Mme Grignon
(Marie-Pierre) : …qu'il y ait une harmonisation à travers le pays. On
ne suggère pas
qu'il y ait des lois qui soient meilleures, donc la loi
fédérale soit meilleure que ce qui est proposé. Je pense qu'on est allé
chercher
effectivement ce qui est
peut-être plus
intéressant.
Puis la loi fédérale a été >modifiée quand même à plusieurs reprises au
cours des dernières années, donc je pense que c'est important de s'en inspirer
à certains égards.
Donc, ce qu'on dit, c'est davantage qu'il
y ait une harmonisation à travers le Canada, de façon à ce que les entreprises
qui oeuvrent dans différentes provinces ne soient pas soumises à des règles qui
sont complètement différentes d'une province à l'autre, puis on réfère beaucoup
également au RGDP, parce qu'on sait que ça sera probablement de cette loi-là
que les autres provinces vont s'inspirer lorsqu'elles modifieront leur propre
loi. Donc, c'est plus dans ce sens-là.
M. Jolin-Barrette : O.K.
À la lumière de votre mémoire, là, vous semblez être craintifs par rapport aux
sanctions qui pourraient être émises en regard de non-conformité. Comment
est-ce qu'on pourrait minimiser vos craintes relativement aux montants des
amendes, relativement aux sanctions administratives pécuniaires?
Mme Grignon (Marie-Pierre) :
Bien, en fait, je ne vois pas ça comme une crainte, là. Comme on l'écrit, on
comprend bien que c'est important qu'il y ait des sanctions. C'est plutôt
l'ampleur de ces sanctions-là, notamment au niveau de sanctions
administratives, si on les compare à ce qu'on retrouve dans d'autres lois au
Québec, bien, on n'est pas du tout, du tout dans le même ordre, puis si effectivement
ça se compare à ce qu'on retrouve en Europe, bien, ce n'est pas les mêmes… on
n'a pas le même bassin de populations aussi qui peuvent être affectées, là, suite
à un non-respect de la loi. Donc, ce qu'on demande, simplement, ça serait de se
coller davantage aux dispositions, aux sanctions pénales ou administratives
qu'on retrouve dans d'autres lois au Québec, tout simplement.
M. Jolin-Barrette : Donc,
vous voulez qu'on diminue le montant, parce que les amendes puis les sanctions
administratives sont très élevées, là, dans le cadre du projet de loi
n° 64. Donc, vous souhaiteriez qu'on réduise le montant des amendes puis
des sanctions administratives pécuniaires.
• (10 h 20) •
Mme Grignon (Marie-Pierre) :
Oui, simplement, pour, comme je vous dis, les arrimer avec ce qu'on peut
retrouver dans d'autres lois qui sont aussi importantes, là, que ce soit la Loi
sur la protection de l'environnement. On a déjà la loi sur les assureurs aussi
où on retrouve les sanctions, mais ce ne sont pas des sanctions du même ordre,
si on peut dire.
M. Jolin-Barrette : Mais
vous ne pensez pas que le législateur québécois doit envoyer un signal très
clair relativement aux données personnelles, à la lumière des différents
événements qui sont survenus au cours des dernières années, des derniers mois
aussi, et qu'il y a une certaine forme, parfois, de négligence aussi par
rapport aux données personnelles des Québécois? Vous ne pensez pas qu'il y a un
signal qui doit être envoyé pour dire : Écoutez, là, c'est primordial, là,
ces informations-là, parce que c'est la vie, c'est les renseignements
personnels de la population, là, qui se retrouvent… puis, après ça, ça mène à de
la fraude, du vol d'identité, puis ça chamboule la vie des individus, là, à
partir du moment où la personne se fait voler ses données personnelles, là, et
sont utilisées à mauvais escient?
Mme Grignon (Marie-Pierre) :
Tout à fait. On comprend les impacts, d'ailleurs les impacts sont énormes aussi
sur les <entreprises…
M. Jolin-Barrette :
…après ça, ça mène à de la fraude, du vol d'identité, puis ça chamboule la vie
des individus, là, à partir du moment où la personne se fait voler ses données
personnelles, là, et sont utilisées à mauvais escient.
Mme Grignon
(Marie-Pierre) :
Tout à fait, on comprend les impacts.
D'ailleurs, les impacts sont énormes aussi sur les >entreprises, sur
leur réputation, la confiance de leurs assurés. Donc, certainement que les
assureurs comprennent très, très bien l'importance de protéger les informations
personnelles, ils l'ont toujours fait. Comme Alain l'a dit, les renseignements
personnels, c'est nécessaire au fonctionnement même de l'assurance, c'est à la
base même de la tarification, etc., donc on ne nie pas du tout l'importance de
la protection au niveau de la protection des renseignements personnels, puis,
tout simplement, on parle en termes d'ampleur des montants, et non pas d'éliminer
ces montants-là qui sont importants, là.
M. Jolin-Barrette : Je
vous remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous
plaît.
M. Lévesque (Chapleau) :
Oui. Merci beaucoup, M. le Président. J'en profite pour saluer, là, mes
collègues, vous saluer, M. le Président, aussi. Je suis bien content d'être de
retour ce matin.
Me Grignon, merci pour votre
présentation. Également, M. Camirand, merci d'être présent. Peut-être une
petite question en lien avec la fraude, là. Vous proposez certaines mesures
pour combattre, là, justement, la preuve. Vous proposez notamment que la notion
de dépersonnalisation, là, des données soit ajoutée, là, pour… comme une
possibilité, là, pour ne pas détruire les renseignements personnels. J'aimerais
peut-être vous entendre sur ça, là, d'abord, qu'est-ce que vous entendez par ça
puis comment vous entrevoyez cette possibilité-là.
Mme Grignon (Marie-Pierre) :
Oui, en fait, au niveau de la fraude, bien, comme on l'a dit, c'est sûr que
c'est encore… on peut encore considérer que c'est un fléau au Canada, donc on
demande d'avoir plus de liberté quant à l'utilisation des renseignements
personnels pour réduire la fraude. D'ailleurs, en Europe, la fraude est déjà
considérée comme un intérêt légitime pour lequel on peut utiliser les
informations dans le but de prévenir la fraude.
Vous me parlez également de la
dépersonnalisation ou de l'anonymisation des renseignements. Je vois ça de
façon différente. En fait, c'est que les exigences de la loi en ce qui concerne
la dépersonnalisation puis l'anonymisation, on veut s'assurer que ça ne fera
pas en sorte que les données ne pourront pas être utilisées à des fins
actuarielles, parce que c'est essentiel pour être en mesure de mettre en place
ou, en fait, de créer des modèles prédictifs puis des modèles actuariels qui
font en sorte que les primes sont équitables et qui représentent la réalité. Donc,
je ne sais pas si ça répond à votre question.
M. Lévesque (Chapleau) :
Oui, oui, tout à fait. Est-ce que vous avez d'autres propositions pour,
justement, réduire les possibilités de fraude ou, du moins, certains outils que
vous aimeriez peut-être voir ajoutés sur le projet de loi ou ailleurs, là, que
vous avez peut-être discutés, là, avec vos membres de ces possibilités-là?
Mme Grignon (Marie-Pierre) :
Bien, en fait, peut-être que je pourrais dire que <l'important…
M. Lévesque (Chapleau) :
...activité de fraude ou, du moins, certains outils que vous aimeriez
peut-être
voir ajoutés sur le
projet de loi ou
ailleurs, là, que vous avez
discuté
peut-être, là, avec vos membres de ces possibilités-là.
Mme Grignon
(Marie-Pierre) : Bien, en fait,
peut-être je pourrais dire que >l'important,
ça serait la possibilité d'échanger de l'information pour être en mesure,
donc... entre assureurs, notamment, pour être en mesure de prévenir la fraude.
Je ne sais pas si, Alain, tu avais d'autres suggestions en termes d'autres
mécanismes comme tels auxquels tu penses, là, mais, de notre côté, ça serait
plus au niveau, effectivement, d'échange d'information.
M. Camirand (Alain) :
Oui, en fait, effectivement, les assureurs, au cours des dernières années, ont
développé plusieurs modèles informatiques, des modèles d'intelligence
artificielle, qui leur permettent de recouper des informations qui permettent
d'identifier plus facilement les cas potentiels de fraude, c'est quelque chose
qui est particulièrement avancé en Ontario, et la législation canadienne
donne... (panne de son) ...c'est important que les compagnies d'assurance
puissent continuer d'innover, à bâtir des modèles pour lutter contre la fraude
organisée, notamment par l'utilisation, là, de l'intelligence artificielle. Et,
si le libellé de la loi est trop restrictif, si le libellé ne permet pas un
échange efficace d'informations entre les compagnies d'assurance, ça risque de
nous empêcher d'utiliser, au Québec, ces modèles-là qui se sont avérés
efficaces et qui permettent de lutter plus efficacement contre des fraudeurs
qui sont eux-mêmes de plus en plus sophistiqués et qui mettent en place des
stratagèmes extrêmement audacieux et compliqués, là, qui sont difficiles de
contrer avec les méthodes traditionnelles de lutte contre la fraude en
assurance.
Et le danger qu'on a ici, c'est que, si l'environnement
réglementaire québécois est trop restrictif, il y a un risque que les fraudeurs
s'en rendent compte et éventuellement décident de prendre le Québec pour cible parce
que l'environnement réglementaire leur sera favorable, et ça, c'est quelque
chose qui, je crois, là, on doit être vigilants à cet égard-là et s'assurer que
l'environnement réglementaire maintient une balance raisonnable entre le besoin
de protéger l'information des gens mais aussi la nécessité de donner aux
compagnies d'assurance les moyens dont ils ont besoin pour lutter contre la
fraude en assurance qui, rappelons-le, est un véritable fléau, là, qui affecte
tous les Québécois, là. C'est tous les Québécois qui paient le fait que
certaines personnes malavisées utilisent la fraude en assurance.
M. Lévesque (Chapleau) :
Je comprends. Donc, selon vous, il y aurait un certain équilibre à atteindre
entre, justement, le combat, là, de la fraude, là, chez les assureurs et la
protection des renseignements personnels.
Vous avez mentionné, là, la possibilité de
transférer ou, du moins, d'échanger de l'information entre assureurs ou entre
groupes d'assureurs, vous ne percevez pas un risque, là, justement, de... Parce
que plus que les <données...
M. Lévesque (Chapleau) :
...un certain équilibre à atteindre entre,
justement, le combat, là, de
la fraude, là, chez les assureurs et la protection des renseignements
personnels. Vous avez mentionné, là, la possibilité de transférer ou, du moins,
d'échanger de l'
information entre assureurs ou entre groupes
d'assureurs. Vous ne percevez pas un risque, là,
justement, de...
Parce
que plus que les >données vont s'échanger, plus qu'il va y avoir un
risque, justement, là, pour la protection de ces renseignements-là, bien, est-ce
que… je ne sais pas, je veux juste voir votre opinion par rapport à ça, là, sur
ce risque-là, et où serait cet équilibre-là, là. Donc, parce que, si on se met
à transiger ou, du moins, à échanger des données entre assureurs et entre
différentes entreprises, bien, il y a plusieurs mains… ça passe entre plusieurs
mains, donc le risque peut augmenter par rapport à ça.
M. Camirand (Alain) : Vous
avez tout à fait raison, puis je pense que c'est effectivement une
préoccupation des assureurs qui sont impliqués dans ce genre d'initiative là.
Il va de soi que toutes les mesures de protection requises vont... sont prises
ou vont être prises, là, dans l'éventualité où les assureurs, là, développent
ce genre de modèle là, là. Et il faut comprendre aussi que ce n'est pas
nécessairement toute l'information qui va être échangée, là, on parle de
l'information qui permet d'identifier... (Interruption) excusez-moi, des fraudes
potentielles. Donc, ça reste un niveau d'information qui est quand même limité,
là.
M. Lévesque (Chapleau) :
Peut-être en terminant, là, sur la notion, justement… d'anonymisation, pardon,
et de dépersonnalisation des données, il y a plusieurs experts qui nous ont dit
qu'il y avait quand même une crainte ou une possibilité, en recoupant certaines
données, de finalement pouvoir retracer ou retrouver qui était... à qui
appartenaient ces données. Est-ce que vous partagez ces craintes? Est-ce que
c'est quelque chose qui vous préoccupe aussi chez les assureurs?
Mme Grignon (Marie-Pierre) :
Bien, c'est effectivement, en fait, difficile de complètement anonymiser ou
dépersonnaliser, certainement. Au niveau technique, c'est ce que nous aussi, on
a compris. Par ailleurs, je pense que si les autres règles, au niveau de la
protection des renseignements, sont permises... Nous, en fait, notre
préoccupation, comme je l'ai dit tantôt, était beaucoup au niveau de
l'utilisation au niveau de l'actuariat parce que, dans certains cas, si tu
anonymises complètement l'information, par exemple, les adresses vont être des
informations qui vont être pertinentes pour les actuaires, et ces
informations-là, pour être vraiment utiles et complètes, doivent être utilisées
parfois sur une assez longue période de temps, donc si l'information est
complètement anonymisée, elle devient... puis, si c'est bien fait, selon,
j'imagine, les règles de l'art, à ce moment-là, bien, l'information n'est plus
utilisable de façon efficace par les actuaires pour créer des modèles
actuariels.
Le Président (M.
Bachand) : Merci beaucoup.
M. Camirand (Alain) :
Peut-être juste pour ajouter là-dessus, si vous permettez...
Le Président (M.
Bachand) :Je dois céder la parole à la
députée de Notre-Dame-de-Grâce, M. Camirand. Désolé.
M. Camirand (Alain) :
...les données actuarielles...
Le Président (M.
Bachand) : M. Camirand, je...
• (10 h 30) •
M. Camirand (Alain) :
...d'innover, de développer des nouveaux produits, de faire une planification
adaptée aux besoins des clients. C'est fondamental pour une compagnie
d'assurance d'être capable d'utiliser les données des clients afin d'évaluer...
10 h 30 (version révisée)
Le Président (M.
Bachand) : ...à Mme la députée de Notre-Dame-de-Grâce,
M. Camirand. Désolé.
M. Camirand (Alain) : …les
données actuarielles...
Le Président (M. Bachand) :
M. Camirand, je...
M. Camirand (Alain) : ...peuvent
nous permettre d'innover, de développer de nouveaux produits, de faire une
tarification adaptée aux besoins des clients. C'est fondamental pour une
compagnie d'assurance d'être capable d'utiliser les données des clients afin
d'évaluer des tendances, évaluer... de nouveaux produits...
Le Président (M.
Bachand) : Merci, M. Camirand. Je dois malheureusement
vous couper. Je dois vous couper. Mme la députée de Notre-Dame-de-Grâce, s'il
vous plaît. Désolé, M. Camirand. Mme la députée, s'il vous plaît.
Mme Weil
: Oui, si
vous voulez terminer votre phrase, M. Camirand. Est-ce que vous
m'entendez?
M. Camirand (Alain) : ...ce
n'est que l'information, pour les compagnies d'assurance, c'est capital. Et,
sans information, on ne peut pas innover. Donc, il faut éviter de se mettre
dans une situation où les assureurs ne pourront plus utiliser les données de
leurs clients pour des fins actuarielles.
Mme Weil
: Alors,
bonjour, Mme Grignon, M. Camirand. Merci d'être là. Vous avez un
mémoire très riche en recommandations, et c'est sûr qu'on n'aura pas le temps
de toutes les revoir.
Mais on va commencer peut-être par
regarder cette notion d'harmonisation. Évidemment, beaucoup d'autres groupes
l'ont proposé aussi. Je vous dirais, beaucoup ont insisté sur une certaine harmonisation
avec la loi fédérale, le RGPD. Et j'ai compris, dans une intervention de
Mme Grignon, que, si on regardait... bien, dans un premier temps, la loi
fédérale, qui a déjà subi des modernisations au cours des dernières années,
qu'on pourrait imaginer, c'est votre prévision, que les provinces vont de toute
façon s'ajuster à la loi fédérale. Donc, je ne pense pas que vous nous demandez
d'aller voir ce qui se passe dans toutes les provinces et de prévoir. Mais vous
dites : S'il y avait une certaine harmonisation avec le gouvernement
fédéral, éventuellement les systèmes vont s'harmoniser.
Pouvez-vous nous
expliquer — c'est un sujet qui revient souvent — comment y
procéder, quel temps ça prendrait? Est-ce que ça va prendre... C'est tout
simplement carrément de s'inspirer de cette loi, sans plus, et d'avoir des
mesures... je ne me rappelle plus si vous rentrez dans le détail des mesures
qui sont les plus problématiques pour vous, puis qu'on pourrait les identifier,
puis de voir à ajuster notre libellé. C'est un peu ce que vous nous demandez,
mais ce serait limité à un exercice de ce genre. Est-ce que c'est bien ça?
Mme Grignon (Marie-Pierre) :
Bien... Oui, je peux y aller, Alain. En fait, oui, s'inspirer de la loi
fédérale, certainement, mais, en même temps, on sait qu'elle sera peut-être
également modifiée et probablement pour se... au nouveau principe plus
international… puis on parle beaucoup du RGPD. Donc, c'est pour ça qu'on y
réfère également beaucoup dans notre mémoire parce qu'éventuellement on pense
que ça sera cette approche-là qui sera adoptée, peut-être par l'ensemble des
pays, mais, en tout cas, du moins, on va parler du Canada, donc par le fédéral
et les autres provinces canadiennes. On pense que cette approche-là doit être
favorisée parce qu'en fait elle change un peu l'approche qui, avant, était
davantage basée sur le consentement pour responsabiliser davantage les <entreprises...
Mme Grignon
(Marie-Pierre) : ...va parler du Canada, donc par le fédéral et les
autres provinces canadiennes. On pense que cette approche-là doit être
favorisée parce qu'en fait elle change un peu l'approche qui, avant, était
davantage basée sur le consentement pour responsabiliser davantage les >entreprises,
donc faire en sorte que les entreprises, lorsqu'elles vont recueillir des
données, aient intérêt légitime, collectent des renseignements qui soient
nécessaires à leurs activités, également que les entreprises soient
transparentes. Donc, ce sont des principes importants qu'on retrouve dans le
RGPD.
Et, en plus, on met des mécanismes en
place pour que ça soit respecté. On parle de… vous excuserez les anglicismes, mais
de «privacy by design», «privacy by default». Ça fait en sorte qu'en fait qu'on
change l'approche. Ce n'est plus autant au consommateur de gérer toutes ces
informations-là, à prendre peut-être autant de décisions au niveau... en
donnant une multitude de consentements qui, souvent, lorsqu'il sera comme
assailli de données, bien, les décisions qu'il va prendre ne seront peut-être
plus aussi pertinentes.
Donc, je pense que c'est plus dans ce
sens-là où il faut un peu s'inspirer de cette nouvelle approche là, qui fait en
sorte que, oui, le consommateur a certains consentements à donner, mais lorsque
c'est vraiment utile. D'ailleurs, au niveau de l'Europe, les consentements à la
base ne sont pas requis, et c'est seulement dans certaines circonstances qu'ils
le seront. On peut penser au fait que, lorsque c'est pour la préparation ou
l'exécution d'un contrat, le consentement n'est pas requis à la base ou encore
en prévention de la fraude comme je le disais tantôt.
Ça fait que je pense que c'est plus dans
ce sens-là où il faut s'assurer que la législation québécoise respecte ces grands
principes là, sans que ça soit un copier-coller. Certainement qu'il faut
considérer nos réalités, les réalités qui sont propres au Québec, mais, quand
on parle d'harmonisation, c'est dans ce sens-là.
Mme Weil
: Oui.
Merci. Est-ce que vous pouvez donner un exemple? Vous dites que le projet de
loi est trop spécifique dans les cas qui sont visés et devrait s'orienter sur
des grands principes. Pouvez-vous donner des exemples de ça? C'est un... donc… Et
je pense que la loi fédérale va plus dans le sens de grands principes, c'est un
peu ce que vous dites, mais que… bon, les genres de torts que ça peut produire,
vous causer, quand on va sur le très spécifique.
Mme Grignon (Marie-Pierre) :
Bien, en fait, ce qu'on dit, c'est que, lorsque la loi< est trop... >,
elle n'est pas basée sur des principes puis qu'elle est trop spécifique, ça
ne permet pas à chaque entreprise de l'adapter en fonction de sa taille, de ses
normes de gouvernance, etc. <Donc... >Puis aussi je pense que, si
la loi est basée sur des principes, ça va lui permettre de passer le temps,
d'une part, de traverser les époques, et ça peut faire en sorte que, justement,
surtout dans une loi comme celle-là qui s'applique à l'ensemble des entreprises
du Québec et qui ne tient pas compte des particularités sectorielles… bien,
quand c'est basé sur les principes, ça permet davantage aux entreprises
d'adapter, en fait, la loi pour qu'ultimement les résultats soient atteints,
les obligations soient respectées, mais en utilisant des moyens qui peuvent
être <différents...
Mme Grignon (Marie-Pierre) :
…qui s'applique à l'ensemble des entreprises du Québec et qui ne tient pas
compte des particularités sectorielles… bien, quand c'est basé sur les
principes, ça permet davantage aux entreprises d'adapter, en fait, la loi pour
qu'ultimement les résultats soient atteints, les obligations soient respectées,
mais en utilisant des moyens qui peuvent être >différents. Si on regarde
au niveau… Allez-y.
Mme Weil
: J'allais vous
dire, bien, peut-être si vous pourriez préciser des grands principes que vous
voyez, par exemple, qui seraient notamment, j'imagine, dans la loi fédérale.
Mme Grignon (Marie-Pierre) :
Oui. Bien, si on regarde des exemples, en fait, où il y a plus de flexibilité
au niveau du RGPD, on peut penser en ce qui concerne la fonction de
responsable, par exemple, on va permettre la mutualisation de la fonction, ce
qui n'est pas prévu présentement dans la p.l. n° 64. On va prévoir
également la possibilité de déléguer la fonction à l'extérieur de
l'organisation pour différentes raisons, si c'est des petites entreprises ou
pour d'autres motifs. On peut penser aussi à l'évaluation des facteurs de
risque. Dans le projet de loi n° 64, on dit que tous les projets doivent
être… sont visés, en fait, par ces telles évaluations là. On pense que ce n'est
pas nécessaire et qu'on devrait regarder ce qui se fait au niveau européen et
prévoir un seuil de matérialité ou d'autres critères comme ceux-là. Ça permet <de
moduler les… >de moduler, en fait, les exigences en fonction des besoins
réels.
Mme Weil
: Maintenant,
vous faites…
Mme Grignon (Marie-Pierre) :
Je peux vous donner d'autres exemples, là, je peux penser au transfert à
l'extérieur de la province, par exemple, où le projet de loi propose seulement
un modèle. On pense qu'il y a différentes façons qui peuvent être utilisées
pour s'assurer de la protection des renseignements personnels, par
l'utilisation d'obligations prévues dans un contrat, par exemple, donc faire en
sorte que la personne à qui on va envoyer de l'information à l'extérieur de la
province soit quand même obligée de respecter les règles qui s'appliquent au
Québec.
Mme Weil
: Donc,
beaucoup…
Mme Grignon (Marie-Pierre) :
Donc, c'est toutes des choses <qui sont… >qui, selon nous, offrent
plus de flexibilité.
Mme Weil
: Donc, dans
vos recommandations… parce que je pense que vos recommandations font écho à ces
grandes orientations que vous mentionnez, donc la mutualisation, en fait, ça,
c'est… est-ce que c'est une pratique actuellement dans l'industrie pour… dans
le domaine de protection des renseignements personnels ou <ce serait… >c'est
quelque chose à développer?
Mme Grignon (Marie-Pierre) :
Je pense que ça existe déjà, mais je vais laisser peut-être Alain répondre
là-dessus, au niveau des organisations, si, pratiquement, c'est ce qu'on voit,
la mutualisation de la fonction, mais je ne suis pas certaine que c'est permis.
Alors, ça serait quelque chose d'utile, mais…
M. Camirand (Alain) : Oui, en
fait, dans les grands groupes financiers, on trouve plusieurs différentes
entités juridiques, et donc, évidemment, pour ces entreprises juridiques là, la
plupart des fonctions centrales sont centralisées, de sorte que, mettons, il y
a un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe
financier. Pour les fins de la Loi sur la protection des renseignements
personnels, on aimerait ça avoir la possibilité d'avoir une personne
responsable pour l'ensemble du <groupe...
M. Camirand (Alain) : ...la
plupart des fonctions centrales sont centralisées, de sorte que, mettons, il y
a un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe
financier. Pour les fins de la Loi sur la protection des renseignements
personnels, on aimerait ça avoir la possibilité d'avoir une personne
responsable pour l'ensemble du >groupe... au lieu d'avoir aucun pour
chacune des entités juridiques, ce qui n'est pas vraiment efficace et ce n'est
pas vraiment dans l'intérêt des clients. Donc, <c'est une façon pour… >la
mutualisation telle qu'on l'explique dans notre prochain mémoire, c'est une
façon pour nous d'avoir une meilleure efficacité organisationnelle qui va aller
jusqu'à bénéficier au client.
• (10 h 40) •
Mme Weil
: Donc, c'est
votre recommandation 3.1, c'est bien ça? Donc, quand vous dites que vous
recommandez de préciser que c'est la personne ayant la plus haute autorité au Québec
qui est responsable d'office, c'est la personne au Québec, une personne pour
l'entreprise ou un groupe d'entreprises. Si vous... on permet la mutualisation,
ce serait une personne, dans un cas comme ça, au Québec?
M. Camirand (Alain) : Oui, ce
serait une personne imputable, mais avec la possibilité de déléguer les
fonctions à une équipe, parce qu'un des enjeux aussi du projet de loi, c'est
qu'on permet la délégation à une seule autre personne. Et, pour nous, c'est
important, là, que plusieurs personnes soient en mesure de s'acquitter des
obligations prévues dans la loi afin de s'assurer, là, que les requêtes et
demandes des clients soient gérées de façon efficace et dans l'intérêt des
clients.
Mme Weil
: Donc, cette
notion de flexibilité, vous y revenez dans d'autres recommandations. Quand le
projet de loi est trop prescriptif vis-à-vis le responsable de la protection, vous
dites qu'il faut être plus flexible et adopter des modèles, comme vous le
dites, avec plus de flexibilité dans la gouvernance. Donc, cette question de
gouvernance, de flexibilité, elle est un peu partout dans votre projet de loi,
je vous dirais, dans les recommandations que vous faites.
Donc, <l'approche est à... À >à quelque
part, l'approche est à revoir, mais sans détruire, selon... Je vous pose la
question parce que vous avez beaucoup, beaucoup de recommandations. C'est des
recommandations, selon vous, qui ne viennent pas miner les objectifs de la loi
et l'urgence, je dirais, d'agir.
Juste la question de l'harmonisation avec
le gouvernement fédéral, le temps presse. Tout ce qui passe par des ententes ou
une conversation avec le gouvernement fédéral, si je comprends bien, ce n'est
pas nécessairement de passer par là mais de s'en inspirer, à quelque part, dans
les domaines les plus importants que vous mentionnez.
Parce que je... Comme législateurs, on
sent, et je pense que vous le comprenez, on sent que ce projet de loi vient, <évidemment...
Mme Weil
: ...p
ar
là mais de s'en inspirer, à quelque part, dans les domaines les plus importants
que vous mentionnez.
Parce que je... Comme législateurs, on
sent, et je pense que vous le comprenez, on sent que ce projet de loi vient, >évidemment,
couvrir ou réparer des brèches. On sait que c'est un exercice bien compliqué.
Donc, si vous nous dites : Inspirez-vous de la loi fédérale, je pense que
vous donnez quand même des bonnes indications, dans votre projet de loi, sur le
comment on pourrait s'en inspirer. Selon vous, est-ce que votre projet de loi...
ou ça prendrait plus que ça? Dans vos recommandations, on viendrait se
rapprocher du projet de loi fédéral. D'après ce que je comprends, et d'après ce
que connais, c'est cette approche...
Mme Grignon (Marie-Pierre) :
Bien, écoutez, c'est certain... Notre position, c'est qu'au niveau fédéral, étant
donné que les entreprises font affaire dans différentes provinces, c'est important
d'avoir l'harmonisation au niveau fédéral. Je pense qu'on est quand même à un
moment, par contre, où il faut avoir une certaine vision, puis s'inspirer également
de la loi européenne, puisqu'on pense que c'est là où va s'en aller également,
fort possiblement, le fédéral, éventuellement.
Puis on réfère au fédéral parce
qu'effectivement il y a des bonnes choses là-dedans. Comme vous l'avez dit, ils
ont révisé à quelques reprises récemment, probablement en tenant compte de
cette nouvelle approche là. Si on pense, par exemple, au consentement, bien,
c'est moins prescriptif quant à... ça doit être implicite, explicite, tout ça.
On y va selon les circonstances, on donne plus de latitude aux entreprises,
puis je pense que ça, ça va dans le sens de la loi européenne.
On voit déjà un changement d'approche, là,
quant à la question du consentement. On fait attention, on ne veut pas obliger
les entreprises à obtenir tel type ou tel type de consentement dans telle ou
telle circonstance. Oui, les renseignements sont... Lorsque les renseignements
sont sensibles, on comprend que c'est important d'y porter une attention plus
particulière. Mais il y a quand même un changement d'approche, puis qui a déjà
été... Je pense que le fédéral a déjà emboîté le pas un petit peu à ce
niveau-là, puis c'est pour ça qu'on réfère à certaines dispositions au fédéral.
Puis, si on regarde... Vous avez référé
également aux fonctions de responsable. Bien, on comprend que le responsable
doit être imputable. <Le… >Par ailleurs, certains articles de la
loi, puis on le précise dans le mémoire, là, laissent entendre que c'est le
responsable lui-même qui doit exécuter certaines tâches. Tout simplement, on
dit qu'il faut tenir compte de la structure de chaque entreprise, de tout ça,
comment c'est fait, puis faire en sorte qu'éventuellement l'ensemble des tâches
du responsable puissent être déléguées, là, aussi, ou sous-déléguées.
Mme Weil
: J'aimerais,
si j'ai le temps...
Le Président (M.
Bachand) : Rapidement.
Mme Weil
: Les dommages
et intérêts, donc, vous faites deux points, dans votre mémoire, que vous
n'avez pas dits verbalement. Vous avez dit, tout simplement, vous inspirer de
ce qui se fait dans d'autres lois comparables, comme la loi...
Mme Grignon (Marie-Pierre) :
Excusez, on ne vous entend pas très bien lorsque vous parlez, Me Weil.
Mme Weil
: Ah! Est-ce
que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...
Mme Grignon (Marie-Pierre) :
Ça coupe.
Mme Weil
: Oui? Vous
m'entendez? Non?
Mme Grignon (Marie-Pierre) :
Oui, O.K. Oui, allez-y.
Mme Weil
: Oui, la
section sur les <dommages...
Mme Weil
:
...que vous n'avez pas dits verbalement. Vous avez dit tout
simplement
vous inspirer de ce qui se fait dans d'autres lois comparables, comme la loi...
Mme Grignon
(Marie-Pierre) : Excusez, on ne vous entend pas très bien
lorsque
vous parlez, Me Weil.
Mme Weil
: Ah!
Est-ce
que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...
Mme Grignon
(Marie-Pierre) : Ça coupe.
Mme Weil
: Oui?
Vous m'entendez? Non?
Mme Grignon
(Marie-Pierre) : Oui,
O.K. Oui, allez-y.
Mme Weil
: Oui,
la section sur les >dommages et intérêts, parce que vous soulevez des
points différents de ce que vous avez dit ici, en commission. Vous avez parlé
de s'inspirer d'autres lois semblables, mais ici vous parlez du Code civil, déjà,
qui prévoit, en vertu des principes de responsabilité civile, une responsabilité,
donc, quand un préjudice est causé. Et vous parlez aussi de l'article 49 de
la Charte des droits et libertés de la personne.
Est-ce que vous pourriez, donc, peut-être
aller de... bien, peut-être, en une minute, expliquer un peu les deux arguments
que vous présentez ici?
Le Président (M.
Bachand) : Donc, rapidement, Me Grignon, s'il vous plaît.
Merci.
Mme Grignon (Marie-Pierre) :
Oui. En fait, ce qu'on dit simplement, c'est qu'en vertu des règles du Code
civil il y a déjà des droits d'action, on peut déjà poursuivre en responsabilité,
et on ne pense pas nécessaire< d'en... >, comme on dit,
d'en rajouter dans ce projet de loi là. Il y a déjà des sanctions administratives,
des sanctions pénales qui sont prévues. On pense que c'est suffisant puis que
le cadre législatif au Québec, là, permettra de toute façon aux consommateurs
d'avoir ces recours-là.
Mme Weil
: Merci
beaucoup.
Le Président (M.
Bachand) : Merci beaucoup, Me Grignon, M. Camirand. Merci
de votre collaboration pour les travaux de cette commission.
Je suspends les travaux jusqu'à après les
affaires courantes. Merci beaucoup.
(Suspension de la séance à 10 h 47)
15 h 30 (version révisée)
(Reprise à 15 h 35)
Le Président (M. Bachand) :
Bon après-midi. À l'ordre, s'il vous plaît! La Commission des institutions
reprend ses travaux.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels.
Cet après-midi, nous allons recevoir
trois groupes, donc les gens d'Option Consommateurs, la Pre Céline
Castets-Renard, de l'Université d'Ottawa, mais nous allons d'abord débuter par
les représentants de la Commission de l'éthique en science et en technologie.
Alors, je vous invite à… M. Maclure et M. Cliche, bienvenue.
M. Maclure est au téléphone. Alors, M. Maclure, je vous laisse la
parole, s'il vous plaît.
M. Maclure (Jocelyn) : Merci
beaucoup, M. le Président. Merci et désolé des pépins techniques qui font en sorte
que je ne peux pas me joindre à vous en vidéoconférence. C'est un plaisir, pour
nous, et un honneur de participer à cette discussion importante pour l'avenir
de notre démocratie.
Donc, je suis Jocelyn Maclure,
professeur de philosophie à l'Université Laval et président de la Commission de
l'éthique en science et en technologie du Québec. Je suis accompagné de Dominic
Cliche, qui est conseiller en éthique à cette même commission. La Commission de
l'éthique travaille sur plusieurs dossiers qui sont en lien avec les nouvelles
technologies de l'information et de la communication en intelligence <artificielle…
M. Maclure (Jocelyn) :
...de la Commission de l'éthique en science et en technologie du Québec. Je
suis accompagné de Dominic Cliche, qui est conseiller en éthique à cette même
commission. La commission de l'éthique travaille sur plusieurs dossiers qui
sont en lien avec les nouvelles technologies de l'information et de la
communication en intelligence >artificielle, les données massives. Et,
depuis qu'on a publié, en 2018, un avis sur les enjeux éthiques de la ville
intelligente, la question de la protection de la vie privée est au coeur de
plusieurs des dossiers sur lesquels on travaille aujourd'hui, et c'est justement
Dominic, là, qui s'occupe de plusieurs de ces dossiers.
On tient, à la commission, à saluer
l'initiative du gouvernement eu égard à cette volonté de moderniser les lois
sur la protection des renseignements personnels et de la vie privée, et surtout
d'avoir une approche qui est ambitieuse en la matière. C'est un de nos messages
les plus importants. Je pense que l'horizon devant nous, là, à moyen terme,
pour l'ensemble des sociétés démocratiques, c'est d'élaborer des cadres
normatifs à la fois beaucoup plus clairs et beaucoup plus exigeants envers ceux
qui utilisent les données personnelles et que, bon, je pense que c'est tout à
fait une bonne idée que de vouloir être à l'avant-plan de cette rénovation des
lois de protection de la vie privée.
Si c'est si important de protéger la vie
privée et si c'est devenu un droit fondamental, c'est que c'est fondé dans des
valeurs éthiques absolument fondamentales, dont le droit à l'autonomie. On ne
peut pas être autonome si on n'exerce pas un certain contrôle sur les renseignements
qui nous concernent, que l'on souhaite partager ou que l'on ne souhaite pas
partager, que l'on souhaite garder comme étant confidentiels. Le respect de la
vie privée, c'est nécessaire à l'autonomie, mais aussi à la protection de
l'intégrité de la personne, à la protection de sa vie privée, parce que, bon, aujourd'hui,
avec les nouvelles technologies, en particulier les systèmes d'intelligence
artificielle, on peut avoir accès à des pans très importants de notre intimité
en valorisant, en utilisant les données, en particulier les renseignements
personnels.
Par exemple, un système d'intelligence
artificielle, aujourd'hui, peut produire des prédictions avec un taux de succès
élevé sur, par exemple, les opinions politiques d'une personne ou même, dans
certains cas, sur son orientation sexuelle. Un exemple célèbre montrait qu'un
algorithme pouvait déduire qu'une femme était enceinte en croisant certaines
des données la concernant, et non seulement des données dites personnelles.
Donc, c'est crucial de rénover ces lois.
La commission salue, entre autres choses, le renforcement des pouvoirs de la Commission
d'accès à l'information qui est prévu dans le projet de loi n° 64. On
salue aussi l'élaboration de normes plus claires qui concernent la
communication des finalités présidant à la collecte et à l'utilisation des
renseignements personnels. On salue aussi le fait qu'il y ait une meilleure
définition de ce qui constitue un renseignement de nature sensible dans le
projet de <loi…
M. Maclure (Jocelyn) :
...qui est prévu dans le projet de loi n° 64. On salue aussi l'élaboration
de normes plus claires qui concernent la communication des finalités présidant
à la collecte et à l'utilisation des renseignements personnels. On salue aussi
le fait qu'il y ait une meilleure définition de ce qui constitue un
renseignement de nature sensible dans le projet de >loi.
Et, en matière de gouvernance, le fait de
prévoir la formation de comités d'accès à l'information et à la protection des renseignements
personnels et obliger la production d'évaluations des facteurs relatifs à la vie
privée, tout ça nous apparaît comme des pistes judicieuses pour permettre une
gestion responsable des données.
Quelques remarques rapides. On va déposer
un document à la commission dans les prochains jours, mais quelques remarques
rapides. Bon, une évaluation éthique de nouvelles technologies et aussi d'un
nouveau cadre législatif exige de comparer les bénéfices qui peuvent être
engendrés, dans ce cas-ci, par une plus grande valorisation, un plus grand
accès à des données personnelles, et de les comparer aux risques qui sont
inhérents à ce plus grand accès aux données personnelles et des risques sur le
plan de la protection de la vie privée.
• (15 h 40) •
De façon générale, on pense que c'est une
bonne orientation que de prévoir des régimes juridiques différents pour les
organismes publics et les organismes privés, les entreprises, étant donné les
finalités différentes de ces organismes, et de prévoir un cadre juridique, là,
qui pourrait permettre à des organismes publics de mieux utiliser les données
pour offrir des meilleurs services ou élaborer des meilleures politiques
publiques. Si le cadre réglementaire est clair et les protections suffisantes,
ça peut être une excellente idée.
Et je pense qu'il faut prendre au sérieux la
proposition qu'on a entendue plus tôt dans les travaux de la commission,
voulant, par exemple, qu'il serait peut-être judicieux de prévoir un cadre
juridique distinct même pour le monde de la recherche scientifique, pour
favoriser la recherche scientifique, en se basant, par exemple, sur
l'encadrement offert par les comités d'éthique de la recherche, en impliquant
évidemment aussi la Commission d'accès à l'information.
<Donc… >Et on pourrait
peut-être, comme on est encore en mode de faire différentes expériences,
comment bien gérer l'accès à ces données une fois qu'on aurait permis à des
organismes publics d'avoir un plus grand accès à des données, après quelques
années… on pourrait voir, donc, quelles sont les leçons à tirer et voir s'il
faut faire évoluer aussi la loi concernant la protection des renseignements
personnels dans le secteur privé.
Un mot aussi sur la question de la norme
éthique de consentement, dont il a été beaucoup question jusqu'ici dans les
travaux de la commission. Bon, la Commission d'éthique en science et
technologie souhaite tout simplement appuyer, donc, les intervenants qui ont
avancé l'idée que la norme de consentement ne pouvait plus aujourd'hui être la
pierre angulaire de nos régimes de protection de la vie privée, l'idée étant <que...
M. Maclure (Jocelyn) :
...
d'éthique en science et technologie souhaite tout simplement
appuyer, donc, les intervenants qui ont avancé l'idée que la norme de
consentement ne pouvait plus aujourd'hui être la pierre angulaire de nos
régimes de protection de la vie privée, l'idée étant >que, bon, dans plusieurs
cas, il faut effectivement demander l'autorisation avant d'utiliser des données
personnelles et obtenir le consentement, mais que ce consentement ne peut pas
être vu comme une condition suffisante pour un usage légitime des données
personnelles. Et, même dans un cas où des entreprises auraient la clairvoyance
de simplifier grandement leur formulaire de consentement, même si on a des
formulaires de consentement clairs et concis, simplement obtenir le
consentement ne peut par toujours être suffisant pour assurer, donc, un usage
des données personnelles qui respectent la vie privée.
Je pense qu'il faut d'abord et avant tout que
la loi prévoie ce que les organismes peuvent faire et ne peuvent pas faire avec
les données et les renseignements personnels même après l'obtention d'un
consentement. Étant donné la complexité des enjeux, il faut que la loi soit
claire sur ce qui est possible de faire et ce qui n'est pas possible de faire,
ce qui ne devrait pas être possible de faire.
On souligne le bien-fondé de
l'article 100 du projet de loi n° 64, qui
cherche à réaliser une approche qu'on appelle souvent «privacy by design», donc,
de cette idée de protéger la vie privée dès la conception des technologies,
étant donné qu'on suggère que les options qui favorisent la protection de la
vie privée soient celles qui soient choisies par défaut avant même toute forme
de consentement des individus. On pourra en parler tout à l'heure. On se
questionne de la compatibilité de l'article 100 avec l'article 99. On
pourra y revenir dans la discussion si vous le souhaitez.
Un dernier point dans les dernières
minutes qui me restent, c'est pour souligner qu'il y a possiblement un angle
mort dans le projet de loi n° 64. Malgré toutes ses
vertus, le projet de loi concerne vraiment les renseignements personnels. On veut
vraiment rendre les protections beaucoup plus robustes, là, pour les
renseignements personnels, mais la définition, la conception de ce qu'est un
renseignement personnel est peut-être un peu étroite, et l'angle mort consiste
à... réside dans le fait qu'il est maintenant possible de... sur la base, par
exemple, des données qui ne sont pas considérées comme étant des données
personnelles.
Par exemple, des données qui auraient été
anonymisées… Il est tout à fait possible, grâce aux outils d'intelligence artificielle,
aujourd'hui, en recoupant des données, d'inférer des informations sur des
personnes, et des informations qui peuvent être tout à fait sensibles, hein?
Tout à l'heure, je parlais, par exemple, de l'opinion politique d'une personne,
où il peut être tout à fait possible aussi de réidentifier une personne sur la
base de données qui ont été entièrement <anonymisées...
M. Maclure (Jocelyn) :
...
d'inférer des informations sur des personnes, et des informations
qui peuvent être tout à fait sensibles, hein? Tout à l'heure, je parlais, par
exemple, de l'opinion politique d'une personne, où il peut être tout à fait
possible aussi de réidentifier une personne sur la base de données qui ont été
entièrement >anonymisées au départ, hein? Le croisement de plusieurs
données, même anonymisées, permet, dans la plupart des cas, de réidentifier une
personne.
Donc, il y a au moins... C'est ce qu'on
appelle le statut des données dites inférées, hein? C'est-à-dire qu'on infère
des informations sur les personnes sur la base de données qui ne sont pas
toujours des données personnelles, et donc qui peuvent échapper à ces lois. Et
donc ça, c'est un angle mort, me semble-t-il, important, là, étant donné les
possibilités des nouvelles technologies. Et je pense que, soit dans ce projet
de loi là ou dans un complément, il faudrait se pencher aussi sur comment
gérer, donc, l'accès <à ces… >ou la production de ces données qui
peuvent devenir des données personnelles même sur la base de données qui
n'étaient pas personnelles au départ. Je vous remercie.
Le Président (M. Bachand) :
Merci beaucoup, M. Maclure. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Oui, merci,
M. le Président. Bonjour, M. Maclure, M. Cliche. Merci de participer aux
travaux de la commission parlementaire pour le projet de loi n° 64.
Bien, écoutez, revenons, là, sur l'angle
mort du projet de loi que vous abordez, là, il y a quelques instants, là. Vous
dites : Bon, cet angle mort là... Il faudrait voir peut-être, dans le
projet de loi n° 64 ou par la suite, une façon
d'éviter que des données dépersonnalisées — bien, anonymisées — puissent
être croisées pour faire en sorte finalement qu'on puisse réidentifier la
personne par des outils technologiques. Notamment, vous faisiez référence à
l'intelligence artificielle.
Alors, qu'est-ce que vous nous proposez
concrètement pour éviter cette situation-là, considérant le fait que, dans
certaines situations, la donnée pourrait être disponible, mais d'une façon
anonymisée? Vous nous dites : Attention, il ne faut pas faire ça parce que
ça pourrait faire en sorte que, par des outils technologiques, on puisse
réidentifier la personne. C'est ça?
M. Maclure (Jocelyn) : Oui,
tout à fait. Et je vais laisser Dominic, qui est notre grand spécialiste, là,
compléter, mais je pense que, comme dans le cas des renseignements personnels, <je
pense qu'>il faut réfléchir à qu'est-ce qu'il devrait être possible de
faire aux organismes, là, qui exploitent les données sur le plan du croisement
de données même non personnelles, quelle sorte d'inférence ils peuvent
légitimement faire, et utiliser, et quelles sont les inférences qui ne
devraient pas être possibles, qui ne devraient pas pouvoir être faites en
croisant différentes données, parce qu'entre autres on peut même réidentifier
les personnes et rendre caduque, d'une certaine façon, la protection offerte
par les lois sur la protection des renseignements personnels. Donc, ce serait
de réfléchir à est-ce qu'on est capables d'identifier des types de connaissances
ou de savoirs qui peuvent être légitimement produits en croisant les données de
ceux qui ne devraient pas pouvoir l'être.
Dominic, je ne sais pas si tu veux ajouter
quelque chose?
M. Cliche (Dominic) : Brièvement,
en fait, si on veut aller <très...
M. Maclure (Jocelyn) :
…de réfléchir à
est-ce qu'on est capables d'identifier des types de
connaissances ou de savoir qui peuvent être légitimement produits de ceux qui
ne devraient pas pouvoir l'être.
Dominic, je ne sais pas si tu veux
ajouter quelque chose?
M. Cliche (Dominic) :
Brièvement, en fait, si on veut aller >très concrètement, premièrement,
une des provisions, par exemple, dans le règlement européen sur la protection
des données, est d'intégrer, de manière explicite, à même la loi une évaluation
du risque de réidentification qui vient avec certains jeux de données dans des
évaluations des facteurs relatifs à la vie privée, ce qui impliquerait, cela
dit, d'intégrer cette obligation-là de faire une telle évaluation aussi pour
d'autres jeux de données que ceux qui ne sont que des données… des
renseignements personnels.
De manière plus générale, l'idée derrière
ça, c'est de passer d'un régime qui met l'accent sur la nature du
renseignement, un peu comme c'est le cas du projet de loi qui est devant nous,
donc, vraiment, qui cible des renseignements personnels, pour s'intéresser
davantage à un régime qui encadre les usages et les effets des données de
manière plus générale. Là, évidemment, il y a tout un débat entre juristes à
avoir sur l'impact exact en termes de dispositions. Là, nous ne sommes pas,
nous, en mesure de pouvoir le faire maintenant, mais, dans les idées, là, c'est
une des options qui est sur la table.
Et, sinon, autre point… Je vais conclure
là-dessus et je reviendrai au besoin.
• (15 h 50) •
M. Jolin-Barrette : Mais, à
la lumière, là, dans le fond, là, des nouvelles technologies, de l'intelligence
artificielle, de l'importance de la donnée dans la recherche, là, comment est-ce
qu'on fait pour s'assurer de concilier les deux, que, supposons, les données
qui sont utilisées en matière d'intelligence artificielle ou en matière de
recherche, on puisse s'assurer de protéger les renseignements personnels des
individus? Parce qu'un des objectifs, un, c'est qu'il n'y ait pas de fuite de
données, que les renseignements soient sécurisés, que les entreprises ou les
groupes de recherche, bien, puissent quand même faire leur recherche avec le
consentement des citoyens québécois, mais sans que leurs données personnelles
soient diffusées ou qu'on puisse même les identifier, parce que, c'est sûr,
moi, si je dis : Je consens à vous donner mes données ou à partager mes
données, mais il ne faut pas que je puisse être identifié, puis que, par la
bande, on réussit à m'identifier à cause des outils technologiques, l'objectif
n'est pas atteint. Alors, comment est-ce qu'on fait pour mettre un cadre clair
là-dessus?
M. Maclure (Jocelyn) : Bien,
je pense que le principe fondamental, là, si vous me permettez, est celui de
distinguer les types d'organismes en fonction de leur finalité et,
possiblement, de faire… de donner une plus grande marge de manoeuvre à des
organismes dont la mission première est de servir l'intérêt collectif. Et c'est
clairement le cas, donc, en ce qui concerne, bon, la recherche scientifique,
hein? Collectivement, on valorise la recherche scientifique. On veut favoriser
la recherche. Ça peut mener à plusieurs bénéfices collectifs et ça me semble
une bonne sphère, là, pour tester justement comment… quel genre d'accès plus
grand, plus large on peut permettre aux <chercheurs…
M. Maclure (Jocelyn) :
...
en ce qui concerne, bon, la recherche scientifique, hein?
Collectivement, on valorise la recherche scientifique. On veut favoriser la
recherche. Ça peut mener à plusieurs bénéfices collectifs, et ça me semble une
bonne sphère, là, pour tester justement comment… quel genre d'accès plus grand,
plus large on peut permettre aux >chercheurs, sous contrôle évidemment
des normes en éthique de la recherche et, comme mon collègue Déziel l'a dit,
possiblement en demandant à la Commission d'accès à l'information d'avoir une
approche spéciale pour la recherche. Et, bon, les chercheurs, leur but n'est
pas de commercialiser les données et pas de toujours mieux comprendre les
utilisateurs pour leur offrir ensuite des différents produits commerciaux. Le
but des chercheurs n'est pas de vendre non plus les données.
Donc, il me semble qu'on peut distinguer ce
type d'utilisation, pour la recherche ou pour d'autres finalités d'intérêt
public, et, de l'autre côté, bon, avoir un cadre différent pour les entreprises
privées et apprendre du cadre, par exemple, pour la recherche scientifique ou
d'autres organismes publics, et, dans quelques années, faire le point et dire :
Bon, voici ce qu'on devrait pouvoir offrir à des entreprises privées et voici
les contraintes qui s'adressent et devraient s'adresser spécifiquement aux
acteurs privés.
M. Jolin-Barrette : Qu'est-ce
qu'on fait dans le cas où... Vous savez, la recherche parfois sert aussi... Il
y a des débouchés commerciaux. Il y a des partenariats aussi. Vous dites :
Bon, il faut regarder la finalité pour l'encadrement. Les normes, là, qu'on va
développer autour, là, supposons, des différents intervenants, là, que ça soit
au niveau des chercheurs, que ça soit de la recherche versus ceux qui offrent
purement dans les entreprises commerciales, comment est-ce qu'on fait pour
départager le tout? Parce que, parfois, c'est difficile, rentrer dans des cases
bien précises, là, pour dire : Bien, moi, je fais uniquement de la
recherche pure. Mais, souvent, cette recherche-là, l'utilisation des données
pourrait avoir des implications commerciales aussi. Alors, comment est-ce qu'on
fait pour s'assurer de vraiment départager le tout, là, au niveau de la
gouvernance, au niveau de l'éthique rattachée à cela?
M. Maclure (Jocelyn) : Oui, c'est
une très bonne question. Dominic, tu pourras compléter si tu veux.
Bon, on n'a pas fait un examen, là,
récemment, mais je pense qu'il faut, en l'occurrence, s'assurer que les normes
qui existent déjà pour encadrer les partenariats aux relations entre le milieu
de la recherche et l'industrie… que ces normes soient respectées, là, de façon
intégrale, parce que c'est déjà bien normé, le rapport entre la recherche et
l'industrie.
Et, bon, un examen qu'on pourrait faire,
là, c'est à la lumière, encore là, des possibilités offertes par l'intelligence
artificielle et l'accès à des données massives. Est-ce que, bon, il y a lieu de
revoir l'encadrement des liens entre l'université et l'industrie? Mais, bon,
une recherche scientifique doit être fondée sur l'idée de la <liberté...
M. Maclure (Jocelyn) :
…
un examen qu'on pourrait faire, là, c'est à la lumière, encore là, des
possibilités offertes par l'intelligence artificielle et l'accès à des données
massives. Est-ce que, bon, il y a lieu de revoir l'encadrement des liens entre
l'université et l'industrie? Mais, bon, une recherche scientifique doit être
fondée sur l'idée de la >liberté académique, doit être… Son évaluation
doit être basée entièrement sur des critères scientifiques et non pas sur la rentabilité
ou le potentiel commercial, et ainsi de suite. Et, si ces normes sont
appliquées et ensuite il y a une utilisation, un transfert technologique vers
l'industrie, ça peut être éthiquement acceptable, mais il faut s'assurer que
les normes qui encadrent ces rapports soient respectées, là, de façon scrupuleuse.
M. Jolin-Barrette : Parfait.
Je vous remercie.
Le Président (M. Bachand) :
Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, merci,
M. le Président. Merci beaucoup, là, de vos témoignages. Donc, peut-être une
petite question. J'aimerais peut-être revenir… Bon, on a parlé des risques liés
aux données, là, anonymisées ou dépersonnalisées, en quelque sorte. Vous avez
parlé de la notion de renseignements personnels. C'est revenu chez plusieurs
intervenants, là, cette fameuse définition, la définition, notamment, là, du
volet européen, mais également ici, dans le projet de loi. Avez-vous une idée
de… Avez-vous une définition que vous mettriez de l'avant, ou est-ce qu'elle
est conforme, ou est-ce que c'est un enjeu, là, pour vous? C'est certain, il
fallait que ça soit plus large justement pour inclure davantage peut-être en
lien justement avec la notion d'anonymiser.
M. Maclure (Jocelyn) : Oui.
Dominic, tu pourras compléter, mais, bon, le problème présentement, c'est que le
renseignement personnel, c'est un renseignement qui permet de… qui concerne une
personne physique et qui permet de l'identifier. Or, avec l'intelligence
artificielle, ce n'est pas un renseignement qui… Un seul renseignement non
personnel ne permet pas d'identifier une personne, mais, en agrégeant et en
croisant des renseignements qui avaient été dépersonnalisés, on peut arriver à
réidentifier ensuite. Donc, je ne sais pas, ce n'est peut-être pas, d'un point
de vue conceptuel, la définition de renseignements personnels qui pose
problème, mais les nouvelles possibilités offertes par l'IA, qui permet, en
croisant de nombreuses données, de remonter, au fond, à la source de la donnée.
Dominic?
M. Cliche (Dominic) : Oui,
c'est ça. Si je peux me permettre, là-dessus, peut-être que l'écueil n'est pas nécessairement,
comme M. Maclure le soulevait, dans la définition même du renseignement
personnel, mais un peu, en fait, dans la dichotomie qu'on établit de manière
très forte entre renseignements personnels et les autres renseignements. Et ce
qu'on peut imaginer, ultimement, c'est de penser à un régime qui est un peu
plus différencié.
On parlait tantôt des résultats
d'inférence. Est-ce qu'on veut soumettre les inférences complètement au régime
des renseignements personnels, à un régime qui est aussi restrictif ou qui a exactement
les mêmes dispositions, ou est-ce qu'on doit plutôt penser à différents niveaux
dans le degré de sensibilité des renseignements personnels ou non? Et je pense
que, justement, un des écueils, là-dessus, du projet de loi est de définir à la
fois la notion d'incident de confidentialité, de préjudice ainsi que de sensibilité
des renseignements uniquement en référence aux renseignements personnels.
Et là on comprend évidemment que c'est
dans le cadre d'un projet de loi sur la protection des renseignements <personnels…
M. Cliche (Dominic) :
...
des renseignements personnels ou non? Et je pense que, justement, un
des écueils là-dessus du projet de loi est de définir à la fois la notion
d'incidents de confidentialité, de préjudice ainsi que de sensibilité des
renseignements uniquement en référence aux renseignements personnels.
Et là on comprend évidemment que c'est
dans le cadre d'un projet de loi sur la protection des renseignements >personnels,
mais, dans une visée plus large d'une protection de la vie privée, on pourrait
penser ces catégories-là — je parle, par exemple, justement, de
sensibilité, il y avait aussi des notions de profilage, par exemple, qui étaient
liées strictement aux renseignements personnels dans le cadre du projet de loi — et
penser, de manière plus large, dans différentes catégories de renseignements
qui ont différents niveaux de sensibilité et de susceptibilité de porter
atteinte à des droits et libertés des individus. Et ça, c'est une piste qui
peut être explorée, qui demande néanmoins réflexion supplémentaire, là, qui est
peut-être un deuxième pas, si on veut, dans la refonte de notre encadrement lié
à la protection de la vie privée.
M. Lévesque (Chapleau) : Mais
allons-y, justement. C'est fort intéressant, vu qu'on a le projet de loi devant
nous puis qu'on en discute, là, justement, la notion d'inférence, c'est,
techniquement, même, voire, conceptuellement… c'est assez... Vous connaissez
mieux ça que moi, là, mais est-ce que c'est facile à identifier? Est-ce que c'est...
Avec l'algorithme, avec la technologie, on pourrait tout de suite le cibler
puis dire : Bon, bien là il y a eu une inférence, donc on la protège. Peut-être
que vous pouvez m'éclairer, là, avec ce concept-là?
M. Maclure (Jocelyn) : Oui.
Une donnée inférée, c'est une donnée qui n'existait pas avant qu'on arrive à
l'inférer en croisant d'autres données qui, elles, existaient et qui pouvaient
être, encore là, soit anonymisées ou même des données parfois non personnelles,
c'est-à-dire un historique d'achat, par exemple, ou des traces laissées sur des
moteurs de recherche, ou des interactions sur les réseaux sociaux. Il ne s'agit
pas, dans tous les cas, de données personnelles, mais, en croisant plusieurs
données de la sorte, on peut arriver à produire des nouvelles données sur la
personne.
Et donc il y a vraiment une production
d'un savoir, là, sur les personnes. Et donc, ça, on ne les connaît pas avant d'avoir
fait le travail par l'algorithme, mais une façon d'encadrer ça, c'est de dire :
Bien, il y a des savoirs que vous ne devrez pas pouvoir produire sur les personnes,
parce que ça, ce sont des données qui sont très sensibles, là. Il y a préjudice.
Le risque de préjudice est grand. Et, bon, on s'entend, je pense, à la
commission, pour dire qu'il faudrait pousser plus loin cette réflexion-là sur
comment on l'encadre, mais c'est le nouveau type de savoir sur les personnes
qui est produit en croisant des données qui pose problème, là.
M. Lévesque (Chapleau) :
Merci. Merci de cet éclairage-là. Maintenant, peut-être une question sur le
consentement. Vous semblez privilégier, évidemment, là, de demander souvent,
là, le consentement, là, au citoyen, mais il y a certains groupes qui sont
venus nous dire que le consentement n'est pas la finalité ou n'est pas,
justement, là, l'objectif à atteindre, parce que, bon, souvent, on se retrouve
en situation, là, sur Internet… des pages qui nous offrent de longs cookies ou
de longs textes de consentement qui, souvent, ne sont pas lus puis qui n'ont
pas vraiment de lien avec le consentement qui est donné par le citoyen, du moins,
qui n'a pas une compréhension la plus complète. Voyez-vous un enjeu, là, dans
cette situation-là quant au consentement?
• (16 heures) •
M. Maclure (Jocelyn) : Tout à
fait. Et notre...
16 h (version révisée)
M. Lévesque (Chapleau) :
...textes de consentement qui souvent ne sont pas lus puis qui n'ont pas vraiment
de lien avec le consentement qui est donné par le citoyen ou, du moins, qu'il
n'a pas une compréhension la plus complète. Voyez-vous un enjeu là, dans cette situation-là,
quant au consentement?
M. Maclure (Jocelyn) : Tout à
fait. Et notre message ici est d'appuyer ceux qui relativisent l'importance du
consentement, non pas pour dire qu'on peut, dans tous les cas, ignorer, hein,
ne pas poser la question aux personnes : Est-ce qu'on peut utiliser vos
données ou pas?, mais ça ne peut pas être la pierre angulaire, d'un point de
vue éthique, là, de notre système d'encadrement de l'utilisation des données.
Donc, je l'ai souvent dit dans le passé,
le consentement est souvent une condition nécessaire à un usage légitime des
données mais rarement une condition suffisante, et ces conditions suffisantes,
c'est de prévoir, hein, dans la loi, ce qui peut être fait et <ne pas
fait avec... >ce qui ne peut pas être fait avec les données, peu
importe, même si on a obtenu un consentement au préalable. C'est tout
simplement trop complexe pour les personnes, hein, de savoir exactement ce à
quoi ils consentent, et, souvent, le coût de ne pas consentir, par exemple, est
important, si bien qu'il n'y a pas véritablement de liberté de choix.
Donc, on appuie entièrement cette idée que
le consentement, donc, fait partie de l'équation mais ne joue pas un rôle
central, là, sur le plan des valeurs éthiques.
M. Lévesque (Chapleau) : D'accord.
Merci beaucoup. Vous avez parlé tout à l'heure, là, d'un autre cadre juridique
pour ce qui était de la recherche. J'avais trouvé ça intéressant, là. Peut-être
vous êtes-vous penché également sur la question, là, sur... On a eu la
discussion par rapport aux partis politiques. Je ne sais pas si vous avez
réfléchi à ça, là. Est-ce qu'il y a également matière à ce que ça soit un peu
différent, un peu en lien avec la recherche? Je lance la question comme ça, là,
pour... Si vous n'avez pas réfléchi, ce n'est pas plus grave, là.
M. Maclure (Jocelyn) : Oui.
Non, bien, si j'intervenais à titre de philosophe politique, ça me ferait
plaisir de me prononcer sur la question, mais, comme président de la Commission
de l'éthique en science et technologie, ça ne concerne pas notre mandat. C'est
que ce n'est pas une question qui est éthique, liée, donc, aux nouvelles
technologies. Je pense que mon propos sur les organismes publics et privés,
tout ça, pourrait< être... >, avec certaines modulations, donc,
s'appliquer aux partis politiques, mais ça dépasse mon rôle en tant que
président de la Commission de l'éthique en science et technologie.
M. Lévesque (Chapleau) : Nous
aurions dû vous inviter sous vos deux chapeaux alors, mais pas de souci,
là. Je comprends tout à fait.
Le Président (M.
Bachand) : Merci beaucoup, M. le député.
M. Lévesque (Chapleau) : Oh!
c'est… D'accord. Bien, merci, merci.
Le Président (M.
Bachand) :Merci beaucoup. M. le député de
LaFontaine, pour 13 min 36 s.
M. Tanguay
: Merci
beaucoup, M. le Président. Alors, bonjour, M. Maclure et M. Cliche.
Merci de participer à nos débats. C'est réellement très intéressant. Je veux
m'assurer, durant la période de 13 minutes qui nous est allouée, de
l'opposition officielle, de laisser du temps également à ma collègue de
Notre-Dame-de-Grâce qui aura des questions.
L'organisme, MM. Maclure et Cliche,
que vous représentez, donc, la Commission de l'éthique en science et en
technologie, je regarde, les membres possèdent une expertise en éthique et
proviennent de milieux de recherche universitaire et industrielle dans les
domaines de sciences sociales et humaines, des sciences naturelles et du <génie
et des...
M. Tanguay
: ...MM.
Maclure et Cliche, que vous représentez, donc, la Commission de l'éthique en
science et en technologie, je regarde, les membres possèdent une expertise en
éthique et proviennent de milieux de recherche universitaire et industrielle dans
les domaines de sciences sociales et humaines, des sciences naturelles et du >génie
et des sciences biomédicales du milieu de l'éthique des milieux de pratique et
de la société civile.
Maintenant, est-ce que votre expertise est
essentiellement ou majoritairement du côté des organismes publics ou vous avez
une expertise également de la vie sur le terrain du côté des organismes privés,
des entreprises?
M. Maclure (Jocelyn) : Oui, merci
de la question. Donc, notre mandat, hein, notre premier mandat, c'est de
conseiller <le ministre responsable... >le ministre de l'Économie
et de l'Innovation et, par extension, de conseiller les autres organismes,
hein, du gouvernement du Québec. Et, dans nos 13 membres, effectivement, donc,
on a, bon, plusieurs, plusieurs membres, hein, qui viennent des différents
milieux de la recherche ou du journalisme scientifique, mais on a
habituellement toujours un membre ou deux qui ont aussi un lien... Bon, pour
revenir à notre discussion de tout à l'heure, un pied, donc, dans l'industrie,
un pied dans la recherche scientifique. Donc, on a des échos aussi, là, des
besoins, par exemple, de l'industrie sur le plan de la recherche et de
l'encadrement de la recherche, mais, je veux dire, ce n'est pas la dominante,
là, ou… dans la composition de notre équipe.
Une autre partie de notre mandat, ceci
dit, c'est de susciter la réflexion éthique, bon, dans la société civile et
d'autres... bon, des citoyens en général et d'autres groupes dans la société.
M. Tanguay
: Merci. <Est-ce
que... d>Donc, axons-nous du côté public. Est-ce que, dans les
organismes publics, à la lumière de vos travaux, de votre réflexion… J'ai un
réflexe, puis on le voit un peu peut-être durant la pandémie, là : au Québec,
on a de la misère à générer de la donnée. Puis je ne vise pas personne, là, je
ne fais pas de la politique avec ça, on a de la misère à gérer de la donnée au Québec.
Est-ce qu'on n'a pas... puis vous allez
voir la pertinence, je pense, je prétends, de la question avec le projet de loi
n° 64, parce qu'au-delà de ce qui est inscrit dans une loi, on veut que, dans
les faits, on puisse l'appliquer de façon tangible puis atteindre les
objectifs. Mais, si je fais un pas en arrière, est-ce que, même avec les
obligations légales que l'on a aujourd'hui dans la loi actuelle, pas amendée,
est-ce que les systèmes informatiques, les systèmes par lesquels ou avec
lesquels on gère tous les renseignements personnels, est-ce qu'ils sont
suffisamment performants?
Par exemple, est-ce qu'ils sont
suffisamment adaptés à se parler entre eux pour qu'on ait les moyens de nos
ambitions ou on ne vient pas ici en rajouter une couche avec le projet de loi
n° 64, puis ça ne donnerait rien si d'aventure on n'avait pas des systèmes
plus performants pour atteindre nos objectifs? Parce que l'un des objectifs
clairement identifiés avec le nouveau projet de loi, ce serait d'avoir un
responsable de l'accès puis un responsable de la protection. Mais, pour avoir,
dans une ancienne vie, travaillé dans une entreprise <privée, c'était...
M. Tanguay
: …avec le
projet de loi n° 64, puis ça ne donnerait rien si d'aventure on n'avait pas des
systèmes plus performants pour atteindre nos objectifs? Parce que l'un des
objectifs clairement identifiés avec le nouveau projet de loi, ce serait d'avoir
un responsable de l'accès puis un responsable de la protection. Mais, pour
avoir, dans une ancienne vie, travaillé dans une entreprise >privée, c'était
tout un défi, l'accès et la protection, parce qu'au départ c'étaient des
systèmes qui n'étaient pas adaptés à nos ambitions d'accès et de protection. J'aimerais
savoir votre réflexion là-dessus.
M. Maclure (Jocelyn) : Je
vais laisser Dominic compléter, mais, bon, probablement que, bon, vous savez
que c'est dans les cartons, là, du gouvernement et de l'administration publique
en général, hein, de mobiliser davantage, hein, l'expertise québécoise en
intelligence artificielle pour intégrer, hein, des outils, des algorithmes
d'intelligence artificielle dans l'administration publique pour mieux
valoriser, hein, les nombreuses données, les grands jeux de données auxquels
l'État et différents organismes ont accès.
Et, bon, je pense que c'est tout à fait
normal de vouloir miser sur cette expertise québécoise, mais je pense que ça va
<avec… >de pair avec, là<… >, comme conditions d'acceptabilité,
avec un renforcement de nos lois, y compris dans le secteur public, là, pour
que les citoyens aient confiance, hein, tant dans les organismes publics que
dans les organismes privés. Il faut qu'ils aient la conviction, hein, qu'un
cadre clair et rigoureux est mis en place sur le plan de la protection des
données personnelles.
Et je pense que, comme je disais tout à l'heure,
hein, comme l'État a la mission, hein, d'oeuvrer en faveur du bien commun, ça
me semble tout à fait fécond que d'aller de l'avant dans des projets pour mieux
utiliser nos données, pour mieux concevoir nos politiques, pour mieux offrir
des services aux citoyens. Mais ça prend absolument un cadre réglementaire
clair. Et, bon, les lois étaient plus adaptées, hein, parce que, bien, elles
ont été conçues avant ce genre d'innovations technologiques.
Donc, je pense que les deux vont ensemble.
Ça va être des défis importants d'un point de vue organisationnel, mais je
pense qu'un plus grand accès aux données via des technologies exige l'évolution
de notre cadre normatif.
M. Tanguay
: Peut-être
juste, M. Maclure, si vous me permettez, juste avant de céder la parole à
M. Cliche, mon point, de façon plus tangible, est le suivant, il y a une
loi qui est modifiée par le projet de loi, Loi concernant le cadre juridique
des technologies de l'information. Ça, c'est une loi, je me rappelle à l'époque,
2001, 2002, 2003, dans ces eaux-là. Il y a des lois qui sont bien rédigées sur
une base théorique, mais qu'on pourrait prendre, puis c'est moi qui le dis, là,
le législateur, puis on pourrait les encadrer, parce que, sur le terrain, elles
n'ont aucune application. Pourquoi? Parce qu'on ne peut pas les appliquer.
Desjardins, ce qui est arrivé, c'est qu'ils sont tombés en bas de leur chaise
parce qu'ils se sont rendu compte, notamment, qu'il y avait quelqu'un qui avait
accès à autant d'information, et ce n'était pas su, ce n'était pas connu, et ce
n'était pas même justifié en amont.
Donc, au-delà du cadre théorique, moi, ma
préoccupation, puis j'aimerais vous entendre là-dessus, vous, chercheurs sur le
terrain, les systèmes nous permettent-ils d'avoir les moyens de nos ambitions
ou il n'y aurait pas lieu là d'avoir un chantier? <Parce que…
M. Tanguay
: ...et ce
n'était pas su, ce n'était pas connu et ce n'était pas même justifié en amont.
Donc, au-delà du cadre théorique, moi,
ma préoccupation, puis j'aimerais vous entendre là-dessus, vous, chercheurs sur
le terrain, les systèmes nous permettent-ils d'avoir les moyens de nos
ambitions ou il n'y aurait pas lieu là d'avoir un chantier? >Parce que l'on
sait, puis vous en êtes témoin, là, il y a des systèmes, il y en a des milliers
et des milliers aux organismes publics, puis ils ne se parlent pas entre eux. Puis,
si vous êtes responsables de ça, de l'accès et de la protection, je pense que
vous n'atteindrez pas votre cible. Puis la loi, elle aura beau être écrite de
la plus belle façon, mais socialement on n'atteindra pas notre cible.
• (16 h 10) •
M. Maclure (Jocelyn) :
Dominic.
M. Cliche (Dominic) : Bien, écoutez,
c'est sûr que ce que vous dites, je pense, effectivement, est assez juste, là.
On ne peut pas imaginer un projet de loi comme ça et surtout qui vient
derrière... Je pense que le projet de loi s'intègre de manière plus générale,
de ma compréhension, dans une volonté qui a été nommée, la transformation
numérique de l'administration publique, donc au moins partiellement. Le projet
de loi vient appuyer cette volonté-là du gouvernement. Et, dans cette
optique-là, il y a évidemment des défis à différents niveaux qui se posent.
Et puis, cela dit, au-delà des questions
d'éthique<, je pense que... >auxquelles nous, on pourrait
répondre, je pense que c'est davantage quelque chose que nos collègues au
Conseil du trésor, là, qui travaillent sur l'architecture d'entreprise
gouvernementale pourraient détailler davantage.
M. Tanguay
:
O.K. Merci.
Le Président (M.
Bachand) : Merci beaucoup, M. le député de LaFontaine. Mme la
députée de Notre-Dame-de-Grâce.
Mme Weil
: Oui. Alors,
bonjour, M. Maclure et M. Cliche. Écoutez, vous nous amenez vers des
enjeux qu'on n'a pas jusqu'à présent regardés, donc parce que vous allez
vraiment sur la question d'éthique. D'ailleurs, j'ai une question pour
vous : Les données inférées — parce que je pense que vous êtes
les premiers peut-être à en parler — comment est-ce qu'on peut se
protéger contre ces données inférées? Parce qu'on ne sait pas comment ces
données ont été créées. Et comment est-ce qu'on peut soit les supprimer ou les
rectifier, comme on parle généralement de données personnelles?
C'est une question technique que je vous
pose, parce qu'on le voit quand même dans nos vies personnelles, surtout avec
les photos, nos enfants qui partagent des photos, les choses qu'ils font avec
des photos, puis là soudainement on se rend compte qu'on nous reconnaît, on
reconnaît soi-même et ses enfants, puis on a pris ces photos ensemble, et
ensuite on vous offre quelque chose. En tout cas, tous ces éléments résonnent
un peu dans nos vies personnelles. Et donc est-ce qu'on est rendus là, de
pouvoir même pouvoir en traiter dans un projet de loi? C'est-à-dire comment
est-ce qu'on se protège ou, premièrement, modifie... Comment est-ce qu'on peut
savoir que ces données existent? C'est une question éthique aussi.
M. Maclure (Jocelyn) : Tout à
fait. Dominic, veux-tu débuter?
M. Cliche (Dominic) : Oui. Bien,
écoutez, c'est sûr qu'un des points qu'on peut soulever ici, c'est qu'encore
une fois je pense que ça peut démontrer des limites d'une approche qui se base
uniquement sur le consentement individuel parce qu'effectivement, comme vous le
soulignez, ça échappe un peu à l'entendement, tout ce qu'on peut <générer...
M. Maclure (Jocelyn) :
...T
out à fait. Dominic, veux-tu débuter?
M. Cliche (Dominic) :
Oui. Bien, é
coutez, c'est sûr qu'un des points qu'on peut soulever ici,
c'est qu'
encore une fois
je pense que ça peut démontrer des
limites d'une approche qui se base
uniquement sur le
consentement
individuel
parce qu'effectivement, comme vous le soulignez, ça échappe
un peu à l'entendement, tout ce qu'on peut >générer nous-mêmes par nos
activités en ligne, volontairement ou involontairement, mais aussi ce qui peut
être généré à partir de ces activités-là, à partir des données qui sont
produites. Et évidemment, si on se mettait à devoir évaluer individuellement
l'ensemble des conséquences de nos activités en ligne, je pense qu'on passerait
l'essentiel de notre journée à le faire plutôt qu'à faire les activités
elles-mêmes.
Donc, un des enjeux ici, c'est
probablement d'avoir justement un régime qui, vraiment, oblige à identifier,
hein, qu'est-ce qui est inféré à partir des données et qui oblige les
organisations... et là je pense un peu tout haut, encore une fois, c'est des
pistes, mais qui oblige les organisations à avoir un cadre, qu'il soit
prédéfini au moins dans ses grandes lignes par l'État. Sinon, au moins qu'il
existe un tel cadre sur comment... quelles sont les données utilisées, quels
sont les types d'inférences qui sont faites à partir de ces données-là et que
ces inférences-là soient soumises à des balises qui sont prédéterminées selon,
justement, l'intérêt public, par exemple, le bénéfice manifeste de la personne,
certains éléments, donc, des principes qui sont présents, bien mentionnés dans
le projet de loi n° 64, mais qui pourraient s'étendre justement à d'autres
types de renseignements que les renseignements personnels dans le cadre de
régimes intermédiaires, si on veut, là, de protection des renseignements.
Mme Weil
: J'aimerais
revenir, si j'ai du temps, sur la distinction que vous faites entre régime
public et privé avec, comment dire, à la base, cette notion que, si c'est
public, évidemment, le bien public, c'est l'objectif de l'organisme, donc de
traiter différemment peut-être tout ce qui concerne les données collectées,
recueillies dans le secteur privé. Ça, c'est comme une prémisse de base que
vous avez qui conditionne un peu les mesures que vous taillez pour l'un ou l'autre.
Reconnaissez-vous que ça peut-être carrément dans le secteur privé, si on pense
au secteur pharmaceutique ou des innovations en matière de santé pour aider des
personnes handicapées, etc.? Il y a tellement de recherches qui se font,
parfois en partenariat public et privé. Est-ce que cette distinction...
J'essaie de comprendre l'importance de cette distinction dans le travail que
nous, on a à faire en regardant le projet de loi et en analysant...
M. Maclure (Jocelyn) :
Oui, c'est une bonne question, mais je pense que... Et l'idée, ce n'est pas du
tout de diaboliser, hein, les entreprises privées. Les entreprises privées
peuvent contribuer au bien commun, mais ils le font, disons, de façon
indirecte, hein, c'est-à-dire en cherchant d'abord à être profitables et en
souhaitant qu'ensuite, hein, il y ait des retombées positives pour l'ensemble,
et c'est souvent le cas.
Mais, bon, on est dans une grande phase,
hein, d'expérimentation, là, sur le plan de la gestion des données numériques,
hein, parce qu'on peut faire beaucoup de choses avec ces <données...
M. Maclure (Jocelyn) :
…en cherchant d'abord à être profitables et en souhaitant qu'ensuite, hein, il
y ait des retombées positives pour l'ensemble, et c'est souvent le cas.
Mais, bon, on est dans une grande
phase, hein, d'expérimentation, là, sur le plan de la gestion des données
numériques, hein, parce qu'on peut faire beaucoup de choses avec ces >données,
et c'est devenu une ressource, hein, économique extrêmement importante. Et il
faut faire des expériences, des tests, là, pour voir comment on peut donner un
plus grand accès, à quelles conditions on peut outrepasser la norme de consentement,
dont on parlait tout à l'heure, hein, pour, par exemple, hein, des fins qui
n'auraient pas été identifiées au départ.
Bien, ça me semble beaucoup plus sage de
le faire dans le contexte, hein, d'organisme public ou la recherche en
particulier, au départ, parce que la recherche, hein, la quête, hein, de
nouvelles connaissances scientifiques, hein, contribuent au bien commun de
façon très, très directe, alors que, par exemple, hein, lorsqu'il est question d'entreprise
pharmaceutique privée, bien, <ce n'est pas nécessairement… >par
exemple, hein, les médicaments qui pourraient améliorer la qualité de vie,
hein, de petits… de groupes, hein, des personnes qui ont des maladies rares,
hein, parce que, comme ils sont peu nombreux, hein, ce n'est pas nécessairement
rentable. Et <c'est souvent… >on a souvent besoin de la recherche universitaire,
hein, pour faire des découvertes en la matière.
Donc, c'est vrai que les entreprises,
hein, contribuent à l'intérêt collectif d'une certaine façon, mais de façon
plus indirecte. Et je pense que là où on en est présentement, il serait plus
sage de faire des expériences, hein, du côté d'organisme public.
Le Président (M.
Bachand) : Merci, M. Maclure. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, messieurs. J'ai peu de temps, mais j'ai quelques
questions pour vous. D'abord, sur la question du consentement, vous nous avez
bien dit, et c'est intéressant, qu'il fallait aller au-delà du consentement,
mais néanmoins… et j'y reviendrais dans ma deuxième question, mais, sur le
consentement lui-même, plusieurs représentations nous ont été faites sur cette
question-là, certains nous disent : Il faut un consentement assez
scrupuleux où on demande à chaque fois qu'il y a collecte de données, à chaque
fois qu'il y a collecte pour une finalité spécifique, on devrait demander à
nouveau un consentement. D'autres nous ont dit : Il faut faire des
consentements par bloc, des consentements plus généraux.
Sur la question spécifique de la manière dont
il faut demander le consentement aux citoyens, aux citoyennes, quelle est votre
position?
M. Maclure (Jocelyn) : O.K. Brièvement,
puis je laisse Dominic compléter, lorsqu'il est question de la recherche, hein,
je pense que c'est là où on peut explorer l'idée de ne pas toujours redemander
le consentement lorsque la finalité est toujours, hein, de faire avancer la
science. Lorsqu'il est question d'usages, hein, commerciaux et privés, je pense
que c'est préférable de demander aux entreprises de demander le consentement et
de simplifier, hein, le processus pour donner le consentement, mais ça ne
demeure pas une condition suffisante, là, pour l'usage des données par des
joueurs privés. Dominic.
M. Cliche (Dominic) : Oui, rapidement,
je ne veux pas trop vous prendre du temps là-dessus, je pense qu'effectivement
l'idée… En fait, l'idée, c'est, comme M. Maclure le mentionnait, de donner quand
même aux citoyens le plus grand pouvoir sur ses données personnelles. Et ça, le
projet de loi va dans ce sens, le sens de ce principe-là, avec des demandes de <consentement…
M. Cliche (Dominic) :
...Oui, rapidement, je ne veux pas trop vous prendre du temps là-dessus, je
pense qu'effectivement l'idée… En fait, l'idée, c'est, comme M. Maclure le
mentionnait, de donner quand même aux citoyens le plus grand pouvoir sur ses
données personnelles. Et ça, le projet de loi va dans ce sens, le sens de ce
principe-là, avec des demandes de >consentement spécifiques express pour
des renseignements de nature sensible. Cela dit, il demeure un écueil là-dedans.
Donc, au-delà du principe, plus on multiplie, dans le fond, <les
consentements que... >les formules de consentement qui peuvent être
demandées, plus on court le risque que ce soit, d'une certaine manière,
banalisé et qu'on passe outre, hein?
Donc, juste d'expérience, il faudrait
vérifier si le fait d'accentuer et d'augmenter le nombre de fois où on demande
le consentement n'a pas l'effet pervers de faire en sorte que les gens cliquent
«oui» sans même lire, comme c'est déjà pas mal le cas dans plusieurs domaines,
là, sur Internet, mettons.
M. Nadeau-Dubois : Oui. Merci.
Merci. Si on va maintenant au-delà… il me reste moins d'une minute, si on
va au-delà de la question du consentement, vous dites : Il faut régir
également l'utilisation des données postconsentement, si vous me permettez
l'expression. Quel type d'utilisation faudrait-il encadrer dans le projet de
loi n° 64?
M. Maclure (Jocelyn) :
Dominic, veux-tu y aller?
Le Président (M.
Bachand) : Rapidement, M. Cliche, s'il vous plaît.
M. Cliche (Dominic) : Oui. Écoutez,
je n'ai pas d'exemple très spécifique, là, à vous donner, malheureusement,
là-dessus. L'idée est vraiment, dans le principe, de dire : Il y a des
choses auxquelles on peut considérer qu'il n'est pas louable de consentir, là.
En fait, lorsque je veux... lorsque je réponds oui à... ce que je veux, là,
dans la protection des données, ce n'est pas tant de pouvoir régir l'ensemble
des utilisations, <c'est d'emblée >d'emblée, c'est de ne pas me
faire avoir. Donc, l'idée, c'est, si on est en mesure d'avoir au moins un
encadrement supplémentaire, ne serait-ce que minimal, pour régler certains des
usages qui peuvent être problématiques en amont, on vient de sauver quand même
déjà plusieurs risques. Cela dit, il y a un travail de définition là-dessus,
là, je vous l'accorde tout à fait.
Le Président (M.
Bachand) : Sur ce, M. Maclure, M. Cliche, merci
beaucoup d'avoir participé aux travaux de la commission.
Je suspends les travaux quelques instants.
Merci.
(Suspension de la séance à 16 h 20)
>
(Reprise à 16 h 23)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Il nous fait plaisir d'accueillir Mme la professeure Castets-Renard,
professeure titulaire à l'Université Toulouse Capitole et à l'Université d'Ottawa
en droit numérique.
Alors, professeure, merci beaucoup d'être encore
une fois à la Commission des institutions. C'est avec grand plaisir de vous
recevoir de nouveau. Alors, comme vous connaissez les règles, 10 minutes
de présentation, et après ça nous aurons un échange avec les membres de la
commission. Donc, la parole est à vous, professeure. Merci beaucoup.
Mme Castets-Renard (Céline) :
Merci beaucoup, M. le Président. M. le ministre, Mmes, MM. les députés, il me
fait très plaisir de revenir vous parler, et c'est un très grand honneur pour
moi d'être à nouveau parmi vous. Mon nom est Céline Castets-Renard, je suis
professeure à l'Université d'Ottawa, à la Faculté de droit civil, et je suis
titulaire d'une chaire de recherche sur l'intelligence artificielle, responsable
à l'échelle mondiale.
Et donc, aujourd'hui, il s'agit d'évoquer
le projet de loi n° 64 sur la réforme de la protection
des renseignements personnels, et je voudrais attirer votre attention sur deux enjeux
globaux, deux grands enjeux que le projet de loi évoque et dont il s'agit évidemment
de prendre en considération... et qu'il s'agit de prendre en considération.
Tout d'abord, l'enjeu de modernisation de
la législation, puisqu'il s'agit de réformer, donc, de réviser, de tenir compte
des évolutions technologiques, et, en particulier, de l'évolution <numérique
et de...
Mme Castets-Renard (Céline) :
... et dont il s'agit évidemment de prendre en considération... et qu'il s'agit
de prendre en considération.
Tout d'abord, l'enjeu de modernisation
de la législation, puisqu'il s'agit de réformer, donc, de réviser, de tenir
compte des évolutions technologiques, et, en particulier, de l'évolution >numérique
et de l'intelligence artificielle. Donc, ça, c'est un premier enjeu que je
voudrais évoquer avec vous.
Le deuxième enjeu concerne le renforcement
de la protection. Dans un contexte de marchandisation des données, il apparaît
effectivement nécessaire de renforcer cette protection, mais avec un enjeu
quand même de tenir compte d'une certaine souplesse et adaptation au marché
québécois.
Donc, le premier enjeu concerne la
révision, la réforme <de la loi... >des lois de renseignements
personnels sur le secteur public et le secteur privé, avec un certain nombre de
points forts par rapport à la prise en compte des technologies, des points
forts par rapport au fait de considérer les technologies d'identification, de
profilage et de géolocalisation par le fait, en particulier, de reconnaître un
droit à l'information ou encore un droit de désactiver ces technologies. Un
autre point fort aussi concerne les mesures relatives à la prise de décision
automatisée, et avec également une obligation d'information... un droit
d'information pour les personnes concernées et un droit à explication
individuelle. Je trouve que ces dispositions sont particulièrement
intéressantes.
Je voudrais plutôt m'arrêter sur des
dispositions qui me paraissent peut-être un peu plus fragiles, et notamment la
définition des données sensibles. Effectivement, la catégorie des données
sensibles rentre dans le projet de loi n° 64, mais la
définition qui est donnée me paraît un petit peu floue et un petit peu fragile,
puisqu'il s'agit de données... de considérer les données sensibles comme étant
des renseignements personnels, qui, par leur nature ou le contexte de leur
utilisation, font courir un certain nombre de risques, et donc pour lesquels il
pourrait y avoir un haut degré d'attente raisonnable en matière de vie privée.
Alors, il me semble que cette définition
est trop large et trop souple par rapport à la technologie et par rapport, en
particulier, au traitement des données massives. Au sein de ces données
massives, on a des renseignements personnels et <des renseignements
que... >des données qui ne sont pas des renseignements personnels. Et, à
l'intérieur de ces renseignements personnels, si vous considérez les données
sensibles, ça me paraît très difficile de les distinguer dès lors qu'on ne
catégorise pas plus clairement, qu'on ne classifie pas plus clairement les
données sensibles. Donc là, je pense qu'il risque d'y avoir un raté, enfin, il
risque d'y avoir un problème de respect de la loi par rapport à ce qu'est la
technologie aujourd'hui et par rapport à l'utilisation des bases de données.
Un autre point à améliorer, me
semble-t-il, concerne les pouvoirs et les missions confiées à la CAI, la
Commission d'accès à l'information, parce qu'effectivement <la
technologie... >les enjeux technologiques sont extrêmement complexes,
extrêmement difficiles et lourds, et donc il faut que l'autorité de contrôle
ait une grande capacité avec, <notamment...
Mme Castets-Renard (Céline) :
… les pouvoirs et les missions confiées à la CAI, la Commission d'accès à
l'information, parce qu'effectivement la technologie... les enjeux
technologiques sont extrêmement complexes, extrêmement difficiles et lourds, et
donc il faut que l'autorité de contrôle ait une grande capacité avec, >notamment,
un personnel qualifié par rapport à ces enjeux technologiques, avec,
évidemment, un certain nombre de ressources financières pour pouvoir effectuer les
contrôles, parce qu'il ne sert à rien d'avoir une loi avec plus de mordant si
l'autorité de contrôle et si le régulateur n'a pas les moyens de vérifier le
respect de cette loi. Donc, les moyens de contrôle vont avec les moyens donnés
à cette loi, et, en particulier, les sanctions qui ont été renforcées supposent
de pouvoir vérifier ces sanctions, sinon la loi risque de ne pas être
suffisamment respectée.
Le deuxième enjeu que je voudrais évoquer
est quelque chose d'un peu plus complexe concernant une certaine balance à
avoir entre le renforcement de la protection et, en particulier, la volonté de
viser les grands acteurs du numérique, hein, les GAFA en particulier, mais
aussi de considérer l'application de la loi par les petites entreprises et
aussi par les organismes publics qui n'ont pas tous énormément de moyens,
comme… je pense à des petites municipalités. Et donc, comme la loi canadienne,
tout comme la loi européenne, est une loi large qui vise le secteur public et
le secteur privé et le RGPD en Europe vise aussi l'ensemble des secteurs
d'activité, hein, on vise la matière civile et commerciale au sens large.
Donc, cette loi omnibus doit être
respectée par tous. Et, s'il y a des mesures dures et avec un certain mordant,
par exemple, en matière de sanctions dans le RGPD et dans la loi québécoise,
dans le RGPD, on a aussi des moyens d'assouplir et de prévoir une certaine
gradation dans l'application de la norme, et je pense en particulier aux
mesures d'accompagnement et aux mesures de gradation qui peuvent être mises en
oeuvre dans l'application de la loi en considérant un certain nombre de
facteurs.
Alors, les mesures d'accompagnement, je
pense en particulier au code de conduite, aux lignes directrices qui sont
élaborées par les autorités de contrôle, hein, de protection des données, les
autorités nationales et le Contrôleur européen à la protection des données, et,
en fait, ces lignes directrices vont permettre et vont aider à accompagner les
entreprises à se mettre en conformité avec le RGPD. Le RGPD est extrêmement
complexe et lourd, extrêmement coûteux, aussi, à mettre en oeuvre, et, pour
essayer de compenser cette charge, eh bien, il y a eu tout ce processus
d'accompagnement par des normes souples qui viennent compléter le RGPD.
• (16 h 30) •
Également, aussi, il faut voir les
différents facteurs d'application des règles en apparence dures du RGPD, un
certain nombre de facteurs. À plusieurs reprises, le RGPD précise qu'il faut
tenir compte du coût, qu'il faut tenir compte de l'état des connaissances, de
la nature, de la portée, du contexte, des finalités…
16 h 30 (version révisée)
Mme Castets-Renard (Céline) :
...facteurs d'application des règles, en apparence, dures du RGPD, un certain
nombre de facteurs. À plusieurs reprises, le RGPD précise qu'il faut tenir
compte du coût, qu'il faut tenir compte de l'état des connaissances, de la
nature, de la portée, du contexte, des finalités des traitements, mais aussi
des risques pour les droits et libertés des personnes. Donc, autrement dit, ce
n'est pas simplement une loi aveugle qui va systématiquement s'appliquer, mais il
faudra aussi tenir compte des contextes et voir, en fait, comment faire
respecter la législation en fonction des situations. Donc, il faut une
appréciation in concreto. Et donc, il me semble que, dans la loi québécoise, on
ne retrouve pas ces modérations, et je pense que ces mesures de souplesse
doivent être considérées.
S'agissant des sanctions, c'est la même
chose, je pense qu'il faut maintenir des sanctions élevées et, bien évidemment,
ce sont des maximums. Et il faut aussi bien prendre en compte le fait que le
Québec ne serait pas le seul territoire d'Amérique du Nord à prévoir des
sanctions élevées puisqu'aux États-Unis aussi on peut voir des sanctions qui
apparaissent également élevées. Il faudra aussi considérer le consentement dans
une approche plus globale, mais je vais peut-être laisser cet aspect à vos
questions.
Le Président (M.
Bachand) : Merci beaucoup, professeure. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui,
bonjour, Mme Castets-Renard. Merci de participer aux travaux du projet de loi
n° 64 en commission parlementaire.
Bien, reprenons la balle au bond sur la
notion du consentement. Comment doit-on le définir? Depuis le début de la
commission, il y a des gens qui sont... bien, il y a des groupes qui sont venus
nous plaider d'un côté comme de l'autre. Certains nous disent : Bien,
écoutez, vous devriez avoir un consentement qui est explicite à chaque élément,
à chaque donnée, ou à chaque renseignement personnel que vous partagez, ou même
à chaque fois que vous allez sur une page Web où est-ce que vous laisseriez des
données personnelles. D'autres nous disent : Bon. Ça nous prend un
consentement en bloc. D'autres nous disent : Bien, écoutez, il faudrait
qualifier la teneur du renseignement comme tel. Et il y en a d'autres qui nous
disent : Bien, non, écoutez, là, on a besoin de ces renseignements-là, on
va bien les traiter d'une façon corporative.
Alors, où la... Bien, en fait, les bonnes
pratiques nous amèneraient à quel endroit? Et, est-ce que le projet de loi
n° 64 répond à ces bonnes pratiques-là, tel que nous l'avons formulé?
Mme Castets-Renard (Céline) :
Alors, c'est une question très difficile, parce que le projet de loi n° 64
se rapproche du RGPD dans sa définition d'un consentement explicite, <détaché
de... >et donc bien détaché, par exemple, du consentement à un contrat
avec un consentement express à chaque fois. Donc, on a effectivement considéré
aussi, en Europe, que c'était les bons moyens de protéger les personnes
concernées. Il y a eu aussi tout autant des critiques, donc <je pense
que...
Mme Castets-Renard (Céline) :
...
et donc bien détaché, par exemple, du consentement à un contrat avec
un consentement express à chaque fois. Donc, on a effectivement considéré
aussi, en Europe, que c'était les bons moyens de protéger les personnes
concernées. Il y a eu aussi tout autant des critiques, donc >je pense
que c'est un peu difficile de trancher parce qu'il y a autant de partisans que
de queues de critiques. Je pense, pour ma part, qu'effectivement c'est assez
lourd de demander le consentement à chaque fois, et peut-être que ce n'est pas tout
à fait la meilleure façon de procéder, si on veut, à des dispositions fluides
et des modes de fonctionnement fluides. Parce que, par exemple, on sait très
bien que les internautes consentent en permanence, sans trop regarder et sans
trop lire.
Donc, il faut surtout, à mon avis,
considérer l'objectif de ce consentement, qui est d'informer et de protéger. Et
je ne suis pas sûre que consentir en permanence permet véritablement de
protéger les individus. Et ce que je voulais signaler par rapport au règlement
européen, c'est le fait que le consentement n'est pas non plus isolé, et ça,
effectivement, ce n'est pas l'alpha et l'oméga de la protection. Il faut aussi
considérer un certain nombre de droits qui sont accordés aux personnes
concernées, mais aussi des principes directeurs qui viennent encadrer les
obligations des responsables de traitement, comme des principes de finalité, de
minimisation des données.
Et donc il faut peut-être aussi considérer
d'autres moyens pour accompagner ce consentement pour se dire
qu'éventuellement, dans certaines situations, on pourra peut-être baisser le
niveau de protection par le consentement, mais on aura d'autres garanties qui
feront que, globalement, le consentement ou, en tout cas, la protection, le
niveau de protection restera élevé. C'est pour ça que j'évoque <une... >le
consentement dans une approche globale dans mon mémoire.
M. Jolin-Barrette : O.K. Le
fait qu'il y a beaucoup d'éléments, dans le projet de loi n° 64,
qui se rapprochent du règlement européen, vous voyez ça positivement ou
négativement? Parce que certains groupes nous disent : Écoutez, n'oubliez
pas que vous êtes en Amérique du Nord, et donc vous devez tenir compte de
l'environnement nord-américain. Certains nous reprochent d'aller trop loin pour
la protection des renseignements personnels, pour les données.
Même, il y a un certain groupe qui nous a
dit : Surtout, là, surtout, là, ne touchez pas à rien, on veut garder ça
comme ça. Attendez que le fédéral agisse, attendez de voir que les autres
juridictions agissent. Dans le fond, il voudrait même que le Québec abdique sa
juridiction. Vous comprendrez que je ne suis tellement en accord avec ce
groupe-là, puis je trouve que c'est une position qui est, ma foi, particulière,
et qui ne démontre pas beaucoup de sensibilité pour l'intérêt public puis
l'intérêt de la protection des données des citoyens. Mais cette organisation-là
fait ce choix-là, par le biais de son représentant.
Mais, cela étant, qu'est-ce que vous en
pensez? Est-ce <qu'on... >que c'est une bonne chose de s'inspirer
du règlement européen?
Mme Castets-Renard (Céline) :
Alors, je pense qu'il y a des dispositions intéressantes dans le règlement
européen qui peuvent tout à fait correspondre au contexte québécois. Mais je
pense aussi, et je rejoins le Pr Gautrais, <je pense aussi >que
<la protection des renseignements...
M. Jolin-Barrette :
...m
ais, cela étant, qu'est-ce que vous en pensez? Est-ce qu'on... que
c'est une bonne chose de s'inspirer du règlement européen?
Mme Castets-Renard (Céline) :
Alors, je pense qu'il y a des dispositions intéressantes dans le règlement
européen qui peuvent tout à fait correspondre au contexte québécois. Mais je
pense aussi, et je rejoins le Pr Gautrais, je pense aussi que >la
protection des renseignements personnels ou de la vie privée en général, c'est
une question de culture. Donc, il faut quand même considérer la situation du Québec
et les objectifs du Québec. Je crois que c'est surtout ça, à partir de quels objectifs
quelles règles de droit seraient pertinentes.
Et le Canada, en fait, et le Québec dans
le Canada, est un peu entre la législation... Il y a des dispositions et des
aspects du système légal de la protection de la vie privée qui ressemblent au
droit américain et d'autres aspects qui ressemblent au droit européen. Donc,
c'est ce que je dis à mes étudiants, souvent : Le Canada est un peu un
trait d'union entre les deux. Mais ce que je voudrais quand même souligner,
c'est que, si le Québec va de l'avant avec cette loi et notamment prévoit des
sanctions élevées, le Québec ne serait pas du tout isolé en Amérique du Nord à
prévoir des sanctions élevées en cas de violation des renseignements
personnels.
En droit américain, la FTC, la Federal
Trade Commission prévoit des sanctions élevées en cas de violation. L'année
dernière... rapport, YouTube a été condamné à 160 millions de dollars
américains pour la violation de la loi COPPA, donc, c'est la loi Children's
Online Protection Pivacy Act, qui protège la vie privée des enfants sur
Internet. Également, au niveau étatique, il y a des sanctions parfois élevées
qui sont prononcées. La Californie, par exemple, mais aussi l'État de New York,
plusieurs États n'hésitent pas à prononcer des sanctions élevées. Et ce sont
les avocats généraux des États qui portent ces actions et qui poussent les
juges ou les contrôleurs, les régulateurs à appliquer ces sanctions. Donc, je
crois qu'il faut tordre le cou à l'idée que vous seriez seuls à imposer des
sanctions élevées.
M. Jolin-Barrette : Donc, en Amérique
du Nord, il y en a qui imposent des sanctions élevées. Donc, pensez-vous que si
le Québec va de l'avant avec le projet de loi n° 64,
ça va avoir pour effet d'inciter les autres juridictions canadiennes et le gouvernement
fédéral à légiférer aussi dans la direction du projet de loi n° 64?
Mme Castets-Renard (Céline) :
Je pense que ça aura nécessairement une influence et je pense le Québec
pourrait montrer la voie, et ce ne serait pas la première fois. Et, je pense,
c'est tout à fait intéressant <que vous mettiez de l'avant... >que
vous mettiez en avant les valeurs que vous voulez défendre. Et je pense qu'on
peut tout à fait avoir une législation protectrice des informations et des renseignements
personnels des citoyens tout en considérant aussi l'évolution technologique,
l'innovation et le poids que cela peut représenter pour les entreprises de
mettre en oeuvre une nouvelle réglementation et de se mettre en conformité. Je
pense qu'un équilibre peut se trouver.
M. Jolin-Barrette : Sur la
question de la Commission d'accès à l'information, là, comment vous voyez ça,
là, le rôle qu'on lui donne, les ressources, l'encadrement? Vous parlez même <d'accompagnement
pour...
Mme Castets-Renard (Céline) :
...
pour les entreprises de mettre en oeuvre une nouvelle réglementation
et de se mettre en conformité. Je pense qu'un équilibre peut se trouver.
M. Jolin-Barrette :
Sur la question de la Commission d'accès à l'information, là, comment vous
voyez ça, là, le rôle qu'on lui donne, les ressources, l'encadrement? Vous
parlez même >d'accompagnement pour les PME, les petites, moyennes
entreprises. C'est quoi votre vision, là, par rapport au rôle de la Commission
d'accès à l'information?
• (16 h 40) •
Mme Castets-Renard (Céline) :
Je pense qu'aujourd'hui il y a... les autorités de protection et de contrôle
des renseignements personnels et des données personnelles sont en train de se
moderniser un petit peu partout dans le monde. On l'a vu en Europe, par exemple,
à la suite du RGPD. On passe d'un rôle un peu passif... enfin, passif, <un
peu de... >ou de contrôle et un peu de méfiance à un rôle
d'accompagnement justement où, finalement, ce n'est que si une entreprise
vous... une administration n'obtempère pas que des sanctions sont prononcées.
Et donc on essaie d'aider à la mise en conformité.
Ce qui veut dire qu'il faut, par exemple,
publier des outils de mise en conformité, des lignes directrices, des
explications, faire des séminaires, etc. Et, si je prends l'exemple de la
France, la CNIL, la Commission nationale informatique et libertés, s'est
complètement reconstruite, c'est toute une culture d'administration, en fait,
qui a changé. Et je pense qu'aujourd'hui, pour moderniser cette fonction, il
faut aller de l'avant avec cette idée de partager finalement un certain savoir,
et d'aider, et d'accompagner, et d'avoir, tout en ayant aussi des moyens de
contrôle assez forts, <et d'avoir >un personnel compétent pour
comprendre des algorithmes des systèmes d'information et des systèmes
d'intelligence artificielle, parce que les juristes sont un peu démunis par
rapport au contrôle de ce type de système. Donc, je pense aussi qu'il faut
renforcer les compétences en matière technologique.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui,
merci, M. le Président. Bonjour, Pre Castets-Renard. C'est un plaisir de
vous retrouver à la Commission des institutions. Nous avions eu l'occasion
justement d'échanger auparavant et nous brûlions d'envie de parler du projet de
loi n° 64. Donc, on a l'occasion aujourd'hui de le faire.
Vous parlez de souplesse et
d'accompagnement, là, pour les petites et moyennes entreprises, j'imagine que
c'est un enjeu qui vous préoccupe. J'aimerais peut-être savoir quel type de
mesure vous entrevoyez, quel genre d'accompagnement, donc juste pour avoir
votre son de cloche par rapport à ça.
Mme Castets-Renard (Céline) :
Je pense qu'il y a deux types d'outil qui sont intéressants dans le règlement
européen, qui ne sont pas forcément à reprendre comme tel, mais, en tout cas,
c'est des pistes à explorer. L'accompagnement, ça va effectivement avec
peut-être des guides, des lignes directrices ou des outils, même des logiciels
ou des tableurs, pour aider les entreprises, par exemple, à savoir comment
gérer des données sensibles par rapport à des données qui ne seraient pas
sensibles, savoir si elles le sont. Par exemple, ça pourrait être tout
simplement des guides avec des questionnaires pour les aider à qualifier et à
s'auto, finalement, contrôler, et à mettre en place les exigences de la loi, ça,
c'est un aspect possible.
<Et puis...
Mme Castets-Renard (Céline) :
…
gérer des données sensibles par rapport à des données qui ne seraient
pas sensibles, savoir si elles le sont. Par exemple, ça pourrait être tout
simplement des guides avec des questionnaires pour les aider à qualifier et à
s'auto, finalement, contrôler, et à mettre en place les exigences de la loi,
ça, c'est un aspect possible.
> Et puis, quand je parle de
souplesse, je pense qu'effectivement il faut laisser la possibilité au
régulateur et, éventuellement, au juge de savoir si, dans la situation
présente, quand il y a une règle à respecter, est-ce qu'il faut l'appliquer
frontalement, on va dire, en blocs, un peu aveuglement, parce qu'on a à faire à
un géant de l'Internet et qu'on sait très bien qu'il collecte massivement des
données, et qu'il y a des données personnelles, et que ces données sont
utilisées sans respect, par exemple, d'un principe de finalité ou d'un principe
de nécessité? Est-ce qu'on a à faire à ce type de géant ou est-ce qu'on a à
faire à une petite entreprise qui n'est pas de mauvaise foi et qui n'a pas
forcément bien compris la réglementation, surtout si elle est nouvelle, et qui
n'en a pas pris toute la mesure? Je pense qu'il ne faut quand même pas traiter
les choses de la même façon, qu'il faut prendre en considération le coût de la
mise en conformité, l'état des connaissances aussi, pour savoir si c'est
compliqué de mettre en oeuvre une technologie, par exemple, ou de mettre en
oeuvre une appréciation de cette technologie, prendre en considération la
nature des données, la finalité des données? Est-ce qu'il y a un risque ou pas
pour les données des Québécois et des Québécoises? Toutes ces questions-là, je
pense qu'il faut se les poser, et je pense que c'est aussi bien que ce soit
dans la loi, parce que, finalement, même si le juge a l'habitude de se poser ce
genre de question, le régulateur sera peut-être plus mal à l'aise pour le
faire. Et je pense que c'est un bon moyen d'introduire de la souplesse.
Donc, je pense qu'il faut vraiment
plusieurs niveaux de lecture de la loi et une gradation en fonction des
acteurs. Encore une fois, les GAFA, ce n'est pas la petite entreprise locale
qui va gérer les données de ses salariés.
M. Lévesque (Chapleau) : O.K.
Et, en petite sous-question, est-ce que cette logique-là et ce raisonnement-là,
vous l'appliquez également en lien avec les pénalités lorsque vous faites une
distinction, par exemple, aux grandes entreprises et petites, moyennes? Donc,
vous créeriez une distinction puis une espèce de régime…
Mme Castets-Renard (Céline) :
Ce n'est pas forcément nécessaire, là. Il me semble que les sanctions sont
considérées comme des maximales. Bien sûr, on ne sera pas obligés d'aller
jusqu'à ce maximum dans toute situation. Donc, voilà. Je voulais aussi dire
qu'en droit américain on a l'habitude de considérer une sanction par données
personnelles qui fait l'objet d'une violation. Donc, quand on a affaire à des
petits fichiers avec peu de violations, bien, la sanction sera plus faible que
si on a affaire à une violation massive avec énormément de données. C'est aussi
une autre façon de raisonner pour avoir cette gradation.
M. Lévesque (Chapleau) :
Parfait. Merci beaucoup. Je crois que le collègue de Saint-Jean a des
questions, M. le Président.
Le Président (M.
Bachand) : M. le député de Saint-Jean, trois minutes.
M. Lemieux : Merci beaucoup,
M. le Président. Bonjour, Pre Castets-Renard. Je voudrais vous amener sur
la question des renseignements dépersonnalisés et anonymisés, puisqu'au fur et
à mesure des gens qu'on rencontre et qu'on écoute, on comprend qu'ils ne sont
pas <anonymes…
Le Président (M.
Bachand) : ...M. le député de Saint-Jean, trois minutes.
M. Lemieux : Merci
beaucoup, M. le Président. Bonjour, Pre Castets-Renard. Je voudrais vous
amener sur la question des renseignements dépersonnalisés et anonymisés,
puisqu'au fur et à mesure des gens qu'on rencontre et qu'on écoute, on comprend
qu'ils ne sont pas >anonymes. Mais je comprends aussi que c'est parce qu'on
regarde en avant un peu, on essaie de deviner l'avenir en se disant :
C'est certain que l'intelligence artificielle va nous donner des moyens qu'on
devine maintenant, mais qu'on ne contrôle pas. Et il est difficile de légiférer
pour quelque chose qu'on ne connaît pas... ou, en tout cas, qu'on n'est pas
capable de mesurer. Mais effectivement, c'est une question qui revient dans à
peu près toutes les présentations et, si ce n'est pas dans la présentation,
c'est dans les questions parce qu'on est curieux.
Alors, j'aimerais que vous nous aidiez à
comprendre où on s'en va avec des renseignements qui, oui, sont
dépersonnalisés, mais ne le resteront peut-être pas. Et, s'ils ne sont pas
anonymisés, alors ils sont quoi et on fait quoi avec?
Mme Castets-Renard (Céline) :
Je pense, sur cette question-là, qu'il faut distinguer entre les données
anonymisées et les données pseudonymisées. La pseudonymisation permet de mettre
en place des moyens pour décorréler l'information personnelle de la donnée, mais
avec toujours une possibilité de recorréler les deux, simplement, on va
utiliser des moyens techniques pour séparer et pour faire en sorte que
l'information ne puisse pas être facilement accessible. Ça va être le cas, par
exemple, de cryptage des données tout simplement.
Et pour vous dire, dans le Règlement
général de protection des données, en fait, on met en avant la notion de
pseudonymisation plutôt que d'anonymisation. L'anonymisation n'apparaît que
dans les considérants du règlement et pas dans le règlement lui-même, parce
que, justement, on a eu exactement les mêmes débats. Et, au départ, on voulait
parler d'anonymisation pour dire que c'était l'objectif à atteindre, et, en
fait, on s'est rendu compte qu'on n'est jamais sûr... bien, jamais, c'est peut-être
un grand mot, mais, en tout cas, c'est très difficile de garantir qu'il n'y a
pas de possibilité de réidentifier. Et donc on a pris, avec prudence, plutôt le
concept de pseudonymisation qui est alors un moyen de protéger les données.
C'est un moyen de sécurité et ça n'est pas un moyen d'éviter la réglementation,
alors que, si la donnée est anonymisée, on peut sortir du champ d'application
des renseignements personnels.
Là, on reste dans le champ d'application
des renseignements, mais on applique une pseudonymisation qui garantit une
certaine sécurité, et qui va quand même donner un peu plus de pouvoir dans
l'utilisation de la donnée. Donc, on a réglé le problème finalement en ne
mettant pas l'accent sur cette donnée... sur cette notion d'anonymisation.
M. Lemieux : Oui. Je veux
juste revenir. J'ai bien compris que, pour ce qui est du consentement, ce que
moi, j'appelle essayer de protéger le citoyen contre lui-même, vous nous
dites : Oui, il faut le protéger contre lui-même, mais il y a des limites
aussi à, ce qu'on dirait en bon québécois, l'écoeurer avec ça aussi, là.
Mme Castets-Renard (Céline) :
Oui, oui, parce que, souvent, les services numériques, par exemple, supposent
de consentir à tout. Et, comme tous les utilisateurs de services numériques, moi
la première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder à un
service, et je ne me demande pas <si je vais lire...
M. Lemieux : ...dirait
en bon
québécois, l'écoeurer avec ça aussi, là.
Mme Castets-Renard (Céline) :
Oui, oui, parce que, souvent, les services numériques, par exemple, supposent
de consentir à tout. Et, comme tous les utilisateurs de services numériques,
moi la première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder
à un service, et je ne me demande pas >si je vais lire les 30 pages
avant d'accepter. Donc, voilà. <Je pense que c'est un exercice... >Lire
toutes les pages, les conditions générales d'utilisation, je pense que c'est un
exercice qu'on fait en faculté de droit peut-être, mais je ne suis pas sûre que
le citoyen fasse cet exercice.
M. Lemieux : Merci
beaucoup.
Le Président (M.
Bachand) :Merci beaucoup. M. le député de
LaFontaine, s'il vous plaît.
M. Tanguay
: Oui. Merci
beaucoup, M. le Président. Bien, merci beaucoup d'être avec nous. Très heureux
de pouvoir discuter, Mme Castets-Renard, de votre expertise en la matière.
J'aimerais faire un peu de droit comparé,
avec vous, en ce qui a trait à la définition de renseignement sensible que le projet
de loi n° 64 introduit. Pour ce qui est du domaine public et privé, c'est
un copier-coller aux articles 12 et 102. On peut lire : «Pour l'application
de la présente loi, un renseignement personnel est sensible lorsque, de par sa
nature ou en raison du contexte de son utilisation ou de sa communication, il
suscite un haut degré d'attente raisonnable en matière de vie privée.»
Est-ce que les acteurs publics et privés
ont suffisamment d'indications dans cette définition-là pour se gouverner?
Mme Castets-Renard (Céline) :
Moi, ça me paraît difficile de mettre en place... de mettre en oeuvre cette
définition et surtout de la mettre en oeuvre avec certitude et d'avoir une interprétation
unique et certaine. Je signale aussi que la notion d'attente raisonnable en
matière de vie privée, là, ça renvoie aussi à l'article 8 de la Charte canadienne
des droits et libertés et à la jurisprudence de la Cour suprême du Canada.
Donc, je ne sais pas si c'était l'intention du législateur en évoquant ce
concept, en tout cas, ça crée une interrogation. Et je pense que ce sera
difficile... c'est difficile de savoir <par avance... >à l'avance
si on a affaire à une donnée sensible ou pas.
• (16 h 50) •
J'avoue que cette définition, au premier
abord, m'avait beaucoup séduite parce que je trouvais intéressant de prendre en
compte le contexte. Mais, dans un environnement technologique très évolutif et
avec du croisement d'informations, avec du traitement massif des données, j'ai
peur que ce soit trop flou, finalement.
M. Tanguay
: Autre
concept également que l'on retrouve dans le RGPD. Lorsqu'il est question de
données sensibles... Et j'aime beaucoup ce concept-là, on l'a dit, considérer
une donnée et sa sensibilité du point de vue des libertés et des droits, donc d<'une> — ce
que je déduis, mais corrigez-moi si j'ai tort — d'une certaine
capacité, pour un utilisateur-possesseur mal intentionné, de, le cas échéant,
discriminer, j'imagine.
Mme Castets-Renard
(Céline) : Alors, les données sensibles sont prévues à l'article 9
du RGPD. Et la grande différence avec le système qui est prévu avec la loi n° 64, <c'est que les données...
M. Tanguay
: ...corrigez-moi
si j'ai tort
— d'une certaine capacité, pour un
utilisateur-possesseur mal intentionné, de, le cas échéant, discriminer,
j'imagine.
Mme Castets-Renard
(Céline) :
Alors, les données sensibles sont prévues à
l'article 9
du RGPD. Et la grande différence avec le
système qui est prévu avec la
loi
n° 64, >c'est que les données sont
énumérées. Donc, il y a une liste avec les données de santé, les données
génétiques, les données de géolocalisation, les préférences sexuelles, etc.,
les orientations politiques, etc. Et donc, déjà, on a une classification qui
est assez précise, et cette classification a été effectivement déterminée en
fonction des risques pour les droits et libertés des individus et, en
particulier, le risque de discrimination.
Donc, on voit aussi que c'est toute
l'approche européenne qui est fondée sur la charte européenne des droits
fondamentaux, la charte de l'Union européenne, avec l'article 7 qui
protège la vie privée, mais aussi l'article 8 qui protège les données
personnelles en tant que telles, parce que, justement, dans la conception
européenne, on considère que les renseignements personnels ne sont pas
simplement liés à la vie privée, mais à tous les droits fondamentaux, et y
compris le risque de discrimination. Donc, c'est toute cette philosophie, en
fait, qui se traduit dans les données sensibles à l'article 9.
M. Tanguay
: Est-ce que
vous nous invitez, donc, comme législateurs québécois, à davantage étudier l'article 9
du règlement européen pour peut-être étayer, le cas échéant, ce qui est la
première mouture du projet de loi n° 64?
Mme Castets-Renard (Céline) :
Bien, je vous invite à clarifier, en tout cas, la définition a minima et peut-être
à réfléchir à l'opportunité ou pas — ce n'est pas à moi d'en décider — mais,
en tout cas, réfléchir peut-être à l'opportunité de lister, ce qui
simplifierait les choses et ce qui clarifierait aussi pour les justiciables, et
ça, c'est un aspect. Et peut-être aussi de réfléchir à la façon de considérer
les renseignements personnels par rapport aux droits fondamentaux et la charte
québécoise des droits et libertés, de regarder si, finalement, la protection
des renseignements personnels, ça ne va pas au-delà de cette idée de vie privée
aussi.
Et, des questions de non-discrimination ou
de risques de discrimination, on en parle beaucoup dans les systèmes
d'intelligence artificielle, et ce serait aussi un moyen d'amener une
interprétation, en ce sens, pour anticiper des évolutions technologiques et des
risques sociaux par rapport aux systèmes d'IA.
M. Tanguay
: Oui, et...
<Non. >Je trouve ça <excessivement>... et c'est un
chantier excessivement stimulant intellectuellement, mais on voit qu'on joue
avec des notions qui auront des impacts que l'on veut tangibles pour certains,
basés sur l'interprétation de tout un chacun, les impacts qui risquent d'être
différents. Et on a entendu les gens, les femmes et les hommes d'affaires nous
dire : Écoutez, nous, on veut de la prévisibilité, donnez-nous des guides.
Évidemment, on s'est fait dire que ça allait coûter cher, et tout ça, puis
c'est vrai que ça ne sera pas sans coût, mais, je veux dire, c'est de droit
nouveau que ces définitions-là. Et c'est plus qu'hier, moins que demain, en
tout cas, cet appel-là. Je trouve ça excessivement stimulant, intéressant,
mais... Wow! Vous nous invitez, à l'article 9... <Est-ce qu'il n'y a
pas d'autres...
M. Tanguay
: ...
c'est
vrai que ça ne sera pas sans coût, mais, je veux dire, c'est de droit nouveau
que ces définitions-là. Et c'est plus qu'hier, moins que demain, en tout cas,
cet appel-là. Je trouve ça excessivement stimulant, intéressant, mais... Wow!
Vous nous invitez, à l'article 9... >Est-ce qu'il n'y a pas
d'autres pays qui pourraient nous aider, d'autres exemples qui pourraient nous
aider dans cette rédaction-là?
Mme Castets-Renard (Céline) :
Sur les données sensibles en particulier non, mais je voudrais quand même aussi
dire que la tendance générale dans le monde est de suivre le RGPD. Parce qu'en
raison de la règle de la protection adéquate qui fait que tous les États qui
veulent continuer à échanger des données avec l'Union européenne doivent avoir
une législation en adéquation. Donc, c'est ce qui fait que le Japon a changé sa
législation, en Asie, il en est question aussi à Singapour, en Malaisie, en Amérique
du Sud, etc. Et donc ça va, de toute façon, entraîner un mouvement mondial.
Donc, l'argument, selon lequel ça va coûter cher et ça va constituer un
problème pour les entreprises et une disparité de concurrence, je pense que cet
argument lui vaudra peut-être un temps, mais pas à très long terme.
Et je pense aussi que c'est un argument
économique que de pouvoir garantir une protection des renseignements personnels
aux individus, mais aussi pouvoir développer une économie qui soit stable et
qui soit fiable. Montréal est une place de l'intelligence artificielle, et je
pense qu'il faut une législation protectrice des renseignements personnels qui
soit moderne et qui aille avec ça. Je pense que c'est un argument aussi de
compétitivité, et je pense que, voilà, il faut aussi voir l'inverse et
retourner l'argument finalement, à mon avis.
M. Tanguay
: Oui, tout
à fait, puis on pourrait même le voir sous le prisme du justiciable de la
personne physique qui, elle, pourrait dire : Bien, tu sais, j'ai le goût
de défendre mes droits, ce que je considère être mes droits, mais si ce n'est
pas clair, il y a une non-prévisibilité aussi pour vous-mêmes. L'organisme
pourrait vous renvoyer dans les roses et vous dire : Non. Alors là, c'est
ce que l'on veut éviter.
Deux questions rapides, parce que
j'aimerais laisser du temps à ma collègue de Notre-Dame-de-Grâce. Qu'en est-il maintenant
de... Vous dites : On a un pied en Europe, un pied aux États-Unis. <Qu'en
est-il... >Qu'est-ce qui arrive aux États-Unis, là? Est-ce que...
Pouvez-vous nous faire un petit état de développement récent en droit de renseignements
personnels aux États-Unis? Qu'est-ce qui... What's cooking?
Mme Castets-Renard (Céline) :
Alors, c'est un peu difficile de faire en un point, parce qu'il y a plus de
400 lois sur les renseignements personnels ou les données... les
«personally identifiable information» comme disent les Américains. Donc, c'est
un petit peu difficile de faire un état des lieux. Mais ce que je peux dire,
c'est que <c'est aussi... >ces législations se situent au niveau
fédéral et au niveau étatique, mais c'est une approche très sectorielle,
contrairement donc à ce qui se passe au Canada et en Europe. Donc, c'est la
raison pour laquelle il y a énormément de lois. Mais la petite fracture, le
petit changement qui a eu lieu, c'est avec la loi de Californie, dont tout le
monde parle, en 2018, qui a prévu une législation et un champ <d'application
un peu...
Mme Castets-Renard (Céline) :
…
et au niveau étatique, mais c'est une approche très sectorielle,
contrairement donc à ce qui se passe au Canada et en Europe. Donc, c'est la
raison pour laquelle il y a énormément de lois. Mais la petite fracture, le
petit changement qui a eu lieu, c'est avec la loi de Californie, dont tout le
monde parle, en 2018, qui a prévu une législation et un champ >d'application
un peu plus large que d'habitude. Mais je voudrais quand même signaler que,
souvent, on compare cette loi californienne avec le RGPD, ça n'a pas
grand-chose à voir ni dans les droits, ni dans les principes, ni dans les
fondements, parce que cette loi californienne repose sur le droit de la
consommation, c'est le Consumer… D'ailleurs, dans son titre, hein, il y a la
notion de Consumer Privacy Act. Donc, ce n'est pas véritablement une
législation uniquement sur les renseignements personnels, ça, c'est une
première différence.
Néanmoins, cette législation est plus
large et plus protectrice que ce qui existait auparavant, et d'autres États ont
suivi, l'État de New York, le Maine, le Vermont, par exemple. Et il y a un
«California effect», donc aujourd'hui, par les États en fait, il y a une espèce
de renforcement de la protection. Et donc, quand on dit que Québec serait
isolé, je ne crois pas, je pense qu'il y a un mouvement de fond qui se met en
place au niveau étatique. Au niveau fédéral, ce sera très certainement plus
difficile compte tenu des majorités en cours, sauf changement dans les
prochaines semaines.
Mais voilà, il faut voir qu'au niveau des
États ça bouge énormément. Il faut voir aussi que les entreprises américaines
ont énormément l'habitude des politiques de confidentialité et de respecter un
certain nombre de principes. Donc, ça fait partie de leur modèle d'affaires, et
je ne crois pas qu'encore une fois <que >le Québec serait seul, et
je pense qu'il y a aussi des choses intéressantes à prendre du côté américain.
Le Président (M.
Bachand) : Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce, trois minutes.
Mme Weil
: Trois
minutes. Merci beaucoup pour votre présence et votre mémoire fascinant,
vraiment là, très intéressant ce dernier débat. En parlant de protection des
enfants justement, parce que vous avez parlé de peines très sévères, donc les
peines sévères, on peut le comprendre avec l'objectif de protéger les enfants. Et,
aux États-Unis, ils ont beaucoup de lois qui vont dans ce genre, pour protéger
des enfants, les mineurs d'exploitation de toute sorte. Est-ce qu'il y a une
tendance en Amérique du Nord, au Canada de penser à ça justement dans nos lois
pour protéger les renseignements personnels?
<Et on entend... >C'est la
première qu'on entend même parler d'enfants qui sont… Je sais que la protection
du consommateur, l'Office, a des stratégies pour protéger les enfants justement,
mais on n'est jamais allés aussi loin. Est-ce que ce serait une occasion
d'intégrer justement un des critères, parce que la loi est ouverte, et on n'a
pas ciblé les enfants qui sont les victimes, à quelque part, hein, de ces
entités?
Mme Castets-Renard (Céline) :
Il me semble que, dans le projet de loi n° 64, on prévoit le consentement
pour les mineurs de 14 ans. C'est ça. Il me semble bien l'avoir vu, donc il y a
une disposition en ce sens. Je pense que c'est important…
Mme Weil
: La loi,
mais…
• (17 heures) •
Mme Castets-Renard (Céline) :
…de cibler effectivement les mineurs, et je pense que cette disposition va…
17 h (version révisée)
Mme Castets-Renard (Céline) :
…oui, il me semble que, dans le projet de loi n° 64, il y a… on prévoit le
consentement pour les mineurs de 14 ans. C'est ça? Il me semble bien
l'avoir vu.
Donc, il y a une disposition en ce sens.
Je pense que c'est important de cibler, effectivement, les mineurs et je pense
que cette disposition va dans le bon sens. Le RGPD le prévoit aussi. La loi
américaine, comme je l'ai dit, le prévoit, alors, uniquement pour l'utilisation
des données en ligne dans un contexte particulier, dans la loi COPPA, mais ça
fait longtemps que cette loi existe. Et c'est d'ailleurs ce qui a influencé le
législateur européen, comme quoi les influences sont quand même multiples.
Et donc, oui, je pense que c'est important
de sensibiliser les enfants et de contribuer aussi à leur éducation. Ça, c'est
l'enseignante qui parle. Je pense que, oui, ça serait aussi intéressant et
important de parler des risques de la vie numérique en particulier aux enfants
dès le plus jeune âge. Moi, je les vois à l'université. Ils sont déjà très au
courant, et il n'y a pas de difficultés, mais je pense qu'il faudrait parler
aux plus jeunes.
Mme Weil
: Ah! il reste
encore un peu de temps?
Le Président (M. Bachand) :
Il vous reste du temps, oui, allez-y.
Mme Weil
: Oui. Alors,
donc, c'est à la page 5, en parlant de «soft law» comme on appelle, donc,
il y a plusieurs groupes, surtout des représentants des entreprises, les
petites entreprises, qui demandent justement… bon, qui se plaignent que les
mesures, les peines sont beaucoup trop sévères, etc. Et d'autres sont venus,
quand on leur a posé la question, on dit : Il faudrait de
l'accompagnement. Si on veut que tout le monde réussisse, on veut l'adhésion,
la meilleure façon, c'est de les accompagner, et c'est exactement ce que vous
dites. Donc, vous dites : Oui, on peut s'inspirer de la loi européenne,
mais, en même temps, la loi européenne a des mesures d'accompagnement. Est-ce
qu'on pourrait vous entendre encore là-dessus? Moi, je pense que c'est un point
très important. Sinon, il y aura beaucoup d'échecs. Et vous recommandez la CAI
comme l'organisme qui pourrait fournir l'accompagnement.
Mme Castets-Renard (Céline) :
Oui, ça me semble important. Effectivement, on voit beaucoup le RGPD, parce
qu'il y a énormément de dispositions, il y a 99 articles. C'est un texte
extrêmement complexe, et, évidemment, quand le texte est tombé, pour les
petites entreprises, évidemment, il y a eu beaucoup de débats et beaucoup,
bien, de plaintes par rapport à ce texte.
Et donc ce gros texte lourd et complexe, c'est
accompagné de ces mesures d'explication, finalement. En fait, les concepts clés
ont été décortiqués à la fois avec des exemples, à la fois avec des outils de
mise en oeuvre pour aider les entreprises à se poser les bonnes questions, pour
faire le registre des traitements, par exemple, pour faire une étude d'impact. Et
donc tous ces outils clés… On n'a pas du tout parlé des outils, mais il faut
voir aussi qu'il faut accompagner par des outils clairs.
Dans le projet de loi n° 64,
on parle d'étude des facteurs de vie privée. Il faut expliquer ce que c'est et
ce qu'on attend dans une étude d'impact. Ça se développe… Les études d'impact
se développent un petit peu <partout…
Mme Castets-Renard (Céline) :
...
mais il faut voir aussi qu'il faut accompagner par des outils
clairs.
Dans le projet de loi
n°
64, on parle d'étude des facteurs de vie privée.
Il faut expliquer ce que c'est et ce qu'on attend dans une étude d'impact. Ça
se développe… Les études d'impact se développent un petit peu >partout.
On parle de Privacy Impact Assessments ou d'étude d'impact de vie privée ou de renseignements
personnels. Et donc, bien, typiquement, il faut un outil pour ça. Il faut
expliquer ce qu'on attend, quelles mesures prendre, comment l'entreprise doit
collecter ces données, savoir quels traitements sont réalisés, à quoi les
données sont... bien, pourquoi les données sont collectées, à quoi elles
servent, d'où viennent ces données, est-ce qu'elles circulent, tout ça. Il faut
réussir à faire le point si on veut donner du sens à la protection, mais, pour
ça, il faut tout simplement, effectivement, des tableaux, des questionnaires,
des règles très simples pour les aider à le faire.
Et donc, en Europe, ce sont les autorités
nationales de protection des données qui ont fourni ces outils, chacune pour
son État membre, mais aussi collectivement, au sein du comité de protection des
données européen, avec des lignes directrices pour décrypter, pour expliquer le
texte, pour expliquer le RGPD. Donc, on a vraiment deux niveaux. On a un niveau
normatif, explicatif, et un niveau, vraiment, d'outils pour mettre en oeuvre la
règle et dire ce qu'on attend, en fait.
Le Président (M. Bachand) :Merci beaucoup, professeure. M. le député de LaFontaine,
une minute.
M. Tanguay
: J'ai une
dernière question qui m'a été inspirée par votre échange avec le collègue. Par
rapport au concept de, bon, dépersonnaliser le projet de loi n° 64,
anonymiser, je crois que vous avez utilisé le terme «pseudomiser»,
«pseudonomiser». Comment vous aviez dit ça?
Des voix
: Ha, ha, ha!
Mme Castets-Renard (Céline) :
C'est la pseudonymisation, voilà.
M. Tanguay
: Oui. Ma question,
je vais y aller très court. Là, ça rit autour, focussez. Alors, ma question. En
matière de droits et libertés, ne pas offrir... pour une compagnie d'assurance
ou une compagnie pharmaceutique, décider de ne pas offrir tel produit
d'assurance ou tel médicament, parce que mes études de marché me disent que,
coût-bénéfice, ça ne vaut pas la chandelle pour moi, comment pouvons-nous nous
prémunir contre ça? Donc, il y a un aspect de droits et libertés et non-discrimination,
mais c'est surtout sur un aspect plus collectif de la chose. Je ne sais pas si
vous voyez mon enjeu.
Le Président (M. Bachand) :
Mme la professeure, s'il vous plaît, très rapidement.
Mme Castets-Renard (Céline) :
Je pense que ce n'est pas une réglementation sur les données personnelles qui
permet de répondre à cet enjeu. La donnée... Le renseignement personnel, c'est
lié à des personnes, à des individus. Ce n'est pas des choix collectifs. Et ça
tombe bien que vous posiez cette question, parce que je pense que, par rapport
aux évolutions technologiques, et en particulier aux systèmes d'intelligence
artificielle, il y a un certain nombre de risques de discrimination et de
risques sociaux que n'adresse pas le projet de loi n° 64,
mais qu'il ne peut pas adresser, parce que ce n'est pas dans le champ des
règlements... des renseignements personnels. Il y a aussi des choses qui ont
été laissées de côté dans le RGPD, et, pour ces enjeux sociétaux là, eh bien,
il faudrait une autre législation ou, en tout cas, au moins, une autre
réflexion.
Le Président (M. Bachand) :Merci beaucoup de votre participation aux travaux de la <commission...
Mme Castets-Renard (Céline) :
...
pas le projet de loi
n°
64,
mais qu'il ne peut pas adresser parce que ce n'est pas dans le champ des
règlements... des renseignements personnels. Il y a aussi des choses qui ont
été laissées de côté dans le RGPD. Et, pour ces enjeux sociétaux là, eh bien,
il faudrait une autre législation ou, en tout cas, au moins une autre
réflexion.
Le Président (M.
Bachand) :
Merci beaucoup pour votre participation aux
travaux de la >commission. C'était un grand plaisir.
Et, sur ce, on suspend les travaux
quelques instants. Merci et à bientôt.
(Suspension de la séance à 17 h 6)
>
(Reprise à 17 h 10)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux.
Il me fait plaisir d'accueillir les représentants d'Option Consommateurs.
Alors, bienvenue, M. Plourde, M. Corbeil. Alors, je vous invite à
débuter votre présentation de 10 minutes, et après on aura un échange avec
les membres de la commission. Donc, la parole est à vous. Merci.
M. Corbeil (Christian) : M.
le Président, M. le ministre, Mmes et MM. les députés, je vous remercie de nous
donner l'occasion de vous présenter nos observations aujourd'hui. Je m'appelle
Christian Corbeil, directeur général d'Option Consommateurs. Je suis accompagné
d'Alexandre Plourde, avocat et analyste chez Option Consommateurs.
Créée en 1983, Option Consommateurs est
une association à but non lucratif qui a pour mission d'aider les consommateurs
et de défendre leurs droits. La protection des renseignements personnels
intéresse Option Consommateurs depuis longtemps. Au cours des dernières années,
nous avons produit de nombreux rapports de recherche qui documentent diverses questions
relatives à la protection des consommateurs dans le cadre des nouveaux modèles
d'affaires rendus possibles par le numérique. Nous sommes donc bien positionnés
pour commenter le projet de loi n° 64. C'est sur la base de l'expertise
acquise sur le terrain et dans nos recherches que nous vous présentons nos commentaires
devant cette commission.
D'emblée, nous appuyons fortement le projet
de loi n° 64, qui permettra, selon nous, de rehausser considérablement la
protection des consommateurs. Toutefois, nous croyons qu'un financement adéquat
de la Commission d'accès à l'information sera indispensable pour qu'il atteigne
véritablement ses objectifs. Mon collègue Me Alexandre Plourde vous
exposera ici les grandes lignes de nos observations. Merci.
Le Président (M. Bachand) :
M. Plourde.
M. Plourde (Alexandre) :
Alors, comme l'a mentionné mon collègue Christian, nous accueillons
favorablement le projet de loi n° 64. Selon nous, ce projet de loi
innovateur permettra d'améliorer la protection de la vie privée des consommateurs
et d'assurer une meilleure sécurité de leurs données.
Cependant, bien que nous supportions largement
son adoption, il soulève quelques préoccupations. Je vais brièvement résumer
certaines de nos préoccupations en trois points, soit la protection des <consommateurs...
M. Plourde (Alexandre) :
...privée des
consommateurs et d'assurer une meilleure sécurité de leurs
données.
Cependant, bien que nous supportions
largement
son
adoption, il soulève quelques préoccupations. Je vais brièvement
résumer certaines de nos préoccupations en trois points, soit la protection des
>consommateurs face aux modèles d'affaires numériques, l'importance
d'incorporer des sanctions dissuasives dans la loi, et finalement l'importance
d'accompagner le projet de loi d'un financement accru de la Commission d'accès
à l'information. Je vous rappelle aussi que nous avons produit un mémoire écrit
qui détaille davantage nos positions sur le projet de loi.
Donc, premier point, la protection des
consommateurs face aux modèles d'affaires numériques. Pour bénéficier des
services des grandes entreprises technologiques telles que Google et Facebook,
les consommateurs doivent accepter d'être pistés et profilés à des fins commerciales.
La collecte massive de données sur les consommateurs n'a pas seulement lieu
lorsqu'ils utilisent les plateformes de ces entreprises. Grâce à diverses
technologies de pistage, une myriade d'entreprises sont également en mesure
d'enregistrer les activités des internautes presque partout où ils vont sur
Internet, le plus souvent à leur insu.
En outre, la collecte de données sur les
consommateurs n'est désormais plus confinée qu'à l'ordinateur ou au téléphone
mobile. De plus en plus, des biens courants achetés par les consommateurs sont
des appareils connectés à Internet, qui ont eux aussi une large capacité de
collecte de données. Des appareils domestiques, des automobiles, des assistants
vocaux, des caméras, des électroménagers, des technologies prêtes-à-porter, des
jouets, tous ces appareils peuvent maintenant comporter des capteurs qui
recueillent des données qui pourront être utilisées à des fins commerciales.
Cet environnement, qu'on appelle Internet des objets, est en voie de devenir
omniprésent.
Devant toutes ces technologies, fournir
aux consommateurs l'information claire et adéquate sur ce qu'il advient de
leurs données est la moindre des choses. Nous accueillons donc favorablement le
renforcement des obligations d'information prévu au projet de loi n° 64, qui laisse présager une plus grande transparence des
entreprises. Cependant, nous croyons que ces obligations d'information
pourraient être améliorées.
D'abord, nous estimons que le champ des
informations à divulguer est trop étroit. Nombreux sont les consommateurs qui
ignorent la portée de la collecte de données dont ils font l'objet dans
l'environnement numérique. Nous estimons donc que les nouveaux articles 8 et
8.1 de la loi sur le secteur privé devraient être modifiés pour que la personne
soit également informée des types de renseignements personnels qui seront
recueillis sur elle sans qu'elle n'ait à en faire la demande.
Ensuite, nous observons que les
consommateurs ne sont pas informés en temps opportun que de simples appareils
domestiques qu'ils achètent peuvent… de larges pans de leur vie privée. On ne
trouve généralement aucune information relative à la protection de la vie
privée sur l'emballage de ces biens ou dans leur boîte. Les fabricants de ces
objets optent généralement pour en vanter les avantages, tels que leur
caractère intelligent, sans évoquer la large collecte de données qu'ils
effectuent.
Selon nous, ce manque d'information
préalable empêche les consommateurs qui se préoccupent de leur vie privée de
faire un choix d'achat éclairé. Nous suggérons donc que la divulgation de
l'information soit faite avant que le consommateur ait conclu une transaction
commerciale, par exemple sous une forme uniformisée, affichée sur l'emballage
de l'appareil. Une telle approche pourrait un tant soit peu contribuer à faire
de la vie privée un véritable argument <d'achat…
M. Plourde (Alexandre) :
...
éclairé. Nous suggérons donc que la divulgation de l'information
soit faite avant que le consommateur ait conclu une transaction commerciale,
par exemple sous une forme uniformisée, affichée sur l'emballage de l'appareil.
Une telle approche pourrait un tant soit peu contribuer à faire de la vie
privée un véritable argument >d'achat.
Cela dit, même si on informe mieux les consommateurs,
l'approche basée sur le consentement de la personne reste, selon nous,
insuffisante pour les protéger. D'un point de vue de protection du public, la
critique principale qu'on peut formuler quant au projet de loi n° 64 est
qu'il ne remet pas véritablement en question les modèles d'affaires reposant
sur le pistage et la collecte massive des données des citoyens à des fins commerciales.
Un consommateur qui utilise les services de Facebook ou de Google devra
continuer d'accepter de fournir ses données à ces entreprises. Sa seule
véritable possibilité de refus consistera à ne pas utiliser leurs services.
Alors que bien des gens dépendent aujourd'hui de ces plateformes omniprésentes,
ce choix reste bien sûr illusoire.
De même, le projet de loi n° 64 ne
confère pas explicitement aux consommateurs le droit de refuser d'être pistés
en ligne sur l'ensemble des sites qu'ils visitent, par exemple en contraignant
les entreprises à respecter un signal «do not track» intégré à leur fureteur.
En somme, bien qu'on informe davantage le consommateur, le choix que permet le
projet de loi reste limité.
Pour aller plus loin dans la protection du
public, nous estimons que le projet de loi n° 64
devrait également encadrer spécifiquement les utilisations que peuvent faire
les entreprises des données qu'elles recueillent. À cet égard, nous estimons
que la loi devrait interdire explicitement toute utilisation de données ayant
des effets discriminatoires illicites ayant pour effet d'exploiter
économiquement le consommateur ainsi que toute utilisation commerciale des
données des enfants.
Manifestement, en l'absence de telles
balises, le projet de loi n° 64 reste une oeuvre inachevée, ce qui m'amène
au deuxième point, soit l'importance d'incorporer des sanctions dissuasives
dans la loi. Donc, nous accueillons favorablement l'incorporation dans la loi
québécoise d'obligations de responsabilisation des entreprises. Selon nous, ces
dispositions contribueront au développement d'une approche préventive en
matière de sécurité informationnelle et inciteront les entreprises à investir
davantage en cybersécurité.
Bien entendu, ce nouveau régime ne sera
pas complet si les entreprises qui y contreviennent ne s'exposent qu'à des
sanctions dérisoires. Option Consommateurs appuie donc sans réserve
l'instauration dans la loi de sanctions significativement plus élevées aux
entreprises contrevenantes. Selon nous, il est particulièrement important que
la loi comporte une peine maximale, sous forme de pourcentage du chiffre
d'affaires mondial de l'entreprise, afin qu'elle ait également un effet
dissuasif sur les grandes multinationales du numérique, qui pourraient
autrement estimer qu'une contravention à la loi québécoise n'est qu'un risque
gérable.
Les craintes de l'industrie quant à
l'entrave que de telles sanctions pourraient apporter à l'innovation, ou à la
rentabilité, ou à l'investissement ne résistent pas à une lecture attentive du
projet de loi. Rappelons que la loi prévoit que des critères précis de
détermination de la peine devront être considérés avant d'imposer une sanction
pécuniaire à une entreprise pour tenir compte de chaque cas particulier. La loi
donnera même la possibilité aux entreprises de remédier à un défaut leur étant
reproché. Malgré les sanctions importantes qu'il <comporte...
M. Plourde (Alexandre) :
...
résistent pas à une lecture attentive du projet de loi. Rappelons que
la loi prévoit que des critères précis de détermination de la peine devront
être considérés avant d'imposer une sanction pécuniaire à une entreprise pour
tenir compte de chaque cas particulier. La loi donnera même la possibilité aux
entreprises de remédier à un défaut leur étant reproché. Malgré les sanctions
importantes qu'il >comporte, le projet de loi n° 64
ne menace donc pas la viabilité économique des entreprises au Québec. Il offre
plutôt un régime de sanctions pouvant s'adapter au contexte et permettant de véritablement
dissuader les entreprises faisant preuve de négligence ou d'insouciance quant
aux renseignements personnels des consommateurs.
Et je termine avec le troisième point,
soit le financement de la Commission d'accès à l'information. Donc, pour que le
projet de loi n° 64 parvienne à remplir ses objectifs,
encore faut-il accorder les ressources requises pour le mettre en oeuvre. Malheureusement,
la Commission d'accès à l'information, l'organisme public chargé de veiller à
la protection de la vie privée des Québécois, reste largement sous-financée.
En raison du sous-financement de cet
organisme, les consommateurs ont déjà fait face à des délais inouïs avant
d'obtenir une décision de ce tribunal administratif. Or, le projet de loi n° 64 ajoutera une pression considérable sur la CAI, qui se
trouvera chargée notamment de recevoir les avis de bris de sécurité, de
surveiller l'application de nouvelles normes dans le contexte numérique et
d'imposer des sanctions aux entreprises contrevenantes.
En conclusion, pour que la CAI puisse véritablement
jouer son rôle, nous estimons qu'elle n'a pas seulement besoin de lois plus
modernes. Elle doit aussi bénéficier de ressources suffisantes. Au regard du
financement d'autres organismes provinciaux ayant la même mission et des responsabilités
accrues confiées à la CAI, il nous semble tout à fait raisonnable que le budget
annuel de cet organisme soit multiplié par deux.
Donc, merci. Il nous fera plaisir de
répondre à vos questions.
Le Président (M. Bachand) :
M. Corbeil, Me Plourde, merci infiniment. M. le ministre, s'il vous plaît.
• (17 h 20) •
M. Jolin-Barrette : Oui.
Bonjour, M. Corbeil, Me Plourde. Merci à Option Consommateurs de participer aux
consultations sur le projet de loi n° 64.
Vous avez attiré mon attention sur
l'élément... Vous dites : Bon, il faut éviter que les entreprises
exploitent le consommateur par l'obtention de ces données. Ce que vous dites, dans
le fond, c'est que le fait que le consommateur partage ses données avec ou sans
consentement, bien souvent sans consentement ou sans véritable consentement, ça
fait en sorte que ça devient un outil commercial important, là, pour les entreprises.
M. Plourde (Alexandre) : Oui,
bien, en fait, cette portion-là de notre mémoire, ça réfère, en fait, à aller
plus loin que le consentement. Donc, nous, ce qu'on dit, chez Option
Consommateurs : Oui, c'est important, le consentement, que les
consommateurs soient informés des pratiques des entreprises, aient une information
complète, mais ça ne suffit pas à les protéger. Il faut aussi s'attaquer à ce
que les entreprises font ou pourraient faire avec nos données.
Puis les craintes qu'on a par rapport à
ça... Une des craintes qu'on a par rapport à ça, ça serait l'utilisation par
des grandes entreprises technologiques des données des consommateurs pour, bon,
les exploiter économiquement. Par exemple, ça pourrait être une situation où un
géant technologique, un commerçant en ligne qui piste un internaute un peu
partout sur <Internet...
M. Plourde (Alexandre) :
…une des craintes qu'on a
par rapport à ça, ça serait
l'utilisation
par des grandes
entreprises technologiques des données des consommateurs
pour, bon, les exploiter économiquement.
Par exemple, ça pourrait être
une
situation où un géant technologique, un commerçant en ligne qui
piste un internaute un peu partout sur >Internet réalise : Ah! cet
internaute-là recherche un bien précis, là, ou un médicament précis, par
exemple, donc ce que je vais faire, c'est que les prix que je vais afficher à cette
personne-là, bien, je vais les monter, je vais les doubler, je vais les tripler
pour profiter de sa situation de vulnérabilité. C'est des craintes qu'on a par
rapport à ça. Nous, on pense qu'il devrait y avoir des balises dans la loi à
cet égard-là.
Il y a aussi tout l'enjeu que les
entreprises technologiques connaissent de larges pans de notre vie, quelles
sont nos préférences, quels sont nos comportements, savent qu'est-ce qu'on
fait, où est-ce qu'on se situe, connaissent notre historique de recherche. Bon,
ils savent à peu près tout sur nous. Donc, ces données-là, une fois qu'on les
analyse, bien, on pourrait les utiliser à des fins de… pour développer des
techniques de persuasion qui pourraient être très subtiles, très efficaces.
Donc, c'est le genre de crainte qu'on a
par rapport à l'utilisation des données qui… À notre sens, ça ne serait pas
compliqué, ça serait d'inscrire ça dans la loi, de dire : Bien, une
utilisation qui exploite les consommateurs devrait être interdite. Remarquez qu'il
y a peut-être des choses qui existent déjà dans la loi, qui pourraient être
invoquées. Le contrat que j'ai avec Facebook, que j'ai avec Google, c'est un
contrat de consommation. La Loi sur la protection du consommateur, elle prévoit,
par exemple, des choses comme la lésion aux articles 8 et 9. Donc, c'est
le genre de chose qui pourrait peut-être être invoquée, mais nous, on pense que
c'est le genre de chose qui… même si ça reste un peu spéculatif, ce n'est
peut-être pas nécessairement avéré par la recherche, ça devrait être inclus
dans la loi, à mon sens.
M. Jolin-Barrette : O.K.
Donc, juste pour illustrer votre propos, là, c'est l'exemple, là… Moi,
supposons que les frontières étaient ouvertes, je veux un billet d'avion, mais
je ne connais pas encore mes dates, donc je vais plusieurs fois sur le site
aérien… sur le site d'un transporteur aérien ou sur un site Internet qui est un
agent de voyage et qui prévoit la vente de vols ou d'hébergement, et là je fais
ma recherche ce soir, puis là j'en parle avec ma conjointe, je dis : As-tu
envie d'aller à tel endroit? Et là je retourne une autre fois le soir, puis je
retourne le lendemain matin, et là le prix monte, monte, monte graduellement,
parce que mon intérêt à aller en voyage augmente dans la… suite à mes discussions.
Alors, est-ce que c'est un peu ça que vous
illustrez? Dans le fond, à cause de ma recherche, à cause de mon intérêt que je
manifeste sur le site de l'entreprise commerciale, on utilise un peu cet
historique-là pour dire : Bien, ah! on a un poisson qui s'en va en voyage,
et donc je vais monter le prix. C'est un peu ça que… pour bien l'illustrer, là.
M. Plourde (Alexandre) : Oui,
c'est ça que j'illustre, mais il faut faire attention, par exemple, parce que,
si je prends le cas des billets d'avion, il y a deux choses qu'il faut
distinguer.
Il y a la tarification dynamique. Donc, la
tarification dynamique, c'est : J'augmente les prix en fonction du moment
de la journée ou le temps qu'il reste avant que le vol parte, et tout ça. Ça,
ce n'est pas lié aux informations qui me sont personnelles, à moi. Et là la
recherche est assez balbutiante. Actuellement, il y a certaines recherches
américaines ou à l'étranger qui ont été faites, qui indiquent que <certaines…
M. Plourde (Alexandre) :
…tarification dynamique, c'est : J'augmente les prix en fonction du moment
de la journée ou le temps qu'il reste avant que le vol parte, et tout ça. Ça,
ce n'est pas lié aux informations qui me sont personnelles, à moi. Et là la
recherche est assez balbutiante. Actuellement, il y a certaines recherches
américaines ou à l'étranger qui ont été faites, qui indiquent que >certaines
entreprises auraient pour pratique de personnaliser les prix en ligne. Ça,
personnaliser les prix, ce n'est pas en fonction du moment de la journée ou,
bon, de l'offre et de la demande, c'est vraiment en fonction de mes
caractéristiques propres comme consommateur.
Donc, il y a une personne qui est dans
telle localisation géographique, je vais lui charger plus cher, ou une personne
qui a tel historique de recherche, je pourrais lui charger plus cher. C'est ce
genre de pratique là qui nous inquiète particulièrement chez Option
Consommateurs. Il y a des indications qui montrent que ça existe peut-être sur
Internet. La recherche reste encore à se développer à cet égard-là, mais, oui,
ça serait ce genre de situation là, qu'on utiliserait les données personnelles
de quelqu'un, notre connaissance très intime de ses besoins, de ses désirs,
pour essayer de profiter au maximum de sa situation.
M. Jolin-Barrette : O.K. Ça
signifie… Supposons que je fais une recherche avec le cellulaire du député de LaFontaine,
le prix sorti serait plus élevé que si je le fais avec mon propre cellulaire.
C'est un peu ça que je comprends. Donc, l'effet… Quand vous dites : Des
effets discriminatoires illicites, c'est à ça que vous faites référence, de
dire : On va venir discriminer le consommateur en fonction de son profil.
M. Plourde (Alexandre) : Oui,
bien, en fait, je fais référence… Quand je parle de discrimination illicite,
là, je fais évidemment référence à la charte québécoise. Il y a des études qui
montrent, par exemple, aux États-Unis, que des gens, dans certains quartiers,
se voyaient afficher des prix plus élevés pour certains biens ou certains services
en ligne, et ce qu'on découvrait, c'est que les gens qui habitaient dans ces
quartiers-là, bien, ils appartenaient majoritairement à une ethnie spécifique.
Donc, ça avait pour effet, la
personnalisation des prix de l'entreprise, de faire une espèce de forme de
discrimination indirecte. C'est des pratiques… Encore là, comme je vous dis,
c'est peu documenté, c'est peu connu. On sait que… On a des indices comme de
quoi ça existe, mais ce genre de pratique là, à notre sens, devrait être
interdite. Puis, comme je le dis, il peut y avoir des choses dans la loi qui
pourraient être utilisées actuellement. Bon, je parlais de la charte. Le Code
civil parle… Bon, l'emploi des renseignements personnels doit être fait à des
fins légitimes. Il y a peu de jurisprudence là-dessus.
Donc, les tribunaux, avec l'évolution
technologique, on ne sait pas qu'est-ce qui va survenir dans les prochaines
années. Il va peut-être y avoir de l'information qui va filtrer là-dessus. Bon,
les tribunaux vont peut-être parvenir à déterminer qu'est-ce qui est permis,
qu'est-ce qui est interdit, vont se prononcer sur ces questions-là, mais moi,
je ne pense pas qu'on devrait attendre nécessairement que les tribunaux se
prononcent là-dessus. On devrait, d'emblée, dire : Écoutez, utiliser les données
personnelles des consommateurs pour les discriminer, pour les exploiter, bien,
ça devrait être tout simplement interdit. C'est une fin qui illégitime, là. Je
ne pense pas qu'on a besoin d'attendre que les tribunaux se prononcent
là-dessus, là.
M. Jolin-Barrette : O.K. Ce
qu'on a sur le déréférencement dans le projet de loi n° 64, est-ce que ça
satisfait votre organisation?
M. Plourde (Alexandre) : Oui.
On considère que c'est un bon équilibre. C'est un peu <plus…
M. Jolin-Barrette :
...ce qu'on a sur le déréférencement dans le
projet de loi n° 64,
est-ce
que ça satisfait votre organisation?
M. Plourde (Alexandre) :
Oui. On considère que c'est un bon équilibre. C'est un peu >plus étroit
que ce qu'on retrouve en Europe. La loi québécoise, elle parle d'un préjudice
grave. Donc, en partant avec l'idée d'un préjudice grave, bon, là, je ne suis
pas juge, je ne donne pas d'avis juridique, là, mais ça a de bonnes chances de
passer le test des chartes, là, la question de liberté d'expression, et tout
ça.
Nous, chez Option Consommateurs, cette
question-là du déréférencement, du droit à l'oubli, ça… Il y a généralement
deux situations qui ont été portées à notre connaissance. Ça peut arriver
occasionnellement qu'il y a des gens qui vont nous contacter, qui nous disent :
Écoutez, je voudrais disparaître de YouTube, de Google parce que j'ai commis un
crime qui est peu grave il y a quelques années. Et, bon, il y a des crimes
mineurs, et ces gens-là ne seront pas capables de disparaître. Il y a aussi
tout le phénomène du partage par les parents de renseignements personnels sur
leurs enfants qui peut créer des préjudices aussi.
Donc, oui, on trouve que c'est un
équilibre qui est judicieux, ce qui est apporté, puis ça apporte une solution
pour des gens qui vivent vraiment des préjudices.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M. Bachand) :
Merci beaucoup, Me Plourde, M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Oui, merci
beaucoup. Merci, M. Corbeil, Me Plourde. Merci pour cette
présentation.
Je vais continuer sur ce que le ministre a
apporté comme faits, là. Quand on parle de déréférencement, désindexation, vous
avez parlé de deux situations que vous voyez chez vous, donc les gens qui ont
commis un crime mineur ou les gens qui…
Bon, on parle de la surmédiatisation de la
part des parents, mais moi, j'ai un troisième volet que je voudrais vous
apporter, puis on l'a vu, nous, dans la Commission spéciale sur l'exploitation
sexuelle des mineurs, c'est les victimes quand on parle de sextorsion, quand
des gens peuvent utiliser ces vidéos-là, les laisser sur YouTube, entre autres.
C'est pour ça, tantôt, quand vous avez parlé de Facebook et les médias sociaux,
ça m'a interpelé, parce que, justement, on a déjà une victime qu'on a
rencontrée, nous, et qui voulait se sortir de là, donc faire en sorte que cette
vidéo disparaisse. Donc, le droit à l'oubli, dans leurs cas, c'étaient des
victimes, et je voulais voir si c'était un des aspects que vous avez regardés
chez Option Consommateurs. Vous avez parlé de deux autres volets que je
comprends bien, mais, le volet victime, est-ce que vous l'avez regardé aussi?
• (17 h 30) •
M. Plourde (Alexandre) : Ce n'est
pas un volet que moi, j'ai exploré. Cependant, je ne vois pas en quoi les
victimes ne pourraient pas se prévaloir de ce droit-là. Donc, je ne vois pas en
quoi ça ne pourrait pas être utilisé par elles.
Ce que je soulignerais aussi, c'est que j'ai
entendu un certain nombre d'intervenants, au cours des dernières années, dire
que, bon, le droit à l'oubli, tel qu'il est proposé, là, soit en Europe puis
dans la loi sur le privé, actuellement, il va faire en sorte que les
entreprises vont être des juges et parties, et tout ça. Je ne crois pas que ça
soit vraiment ça qui va se passer.
En fait, je crois que, si une entreprise
se trouve surchargée par des requêtes, elle ne va pas devenir un grand censeur
et supprimer toutes les demandes qui lui seront faites. Je crois que ce qui va
se passer, c'est un peu comme ça se passe actuellement, c'est qu'une entreprise
qui ne veut pas gérer ça va juste ne pas répondre à ces requêtes-là, sauf que,
là, dans ce cas-ci, cet article-là va donner la possibilité que la personne
puisse se retourner vers la CAI, de se retourner vers les tribunaux, d'obtenir
une ordonnance judiciaire...
17 h 30 (version révisée)
M. Plourde (Alexandre) :
...elle ne va pas devenir un grand censeur et supprimer toutes les demandes qui
sont faites. Je crois que ce qui va se passer, c'est un peu comme ça se passe actuellement,
c'est qu'une entreprise qui ne veut pas gérer ça va juste ne pas répondre à ces
requêtes-là. Sauf que, là, dans ce cas-ci, là, cet article-là va donner la possibilité
que la personne puisse se retourner vers la CAI, de se retourner vers les tribunaux,
puis d'obtenir une ordonnance judiciaire dans des circonstances qu'elle
n'aurait peut-être pas pu obtenir par le passé, puis après ça, retourner voir
l'entreprise. Donc, je pense que ça peut effectivement régler certains
problèmes ou certains préjudices qui, actuellement, il n'y a pas de solution à
ça dans le droit. Donc, c'est un peu plate de dire aux gens, actuellement :
Bien, votre réputation est compromise sur Google, sur Internet, puis malheureusement
vous n'avez pas tellement de droits. Donc, ça apporte une solution à certains
préjudices, puis je pense que l'équilibre qui est proposé est assez bon.
M. Lafrenière : Je suis entièrement
d'accord avec vous que la solution n'est pas parfaite, mais c'est beaucoup
mieux que ce qu'on a présentement, parce que je lance le défi aux gens qui nous
écoutent aujourd'hui d'écrire à YouTube pour retirer une vidéo, je leur
souhaite bonne chance et beaucoup de patience, c'est long et pénible. Alors, merci
beaucoup, merci pour votre contribution bien appréciée.
Le Président (M.
Bachand) :M. le député de Saint-Jean, s'il
vous plaît, pour cinq minutes.
M. Lemieux : Merci
beaucoup, M. le Président. MM. Corbeil, Plourde, bien le bonjour. Fidèles
à ce que vous êtes, Option Consommateurs, vous faites référence beaucoup aux
enfants, et je serais curieux de voir comment vous associez la responsabilité
parentale pour protéger leur enfant quand... et c'est ma marotte, là, excusez,
ce n'est pas... Je n'essaie pas de me répéter d'une fois à l'autre, mais il
faut bien qu'on se rappelle qu'on est en train de protéger le citoyen un peu
contre lui-même en voulant protéger ses droits, mais, en même temps, en ayant
besoin, entre autres, d'être capable de lui faire donner son consentement, même
s'il n'est pas toujours intéressé à le donner, même au bout de quelques lignes,
imaginez quelques pages, donc expliquez-moi comment vous intégrez le droit
parental sur l'enfant et la défense de l'enfant dans tout ça, en particulier
dans le consentement.
M. Plourde (Alexandre) :
Bon, bien, écoutez, là, le projet de loi n° 64, là,
règle un certain problème, là, il y avait un certain flottement dans la loi,
là, c'est-à-dire que c'est le parent qui consent au partage des renseignements
sur l'enfant. Donc, jusqu'à l'âge… je pense que c'est 14 ans, là, qui est
écrit dans le projet de loi, c'est le parent qui doit consentir. C'est ça que
prévoit le projet de loi, puis, bon, ça formalise ce qui existe déjà.
Nous, ce qui nous préoccupe, puis on a
fait une recherche là-dessus, il y a un an ou deux, c'est que, parfois, le fait
que le parent consent au nom de l'enfant, bien, ça peut permettre, malheureusement,
certains abus, c'est-à-dire que le parent peut surpartager toutes sortes de
photos, de publications, des vidéos concernant son enfant sur les réseaux
sociaux, puis ce genre de partage là peut porter préjudice à l'enfant. Donc, il
y a un enjeu pareil, c'est le parent qui doit protéger l'enfant puis qui a le
pouvoir de consentir, mais, dans certains cas, il y a un surpartage. Donc, pour
protéger l'enfant, dans ces circonstances-là, le projet de loi prévoit quelque
chose d'intéressant, c'est un droit à l'oubli. Donc, les mineurs pourraient
revenir, par la suite, s'ils subissent un préjudice de ce que leur parent a
consenti à publier à leur sujet par le passé. Ils pourraient revenir puis
demander, s'il y a un préjudice grave, la suppression de ce renseignement-là.
Donc, il y aurait une certaine <protection...
M. Plourde (Alexandre) :
...dans ces circonstances-là, le
projet de loi prévoit
quelque
chose d'
intéressant, c'est un droit à l'oubli. Donc, les mineurs
pourraient revenir
par la suite... s'ils subissent un préjudice à ce que
leur parent a consenti à publier à leur sujet par le passé, ils pourraient
revenir puis demander,
s'il y a un préjudice grave, la suppression de ce
renseignement-là. Donc,
il y aurait une certaine >protection.
Nous, on allait plus loin que ça aussi, on
demandait que l'utilisation à des fins commerciales des enfants soit proscrite
aussi, tout simplement. Le projet de loi intègre la notion de renseignement personnel
sensible, donc on peut penser que des renseignements personnels sur des enfants
vont être considérés comme des renseignements personnels sensibles, donc ils
vont... peut-être une meilleure protection par rapport à ça, mais nous, on
voudrait tout simplement proscrire toute utilisation commerciale aussi. Donc,
il y a une certaine protection qui... tout ce qu'on demandait, par contre.
M. Lemieux : Parlez-moi
du concept et de ce que vous pensez de la mort numérique. On en a entendu
parler plus en Europe, mais, dans le contexte du p.l. n° 64,
vous voudriez voir quoi?
M. Plourde (Alexandre) :
Bon. Quand on parle de mort numérique, il faut considérer, là, que c'est le...
c'est qu'est-ce qu'il advient de toutes les photos, de toutes les publications
qu'on a faites sur les réseaux sociaux ou sur Google, tout ce qu'on a mis dans
le «cloud» pendant toute notre vie. Il y a des incertitudes, dans le moment,
dans le droit, sur qu'est-ce qui arrive de toutes ces données-là quand on
décède, parce qu'évidemment toutes ces données-là pourraient être considérées
comme des renseignements personnels au sens de la loi sur le privé. Et ce que
la loi sur le privé elle dit, actuellement, c'est que la confidentialité des
renseignements personnels, elle est préservée au-delà du décès d'une personne.
Donc, ça veut dire que toutes mes photos, après ma mort, tous les souvenirs de
famille qui autrefois étaient sous format papier mais qui maintenant sont
numérisés, ils sont dans le «cloud», ils sont dans les nuages, bien, mes
proches pourraient avoir toutes les difficultés du monde à y accéder parce
qu'ils n'ont pas un droit d'accès à ce genre de données là.
Bon coup du projet de loi, c'est d'élargir
l'accès aux héritiers puis aux proches d'une personne décédée pour accéder aux
renseignements personnels à des fins de processus de deuil. Donc, on peut
penser que, dans une situation où une entreprise technologique refuserait de
donner accès à ces renseignements-là, bien, il y aurait peut-être une prise,
là, pour le consommateur.
Nous, ce qu'on demandait aussi chez Option
Consommateurs, par contre, c'est la possibilité pour une personne, de son
vivant, d'émettre des directives sur qu'est-ce que je veux qu'il advienne de
mon compte Facebook, qu'est-ce que je veux qu'il advienne de tous mes comptes
en ligne, je veux que ça soit supprimé et que ça soit transféré à telle
personne. Ça reste en ligne indéfiniment, bon, selon ce qui est offert par
l'entreprise. Il n'y a pas vraiment ça dans la loi actuellement. Donc, ça,
c'est une faiblesse, on aurait demandé que ça soit intégré. Les entreprises,
certaines entreprises comme Facebook ou Google offrent quand même des options
volontairement pour ça, mais nous, on aurait préféré qu'il y ait vraiment un
droit qui soit inscrit dans la loi par rapport à ça.
M. Lemieux : J'ai dit que
vous étiez fidèles à vous-mêmes, en parlant au nom d'Option Consommateurs, vous
en avez long à dire sur toute la partie des... ce n'est pas des transactions,
mais des relations entre les agents de renseignements de crédit personnel et
les dossiers de crédit, et les consommateurs que vous représentez. Là, donnez-moi
un score, d'abord, par rapport à ce que vous voyez dans le projet de loi. La
liste est longue, je sais, de ce que vous voudriez voir, mais <essayez...
M. Lemieux : ...ce
n'est pas des transactions, mais des relations entre les agents de
renseignements
de crédit
personnels, et les dossiers de crédit, et les
consommateurs
que vous représentez. Donnez-moi un score,
d'abord,
par rapport à
ce que vous voyez dans le
projet de loi. La liste est longue, je sais,
de ce que vous voudriez voir, mais >essayez de m'aider à comprendre là
où il faudrait aller.
Le Président (M.
Bachand) : Très rapidement, Me Plourde, s'il vous plaît.
M. Lemieux : Oh! désolé.
M. Plourde (Alexandre) :
Bien, rapidement, concernant les agences de crédit, bien, il y a déjà eu un pas
qui a été fait, qui était intéressant, dans le cadre du projet de loi n° 53.
Je mentionnerais qu'il y a deux choses qui devraient être changées dans le projet
de loi n° 64 : garantir un accès gratuit et simple pour les consommateurs
au dossier de crédit par Internet, l'article 78 qui est modifié ne permet
pas ça, puis un plus grand encadrement d'utilisation secondaire du dossier de
crédit en matière d'assurance, en matière de location de logement puis en
matière d'emploi.
M. Lemieux : Merci.
Le Président (M.
Bachand) : Merci, Me Plourde. Vous êtes juste sur la
coche, c'est parfait, ça. Merci, j'apprécie. M. le député de LaFontaine, s'il
vous plaît.
M. Tanguay
: Merci
beaucoup, M. le Président. Merci, M. Corbeil, Me Plourde, pour
être... pour discuter avec nous du projet de loi n° 64 et de ses enjeux.
Vous avez parlé, M. Corbeil, du pistage en ligne, soit la captation ou la
collecte de données, puis vous la qualifiez d'une intrusion importante dans la
vie privée des consommateurs. J'aimerais vous entendre de façon un peu plus
précise sur les moyens que le Québec... les moyens législatifs que nous
pourrions avoir. Vous dites : «Pour aller plus loin dans la protection du
public, nous estimons donc que le projet de loi devrait être modifié pour
donner explicitement le droit au consommateur de refuser d'être pisté en ligne,
via des mécanismes technologiques simples et faciles d'accès.» J'aimerais vous
entendre de façon tangible, de façon plus spécifique, quels seraient ces
moyens-là technologiques et, dans la réalité d'aujourd'hui, quelle serait leur
efficacité ou pas considérant qu'avec Internet, on rouvre l'ordinateur, puis là
c'est le monde, on a accès au monde, mais le monde a accès à nous également. Donc,
point de vue de la territorialité puis de l'effectivité d'une loi québécoise,
j'aimerais vous entendre là-dessus.
M. Plourde (Alexandre) :
Oui. Bon, il n'y a pas de réponse simple, c'est une bonne question que vous
soulevez. Au-delà... Le projet de loi, bon, il permet une meilleure information
des consommateurs sur ce qui va se passer, une meilleure information sur la
collecte, et tout ça. Il ne change pas le paradigme de base par contre. C'est,
quand je m'inscris… quand j'ouvre un compte sur Facebook, quand j'ouvre un
compte sur Google, j'accepte de fournir mes informations à ces entreprises-là.
Quand je parle de refuser le pistage, je
parle de la collecte qui n'est pas... qui n'a pas lieu seulement que lorsque
j'utilise cette plateforme-là, pas juste quand je suis sur Facebook, quand je
suis sur Google, mais ce qu'il faut savoir, c'est que Facebook puis Google, ils
ne me suivent pas juste mes activités quand j'utilise cette plateforme-là, ils
suivent mes activités aussi partout où est-ce que je vais sur Internet, sur
n'importe quel site tiers ou à peu près, ils ont une très grande empreinte. Et
actuellement on peut penser, là, qu'avec le renforcement du consentement dans
la loi, ça dépend comment que ça va être interprété, mais qu'on va peut-être être
mieux informés de ça, il va peut-être y avoir plus de «pop-ups» qui vont
apparaître quand on navigue, mais il n'y aura pas de mécanisme simple pour
pouvoir dire aux entreprises technologiques : Moi, quand je <navigue...
M. Plourde (Alexandre) :
...et
actuellement, on peut penser, là, qu'avec le renforcement du
consentement
dans la loi, ça dépend comment que ça va être interprété, mais on va
peut-être
être mieux informés de ça. Il va
peut-être y avoir plus de «pop-ups» qui
vont apparaître quand on navigue, mais
il n'y aura pas de
mécanisme
simple pour dire aux entreprises
technologiques : Moi, quand je >navigue
sur un site tiers, je ne suis pas sur votre plateforme, je ne suis pas sur
Facebook, je ne suis pas en train d'utiliser les sites de Google, je suis
ailleurs sur Internet, un site qui est tiers, je veux refuser d'être pisté.
Puis il y a des moyens technologiques qui ont été développés qui n'ont
malheureusement pas fonctionné au cours des dernières années, mais un de ces
moyens-là, c'est ce qu'on appelait le signal «Do not track». C'est un paramètre
dans le fureteur, donc, je cliquais sur un piton dans mon fureteur et ça disait
à toutes les entreprises, la myriade d'entreprises qui peuvent me suivre sur
Internet, ça leur disait : Arrêtez de me suivre, arrêtez de recueillir des
données sur moi quand je navigue sur Internet, je veux être anonyme.
Et malheureusement, actuellement, il y a
des façons qu'on peut faire pour être anonyme sur Internet, pour essayer de nous
préserver sa confidentialité, on peut aller dans les paramètres de Google, très
loin, là, puis désactiver certaines fonctionnalités, il y a certains mécanismes
de l'industrie, mais c'est à la pièce, ça ne garantit pas un anonymat. Donc,
nous, dans une perspective de protection du consommateur, de simplicité, bien
ce serait de demander aux entreprises de respecter un paramétrage simple et
efficace.
• (17 h 40) •
M. Tanguay
: Et
est-ce que ça pourrait être aussi, parce que j'essaie de trouver la façon dont
la loi québécoise pourrait être effective sur le terrain, est-ce que ça
pourrait également, pour les entreprises qui ont pignon sur rue au Québec, je
donne un exemple, je pense tout haut, l'obligation de ne pas utiliser, par
moyens détournés, ces informations-là? Qui pourraient dire : Bien, ce
n'est pas moi qui est à la source, je n'ai pas eu à demander le consentement,
mais j'ai acquis, d'une manière ou d'une autre, je ne suis pas spécialiste dans
le domaine, ces informations-là, et je peux baser une campagne marketing ou une
campagne mercantile, peu importe laquelle, à partir, donc... Est-ce qu'il y aurait
lieu, donc, de cibler les entreprises qui ont pignon sur rue au Québec et de
limiter leur accès et utilisation de telles données, j'imagine?
M. Plourde (Alexandre) :
Bien, là, quand je parle des données de suivi en ligne, là, je ne parle vraiment
pas des petites entreprises au Québec. Je parle des géants technologiques, je
parle de Google, je parle de Facebook puis de tout l'écosystème, là, qu'on
appelle de la publicité comportementale en ligne. C'est ces entreprises-là qui
recueillent vos données, c'est ces entreprises-là qui les monétisent. Elles ne
les partagent pas, ces données-là, elles les utilisent pour créer des profils
publicitaires qui servent, par la suite, à vendre des publicités aux autres
entreprises, mais le problème dans cette équation-là, ce n'est pas nos PME chez
nous, c'est vraiment les géants technologiques, là.
M. Tanguay
: O.K. Au
niveau du profilage numérique, qui peut amener évidemment de la discrimination,
comment on peut agir également comme législateurs québécois pour avoir des
moyens législatifs tangibles?
M. Plourde (Alexandre) :
Bien là, <pour ce qui est des... >pour ce qui est de l'utilisation
à des fins de discrimination ou, du moins, à de l'utilisation qui a des effets
discriminatoires, là, l'enjeu de ça, c'est que... Nous, ce qu'on propose, c'est
évidemment de prévoir explicitement dans la loi d'interdire aux entreprises de
faire des traitements de données qui peuvent avoir des effets discriminatoires.
Cependant, la grosse difficulté de ça, c'est que l'on connaît généralement très
mal c'est quoi les pratiques des entreprises, c'est quels traitements des
données qui sont faits par les entreprises technologiques de nos données, puis
c'est quoi les effets aussi de ces <traitements-là...
M. Plourde (Alexandre) :
...pour ce qui est de l'utilisation à des fins de discrimination ou, du moins,
à de l'utilisation qui a des effets discriminatoires, là, l'enjeu de ça, c'est
que... Nous, ce qu'on propose, c'est
évidemment de prévoir explicitement
dans la loi d'interdire aux
entreprises de faire des traitements de
données qui peuvent avoir des effets discriminatoires. Cependant, la grosse
difficulté de ça, c'est que l'on connaît généralement très mal c'est quoi les
pratiques des entreprises, c'est quels traitements des données qui sont faits
par les entreprises technologiques de nos données puis c'est quoi les effets
aussi de ces >traitements-là. Donc, il y a un gros enjeu.
Oui, se donner des lois, mais il va
falloir aussi se donner des ressources pour étudier qu'est-ce qui se passe,
étudier les effets du profilage massif, de la surveillance, et tout ça. Donc,
notre recommandation d'augmenter le budget de la CAI, là, va un peu dans cette
direction-là. Il faut se donner des pouvoirs d'enquête et de surveillance du
marché pour voir si les pratiques des géants technologiques ont des effets de
manipulation sur le marché, des effets discriminatoires qu'on ne se serait pas
rendu compte pour pouvoir intervenir, c'est dans cette direction-là qu'il
faudrait aller, à mon avis.
M. Tanguay
: Je
trouve ça intéressant, votre suggestion. Effectivement, donc, comme vous le
dites bien, on ne connaît pas ou on connaît mal comment les entreprises au
Québec utilisent ça. Le fait d'avoir justement une Commission d'accès à
l'information... je vois l'implication tangible, ce n'est pas juste une
augmentation pour le plaisir, évidemment, d'augmenter les ressources à la
Commission d'accès à l'information, mais pour que, spécifiquement, peut-être
mandat lui soit donné, dans la loi, pour faire une veille, je vous dirais, sur
le terrain, comment, enquête, surveillance, puis, le cas échéant, de revenir
auprès du législateur pour suggérer comment on pourrait endiguer tout ça, là.
Je vous remercie pour votre précision.
Je vais céder, M. le Président, avec votre
permission, la parole à ma collègue.
Le Président (M. Bachand) :
Merci, M. le député. Mme la députée Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil
: Oui.
Merci beaucoup pour votre présentation, beaucoup de passion que vous avez pour
la protection du consommateur et dans un domaine technique qui vous stimule
beaucoup, ça, on le voit.
Est-ce que je pourrais vous amener sur
votre page : Assurer une véritable mise en oeuvre de la loi, l'importance
de mesures dissuasives? Donc, on a eu différents types d'arguments sur «les
peines sont trop élevées», mais beaucoup... ça dépend du profil de
l'entreprise, les PME, par exemple, qui n'ont pas les moyens, alors on parle
d'accompagnement, etc. Mais est-ce que... En lisant votre mémoire, si vous...
vous avez vraiment une expérience très pointue avec les entreprises qui... plus
que négligeant, là, c'est presque intentionnel, et donc semblent être
insensibles, peut-être, aux conséquences, c'est un peu le portrait qu'on a
avec... ce que vous, vous voyez, et les bris de sécurité, vous parlez du nombre
important. Et vous arrivez à cette question de dommages punitifs. Donc, vous,
vous accueillez favorablement, là, toutes les mesures qui sont proposées dans
la loi, des mesures dissuasives, des dommages punitifs, est-ce que vous
pourriez en parler un peu plus? Parce qu'on a eu différents points de vue.
Évidemment, je pense, ça dépend beaucoup de l'entreprise. D'ailleurs, celle qui
vous a précédée a parlé de la loi européenne qui… parce que les <pénalités...
Mme Weil
:
...toutes les mesures qui sont proposées dans la loi, des mesures dissuasives,
des dommages punitifs. E
st-ce que vous pourriez en parler un peu plus?
Parce
qu'on a eu différents points de vue. Évidemment, je pense, ça dépend beaucoup
de l'entreprise. D'ailleurs, celle qui vous a précédés a parlé de la loi européenne
qui... parce que les >pénalités sont très, très élevées, ils fournissent
un accompagnement aussi aux entreprises pour s'assurer que les entreprises
puissent se conformer à la loi. Alors, j'aimerais vous entendre sur cet
équilibre, et de votre expérience, et pourquoi vous, vous proposez, justement,
des dommages punitifs.
M. Plourde (Alexandre) :
Bon, plusieurs choses. Bien, première chose, on le constate, là, je pense que
c'est un constat pour tout le monde, là, qu'il y a des enjeux en matière de
cybersécurité, il y a des enjeux en matière de protection des renseignements
personnels au Québec. On a eu un des plus gros bris de sécurité de l'histoire
récemment, bon, avec Desjardins, puis il y en a eu plein qui sont rapportés,
puis il y en a probablement plein d'autres qu'on n'est peut-être pas au courant
non plus, donc il y a vraiment un gros enjeu, puis ce que ça trahit, selon
beaucoup d'experts, bien, c'est que les entreprises, bon, n'investissent pas
assez en cybersécurité puis peut-être aussi, dans certains cas, ne prennent
peut-être pas assez au sérieux la protection des renseignements personnels.
Donc, il y a un enjeu de dissuasion. La dissuasion est nécessaire.
Puis, bon, il y a des gens qui se
préoccupent, bon, est-ce que les pénalités sont trop sévères? Est-ce que ça va
atteindre un bon équilibre, et tout ça? Ce qu'il faut mentionner, là, oui, ça a
l'air de des gros montants, 10, 25 millions ou des pourcentages du chiffre
d'affaires, mais là il faut comprendre que ce sont des pénalités qui sont
maximales, c'est pour pouvoir atteindre les plus grosses entreprises, mais il y
a des critères de détermination de la peine dans la loi là, là, puis qui
permettent de tenir compte du contexte, et tout ça. Le but, là, ce n'est pas
d'être des Gargamel, là. Le but, c'est vraiment d'aider les entreprises... de
dissuader les entreprises en tenant compte du contexte, et tout ça. Et le
pourcentage mondial de la peine, donc, imposer un pourcentage mondial, c'est
vraiment important face aux multinationales, donc, que sont Google, que sont
Facebook, parce que 10 millions, pour Google ou Facebook, c'est peut-être
un risque qui est tout à fait gérable, là, on parle des entreprises qui sont
parmi les plus riches de l'histoire, là, en ce moment, donc...
Et évidemment, bien, pour ce qui est de la
question des dommages punitifs, bien, les dommages punitifs, ça peut venir un
peu prendre le relais des situations où est-ce que la CAI ne serait pas
intervenue, ça laisse un recours civil, puis ce qu'il faut... Ce qu'il est
important aussi de noter, c'est que ces dommages punitifs là peuvent juste être
imposés en cas de faute lourde ou en cas de faute intentionnelle, donc ce n'est
pas pour chaque manquement que ça va pouvoir être imposé, puis le Code civil
prévoit déjà des critères de détermination aussi des dommages punitifs, donc on
peut tenir compte aussi de la situation, encore là, lorsqu'on impose ce genre
de dommage là. Puis il faut tenir compte aussi de la situation, qu'en
protection de la vie privée, malheureusement, la jurisprudence a dit :
Bien, subir un bris de sécurité, ce n'est pas nécessairement indemnisable en
termes de dommages compensatoires. Donc, l'idée d'un montant minimum de
dommages punitifs permet... (panne de son) ...à cette difficulté-là. Donc, la
clause sur les dommages punitifs, elle me semble importante pour <justement...
M. Plourde (Alexandre) :
…puis il faut tenir compte aussi de la
situation qu'en protection de la
vie privée,
malheureusement, la jurisprudence, elle dit : Subir un
bris de sécurité, ce n'est pas
nécessairement indemnisable
en
termes de dommage compensatoire. Donc, l'idée d'un montant minimum de dommage
punitif… cette
difficulté-là. Donc, la clause sur les dommages punitifs,
elle me semble
importante pour >justement reprendre le flambeau
là où la CAI aurait peut-être… ne serait peut-être pas intervenue, là.
Le Président (M.
Bachand) :O.K. Mme la députée, deux
petites minutes.
Mme Weil
: Oui,
est-ce que… Donc, je ne sais pas si vous avez entendu les intervenants, donc,
parler de justement des mesures d'accompagnement, et que ce soit la CAI qui y
soit investie de cette autorité, si on veut. Au-delà de faire respecter la loi,
comment vous voyez cette notion d'accompagnement? Évidemment, ce n'est pas le
profil exactement de ce que vous nous présentez où, vraiment, il y a de
l'exploitation carrément du consommateur, mais que vous avez certainement vu
d'autres circonstances où l'entreprise n'avait pas nécessairement une intention
malicieuse. Alors, comment vous voyez, donc, cette notion d'accompagnement?
• (17 h 50) •
M. Plourde (Alexandre) :
Bien, en fait, oui, je pense que c'est… augmenter le financement de la CAI, ce
n'est pas pour la protection du public, mais c'est aussi important pour
l'accompagnement des entreprises. Et moi, j'ai quand même criblé le projet de
loi n° 64, et je vous dirais qu'il y a quand même des difficultés
interprétatives actuellement là-dedans. Ce ne sera pas toujours simple de
savoir si c'est un consentement express, si c'est un consentement implicite,
bon, c'est quoi les obligations exactes, comment ça va s'appliquer en pratique.
Donc, il va y avoir un travail de la CAI, à mon avis, de faire des lignes
directrices qui vont aider les entreprises, les guider un peu là-dedans pour
leur donner la possibilité de se conformer assez simplement. Donc, il y a un
travail à faire de la CAI là-dedans, en matière d'accompagnement, puis je suis
tout à fait d'accord avec ça, sinon ça pourrait être très difficile pour les
entreprises. Donc, oui, il faut donner plus de ressources pour l'appliquer la
loi, mais appliquer la loi, ça implique aussi d'aider les entreprises, là, à se
conformer, et je suis tout à fait d'accord là-dessus.
Pour revenir peut-être sur le risque à
l'égard des PME, faire attention de ne peut-être pas minimiser trop les
obligations envers les PME, parce qu'on risque de, quand même, de créer un
maillon faible. Si on diminue trop nos obligations envers les PME, bien, tous
les pirates vont s'attaquer aux petites entreprises du Québec pour leur prendre
leurs données. Donc, il y a beaucoup à faire d'accompagnement, les PME, et ce
n'est pas nécessairement une raison pour dire qu'on devrait édulcorer la loi à
leur égard.
Le Président (M.
Bachand) : Merci, Me Plourde. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci,
M. Plourde, d'être avec nous aujourd'hui en commission parlementaire.
Votre mémoire est rempli d'éléments très intéressants. J'aimerais avoir plus
que trois minutes, je vais vous questionner sur un de ces éléments qui
m'apparaît extrêmement important. Les grandes entreprises numériques ont pris
de l'avance sur le droit, sur les États, sur à peu près… et sur les experts,
sur les scientifiques qui ne travaillent pas pour eux, à savoir ce que font
exactement ces entreprises-là avec les données personnelles qu'elles récoltent.
Elles sont souvent les seules à le savoir. Puis même au sein de ces
entreprises-là, il y a des cultures du secret, souvent, qui font souvent en
sorte que seulement une poignée de personnes savent réellement ce qui se passe
à l'intérieur de la boîte noire que sont les algorithmes <puissants…
M. Nadeau-Dubois :
...travaille pas pour eux à savoir ce que font
exactement ces
entreprises-là
avec les données personnelles qu'elles récoltent. Elles sont souvent les seules
à le savoir. Puis même au sein de ces
entreprises-là,
il y a des
cultures du secret, souvent, qui font... qui font souvent en sorte que
seulement
une poignée de
personnes savent réellement ce qui se passe
à
l'intérieur de la boîte noire que sont les algorithmes >puissants de ces
organisations-là.
Et donc vous nous faites une recommandation,
à la page 16, vous nous dites que la CAI devrait avoir : «Le pouvoir — et
je cite — d'obtenir l'accès au code des algorithmes des entreprises,
de façon à pouvoir comprendre les effets et [...] déterminer si les traitements
de données effectués portent préjudice au consommateur.» Certaines des technologies
qu'utilisent ces entreprises-là pour cibler les citoyens sont brevetées,
d'autres pourraient être protégées par le secret commercial. Comment on
contourne ces obstacles-là? Comment on donne à la CAI le pouvoir d'ouvrir la
boîte noire pour découvrir ce que font ces entreprises-là avec les données des Québécois?
M. Plourde (Alexandre) :
Oui, effectivement, c'est un bon point que vous soulevez, puis la question du
secret des algorithmes, c'est plus ancien qu'on pourrait le penser en
protection de la vie privée. Depuis des décennies, face aux agences de crédit, par
exemple, là, le code qui est utilisé pour calculer le pointage de crédit, il
n'est pas connu, puis c'est un secret commercial. C'est le même phénomène mais
démultiplié dans le numérique, c'est vraiment ça qui se passe.
La façon que ça pourrait être fait pour
pouvoir enquêter, pouvoir comprendre qu'est-ce qui se passe, bien, ça pourrait
simplement que le code soit fait sous le sceau... ça soit analysé sous le sceau
de la confidentialité, donc la CAI ne pourrait pas partager ça publiquement. Ça
se ferait assez simplement, à mon avis.
M. Nadeau-Dubois : Est-ce
que ça existe dans certaines législations?
M. Plourde (Alexandre) :
Écoutez, je ne pourrais pas vous dire. C'est discuté dans beaucoup d'endroits
du monde, je ne pourrais pas vous dire jusqu'à quel point ça existe.
Cependant... Puis ce que vous soulevez, en fait, c'est que le projet de loi n° 64, il y a plein de choses intéressantes là-dedans, mais
ce n'est certainement pas, là, la fin des haricots pour la protection des
renseignements personnels au Québec, il va falloir revenir là-dessus, dans les
prochaines années, pour s'intéresser peut-être plus en profondeur au modèle
d'affaires pour éviter des préjudices au public, là.
M. Nadeau-Dubois : Merci
beaucoup. Vous parlez de donner davantage... de préciser la loi sur ce que
serait <l'utilisation... >une utilisation illicite ou illégitime
des données qui sont récoltées sur les consommateurs en ligne. Comment est-ce
qu'on pourrait définir dans la loi des utilisations illicites? À quoi on
pourrait se référer pour définir ce qui est une utilisation illicite?
M. Plourde (Alexandre) :
Bien, ce serait une utilisation qui cause un préjudice indu au consommateur,
c'est-à-dire qui profite de l'asymétrie d'information entre la grande firme
technologique puis le consommateur, qui se fait à son insu, qui le fait payer
beaucoup trop cher pour un bien qu'il aurait acheté à un prix courant autrement
par le simple fait... parce qu'on a détecté qu'il avait un besoin de ce bien-là,
donc, ça, ça pourrait être de l'exploitation économique. Il y a des critères
qui ont déjà été développés en droit de la consommation là-dessus, sur ce qu'on
appelle la lésion, dont on pourrait s'inspirer, par exemple.
M. Nadeau-Dubois : Merci
beaucoup, monsieur.
Le Président (M.
Bachand) : Merci beaucoup. M. Corbeil, Me Plourde, merci
beaucoup d'avoir été avec nous aujourd'hui, c'est plus qu'apprécié. Et
là-dessus, la commission suspend ses travaux jusqu'à 19 h 30. Merci <beaucoup...
M. Plourde (Alexandre) :
...besoin de ce bien-là, donc ça, ça ferait de l'exploitation
économique.
Il y a des critères qui ont
déjà été développés en droit de la
consommation
là-dessus, sur ce qu'on appelle la lésion, dont on pourrait s'inspirer,
par
exemple.
M. Nadeau-Dubois :
Merci
beaucoup, monsieur.
Le Président (M.
Bachand) :
Merci beaucoup. M. Corbeil,
Me Plourde,
merci beaucoup d'avoir été avec nous
aujourd'hui, c'est
plus qu'apprécié.
Et
là-dessus, la
commission
suspend ses travaux jusqu'à 19 h 30.
Merci >beaucoup.
(Suspension de la séance à 17 h 54)
19 h 30 (version révisée)
(Reprise à 19 h 31)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! Bon début de soirée à
tout le monde. Merci d'être ici. La Commission des institutions reprend ses travaux.
La commission est réunie afin de
poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels.
Ce soir, nous allons entendre la
Commission d'accès à l'information. Mais il me fait plaisir de souhaiter la
bienvenue aux gens de la Régie de l'assurance maladie du Québec. Alors,
bienvenue. Merci beaucoup d'être avec nous ce soir.
Alors, je vous inviterais à vous présenter
et à débuter votre exposé pour 10 minutes. Après ça, nous aurons un
échange avec les membres de la commission. Merci. La parole est à vous.
M. Thibault (Marco) : Merci.
Bonsoir, tout le monde. Marco Thibault, président-directeur général de la Régie
de l'assurance maladie du Québec. Je suis accompagné de Mme Sonia Marceau,
qui est secrétaire générale à la régie. Merci pour l'invitation, puis on espère
que notre humble contribution saura vous aider dans la conduite de vos travaux.
Avant d'aller plus loin dans notre propos,
peut-être vous présenter brièvement ce qu'est la régie, puisqu'elle est connue,
normalement, pour l'administration du programme d'assurance maladie et
d'assurance médicaments, et de même que… assurer la rémunération des
professionnels de la santé qui sont sous entente avec le ministre de la Santé
et des Services sociaux, mais elle administre pour le compte du gouvernement
quelque 40 programmes de toutes sortes. On pense à l'aide auditive, l'aide
visuelle, l'aide pour la déficience motrice, etc. Mais elle fait également,
comme organisation, l'opérationnalisation de diverses banques informationnelles
ou de systèmes d'information pour le compte du ministère, dont le fameux
Dossier santé Québec, le DSQ.
Finalement, il est opportun peut-être d'avoir
à l'esprit tout au long de notre propos que la régie, de par la nature des
renseignements qu'elle détient, doit administrer un régime plus restrictif que
ceux visés par la loi d'accès à l'information puisque la Loi sur l'assurance
maladie et la loi sur le partage des renseignements de santé imposent, à juste
titre, des obligations supplémentaires. On n'est pas loin du secret fiscal,
quand qu'on regarde les domaines de protection qu'on doit, nous, accorder de
par notre régime particulier qui nous <gouverne...
M. Thibault (Marco) : ...visés
par la loi d'accès à l'information puisque la Loi sur l'assurance maladie et la
loi sur le partage des renseignements de santé imposent, à juste titre, des
obligations supplémentaires. On n'est pas loin du secret fiscal, quand qu'on
regarde les domaines de protection qu'on doit, nous, accorder de par notre
régime particulier qui nous >gouverne.
En guise de commentaire introductif, étant
une organisation plus sensible à la protection des renseignements personnels,
nous ne pouvons qu'être en faveur des intentions précisées dans le projet de
loi. Notre propos sera davantage sous l'angle des impacts relatifs aux mesures
suggérées en termes d'atteinte à ces mêmes objectifs, mais également sous l'angle
de l'efficience et de l'efficacité. De fait, selon ce que le citoyen nous
mentionne, il s'attend à ce qu'une organisation telle que la régie se modernise
dans ses manières de faire et qu'elle puisse utiliser le capital informationnel
au bénéfice du citoyen dans sa prestation de services.
Afin d'alimenter la réflexion dans la
conduite de vos travaux, nous avons regroupé nos principaux commentaires sous
quelques thèmes. Débutons par la notion de consentement express et distinct.
Tout en reconnaissant les mérites d'un consentement express et distinct, nous
croyons que l'abandon du consentement implicite en santé pose problème et que
le cadre légal actuel assure une protection adéquate. De fait, il nous semble
illusoire de penser créer un consentement qui permettrait dès le départ
d'anticiper toutes les finalités envisagées par ledit consentement. Autrement,
nous craignons que notre capacité de moderniser et d'améliorer l'offre de
services soit ralentie par la nécessité de requérir un consentement nouveau non
envisagé au départ.
Afin d'illustrer notre compréhension, et si
celle-ci est juste par rapport à notre lecture du projet de loi, prenons
l'exemple le consentement utilisé dans le cadre du système de Rendez-vous santé
Québec et pour lequel des renseignements collectés par la régie pourraient
exiger un nouveau consentement si ces mêmes renseignements devaient être
communiqués au ministère pour des fins d'organisation de services et voir si
l'accès aux services souhaités par les autorités ministérielles sont atteints.
Encore, si on voulait utiliser des
renseignements collectés dans un programme aux fins d'application de nouveaux
contrôles, pour s'assurer que c'est géré adéquatement, il serait difficile de
faire la démonstration du bénéfice pour la personne concernée, d'obtenir son
consentement puisque, par définition, faire un contrôle, ce n'est pas
nécessairement pour le bénéfice du citoyen ou de la personne avec qui on
demanderait le consentement pour avoir accès à ses données.
Donc, pour nous, il nous semble
questionnable également< que>, si notre compréhension du projet
est juste sur la portée de cet élément, qu'un organisme qui dispense un service
à un citoyen doive lui demander l'autorisation d'utiliser ses informations afin
qu'on puisse lui rendre un service personnalisé. Pour nous, dans la nature même
de l'organisation... d'être capable d'être le plus proche possible des besoins
de l'individu, et, par conséquent, de le connaître, et d'utiliser ce que nous
avons sur cette personne-là qui nous demande un service.
En ce qui concerne la gouvernance et
l'imputabilité, le projet de loi introduit diverses responsabilités à
différents acteurs et modifie, de notre compréhension, substantiellement le
rôle de la Commission d'accès à l'information. Les responsabilités sont
distribuées sous différents angles tantôt au responsable d'accès, à un comité
interne sur la sécurité ou à la protection des <renseignements...
M. Thibault (Marco) : ...le
projet de loi introduit diverses responsabilités à différents acteurs et
modifie, de notre compréhension, substantiellement le rôle de la Commission
d'accès à l'information. Les responsabilités sont distribuées sous différents
angles tantôt au responsable d'accès, à un comité interne sur la sécurité ou à
la protection des >renseignements personnels, à l'organisation ou encore
à la Commission d'accès sur certains pouvoirs. Souvent, la multiplication des
acteurs alourdit les processus, mais, si le projet de loi vise un objectif
d'agilité par le simple dépôt des projets d'entente à la commission, elle
risque par contre d'alourdir les processus internes de gestion et de reddition
de comptes.
Par ailleurs, l'absence d'avis formel de
la Commission d'accès, mais un simple dépôt pourrait donner, de notre point de
vue, dans certains cas, une fausse assurance de protection. Devrait-on exiger
une entente-cadre? Est-ce possible d'avoir une telle entente-cadre avec la
multiplicité des organisations potentiellement visées par des ententes de
communication? Pour nous, toutefois, on pense que c'est une avenue qui pourrait
être explorée.
La notion d'entente de communication
obligatoire. Ce mécanisme des ententes de communication de renseignements est
un mécanisme fort connu de la régie puisque toutes les communications passées
ont dû obtenir un avis favorable de la Commission d'accès à l'information.
D'ailleurs, il est important de souligner la qualité de l'expertise qu'a
développée la commission en cette matière au fil des années. De confier
désormais la rédaction des ententes aux organisations, de prévoir les
différents mécanismes de protection exigera de ces organisations de se
développer une expertise rare. Comment pourrons-nous assurer un tel niveau
d'expertise dans toutes les organisations?
De plus, considérant la nature des
renseignements que la régie détient, il nous semble que le mécanisme actuel
d'avis formels préalables à la Commission d'accès <nous semble... >nous
permettrait de mieux protéger a priori les renseignements qu'un simple dépôt
d'une entente auprès de la commission. Il s'agit, selon nous, d'une police
d'assurance raisonnable, que les renseignements qui seraient transmis le seront
de manière sécuritaire et adéquate.
L'anonymisation des renseignements et la
dépersonnalisation. Malgré que la régie ait adopté des pratiques rigoureuses en
matière de dépersonnalisation, il devient évident qu'avec l'émergence de
l'intelligence artificielle la constitution de banques propres par diverses
organisations nous rend plus fragiles sur des possibles réidentifications. À
cet égard, la régie a entrepris des réflexions en ce sens, mais celle-là
constituera tout un défi pour les organisations de se doter d'un tel savoir.
Sans en avoir discuté avec mes collègues de l'Institut de la statistique du
Québec ou de la commission, mais qui eux ont développé une certaine expertise
dans les dernières années, est-ce qu'il ne serait pas opportun de confier ce
mandat d'anonymisation auprès, par exemple, de l'Institut de la statistique du
Québec qui, soit dit en passant, présentement pilote une plateforme qui rend
les données disponibles aux chercheurs?
En ce qui concerne l'évaluation des
facteurs relatifs à la vie privée, sans être contre le
principe, nous nous questionnons sur les efforts relatifs à la documentation et
à la journalisation de ces analyses. Cela nous inquiète davantage lorsque nous
regardons la portée de ce qui devrait faire l'objet d'une telle évaluation,
dont notamment la production de statistiques qui, selon nous, par définition,
ne <comprend...
M. Thibault (Marco) : ...à
la vie privée, sans être contre le principe, nous nous questionnons sur les
efforts relatifs à la documentation et à la journalisation de ces analyses.
Cela nous inquiète davantage lorsque nous regardons la portée de ce qui devrait
faire l'objet d'une telle évaluation, dont notamment la production de
statistiques qui, selon nous, par définition, ne >comprend pas de renseignement
personnel. La volumétrie des demandes de communication de renseignements faites
par les chercheurs des institutions universitaires exigera aussi la régie de
développer une expertise et un rôle jusqu'à présent exercés, à notre connaissance,
par la Commission d'accès à l'information.
• (19 h 40) •
De plus, la régie a entrepris, à la
demande des personnes qu'elle doit desservir, une modernisation de sa
prestation de services. Ce faisant, soumettre toute amélioration technologique
à une telle évaluation dévierait les efforts considérables dans la
documentation pour des fins de reddition de comptes au détriment, selon nous,
de la création de valeur pour le citoyen. Ici, notre propos vise
essentiellement à assurer un juste équilibre entre documentation et création de
valeur.
Finalement, la notion de communication à un
proche parent d'une personne décédée pour motif de compassion. Tout en louant
l'objectif noble recherché, nous souhaitons porter à votre attention la
difficulté potentielle d'application qu'implique de prendre en compte la notion
de «susceptible d'aider le requérant dans son processus de deuil». Comment
l'évaluer? La notion de compassion étant une émotion, il nous apparaît aussi
difficile de la remettre en question. Elle laisse possiblement beaucoup de
place à une interprétation variable d'une organisation à l'autre.
Par ailleurs, nous nous questionnons sur
la nature de l'information détenue par la régie qui serait utile à l'objectif
visé. Ce faisant, nous croyons que dans le cadre actuel légal… auquel on se
gouverne actuellement serait suffisant en ce qui nous concerne.
En guise de conclusion, la régie est un
organisme qui possède une bonne expertise en matière de protection de
renseignements personnels. Elle administre un régime de protection plus
restrictif que ce que prévoit la loi d'accès. Plusieurs mécanismes proposés
sont déjà utilisés par la régie dont notamment les ententes de communication. Toutefois,
notre crainte se situe davantage dans la manière et les responsabilités de ceux
qui devront encadrer la qualité de la pratique et en assurer un respect en
amont et non a posteriori.
Un dépôt à la CAI nous semble mince
quoique plus agile que l'avis officiel nécessaire actuellement. Le consentement
explicite en santé pourrait accentuer certains enjeux de la prestation de
services puisque la nature de l'information détenue est directement en lien
avec la prestation de ces mêmes services et la qualité attendue par le citoyen.
L'expertise et la surveillance des processus d'anonymisation seront à mieux
définir et encadrer.
La RAMQ est favorable au principe du
projet de loi, mais s'interroge sur la capacité de mettre certaines de ces
dimensions en oeuvre sans une clarification de certains de ces principes. Il
importe de signifier la nécessité de préciser certaines modifications afin d'éviter
une application arbitraire ou un écart avec les intentions légitimes, ou encore
le risque d'incohérence entre les différentes organisations qui devraient
l'appliquer.
Actuellement, la Commission d'accès à
l'information assure, de par ses processus actuels, un rôle de vigie et de
cohérence gouvernementale. Il pourrait être opportun d'en préserver certaines
fonctions utiles dans la protection des renseignements personnels.
Néanmoins, la régie offre sa pleine et
entière collaboration à la commission, afin d'apporter son expertise à la
réflexion et à la définition des différents critères si pertinents.
Nous aurions terminé, M. le Président.
Le Président (M.
Bachand) : Merci beaucoup, M. Thibault. M. le ministre,
s'il vous plaît.
M. Jolin-Barrette : M. Thibault,
<Mme Marceau...
M. Thibault (Marco) : utiles
dans la protection des renseignements personnels.
Néanmoins, la régie offre sa pleine et
entière collaboration à la commission, afin d'apporter son expertise à la
réflexion et à la définition des différents critères si pertinents.
Nous aurions terminé,
M. le
Président.
Le Président (M.
Bachand) : Merci beaucoup, M. Thibault.
M. le
ministre,
s'il vous plaît.
M. Jolin-Barrette :
M. Thibault, >Mme Marceau, bonsoir, merci de participer aux
travaux de la Commission des institutions sur le projet de loi n° 64.
Bien, je pense, vous l'avez dit d'entrée de jeu, là, la Régie de l'assurance
maladie gère énormément de renseignements de nature personnelle, que ça soit
pour les usagers du système d'assurance maladie, mais également pour les
professionnels, médecins, qui facturent à la Régie de l'assurance maladie comme
payeur unique, notamment.
Écoutez, je voudrais que vous nous
expliquiez, là, comment vous gérez ça, vous, à la Régie de l'assurance maladie,
les données personnelles? Vous disiez : Écoutez, on ne sait pas si le fait
de déposer à la Commission d'accès à l'information, tel que c'est proposé par
le projet de loi n° 64, ça va aider, ça va être mieux. Actuellement, vous
faites déjà des projets d'entente. Expliquez-nous, là, en gros, là, qu'est-ce
que vous faites avec les données, là. Moi, je vais chez le médecin pour mon
rendez-vous annuel avec le médecin, le médecin passe ma carte d'assurance maladie,
comment ça fonctionne, les données que vous avez <chez vous… >de
moi chez vous?
M. Thibault (Marco) : Bien,
les données que nous avons sont hébergées dans différents systèmes qui nous
permettent, nous, de nous assurer que… par exemple, la personne qui a reçu un
soin et le professionnel qui a donné le dit soin, bien s'assurer que les deux
existent dans nos banques. Donc, on est capables de cette façon-là, nous, de
faire l'appariement et de voir que le professionnel a fait bel et bien l'acte
pour lequel il demande rétribution, et, nous, de s'assurer que le citoyen a
reçu le bon service.
Donc, on a des renseignements
identificatoires autant chez les professionnels que chez les personnes, et nous
conservons ces données dans des systèmes qui leur sont propres. La
communication de ces renseignements-là n'est pas possible. Les renseignements
identificatoires ne peuvent pas être communiqués puisque la Loi sur l'assurance
maladie prévoit expressément que tout ce que la régie détient pour ses fins
propres ne peut être communiqué sous réserve d'une entente de communication
approuvée par la Commission d'accès. Et cette entente de communication là,
généralement, ça peut être des chercheurs universitaires qui vont… ou un
ministère, qui en aurait besoin pour les fins de ses attributions, donc c'est
prévu dans sa loi qu'ils aient accès, par exemple, aux données d'adresse des
citoyens du Québec, compte tenu que la régie détient cette information-là… va
devoir présenter une entente qui va être avalisée par la Commission d'accès, et,
sur la base de cet avis favorable là, par la suite, on va transmettre les
fichiers qui permettent le respect du cadre légal. Ça fait que c'est un peu le
processus, là, à haut niveau, qui a cours lorsque vient le temps de transmettre
ce type d'information là.
M. Jolin-Barrette : Et <est-ce
que… >la Régie de l'assurance maladie a combien de ce type d'entente là
actuellement?
M. Thibault (Marco) : Une
centaine.
M. Jolin-Barrette : Une
centaine. Et <est-ce que ça touche… Ç>ça touche quoi
principalement, des <chercheurs, des…
M. Thibault (Marco) : …c'est
un peu le processus, là, à haut niveau, qui a cours lorsque vient le temps de
transmettre de type d'information là.
M. Jolin-Barrette :
Et est-ce que… la
Régie de l'assurance maladie a combien de ce type d'entente
là actuellement?
M. Thibault (Marco) : Une
centaine.
M. Jolin-Barrette :
Une centaine. Et est-ce que ça touche… Çça touche quoi principalement, des >chercheurs,
des recherches?
Mme Marceau (Sonia) : Tous
les ministères…
M. Thibault (Marco) : Les
ministères, organismes, chercheurs. Et chacune des ententes a ses
particularités propres, l'objectif étant qu'on ne puisse pas… Prenons l'exemple
du ministère de l'Éducation qui, pour les fins de connaître sa clientèle
étudiante et qui pourrait rentrer à l'école l'année qui suit… on va communiquer
les renseignements des enfants nés susceptibles d'entrer, mais on ne
communiquera pas les renseignements de santé. Dans ce cas-ci, on va circonscrire
l'information pour permettre au ministère de l'Éducation, dans ce cas-ci, d'offrir
le service qu'il doit rencontrer et qui est prévu dans sa loi.
Si on parle d'un chercheur, le chercheur,
lui, il va souhaiter un domaine, donc il devra préciser, dans sa demande à la Commission
d'accès à l'information, les domaines ou les données qu'il souhaite avoir. Nous
allons les dépersonnaliser, donc enlever de l'information pour éviter la
capacité de les recouper. On va même s'assurer< que>, dans
certains cas, s'il y a de trop petits nombres, que ces gens-là soient
agglomérés dans un plus grand ensemble pour éviter qu'on puisse les reconnaître,
et par la suite on les transmet sous avis favorable de la commission. Donc, c'est
toujours la même mécanique, la transmission est assujettie au préalable de l'avis
favorable de la Commission d'accès.
M. Jolin-Barrette : Parmi la
centaine d'ententes que vous avez, est-ce qu'à certains moments la Commission
d'accès à l'information a dit à la Régie de l'assurance maladie du Québec :
Non, on n'approuve pas cette entente-là, ou veuillez la corriger pour faire en
sorte <d'avoir… >de sécuriser davantage les renseignements des
individus, ou, à toutes les fois, vous avez eu un avis favorable de la Commission
d'accès à l'information?
M. Thibault (Marco) :
<Il
y a… >Je laisserais peut-être le soin à Mme Marceau de préciser parce
que, dans le détail, elle l'a plus vécu que moi. Je vous dirais que le travail
de la commission <amenait… >amène les chercheurs à préciser, et à ajouter,
et à s'assurer que c'est pertinent, que c'est correct, que c'est adéquat et que
ça ne va pas trop loin. C'est la même chose pour les ministères et organismes.
Donc, dans ce contexte-là, le tout est travaillé en amont, et, lorsque l'avis
est donné, l'avis est donné parce que l'ensemble de l'entente de communication
respecte les critères qui assurent la protection. Donc, c'est comme si ce
mécanisme-là est a priori… comme je le disais dans mon propos, d'entrée de jeu,
il n'est pas a posteriori. On s'assure a priori qu'on a mis en place l'ensemble
des garde-fous pour assurer la protection de ce qui serait transmis comme
renseignements et qu'on ne permettrait pas une divulgation de renseignements
personnels de manière inadéquate.
M. Jolin-Barrette : O.K. Dans
votre mémoire, là, vous dites que vous êtes «préoccupés par l'abandon du
consentement implicite reconnu historiquement dans le domaine de la santé plus
que celui d'exiger un consentement distinct et express». Qu'est-ce que vous
voulez dire par là?
M. Thibault (Marco) :
<Bien…
M. Thibault (Marco) : ...de
renseignements personnels de manière inadéquate.
M. Jolin-Barrette :
O.K. Dans votre mémoire, là, vous dites que vous êtes «préoccupés par l'abandon
du consentement implicite reconnu historiquement dans le domaine de la santé
plus que celui d'exiger un consentement distinct et express». Qu'est-ce que
vous voulez dire par là?
M. Thibault (Marco) : >Bien,
le principe même d'avoir des soins, si on le prend dans le réseau, c'est :
quand que tu arrives, tu as des soins puis tu consens aux soins, bien,
automatiquement, l'ensemble des informations que l'établissement ou que les
cliniciens vont avoir, autant en contactant les systèmes d'information de la
régie ou le Dossier santé Québec, bien, automatiquement, les gens y ont accès.
Ça fait que ça fait partie un peu de... Implicitement, on s'attend à ce que l'établissement
de santé, un professionnel de la santé… ou la Régie de l'assurance maladie,
dans ce cas-ci, pour notre propre prestation de services, on s'attend que le
citoyen sache qu'on sait c'est qui et qu'on détient l'information qui est
pertinente par rapport à la relation ou aux services qu'il s'attend d'avoir.
Donc, de demander systématiquement un
consentement express et tacite à chaque utilisation comme... Je vais vous
donner un exemple. Ça pourrait amener une utilisation qui est pertinente. Dans
ce cas-ci, prenons le ministère qui souhaiterait voir l'efficience d'une
mesure, sa performance de cette mesure, bien, souhaiterait avoir accès à
l'information, évidemment... dépersonnalisée, ne pourrait pas l'avoir parce
qu'on ne l'aurait pas prévu d'entrée de jeu.
Donc, automatiquement, ça voudrait donc
dire que, si on ne prévoit pas, d'entrée de jeu, toutes les possibilités d'utilisation,
toujours en protégeant, évidemment, les renseignements personnels... nous
obligerait à retourner en consentement express à chaque nouvelle utilisation.
Et donc vous comprendrez que les chercheurs qui souhaiteraient avoir accès, on
devrait... donc, d'avoir un consentement initial qui pourrait avoir énormément
de portée, énormément... Et j'ai peine à croire celui qui lirait ce qu'on lui
demanderait. C'est comme si ce serait peut-être une police d'assurance, là, qui
est en petits caractères, à quoi je viens de consentir tellement... Il faudrait
essayer de prévoir les différentes modalités.
Ça fait que c'est le côté opérationnel de
la chose qui nous amène à nous questionner considérant ce qu'on a eu comme
expérience en termes d'utilisation de données et de protection de ceux-ci.
Est-ce que je réponds... M. le ministre.
• (19 h 50) •
M. Jolin-Barrette : Oui, je
vous remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Vachon, s'il vous
plaît.
M. Lafrenière : Je vais
laisser la parole à mon doyen le député...
Le Président (M.
Bachand) : Ah! vous êtes un gentilhomme. M. le député de
Saint-Jean, s'il vous plaît.
M. Lemieux : Oui, mais ça m'a
coûté cher. Merci, M. le Président. Madame, monsieur, bonsoir. La RAMQ
travaille déjà à partir de la Loi sur l'assurance maladie. Sans aller dans tous
les détails et les petits détails, essentiellement, qu'est-ce que le projet de
loi n° 64 vient changer pour vous, pas justement dans
le détail, mais en termes d'exigences? Est-ce que ce qu'on va vous demander de
faire avec la loi n° 64, si elle est adoptée comme
elle l'est en ce moment, est-ce que ça va être encore plus sévère pour vous ou
la loi que vous avez déjà... qui vous gère est déjà très restrictive à cet égard-là?
M. Thibault (Marco) : Bien,
notre loi est plus restrictive. Elle ne change peu. En termes d'accessibilité à
la donnée, en termes de protection, ce qui est proposé, considérant, nous,
notre <cadre...
M. Lemieux : ...plus sévère
pour vous, ou la loi que vous avez
déjà, qui vous gère, est
déjà
très restrictive
à cet égard-là?
M. Thibault (Marco) : Bien,
notre loi est plus restrictive. Elle ne change peu. En termes d'
accessibilité
à la donnée, en termes de protection, ce qui est proposé, considérant, nous,
notre >cadre particulier, il n'y a pas beaucoup de changements. Les
changements que ça vient induire sont plus d'ordre administratif et clérical, à
l'intérieur de notre organisation, ce qu'on devra documenter, ce qu'on devra
rédiger, alors que c'était fait autrefois par la Commission d'accès. Donc, ce
sont des responsabilités nouvelles, mais qui... présentement, elles sont tantôt
exercées par la Commission d'accès, tantôt exercées par l'Institut de la
statistique. Donc, pour nous, ça pourrait venir plus lourd administrativement,
mais ça ne protégerait pas davantage.
Puis, je vous dirais, à l'instar de ce que
je précisais tout à l'heure, le fait qu'actuellement, quand on regarde les
données de santé et le niveau de sensibilité qu'elles sont, le fait d'avoir,
pour nous, un avis favorable de la Commission d'accès avant la transmission,
ça, c'est un acquis, pour nous, qu'il nous semble important de préserver.
Est-ce que cet acquis-là est nécessaire dans l'ensemble des renseignements qui
sont visés par le projet de loi n° 64? Je ne pourrais
pas me prononcer. Mais le niveau de sensibilité des renseignements de santé
m'amène à avoir plus de prudence et m'assurer qu'avant que le tout soit
communiqué... d'avoir une instance neutre, telle que la commission, est un
rempart additionnel qui, à mon sens, pourrait apporter une plus grande sécurité
si celle-ci était maintenue.
M. Lemieux : On a beaucoup
parlé, depuis le début de ces audiences, d'anonymisation des données, et c'est
un sujet qui devient de plus en plus intéressant considérant tout ce qu'on
constate que ça veut dire ou que ça ne veut pas dire. Dans le cas de la
régie... de la RAMQ, sauf erreur, on parle beaucoup de volumétrie. C'est-à-dire
que, si j'ai bien compris, ce n'est même pas une question d'anonymiser, c'est
une question de juste donner des nombres, la volumétrie. Est-ce qu'il y a autre
chose à cet égard-là qui, pour vous, va changer les choses, et est-ce que parce
que vous avez l'habitude de travailler avec ça, vous voyez, dans le projet de
loi n° 64, tel qu'il est écrit, des choses qu'on
pourrait mieux écrire?
M. Thibault (Marco) : Bon. C'est
vrai que la régie produit beaucoup de données statistiques, mais, par
définition, des volumes : le nombre de chirurgies, le nombre de
prescriptions de médicaments. Il n'y a pas de lien avec l'individu, c'est des
volumes. Et, dans ce contexte-là, pour nous, l'enjeu de l'anonymisation ou de
la dépersonnalisation, il est réglé. Quand qu'on parle de données statistiques,
il n'y a pas d'enjeu.
Lorsqu'il s'agit d'ententes de
communication de renseignements, prenons dans le cas des chercheurs
universitaires, la dynamique qu'il faudrait anticiper, c'est de voir ce qui est
transmis ou ce qui est rendu accessible avec les nouvelles technologies, avec
ce que l'intelligence artificielle, avec ce que les banques, que les chercheurs
peuvent eux-mêmes avoir constituées avec d'autres sources... Est-ce qu'ils sont
à même de pouvoir faire des recoupements qui, là, amèneraient une
réidentification? Et c'est là qu'on <devra, nous...
M. Thibault (Marco) : ...ce
qui est transmis ou ce qui est rendu accessible avec les nouvelles
technologies, avec ce que l'intelligence artificielle, avec ce que les banques,
que les chercheurs peuvent eux-mêmes avoir constituées avec d'autres sources...
Est-ce qu'ils sont à même de pouvoir faire des recoupements qui, là,
amèneraient une réidentification? Et c'est là qu'on >devra, nous, faire
des efforts additionnels et développer une expertise en anonymisation — il
faut se pratiquer pour dire ce mot-là, il n'est pas simple. Ça fait que…
Et tout ça pour vous dire que ça ne sera
pas simple. Les organisations n'ont pas toutes cette expertise-là. On faisait
beaucoup plus de dépersonnalisation, quelques bribes d'anonymisation, mais
jamais au sens de ce que les experts en témoignent et sur lesquels j'ai pu lire
récemment. Ça fait que je vous dirais que ça, c'est un outil que l'organisation
devra travailler pour faire en sorte qu'on puisse assurer les plus hauts
standards en cette matière.
M. Lemieux : Sauf erreur...
Pardon?
Une voix : ...
M. Lemieux : Oui, merci.
Combien de temps encore?
Le Président (M.
Bachand) : Quatre minutes.
M. Lemieux : Merci. Sauf
erreur, les données de la RAMQ sont propriété du ministère de la Santé et des
Services sociaux. Vrai?
M. Thibault (Marco) : ...Les
données que la régie opère pour le régime d'assurance médicaments, régime
d'assurance maladie sont propriété de la régie. Les données que la régie opère
sur des systèmes, prenons le Dossier santé Québec, le fameux DSQ, ces
données-là appartiennent au ministère, n'appartiennent pas à la régie. La régie
ne peut pas les utiliser. Le cadre restrictif de la loi ne permet pas une
utilisation des données déposées dans le DSQ pour les fins des attributions de
la régie. Donc, quand les données appartiennent au ministère, elles
n'appartiennent pas à la régie, même si elles peuvent être opérées
informatiquement par nous.
M. Lemieux : Pour en revenir à
la première question du ministre, qui m'a fasciné, parce qu'il y a tellement
d'autres données que vous avez qui se promènent, lui, il a pris l'exemple de
son rendez-vous, de ce que le médecin a facturé, mais prenons l'ensemble du
système, ça en fait de la donnée, ça.
M. Thibault (Marco) :
Énormément.
M. Lemieux : Combien?
M. Thibault (Marco) : Il y a
la donnée que la régie possède, il y a la donnée que le ministère possède, et
il y a la donnée que les établissements possèdent, et il y a la donnée que les
cliniques médicales possèdent. Et tous ces univers-là sont des univers
distincts qui, dans certains cas, communiquent entre eux, mais pas tout le
temps, et il n'y a pas nécessairement d'interrelation. Donc, dans certains cas,
la régie aimerait pouvoir utiliser certaines données cliniques pour éviter de
demander aux médecins ces informations, demander aux pharmaciens les
informations qu'on possède déjà dans le DSQ, mais on n'a pas le droit. Idem
pour le ministère. Le ministère aimerait peut-être… pas peut-être, aimerait
certainement avoir accès à certaines données qui lui permettraient de voir
l'évolution de l'organisation des services que la régie possède, mais ne peut
pas la communiquer selon le cadre actuel, en raison des règles très
restrictives. Ça fait que ce n'est pas... c'est assez étanche et c'est un peu
ce qu'on essayait de faire voir dans notre mémoire qu'on vous a déposé.
M. Lemieux : Il a beaucoup été
question de consentement dans les mémoires qu'on a reçus. Vous, vous n'avez pas
besoin de ça, un consentement?
M. Thibault (Marco) : Oui.
Oui, on aime le consentement. On l'exige à peu près dans 95 %... 99 %
des cas. Ça fait que l'enjeu, c'est de prévoir le <consentement...
M. Lemieux : ...Il a
beaucoup
été
question de
consentement dans les mémoires qu'on a reçus.
Vous, vous n'avez pas besoin de ça, un
consentement?
M. Thibault (Marco) :
Oui. Oui, on aime le
consentement. On l'exige
à peu près dans 95
%...
99 % de cas. Ça fait que l'enjeu, c'est de prévoir le >consentement
express et distinct à chaque utilisation. Et c'est là que ça amène un défi de
conceptualisation pour nous de le faire à chaque fois.
M. Lemieux : Mais ma
boutade ne se voulait pas drôle mais se voulait un constat que, de la même
façon que quand j'ai 25 pages à lire pour installer ma mise à jour... des
grosses chances que je ne me rende pas à la deuxième ligne, quand je suis à
l'hôpital, quand je suis chez le médecin, il n'y a pas grand chance que je
commence à regarder où ça s'en va, là.
M. Thibault (Marco) : Ça,
c'est un... Je faisais l'allégorie des polices d'assurance en petits
caractères. Je vous rejoins sur cette préoccupation-là, M. le député.
M. Lemieux : Et vous y
voyez quoi comme perfectibilité, à ce consentement? Vous me dites que là, 99 %,
vous me disiez, c'était express, que vous...
M. Thibault (Marco) : C'est
express et que l'utilisation n'était pas circonscrite à un usage unique. Ça
fait que c'est express à chaque utilisation. Ça fait qu'est-ce qu'on pourrait
penser une formulation qui permet un usage plus étendu, toujours en exigeant le
consentement? Moi, je pense que ça, il y a quelque chose... à moins que la
personne soit dans l'incapacité, là, on comprend que, s'il y a un accident
d'auto puis que la personne n'est pas capable de consentir, on ne se pose pas
la question. Mais, au-delà de ça, moi, je pense que le consentement devrait
être exigé, mais express et distinct à chaque utilisation, c'est là-dessus que
je mettrais des nuances, notamment en santé. Pour les autres sphères d'activité
de l'État, je ne suis pas prêt à avoir une opinion, je ne l'ai pas réfléchi,
honnêtement, je ne serais pas capable de vous...
Le Président (M.
Bachand) : 30 secondes.
M. Lemieux : O.K. Oui.
Au-delà d'y réfléchir… de toute façon, on n'a plus le temps de réfléchir, mais,
comme vous connaissez ça, les données, puis vous en... vous jonglez avec
beaucoup... Puis vous êtes sous le coup... pas sous le coup, mais vous êtes
sous une loi qui est encore plus restrictive que ce qu'on est en train de
considérer, elle est-u bonne, notre loi?
Le Président (M.
Bachand) : Rapidement, M. Thibault.
M. Thibault (Marco) :
Oui. Oui, <il y a des éléments... I>il y a beaucoup d'éléments
là-dedans qu'on pratique déjà. Et on pense qu'on ne peut pas jouer avec la
sécurité des renseignements personnels. Comment réussir à mieux encadrer et
mieux protéger sans trop alourdir en se donnant une fausse illusion que, parce
qu'on a mis en place bien des mécanismes, on est mieux protégés? C'est là
qu'est le défi. C'est toujours le défi de la juste mesure. Je vous dirais que
ce serait ça, ma préoccupation.
M. Lemieux : Merci
beaucoup. Merci.
Le Président (M.
Bachand) :Merci beaucoup. Je me tourne maintenant
vers l'opposition officielle. Mme la députée de... Notre-Dame-de-Grâce, pardon.
Mme Weil
: Oui.
Alors, bonjour, M. Thibault, Mme Marceau. Bienvenue ce soir à cette consultation.
Oui. Est-ce qu'on peut revenir sur cette question
de consentement implicite? Vous avez parlé de consentement implicite. D'après
ce que je comprends, puis vous disiez : Si quelqu'un vient pour un service
quelconque, bien, évidemment, on n'a pas à demander expressément son consentement
parce qu'en arrivant pour le service il y a comme un consentement implicite.
• (20 heures) •
Pourriez-vous nous expliquer les
situations où... Comment vous traitez le consentement différemment, dépendant
des situations, et quand est-ce que le consentement bien exprimé est nécessaire,
et quand est-ce que c'est...
20 h (version révisée)
Mme Weil
:
...expressément son consentement, parce qu'en arrivant pour le service, il y a
comme un consentement implicite. Pourriez-vous nous expliquer les situations
où... comment vous traitez le consentement différemment, dépendant des situations,
et quand est-ce que le consentement bien exprimé est nécessaire et quand est-ce
que c'est implicite?
M. Thibault (Marco) : Bien,
je vous dirais que... Prenons l'exemple d'un service qui serait consommé à la
régie. La personne souhaite avoir accès au programme Mieux voir pour réussir,
donc l'acquisition des lunettes avec la contribution de 250 $ sur deux
ans. <Quand on... >Quand la personne demande le remboursement,
elle consent à ce que nous puissions regarder l'ensemble des informations, c'est-à-dire :
Est-ce qu'il y a eu une consultation auprès d'un optométriste? Est-ce qu'on
peut vérifier la facture, on peut voir si c'est un commerçant qui a pignon sur
rue, avec un numéro de TPS, TVQ?
Donc, on ne lui demande pas l'ensemble de
toutes ces dimensions-là. On lui donne... On lui demande de consentir à ce que,
dans le fait d'avoir une contribution de l'État, il consent à ce qu'on puisse
utiliser d'autres informations, dont son adresse, pour être sûr qu'il y a une
bonne correspondance entre le parent et l'enfant. Donc, on ne lui demande pas
chacun des détails de ce que nous possédons, on se sert de l'ensemble pour
s'assurer, d'une part, que le versement soit fait rapidement, efficacement, peu
de tracasseries administratives, pas demander au citoyen de nous donner l'information
qu'on possède déjà, mais, de surcroît, s'assurer qu'en contrôle on donne
l'information, on donne le paiement à la bonne personne qui en a vraiment
droit.
Donc, vous comprendrez que de demander un
consentement express sur chacune des dimensions prévues à la demande, c'est là
que ça devient plus complexe dans la compréhension qu'on en a, du projet de
loi. Peut-être qu'on en fait une lecture erronée, mais là, on voyait «express
et distinct à chaque utilisation», c'est là que ça nous semblait plus complexe.
Mme Weil
: Et
qu'express et distinct, oui, c'est ça qu'il faudrait, d'après votre
compréhension, la manière que le projet de loi est libellé, vous devriez, comme
vous avez dit, expliquer chaque étape pour avoir un consentement pour chacune
de ces étapes. Donc, vous demandez une reformulation pour tenir compte, justement,
du service que vous fournissez puis le consentement implicite.
Est-ce que vous avez eu l'occasion d'avoir
des consultations avec le gouvernement, ou la ministre à l'époque, ou le ministère
quand ça a été... Souvent, il y a des discussions, hein, entre les organismes
pour s'assurer que dans le secteur public, on n'ait pas de conséquence non
prévue, disons ça comme ça. Il n'y a pas eu de consultation, dans votre cas,
par le ministère de la Santé.
M. Thibault (Marco) : Non.
Mme Weil
: Donc, est-ce
que vous voyez d'autres changements? Qu'est-ce que vous demandez de faire... ou
comment voulez-vous que la loi soit adaptée à votre réalité et, certainement,
l'expertise que vous avez? Comme vous dites, vous avez déjà le système le plus
sécuritaire qu'on peut imaginer, votre inquiétude, c'est les conséquences sur
la lourdeur administrative, etc. Donc, ce n'est pas un souhait... Certainement,
je ne pense pas qu'avec les collègues <ni le ministre, on...
Mme Weil
: …et,
certainement, l'expertise que vous avez? Comme vous dites, vous avez déjà le
système le plus sécuritaire qu'on peut imaginer, votre inquiétude, c'est les
conséquences sur la lourdeur administrative, etc. Donc, ce n'est pas un
souhait... Certainement, je ne pense pas qu'avec les collègues >ni le
ministre, on souhaiterait vous ralentir, vous avez un travail extrêmement
important à faire, fondamental. Donc, il faut trouver, quant à moi, une
solution. Donc, au-delà de cette question de consentement, qu'est-ce que
vous nous demandez de faire pour corriger ce que vous percevez comme… la
situation et les conséquences néfastes sur votre fonctionnement? Est-ce qu'il y
a d'autres dimensions que le consentement?
M. Thibault (Marco) : Pour
moi, je le regarderais d'une façon circonscrite aux renseignements de santé.
L'avis préalable de la commission, avant la transmission, avant la
communication de renseignements, me semblerait un plus. La nature de ces
renseignements-là sont tellement sensibles que je pense qu'un petit délai
additionnel, aussi administratif soit-il, vaut la peine, considérant le
préjudice que cela pourrait entraîner s'il y avait une erreur. Première
recommandation que je pense qu'il faudrait retenir.
Deuxième recommandation, je pense, qui est
importante, c'est dans la clarification de qui est imputable vraiment :
Est-ce que c'est un comité à l'interne? C'est-u le plus haut dirigeant? C'est-u
la responsable de l'accès? Moi, personnellement, je trouve que la personne qui
est désignée dans nos organisations, comme étant responsable de l'accès,
devrait être une entité imputable. C'est une délégation de nos hauts
dirigeants, on en est, mais ce n'est pas un comité qui est responsable. Il faut
qu'il y ait une imputabilité qui ne soit pas diffuse. Un comité, pour moi, ce
n'est pas responsable, c'est une personne qui est responsable, c'est un
dirigeant, c'est une personne en autorité sur une fonction.
Dernier élément. Les éléments de
documentation sur l'évaluation des facteurs relatifs à la vie privée, je pense
qu'il y a quelque chose là de simple dans ce qui est amené dans le projet de
loi. Comment on le garde simple pour pouvoir avancer? Donc, je pense qu'il y a
un élément de documentation, on se doit d'être probablement… toutes les
organisations ont besoin d'être plus rigoureuses là-dedans. Mais est-ce qu'on
doit aller autant dans le détail, avec autant de lourdeur? J'ai l'impression
qu'on va faire plus de documentation puis on va créer moins de valeur dans la
transformation de nos organisations. Ça fait que c'est un peu cet équilibre-là
que j'essaie de trouver et le juste équilibre par rapport aux risques qu'on
vit.
Mme Weil
: Est-ce que
vous avez regardé peut-être d'autres régimes dans d'autres provinces, OHIP, par
exemple, et comment eux fonctionnent dans ce même genre de cadre? Bon. Ils
n'ont peut-être pas une loi comme ça, mais ils ne sont peut-être pas rendus… Ce
n'est peut-être pas une question possible, là. Donc, actuellement, est-ce que
ça fonctionne en Ontario de façon similaire au Québec?
M. Thibault (Marco) : Je vous
donnerais un exemple. Les renseignements… Quand la régie... Elle a 50 ans,
cette année. La régie, lorsqu'elle a été créée, la façon, dont leur législateur
de l'époque a réfléchi, a dit : Tout ce qui va arriver à la régie doit
être traité <de la même…
Mme Weil
: …que ça
fonctionne en Ontario
de façon similaire au
Québec?
M. Thibault (Marco) : Je
vous donnerais un exemple. Les
renseignements… Quand la régie... Elle a
50 ans, cette année. La régie, lorsqu'elle a été créée, la façon, dont leur
législateur de l'époque a réfléchi, a dit : Tout ce qui va arriver à la
régie doit être traité >de la même façon. Et c'est à ce point vrai, que
ce que nous détenons pour les personnes assurées a le même niveau de protection
que ce que nous détenons chez les professionnels. Et vous avez probablement vu
dans les médias — je pense, c'est il y a un an, oui, et quelques — en
Ontario, on a pu divulguer le niveau de rémunération des médecins. Au Québec,
notre cadre légal ne le permet pas.
Donc, il y a des grandes distinctions
entre les deux régimes. Ça fait qu'on n'a pas fait une analyse de droit comparé
avec les temps impartis, on n'aurait pas pu le faire, mais on a un régime qui a
été pensé pour vraiment protéger ce que la régie détient comme information. Ça
fait que pour nous, on ne sent pas qu'on va être plus protégés, considérant ce
qu'on a. On se dit juste : Les éléments qui sont amenés pour améliorer, là...
Il y a des choses qui sont très bien dans le projet de loi, il ne faut pas les
mettre trop contraignantes ou trop lourdes administrativement, parce que ça va
nous mettre plus de temps à faire ça… créer de la valeur ou de rendre des
services aux citoyens.
C'est plus cette préoccupation-là qu'on
tenait à vous adresser à vous, les membres de la commission.
Mme Weil
: Merci. Merci
beaucoup, monsieur.
Le Président (M.
Bachand) : Merci. Ça va? M. le député de Gouin, pour
2 min 50 s, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour. Merci d'être avec nous. Merci, M. Thibault, d'être
là. J'ai peu de temps, je vais aller droit au but. Est-ce qu'il y a, en ce
moment, des ententes de communication qui permettent à la Régie de l'assurance
maladie du Québec de partager des données médicales directement ou
indirectement avec des entreprises privées?
M. Thibault (Marco) : Non, pas
à ma connaissance, il n'y en aurait pas eu dans l'histoire.
M. Nadeau-Dubois : Merci.
Est-ce que vous connaissez le projet Precinomics?
M. Thibault (Marco) : Non.
J'en ai entendu parler, je l'ai vu dans les médias, mais non.
M. Nadeau-Dubois : O.K. Est-ce
qu'il y a des ententes entre la Régie de l'assurance maladie du Québec,
directement ou indirectement, pour transférer des données vers le projet
Precinomics?
M. Thibault (Marco) : Aucune
entente avec la Régie de l'assurance maladie du Québec avec ce projet.
M. Nadeau-Dubois : Est-ce
qu'il y en a, des ententes, avec l'Institut national d'excellence en santé et
en services sociaux?
M. Thibault (Marco) : Tout à
fait.
M. Nadeau-Dubois :
<Est-ce
qu'une de ces… >Est-ce qu'en vertu d'une des ententes entre la RAMQ et
l'INESSS, il serait possible à l'INESSS de transmettre des données au projet
Precinomics?
M. Thibault (Marco) :
Normalement, non. Normalement, non. L'entente que nous lui donnons, c'est pour
l'usage exclusif de l'INESSS.
M. Nadeau-Dubois : Donc, il
n'y a aucune clause…
M. Thibault (Marco) : Et
l'INESSS doit rendre compte, si vous me permettez…
M. Nadeau-Dubois : Oui,
allez-y.
M. Thibault (Marco) : ...l'INESSS
doit rendre compte de l'utilisation des renseignements que nous lui proposons
par entente. Elle le fait de façon annuelle à la Commission d'accès à
l'information.
M. Nadeau-Dubois : Parfait.
Donc, il n'y a aucune clause d'aucune entente entre la RAMQ et l'INESSS, qui
permettrait à l'INESSS de transmettre des données au projet Precinomics?
M. Thibault (Marco) : À ma
connaissance, non.
M. Nadeau-Dubois : O.K.
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Pardon?
M. Nadeau-Dubois :
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Je l'ai
vu, je pense, dans les médias, mais nous, on n'est pas associés.
M. Nadeau-Dubois : Donc, il
n'y a aucune collaboration entre… la RAMQ n'est pas impliquée d'aucune manière
dans le projet ARCHI?
M. Thibault (Marco) : Projet
ARCHI, c'est… Non, ce n'est pas la régie. On n'a pas d'entente <dans ce
projet-là…
M. Nadeau-Dubois : ...
ARCHI?
M. Thibault (Marco) :
Pardon?
M. Nadeau-Dubois :
Connaissez-vous le projet ARCHI?
M. Thibault (Marco) : Je
l'ai vu, je pense, dans les médias, mais nous, on n'est pas associés.
M. Nadeau-Dubois : Donc, il
n'y a aucune collaboration entre… la RAMQ n'est pas impliquée d'aucune manière
dans le projet ARCHI?
M. Thibault (Marco) :
Projet ARCHI, c'est… Non, ce n'est pas la régie. On n'a pas d'entente >dans
ce projet-là.
M. Nadeau-Dubois : Parfait. Est-ce
que le cadre légal actuel, celui qui vous régit actuellement, permettrait à la
RAMQ de transmettre des informations soit directement, soit via l'INESSS, au
projet Precinomics?
M. Thibault (Marco) : Il
faudrait que je voie la nature du projet, qui est le détenteur. Il faudrait
qu'il passe à travers un projet d'éthique... comité d'éthique d'un chercheur. Il
faudrait qu'il passe l'étape de la Commission d'accès à l'information en termes
de règles, probité. Ça fait qu'honnêtement je n'en ai aucune idée, s'il
passerait ces étapes-là ou pas, je ne le connais pas, ça fait que je
m'aventurerais sur un terrain très glissant.
M. Nadeau-Dubois : Merci. Est-ce
que vous avez... Est-ce que la RAMQ a déjà été approchée par des entreprises
privées pour transmettre des données? Est-ce qu'il y a un intérêt du secteur
privé pour les données que vous détenez?
M. Thibault (Marco) : Moi, je
n'ai pas été rencontré. Ça fait deux ans que je suis ici, je n'ai pas été
rencontré, Mme Marceau non plus. L'entreprise privée, ce qu'elle nous a demandé — et
ça, c'est vrai, parce que c'est disponible — ce sont des données
statistiques, aucun renseignement. Donc, on n'envoie pas des banques. Les gens
vont nous demander : Combien il y a eu d'arthroplasties du genou? Combien
il y a eu d'arthroplasties de la hanche? Combien il y a eu de valves aortiques
qui ont été posées? Donc, c'est des choses de cette nature-là, très statistiques,
sur des tableaux formatés, qu'il n'y a pas de données de renseignements
personnels.
M. Nadeau-Dubois : Est-ce
que... Dans un article du...
M. Thibault (Marco) : Et ça,
c'est le même genre de demande que, parfois, les parlementaires nous font ou
les médias. Ça fait que c'est identique.
M. Nadeau-Dubois : Parfait.
Oui. J'ai peu de temps. Dans un article du 28 août, publié dans le Journal
de Montréal, on parle... on cite une déclaration du cabinet du ministre
délégué à la Santé, à l'effet qu'il y aurait des échanges entre l'INESSS et le
projet Precinomics. Est-ce que je comprends de vos réponses à mes questions
aujourd'hui que ces échanges-là n'ont pas lieu?
M. Thibault (Marco) : Bien, en
ce qui nous concerne, la régie, nous, mais là, je ne peux pas témoigner sur cet
élément-là.
M. Nadeau-Dubois : Parfait.
Merci.
Le Président (M.
Bachand) : Merci. Merci. M. le député de René-Lévesque, s'il
vous plaît.
M. Ouellet : Merci. On va
continuer dans la même veine. Messieurs, mesdames, merci de votre présence
tardive ce soir. Je voudrais savoir si, effectivement, il y avait échange d'information
entre la RAMQ et d'autres chercheurs. Est-ce que ces données-là devraient être
détenues au Québec seulement ou elles pourraient être transférées sur des
serveurs ailleurs?
Une voix : ...
Mme Marceau (Sonia) : Bien, en
fait — veux-tu que je prenne la parole — si je peux me
permettre. Au niveau des chercheurs, première des choses, jusqu'à maintenant,
on fait affaire seulement avec des chercheurs du public, et les chercheurs
passent par un processus qui est déjà très rigoureux, comme M. Thibault disait,
auquel cas il y a déjà un comité d'éthique qui est, habituellement, attaché à
une institution <universitaire...
Mme Marceau (Sonia) : ...
la
parole — si je peux me permettre. Au niveau des chercheurs, première
des choses,
jusqu'à maintenant, on fait affaire
seulement avec
des chercheurs du public, et les chercheurs passent par un processus qui est
déjà très rigoureux, comme M. Thibault disait, auquel cas
il y a déjà un
comité d'éthique qui est,
habituellement, attaché à une
institution
>universitaire la plupart du temps. Et donc ils passent au travers d'un
comité éthique, ensuite ils passent à la Commission à l'accès à l'information,
qui est toujours celle qui s'occupe de rédiger les ententes avec les
chercheurs. Toutefois, une fois que la CAI a donné son autorisation, elle passe
chez nous après, pour une deuxième autorisation, dans le fond, considérant
notre régime restrictif. Donc, habituellement, dans ces ententes-là, est
regardé l'hébergement des données, et tout, et, jusqu'à ce jour, ces données-là
sont conservées, là, au Canada, là, ou au Québec dans les institutions qu'on a
reconnues.
Donc, à notre connaissance, non. Il y a
des règles préétablies, et tout, qu'ils doivent respecter, là, pour... et qu'il
revient à eux de respecter, là, dans le cadre de la protection des
renseignements. Et il y a aussi des règles de destruction des données après un
certain temps aussi, là. Donc, on respecte vraiment notre politique de cycle
d'information. Donc, jusqu'à ce jour, on n'aurait pas eu connaissance qu'il y
aurait eu des informations qui auraient pu être transmises, là, à l'extérieur.
M. Ouellet : Je comprends que
ce n'est pas arrivé, mais est-ce que ça pourrait arriver? C'est-à-dire que les
gens qui demandent effectivement accès... Vous faites référence à des demandes
passées pour lesquelles la demande publique était sur des serveurs canadiens,
mais est-ce qu'on pourrait penser qu'il y aurait effectivement des demandes qui
transiteraient ces informations-là sur des serveurs ailleurs dans le monde?
Mme Marceau (Sonia) : Bien,
moi, je pense que des consortiums de chercheurs pourraient, là, à un certain
point, avoir un certain partage, mais...
M. Thibault (Marco) : ...à ce
moment-là de voir, si c'est applicable en fonction de nos règles, à ce
moment-ci, ça ne s'est pas présenté. Mais c'est difficile de vous dire est-ce
que c'est permis ou pas à ce moment-ci.
M. Ouellet : Est-ce que vous
auriez l'expertise justement?
M. Thibault (Marco) : Je sais
qu'il a une volonté gouvernementale, si vous me permettez, de vouloir garder
l'ensemble des données et renseignements au Québec, en sol québécois.
M. Ouellet : Donc, est-ce que
vous auriez l'expertise pour évaluer le régime de protection des données hors
Québec?
M. Thibault (Marco) : Est-ce
que?
Mme Marceau (Sonia) : On
serait l'expertise.
M. Thibault (Marco) : Est-ce
qu'on serait l'expertise, nous? Non. On ne détient pas cette expertise-là.
M. Ouellet : O.K. Donc, ça
serait la Commission d'accès à l'information qui serait le premier filtre?
M. Thibault (Marco) : Bien,
c'est un de ceux qui peuvent nous aider là-dedans pour être capable d'établir
ces éléments-là, indéniablement...
M. Ouellet : O.K. Le temps?
Le Président (M.
Bachand) : ...allez-y rapidement, oui.
M. Ouellet : Donc, vous
comprenez notre interrogation, à savoir si, dans le projet de loi en question,
il ne serait pas lieu d'intervenir pour s'assurer que, minimalement, les
données qui seraient échangées, avec des compagnies tierces ou des chercheurs
tiers, soient faites sur des serveurs sur le territoire québécois ou
exclusivement canadien. Est-ce que vous seriez d'accord avec ça?
M. Thibault (Marco) : Bien
oui, et l'enjeu, c'est... Votre question soulève un autre élément et qui... là,
qui mériterait d'être débattu par les parlementaires, à savoir jusqu'où on veut
ouvrir ailleurs qu'à ces instituts de recherche publics. Et, à ce moment-ci,
c'est l'orientation avec laquelle nous, nous travaillons, rester <à
l'intérieur du...
M. Thibault (Marco) : ...b
ien
oui, et l'enjeu, c'est... Votre question soulève un autre élément et qui... là,
qui mériterait d'être débattu par les parlementaires, à savoir jusqu'où on veut
ouvrir ailleurs qu'à ces instituts de recherche publics. Et, à ce moment-ci,
c'est l'orientation avec laquelle nous, nous travaillons, rester >à
l'intérieur du...
M. Ouellet : Merci beaucoup.
M. Thibault (Marco) : ...avec
laquelle nous travaillons.
M. Ouellet : Merci.
Le Président (M.
Bachand) : Sur ce, M. Thibault, Mme Marceau, merci beaucoup de
votre participation à la commission, c'est fort apprécié. Et je vous souhaite
une supersoirée.
Et la commission suspend ses travaux pour quelques
instants. Merci beaucoup.
(Suspension de la séance à 20 h 15)
(Reprise à 20 h 18)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. Ça nous fait plaisir d'accueillir les représentants de la
Commission d'accès à l'information du Québec. Alors, comme vous savez, vous
avez 10 minutes de présentation, mais j'aimerais d'abord <que vous
vous...
(Reprise à 20 h 18)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. Ça nous fait plaisir d'accueillir les représentants de la
Commission d'accès à l'information du Québec. Alors, comme vous savez, vous
avez 10 minutes de présentation, mais j'aimerais d'abord >que vous vous présentiez
pour que vous puissiez débuter votre exposé, et après on aura un échange avec
les membres de la commission. Donc, merci d'être avec nous ce soir. Vous
êtes nos derniers invités. Alors, donc, très heureux de finir avec vous. La
parole est à vous. Merci.
Mme Poitras
(Diane) : Merci, M. le Président. Alors, bonjour... bonsoir, en
fait. Je suis Diane Poitras, présidente de la Commission d'accès à
l'information, et je suis accompagnée de Me Jean-Sébastien Desmeules,
secrétaire général et directeur des affaires juridiques. C'est avec plaisir que
nous avons accepté l'invitation d'échanger avec vous au sujet du projet de loi
n° 64 visant à moderniser les lois de protection des renseignements
personnels au Québec.
La commission a, maintes fois, souligné
que ces lois, adoptées au siècle dernier, ne protègent pas adéquatement les
citoyens à l'ère du numérique. D'emblée, la commission se réjouit du dépôt de
ce projet de loi qui propose une réforme majeure s'inspirant de lois modernes
adoptées ailleurs dans le monde et de recommandations qu'elle a formulées dans
ses rapports quinquennaux. Les modifications proposées sont audacieuses,
ambitieuses, mais nécessaires. Bien que notre mémoire formule plusieurs
recommandations, notre appréciation générale du projet de loi est positive. Ces
recommandations sont plutôt le reflet de notre enthousiasme à contribuer à
bonifier cette réforme. Ces lois sont au coeur de notre mission, et nous les
interprétons tous les jours, depuis 38 ans, dans le secteur public, et 26
dans le secteur privé. Un régime clair et complet simplifie son application et
favorise le respect des obligations et des droits qu'il contient.
Le projet de loi propose des solutions
concrètes à plusieurs enjeux de protection des renseignements personnels. Par
exemple, on introduit les éléments visant à responsabiliser les organisations
et à améliorer la transparence de leurs pratiques en matière de protection des
renseignements personnels. De telles obligations sont déjà incluses dans les
autres lois canadiennes applicables au secteur privé. Cela rejoint donc la
préoccupation d'uniformisation des règles que certains intervenants ont
exprimée. On ne saurait négliger l'importance de pratiques transparentes,
respectueuses et loyales sur la confiance des citoyens. Selon un sondage
réalisé pour la commission, 91 % des répondants se préoccupent de la
protection accordée à leurs renseignements, au point de faire davantage affaire
avec des entreprises qui possèdent une bonne réputation dans ce domaine.
• (20 h 20) •
Un autre aspect positif du projet de loi
est l'assujettissement des partis politiques à des règles de protection des
électeurs, des renseignements au sujet des électeurs. Toutefois, l'encadrement
proposé est limité. Il ne vise pas tous les partis politiques ni tous les
renseignements personnels qu'ils détiennent. Par souci de concision, je dirai
simplement que nous abondons dans le sens des recommandations formulées par le
Directeur général des élections. Aussi, bien qu'elle propose certaines
améliorations, la commission salue les nouveaux droits offerts aux citoyens et
les mesures relatives aux incidents de confidentialité. Ces dernières
permettront <à la commission…
Mme Poitras
(Diane) :
...par souci de concision, je dirai simplement
que nous abondons dans le sens des recommandations formulées par le Directeur
général des élections. Aussi, bien qu'elle propose certaines améliorations, la
commission salue les nouveaux droits offerts aux citoyens et les mesures
relatives aux incidents de confidentialité. Ces dernières permettront >à
la commission de s'assurer que les mesures essentielles soient prises
rapidement pour protéger les renseignements des citoyens. Elles lui permettront
aussi d'avoir un portrait plus juste des causes, des incidents de sécurité pour
mieux intervenir auprès des organisations afin de les prévenir.
Au chapitre du consentement maintenant, la
commission souligne la pertinence des modifications proposées. Toutefois, vous
l'avez constaté, plusieurs remettent en question l'efficacité du consentement
dans certaines situations. C'est pourquoi la commission propose de limiter,
voire d'interdire la collecte ou l'utilisation de renseignements personnels en
certaines circonstances, particulièrement préjudiciables ou intrusives, par
exemple certaines utilisations des renseignements génétiques ou biométriques.
J'ouvre ici une parenthèse pour préciser
qu'au Québec, même si le consentement conserve une place importante, la loi
prévoit déjà d'autres bases juridiques autorisant la collecte, l'utilisation ou
la communication de renseignements personnels. Les modifications proposées par
le projet de loi vont dans le même sens. Par exemple, le consentement n'est pas
requis pour recueillir un renseignement auprès de la personne concernée. Une
entreprise doit avoir un intérêt sérieux et légitime pour recueillir des
renseignements personnels. Elle doit déterminer, avant leur collecte, à quelles
fins elles serviront et ne recueillir que les renseignements nécessaires à ces
finalités. Elle en informe la personne concernée. Ce n'est donc que si une
entreprise souhaite utiliser les renseignements personnels qu'elle détient à de
nouvelles fins ou les communiquer à des tiers qu'elle doit obtenir le consentement
de la personne concernée.
La loi prévoit déjà plusieurs
communications qui peuvent être effectuées sans consentement. Le projet de loi
en propose de nouvelles. Il propose aussi de permettre l'utilisation à des fins
compatibles à celles de leur collecte. Pour la commission, ces mesures
permettent un équilibre entre les droits des citoyens et les obligations des
entreprises. Toutefois, le libellé de l'article qui prévoit les modalités de ce
consentement pourrait effectivement être clarifié afin de respecter l'objectif
poursuivi sans imposer de fardeau inutile aux entreprises. Au chapitre des
améliorations sur lesquelles j'aimerais insister, j'en soulignerai quatre.
D'abord, la commission formule des recommandations concernant les définitions
de renseignements personnels dépersonnalisés et anonymisés. Puisqu'elle
détermine quelles règles sont applicables à chacune de ces catégories, il
importe qu'elles soient clairement définies.
Deuxièmement, la commission formule
plusieurs recommandations concernant les enjeux soulevés par le recours à
l'intelligence artificielle et la biométrie. Leur utilisation répandue comporte
des risques accrus pour la vie privée qu'il importe de considérer davantage
dans la présente étude du projet de loi. Par exemple, en matière d'intelligence
artificielle, les dispositions <proposées pour...
Mme Poitras
(Diane) :
...
concernant les enjeux soulevés par
le recours à l'intelligence artificielle et la biométrie. Leur utilisation
répandue comporte des risques accrus pour la vie privée qu'il importe de
considérer davantage dans la présente étude du projet de loi. Par exemple, en
matière d'intelligence artificielle, les dispositions >proposées pour l'encadrement
des décisions entièrement automatisées nous apparaissent insuffisantes pour
assurer des décisions transparentes et équitables, bien qu'elles soient
intéressantes.
Les dispositions visant plus de
transparence de la part des entreprises qui recueillent des renseignements, à
des fins de profilage, pourraient aussi être améliorées. En effet, le profilage
constitue une pratique comportant un haut risque d'atteinte à la vie privée des
individus et à d'autres droits fondamentaux. Quant à la biométrie, la
législation actuelle ne permet pas d'encadrer adéquatement certaines de ses utilisations.
Le caractère intime, unique et permanent des renseignements biométriques en font
des renseignements particulièrement sensibles dont la collecte et l'utilisation
posent des risques importants pour les individus. Les nombreuses critiques
formulées au sujet de l'utilisation de la reconnaissance faciale, à des fins de
surveillance, témoignent de la nécessité de profiter de ce projet de loi pour
baliser certaines utilisations de la biométrie et de l'intelligence
artificielle.
Troisièmement, au chapitre de la
communication de renseignements personnels, le projet de loi introduit de
nouvelles exceptions à l'obtention du consentement dans le secteur public. Sans
remettre en question la légitimité des objectifs poursuivis, elle tient à
souligner que ces exceptions doivent être limitées, suffisamment encadrées et
viser une finalité clairement définie dans la loi. Aussi, il importe d'évaluer
l'impact des exceptions prévues aux lois sectorielles, qui prévoient des
régimes de protection plus stricts. Le respect de la vie privée n'est souvent
pas le seul objectif poursuivi par la confidentialité plus grande accordée à
ces renseignements sensibles.Mais, surtout, la question de l'accès aux données
à des fins de recherche doit trouver une solution complète dans ce projet.
C'est pourquoi la commission propose un régime similaire à celui des entités
prescrites qui prévaut en Ontario. Il permettrait de simplifier l'accès aux
renseignements de santé pour les chercheurs tout en protégeant les renseignements
personnels de manière optimale.
Enfin, bien que la commission propose
quelques modifications au régime de sanctions administratives, pécuniaires et
pénales, la possibilité que de telles sanctions dissuasives soient imposées aux
organisations qui ne protègent pas les renseignements personnels est
essentielle. Face aux inquiétudes soulevées par certains intervenants, elle
tient à souligner qu'elle continuera à utiliser, avec discernement, les
différents outils à sa disposition dans le seul objectif de favoriser le
respect des lois qu'elle est chargée de surveiller. Ceci dit, la commission
propose de prévoir des montants fixes pour certains manquements précis tout en
conservant l'approche générale retenue par le projet de loi de pouvoir imposer
un montant maximal pour les manquements les plus graves.
En conclusion, la commission considère que
le projet de loi envoie un message clair de l'importance qu'accorde le Québec à
la protection des renseignements personnels <de ses citoyens. Cette...
Mme Poitras
(Diane) :
...
tout en conservant l'approche
générale retenue par le projet de loi de pouvoir imposer un montant maximal
pour les manquements les plus graves.
En conclusion, la commission considère
que le projet de loi envoie un message clair de l'importance qu'accorde le
Québec à la protection des renseignements personnels >de ses citoyens.
Cette importance doit aussi se traduire dans les ressources accordées à l'organisme
de contrôle chargé de voir à son application. Comme l'ont souligné plusieurs intervenants,
la commission doit pouvoir disposer des ressources nécessaires pour accomplir,
de manière efficace, l'ensemble des volets de sa mission, qui sont nombreux. Au
31 mars dernier, elle pouvait compter sur 67 personnes. C'est le même
nombre qu'il y a 10 ans, et à peine plus qu'il y a 20 ans.
Or, le nombre et la complexité des
dossiers soumis à la commission ne cessent d'augmenter. Le sous-financement de
la commission nuit à une mise en oeuvre efficace et effective de ces lois.
Comme en témoigne son dernier rapport annuel, la commission a démontré que
l'ajout de sommes supplémentaires influence directement sa capacité à traiter
les dossiers qui lui sont soumis. Par exemple, en un an, elle a pu réduire de
quatre mois les délais de traitement de certains dossiers de la section
juridictionnelle et doubler le nombre de plaintes traitées par la section de
surveillance.
J'en profite pour souligner
l'extraordinaire travail accompli par l'équipe de la commission et je les
remercie chaleureusement. Je vous remercie de votre attention, et il me fera
plaisir d'échanger avec vous au cours des prochaines minutes.
Le Président (M.
Bachand) : Merci beaucoup, Me Poitras. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui.
Bonjour, Me Poitras, Me Desmeules. Merci de participer à l'étude... bien, en
fait, aux consultations du projet de loi n° 64.
Me Poitras, pour reprendre la balle au
bond, vous dites, vous avez un nombre limité de ressources relativement à votre
financement. Là, je sais qu'il y a 3 millions sur, je pense, trois ans qui
vous a été octroyé l'an... il y a deux ans aussi. Combien de ressources
supplémentaires ça vous prendrait, en lien avec le projet de loi n° 64,
pour ne pas avoir de retard et réaliser le mandat qui vous est confié... qui
vous sera confié?
Mme Poitras
(Diane) : Je vous remercie pour la question. Ce n'est pas une
analyse qu'on a faite actuellement. Il nous fera plaisir de faire cette analyse
et de... Je ne voudrais pas lancer un chiffre comme ça, mais c'est sûr que ça
prend un financement, un rehaussement important du financement de la
commission.
M. Jolin-Barrette : O.K.
Mais, quand vous me dites : Ça nous prend un rehaussement important, mais
vous ne l'avez pas évalué. Actuellement, là, supposons que vous nous
dites : Bon. Bien, les ressources n'ont pas suivi, mais vous n'êtes pas
capables de nous chiffrer combien de plus ça vous prend.
Mme Poitras
(Diane) : Non, en effet. Pour nous, on attend de voir le projet
de loi, tant que le projet de loi n'est pas adopté... pour voir quelles sont,
de façon effective, les nouvelles fonctions qui nous seront attribuées. On n'a
pas fait cette évaluation, évaluation qu'on fera avec tout le sérieux quand le
temps sera... quand ce sera requis.
• (20 h 30) •
M. Jolin-Barrette : O.K.
Mais sous réserve de l'adoption du projet de loi, sous réserve du travail des
parlementaires qui sera effectué au cours des prochaines semaines, des
prochains mois, le projet de loi a été déposé...
20 h 30 (version révisée)
s ses Poitras (Diane) :
...évaluation qu'on fera avec tout le sérieux quand le temps sera... quand ce
sera requis.
M. Jolin-Barrette : O.K.
Bien, sous réserve de l'adoption du projet de loi, sous réserve du travail des
parlementaires qui sera effectué au cours des prochaines semaines, des
prochains mois… Le projet de loi a été déposé en juin. J'invite la Commission
d'accès à l'information à faire cette réflexion-là, surtout que ça fait depuis
le mois de juin qu'il est déposé. Donc, je vous entends sur le fait que vous
souhaitez davantage de ressources. Ça aurait été bien de le dire dans le cadre
de la commission ce soir, si vous dites : Ça nous prend davantage de ressources
supplémentaires, peut-être, de faire une évaluation lorsqu'on réclame des ressources
supplémentaires.
Bon, vous souhaitez qu'on assujettisse
tous les partis politiques à la loi sur le secteur privé, incluant les partis politiques
municipaux?
Mme Poitras (Diane) :
Bien, je dirais, un peu à l'instar de ce que fait la Colombie-Britannique, disons,
la loi, là, sur le secteur privé a des dispositions qui ressemblent
essentiellement à ce qu'on peut avoir au Québec. On pense que ça peut être bien
de protéger les renseignements personnels tout en permettant aux partis
politiques d'accomplir les différentes fonctions ou d'entrer en contact avec
les citoyens.
M. Jolin-Barrette : O.K. Vous
souhaitez qu'on assujettisse les partis politiques à l'égard de l'ensemble des
renseignements personnels qu'ils détiennent et pas juste en fonction de ceux
des électeurs et vous ne voulez pas qu'on prévoie d'exceptions applicables aux
partis politiques en ce qui concerne la destruction, l'utilisation aussi.
Mme Poitras (Diane) :
En fait, on part du principe que, si le régime général peut s'appliquer, comme
il se fait en Colombie-Britannique ou même dans d'autres juridictions... On
part du principe que le régime général pourrait s'appliquer. Puis, quant à la
portée des renseignements personnels, les partis politiques détiennent aussi
des renseignements au sujet des bénévoles, des employés, des candidats, par
exemple. Donc, on pense que ces renseignements personnels qu'ils détiennent
méritent la même protection.
M. Jolin-Barrette : O.K. Je
comprends de cela que vous ne voulez pas avoir de régime distinct pour les
partis politiques. Dans le fond, il faut que ce soit traité de la même façon
que n'importe quel tiers privé qui aurait accès à des renseignements
personnels.
Mme Poitras (Diane) :
En fait, c'est sûr que… S'il y a une particularité de parti politique qui
nécessite ou qui fait qu'une disposition de la loi n'est pas applicable à un
parti politique, c'est sûr qu'on pourrait en faire une exception. Mais on pense
que ce serait plus simple de les assujettir à la loi générale, au régime
général, puis, le cas échéant, de faire des exceptions, mais, encore une fois,
on part du principe que la plupart de ces dispositions-là s'appliquent dans d'autres
juridictions sans que ça nuise au travail des partis politiques.
M. Jolin-Barrette : O.K. Vous
nous invitez aussi à préciser la définition de «renseignements personnels», parce
qu'elle est trop large, cette définition-là? Qu'est-ce qui... Comment est-ce
que vous pensez qu'on devrait la préciser?
Mme Poitras (Diane) :
En fait, on constate qu'il y a une certaine confusion. Comme elle détermine le
champ d'application de la loi, elle est très simple, hein : «Qui concerne
une personne physique et permet de l'identifier.» On pense qu'on pourrait... on
devrait la <préciser...
M. Jolin-Barrette :
...comment
est-ce que vous pensez qu'on devrait la préciser?
Mme Poitras (Diane) :
En fait, on constate qu'il y a une certaine confusion.
Comme elle détermine le champ d'application de la loi, elle est très simple,
hein : »Qui concerne une personne physique et permet de l'identifier.» On
pense qu'on pourrait... on devrait la >préciser à l'ère du numérique parce
qu'on constate qu'il y a une certaine confusion de la part des organisations,
qui pensent que, simplement en retirant des identifiants directs, on ne peut
plus identifier une personne, donc que les dispositions de la loi ne s'appliquent
pas.
Alors, on constate qu'il y a une
proposition de parler de renseignements dépersonnalisés, mais on pense qu'on
devrait préciser, en s'inspirant, par exemple, de la définition du RGPD, qu'est-ce
qu'on a à faire par permettre d'identifier, dans cette définition-là, par
exemple, directement, indirectement. On pense aussi qu'elle devrait inclure les
renseignements qui sont inférés, c'est-à-dire qu'un renseignement qui concerne
une personne physique et permet de l'identifier… Les renseignements qui sont
inférés ou déduits par les systèmes d'intelligence artificielle, par exemple,
devraient clairement être identifiés comme étant visés par le champ
d'application de la loi.
M. Jolin-Barrette : O.K. Sur
un autre sujet, là, vous dites : On devrait intégrer les dispositions de
la Loi concernant le cadre juridique des technologies de l'information,
concernant la biométrie, dans la loi sur l'accès et dans la loi sur le secteur
privé. Donc, ça fait un petit bout qu'on n'a pas touché à cette loi-là, là,
concernant le cadre juridique des technologies de l'information. Donc, vous
voulez qu'on importe ça puis qu'on amène ça dans les deux lois, dans la loi
publique et dans la loi privée. Pourquoi?
Mme Poitras (Diane) :
En fait, d'abord, parce que l'objectif... La première raison, c'est parce qu'on
constate qu'il y a beaucoup d'entreprises qui ne sont pas au courant qu'il y a
des règles relatives à la protection des renseignements personnels qui sont
contenues ailleurs que dans la loi générale. Et la loi-cadre est une loi dont
les objectifs ne sont pas la protection des renseignements personnels, mais
bien l'équivalence des documents, bon, etc., pour assurer une certaine sécurité
juridique de... les équivalences des documents électroniques, mais ce qui fait
que les entreprises et les organismes ont tendance à ne pas être au courant de
ces dispositions-là. On pense que ça bénéficierait aussi que ça soit dans les
lois, parce qu'on pourrait... Ces dispositions sont assez importantes pour
bénéficier de la prépondérance qui est accordée aux dispositions des lois
publiques et privées.
M. Jolin-Barrette : O.K.
Juste avant vous, on a eu la Régie de l'assurance maladie du Québec qui disait
qu'il y avait plus d'une centaine d'ententes de communication, et qui étaient
ensuite approuvées par la Commission d'accès à l'information. Vous, vous
dites que vous devriez avoir le pouvoir de suspendre l'entrée en vigueur
d'une entente ou d'interdire la communication. Comment ça se passe, là,
présentement, là, avec les organismes publics qui ont des renseignements et qui
veulent faire une entente entre ministères, tout ça? Expliquez-nous un <petit...
M. Jolin-Barrette :
…
Commission d'accès à l'information. Vous, vous dites que vous
devriez avoir le pouvoir de suspendre l'entrée en vigueur d'une entente ou
d'interdire la communication. Comment ça se passe, là, présentement, là, avec
les organismes publics qui ont des renseignements et qui veulent faire une entente
entre ministères, tout ça? Expliquez-nous
un >petit peu la
mécanique, là, de l'approbation par la Commission d'accès à l'information.
Comment ça fonctionne chez vous?
Mme Poitras (Diane) :
En fait, présentement, le projet d'entente est soumis à la commission. Il y a
un analyste-enquêteur de la direction de la surveillance qui va analyser le
projet, qui va entrer en contact aussi avec les organismes. Et, un peu comme on
vous l'a mentionné, il y a beaucoup de travail qui se fait à ce niveau-là pour peaufiner
l'entente. S'il voit qu'il y a un problème, que l'entente n'est pas tout à fait
conforme, que les mesures de sécurité ne sont pas suffisantes, il va faire un
travail pour inciter les deux organismes à régler ces problèmes-là, ce qui fait
qu'au final, effectivement, souvent, l'avis de la commission est favorable, parce
que, la deuxième étape, c'est qu'il y a l'avis. Une fois que l'enquêteur
considère que le dossier est complet, c'est soumis à un commissaire en
surveillance qui va autoriser l'avis favorable ou défavorable au sujet de
l'entente.
M. Jolin-Barrette : Puis
est-ce que c'est déjà arrivé à la Commission d'accès à l'information d'émettre
des recommandations défavorables par rapport aux ententes?
Mme Poitras (Diane) :
À tout le moins, je sais qu'on a sûrement déjà émis des avis d'intention, parce
qu'avant d'émettre un avis défavorable on émet un avis aux organismes en
indiquant qu'est-ce qu'on trouve qui est… qu'est-ce qu'on pense qui n'est pas
conforme, et donc, s'ils ne corrigent pas la situation, on pourrait émettre un
avis défavorable. Je pense que, dans la plupart… La plupart du temps, ils vont
se corriger, mais, peut-être, Me Desmeules…
M. Desmeules (Jean-Sébastien) :
C'est déjà arrivé à de rares occasions, effectivement, que des avis
défavorables ont été émis.
M. Jolin-Barrette : O.K.
Et puis, maintenant, vous voulez, dans la loi, qu'on prévoie un pouvoir
d'interdire la communication puis de suspendre l'entrée en vigueur.
Mme Poitras (Diane) :
En fait, c'est que vous proposez que l'avis de la commission ne soit plus
requis. Le projet de loi propose que l'avis de la commission ne soit plus
requis, et qu'on nous envoie simplement l'entente, qu'elle entre en vigueur
dans les 30 jours. Si on prend pour acquis qu'on envoie <l'entente… >le
projet d'entente à la commission, c'est sûr qu'on s'attend qu'il faut réagir
dans les 30 jours si on voit qu'elle n'est pas conforme ou encore si
l'évaluation des… à la vie privée, là, ne serait pas suffisamment sérieuse, on
va le dire comme ça. Donc, il faut qu'on puisse intervenir avant que la
communication ait lieu. Sinon, il est un peu tard.
M. Jolin-Barrette : O.K.
Vous voulez aussi qu'on retire la possibilité qu'une plainte puisse être
déposée sous le couvert de l'anonymat.
Mme Poitras (Diane) :
En fait, on s'interroge plutôt sur l'objectif qui est poursuivi. Est-ce que
l'objectif est de permettre à une personne de déposer une plainte anonyme?
Auquel cas, tout ce qu'on dit, c'est que, certaines plaintes, on pourrait avoir
de la difficulté à les <traiter...
M. Jolin-Barrette :
...puisse être déposée sous le couvert de l'anonymat.
Mme Poitras (Diane) :
En fait, on s'interroge plutôt sur l'objectif qui est
poursuivi. Est-ce que l'objectif est de permettre à une personne de déposer une
plainte anonyme? Auquel cas, tout ce qu'on dit, c'est que, certaines plaintes,
on pourrait avoir de la difficulté à les >traiter si la personne, sous
le couvert de l'anonymat, par rapport à nous, nous dit : Bien, moi, on a
communiqué des renseignements à mon sujet de façon illégale. C'est très
difficile si c'est le couvert de l'anonymat. Si l'objectif est que la commission
assure l'anonymat dans le cadre de l'enquête, ça, on peut le faire et on
l'assure déjà en certaines circonstances, si c'est demandé et que l'enquête
peut le permettre.
• (20 h 40) •
M. Jolin-Barrette : O.K. Je
vous remercie.
Le Président (M. Bachand) :
Merci. M. le député de Vachon, s'il vous plaît.
M. Lafrenière : Merci beaucoup.
Me Poitras, Me Desmeules, merci. Une petite question de précision
pour moi, s'il vous plaît.
La loi fédérale permet déjà à une
entreprise d'informer une autre entreprise lorsqu'il survient un incident ou un
bris de confidentialité. Je voyais dans vos recommandations que vous suggérez
de ne pas aller de l'avant avec la loi provinciale. J'aimerais comprendre le
pourquoi, s'il vous plaît.
Mme Poitras (Diane) :
En fait, on s'interrogeait sur quel était l'objectif visé par cet ajout-là. Et,
si c'était, par exemple, pour informer la police, on pense qu'on devrait le
préciser. On s'interrogeait sur qu'est-ce qu'on vise exactement, quel genre d'entreprise
on vise. On a vu, avec les fuites récentes, que, quand les entreprises
proposent de faire affaire, par exemple, avec des agences de renseignements
personnels, Equifax ou TransUnion, ce n'est pas tous les citoyens qui veulent
profiter de cette protection ou qui veulent que leurs renseignements soient
communiqués sans le consentement à ces entreprises-là. Je pense que certains
souhaitent avoir le choix. Alors, c'était juste… On s'interrogeait sur l'objectif
qui était poursuivi et quel genre de communication, quel genre d'entreprise ou
d'organisme on… qu'est-ce qu'on avait en tête quand on a rédigé cette disposition-là.
M. Lafrenière : Justement,
vous faites allusion à une fuite de données. Je pense qu'on a tous l'exemple en
tête. Mais, si on allait avec la notion d'urgence, justement, que cette information-là
soit transmise pour éviter que la fuite continue dans le temps avec d'autres
organismes, vous ne croyez pas que ce serait important de rajouter cet
élément-là pour limiter la fuite, justement, de limiter les dommages?
Mme Poitras (Diane) :
De mémoire, la disposition parle qu'on peut communiquer les renseignements
concernant la personne concernée. Alors, je m'interroge sur… Est-ce que… Quel
genre d'information on doit communiquer? Est-ce qu'on doit juste dire :
Attention, on a été victimes d'hameçonnage ou… de quel genre d'incident, attention
à vous, entreprises, vous risquez d'être victimes du même genre d'incident?
Alors, encore une fois, on essaie de voir
quel est l'objectif poursuivi et simplement de le circonscrire. On parle de
gens qui ont été victimes d'un incident de sécurité et d'une possibilité de
communiquer sans leur consentement des renseignements à une autre entreprise.
On veut juste s'assurer que les circonstances et l'objectif qui est poursuivi
est bien circonscrit dans la disposition.
M. Lafrenière : C'est plus une
interrogation qu'une objection, de ce que je comprends. C'est bien <ça…
Mme Poitras (Diane) :
...simplement de le circonscrire. On parle de gens qui ont été victimes d'un
incident de sécurité et d'une
possibilité de communiquer sans leur
consentement
des
renseignements à une autre entreprise. On veut juste s'assurer que
les circonstances et
l'objectif qui est poursuivi Verbest bien
circonscrit dans la
disposition.
M. Lafrenière : C'est plus
une interrogation qu'une objection, de ce que je comprends. C'est bien >ça?
Mme Poitras (Diane) :
Oui, et peut-être une invitation à préciser la disposition, dans quelle situation
ou quel genre d'entreprise est visée.
Le Président (M. Bachand) :
Merci. M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, merci,
M. le Président. Me Poitras, Me Desmeules, bonsoir. Bien heureux d'être avec
vous ce soir, que vous soyez avec nous, c'est-à-dire. Un peu en lien avec la question
du ministre concernant les ressources et le financement, est-ce qu'au-delà de
sommes que vous allez calculer il y aura d'autres ressources ou d'autres
dispositions dont vous auriez besoin pour bien remplir le mandat qui vous
serait confié, le cas échéant?
Mme Poitras (Diane) :
Au niveau des ressources?
M. Lévesque (Chapleau) : Oui,
au-delà du financement, les autres choses que vous pensez… Est-ce qu'il manque
quelque chose dans le projet de loi? Est-ce qu'il manque quelque chose dans
votre structure ou ainsi de suite?
Mme Poitras (Diane) :
En fait, c'est sûr qu'on a formulé quelques recommandations au niveau des
pouvoirs, bien que... d'améliorations au niveau des sanctions administratives,
pécuniaires ou pénales pour bien préciser les régimes, de manière à ce qu'il
n'y ait pas de contestation susceptible de venir paralyser l'efficacité du
régime. On a aussi fait des recommandations sur la possibilité de réfléchir à
des façons de prévoir d'autres modalités de financement pour la commission.
Est-ce que l'utilisation des amendes, des sommes récoltées pour les amendes, un
peu comme ça se fait en environnement, pour un fonds spécial pour indemniser les
victimes, pour faire de la recherche, pour faire de la promotion, de
l'accompagnement... Et, ça, évidemment, il faudrait que ce soit prévu dans la
loi.
M. Lévesque (Chapleau) : O.K.,
merci. C'est intéressant. Vous avez parlé, donc, de la question de la
définition de renseignements personnels. Il y a un grand débat, là, bon, toute
la question d'anonymité, de dépersonnalisation, j'aimerais peut-être vous
entendre là-dessus.
Puis, également, sur la question
d'inférence, là, il y a eu des groupes qui sont venus nous parler que, malgré
le fait que les données soient anonymes ou dépersonnalisées, il y a peut-être
un risque, dans l'inférence, de retracer ou de retrouver qui était cette
personne ou qui était cette entreprise derrière ces données-là. Peut-être vous
entendre là-dessus, est-ce que vous avez des craintes? Est-ce que c'est quelque
chose qui vous occupe?
Mme Poitras (Diane) :
En fait, oui. La plupart des experts s'entendent sur le fait qu'il est
difficile... Le critère qui est dans le projet de loi, c'est-à-dire qu'il
puisse être anonymisé de façon irréversible, est pratiquement impossible à
atteindre. Alors, on vous proposerait l'approche qui est dans le RGPD. Mme
Castets-Renard en a parlé plus tôt. Ils ont eu ce même débat et ils ont décidé
de ne pas inclure la notion d'anonymiser dans les règles. Eux, ils ont prévu
pseudonymiser. Ici, on parle de dépersonnaliser, c'est un petit peu la même
approche. Donc, notre besoin est de clarifier la définition de renseignements
personnels et peut-être de <clarifier...
Mme Poitras (Diane) :
…
et ils ont décidé de ne pas inclure la notion d'anonymiser dans les
règles. Eux, ils ont prévu pseudonymiser. Ici, on parle de dépersonnaliser.
C'est un petit peu la même approche. Donc, notre besoin est de clarifier la
définition de renseignements personnels et peut-être de >clarifier
quelles utilisations on peut faire au niveau des renseignements
dépersonnalisés.
M. Lévesque (Chapleau) : Merci
beaucoup.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui, merci
beaucoup, M. le Président.
Le Président (M. Bachand) :
13 min 36 s.
M. Tanguay
:
13 min 36 s? Merci beaucoup. Alors, bonsoir. Merci d'être là
pour répondre… bonsoir, Me Poitras, Me Desmeules… de répondre à nos questions.
Je vais y aller, moi, également en rafale.
D'abord, premier élément, j'aimerais vous
entendre sur votre recommandation n° 15 à la page 31 du mémoire.
Sans lire la recommandation, vous dites : «De plus en plus, en effet,
d'employeurs et associations intègrent la vérification d'antécédents
judiciaires ou l'obtention d'un certificat de bonne conduite ou d'habilitation
sécuritaire dans leurs pratiques, que cette exigence soit ou non prévue par la
loi.» Puis vous demandez, donc, de limiter les circonstances… Quel problème
essayez-vous de régler ici?
Mme Poitras
(Diane) : En fait, on a constaté qu'il y a des pratiques à
géométrie variable et que les antécédents judiciaires sont demandés. Parfois,
on va… Les demandes sont très élargies par rapport à l'objectif qui est
poursuivi. Alors, dans… Par exemple, en matière d'emploi, je peux… ce n'est pas
toujours clair que la vérification des antécédents est liée à une exigence
spécifique du poste, qui est un critère qui est dans la charte, premièrement.
Deuxièmement, on trouvait intéressante
l'approche ontarienne dans laquelle ils encadrent les situations où on peut
faire des vérifications, la portée de ces vérifications, est-ce qu'on va juste
dans le punitif ou on va dans les fichiers des policiers, et surtout de
s'assurer que la personne pour qui on va prendre une décision sur la base de
ces vérifications puisse avoir accès à l'information. On a vu des cas, dans les
demandes de révision, où des citoyens se font refuser la possibilité d'adopter
à l'international, un emploi, un permis pour l'exercice d'une fonction
quelconque, et ils ne savaient pas pourquoi, qu'est-ce qu'il y avait dans leur
dossier qui faisait qu'on avait pris cette décision-là.
M. Tanguay
: O.K., donc,
un encadrement, un resserrement des cas de figure. Recommandation n° 17, page 33 du mémoire… recommandation n° 17 : «La commission recommande au législateur, dans
le respect de la décision de la Cour suprême… Loi concernant la
non-discrimination génétique et des compétences de chaque palier de
gouvernement, d'encadrer la collecte, l'utilisation, la communication, la
conservation et la destruction des renseignements génétiques.» Dans le cas de
la compétence du Québec, ici, ça prendrait quelle forme? On voudrait, donc,
toucher à quelle réalité de façon tangible? Avez-vous des exemples?
Mme Poitras (Diane) :
En fait, oui, c'est que le… d'interdire plus spécifiquement l'utilisation de
renseignements génétiques ou d'exiger à une personne de consentir à la
communication de renseignements de nature génétique à des fins d'emploi ou <d'assurance…
M. Tanguay
: …
on
voudrait, donc, toucher à quelle réalité de façon tangible? Avez-vous des
exemples?
Mme Poitras (Diane) :
En fait, oui, c'est que le… d'interdire plus spécifiquement
l'utilisation de renseignements génétiques ou d'exiger à une personne de
consentir à la communication de renseignements de nature génétique à des fins
d'emploi ou >d'assurance.
M. Tanguay
: O.K., et
vous avez vu des cas où il y avait de la discrimination qui pouvait en découler.
C'est ce qu'on veut empêcher. C'est ça?
Mme Poitras (Diane) :Tout à fait.
M. Tanguay
: O.K. Et,
également, j'imagine, aussi, c'est des informations hautement sensibles. Donc,
tout ce qui en suit, évidemment, là, on peut… Quand on le communique, on ne le
contrôle plus. Alors, j'imagine qu'en l'encadrant, bien, on diminue le risque.
La recommandation n° 24,
j'aimerais avoir vos commentaires peut-être de façon un peu plus générale, recommandation n° 24 en matière d'organismes privés, mais on a également
une telle clause miroir, l'article 27, 70.1 de la loi sur le… l'évaluation
des facteurs relatifs à la vie privée : «Il doit notamment tenir compte
des éléments suivants». Donc, c'est une clause qu'on retrouve dans le domaine
public puis dans le domaine privé : évaluation de facteurs, notamment la
sensibilité du renseignement, la finalité de son utilisation, les mesures de
protection, régime juridique applicable.
Ce qui nous a été dit, c'est que — c'est
l'espérance qui a été exprimée — <que >la Commission
d'accès à l'information puisse notamment offrir des guides pour aider à
comprendre ce dont il s'agit ici, parce que ce qui peut être raisonnable pour
un ne l'est peut-être pas pour l'autre, ce qui est suffisant pour un ne l'est peut-être
pas pour l'autre.
Trouvez-vous que, tel que rédigé, de un,
c'est suffisamment précis? Est-ce qu'on devrait être encore plus clair de ce
qui est attendu? Et sur quelles bases, selon quels critères un peu plus
concrets les personnes devraient juger… Et vous, dans un deuxième temps, je
pense que vous avez pleinement conscience du fait qu'il va falloir réellement
accompagner les décideurs et décideuses qui devront jongler avec ces concepts
qui sont, somme toute, assez vagues.
• (20 h 50) •
Mme Poitras (Diane) :
En fait, c'est une évaluation des facteurs à la vie privée. La commission a un
petit peu pris d'avance. On a déjà un guide qui a été diffusé il y a quelques
mois déjà, une première version d'un guide. On a le projet aussi de faire un
gabarit et d'autres outils qui vont venir essayer d'accompagner les
organisations publiques et privées qui auront à réaliser des évaluations de
facteurs à la vie privée.
Par contre, je crois que vous vous
référiez à l'article qui parle des communications hors Québec. Là-dessus, la
commission convient qu'il y a sûrement moyen… Nous sommes d'avis qu'on pourrait
miser sur l'objectif qui est poursuivi, c'est-à-dire de s'assurer d'une
protection équivalente des renseignements qui sont communiqués hors Québec, et
que l'article, tel que rédigé, impose effectivement un fardeau quand même assez
lourd aux organisations.
M. Tanguay
: Deux
dernières questions, puis je vais laisser l'occasion à ma collègue de
Notre-Dame-de-Grâce de s'inscrire.
L'avant-dernière question, <la
commission… >la recommandation n° 44 :
«La commission recommande de préciser qu'elle a le pouvoir d'ordonner la
production de documents et d'en faire l'examen, nonobstant le secret
professionnel, le privilège relatif au litige ou tout autre privilège de
confidentialité». Vous dites que ça se fait déjà dans certaines lois
québécoises, là, votre note de bas de page, 132. J'aimerais <ça…
M. Tanguay
: ... recommande
de préciser qu'elle a le pouvoir d'ordonner la production de documents et d'en
faire l'examen nonobstant le secret professionnel, le privilège relatif au
litige ou tout autre privilège de confidentialité». Vous dites que ça se fait
déjà dans certaines lois québécoises, là, votre note de bas de page 132.
J'aimerais >ça vous entendre là-dessus, sur... parce que, quand on parle
notamment de secret professionnel, c'est assez hermétique, d'habitude, comme
traitement, n'est-ce pas?
Mme Poitras (Diane) :
En effet, puis, en fait, c'est le secret professionnel ou d'autres privilèges.
Je vais vous donner un exemple concret. Il peut arriver qu'on fasse une enquête
sur une situation dans une organisation où on a des interrogations sur le fait
qu'ils aient pris des mesures de sécurité adéquates. Il pourrait arriver qu'ils
aient fait leur propre évaluation dans le but de se protéger contre des recours
collectifs ou des recours de citoyens qu'ils auraient pu avoir. Bien, on
pourrait nous invoquer le privilège relatif au litige pour refuser de nous
communiquer cette évaluation-là qu'on juge pertinente dans le cadre de nos
enquêtes.
Évidemment, on peut prévoir des modalités
de confidentialité pour que les renseignements, tels que détenus par la commission,
ne deviendraient pas pour autant accessibles et prévoir que ce n'est pas parce
qu'on nous communique l'information que l'entreprise ou l'organisme renonce au
secret professionnel ou au privilège relatif au litige. C'est une situation qui
est vécue par mes homologues, et nous réclamons tous d'avoir cette disposition
expresse, parce que ça prend une disposition expresse pour écarter le secret
professionnel ou d'autres privilèges génériques comme le privilège relatif au
litige. Et je crois que c'est la commissaire fédérale qui a obtenu une
disposition, la loi qui est citée en bas de page.
M. Tanguay
: C'est
clair que ça, ça serait testé devant les tribunaux. Il faudrait voir, donc, le
poids et le contrepoids que ça pourrait avoir par rapport… Entre autres, le
secret professionnel entre avocat, client, il y aurait… Une question réellement…
Peut-être que vous en traitez, là, dans votre mémoire, mais, de façon
succincte, je vous poserais la question. Si, demain matin, la loi… Si,
d'aventure, demain matin, la loi était sanctionnée, quels seraient, pour vous,
les délais de sa mise en application pour <vous… >justement vous
permettre d'être effectifs dans ce qui seraient, là, à la lumière de la mouture
qui est devant nous, vos nouvelles responsabilités et obligations? Quels
seraient les délais ou les fenêtres de mise en vigueur, en ce qui vous concerne,
ou vous n'avez pas besoin de délais? Vous allez nous le dire.
Mme Poitras (Diane) :
En fait, c'est sûr qu'on a besoin de délais. On pourrait penser à une mise en
vigueur en paliers. C'est sûr que le volet pour lequel… qui va demander le plus
de travail, c'est tout le volet des sanctions administratives pécuniaires. Il y
a tout un régime à mettre en place, une procédure à adopter pour les critères,
la même chose pour les sanctions pénales. Donc, ce régime-là, cette section-là
de la loi pourrait entrer en vigueur par la suite. Mais, pour le reste, là, un
an, il n'y aura pas de problème, avec les ressources nécessaires, évidemment.
Le Président (M. Bachand) :
Merci. Mme la députée de Notre-Dame-de-Grâce.
Mme Weil
: Oui. Alors,
bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de vous
pendant la <consultation...
Mme Poitras (Diane) :
... entrer en vigueur par la suite. Mais, pour le reste, là, un an, il n'y aura
pas de problème, avec les ressources
nécessaires, évidemment.
Le Président (M.
Bachand) : Merci.
Mme la députée de
Notre-Dame-de-Grâce.
Mme Weil
: Oui.
Alors, bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de vous
pendant la >consultation. Vous avez peut-être suivi… On parlait de,
comment dire, comment faire en sorte de prévoir un accompagnement de votre part
pour des plus petites entreprises qui, face aux obligations que contient la loi
une fois qu'elle sera adoptée, seraient débordées, dépassées, incapables, sans
l'expertise possible… sans les ressources humaines ni financières, etc.
Et donc on a posé la question à plusieurs
intervenants, experts, qui ont dit : Oui, en effet, ce serait une très
bonne idée… et que la CAI puisse aussi fournir des guides, vraiment, des
orientations pour tous ceux... On était beaucoup... Je vous dirais, au tout
début, c'était plus le secteur des entreprises qui doivent... qui auront à
respecter la loi, mais qui n'ont pas les compétences pour le faire… mais
d'autres enjeux et d'autres intervenants qui touchent d'autres domaines de
l'activité humaine qui feraient en sorte qu'ils sont soumis.
Comment vous voyez ce rôle? Est-ce que
vous l'avez envisagé auparavant? J'imagine, lorsque la loi a été... ou le
projet de loi a été déposé… Mais là on a été un peu plus concrets avec des
exemples. On a parlé de l'Europe, justement, avec des pénalités très sévères,
d'une part, mais, en même temps, il y a un accompagnement pour justement éviter
que les organismes se trouvent dans le trouble, n'ayant pas respecté la loi.
Juste peut-être vous entendre sur ce rôle-là que vous auriez ou qui pourrait
vous être attribué.
Mme Poitras (Diane) :Alors, oui, merci pour cette question. Oui, nous avons envisagé
ce rôle. Ça fait même partie d'une des orientations dans notre planification
stratégique 2019‑2023. Pour la commission, ce qui est important, c'est que les entreprises
et les organismes respectent la loi. On a tout intérêt, en prévention, à ce
qu'ils comprennent bien leurs obligations, qu'ils aient des outils pour bien
l'appliquer et la respecter. Ça fait moins de travail en surveillance, par la
suite, pour nous. Notre objectif, c'est d'éviter les mailles.
<Alors… >Et je vous dirais qu'on
a tenté, à la hauteur de nos moyens, de fournir des guides. On a le guide dont
je vous parlais, sur l'évaluation des facteurs relatifs à la vie privée. On a
fait un guide sur la biométrie. Notre site Internet en contient quelques-uns.
Bien sûr, on pourrait en faire d'autres en ayant les ressources nécessaires.
Et, comme je vous le dis, l'objectif ultime, c'est que la loi soit respectée,
ce n'est pas d'imposer des sanctions à des entreprises qui ne veulent que
respecter la loi.
D'ailleurs, une petite parenthèse, en ce
moment, quand on a une plainte, le premier <contact...
Mme Poitras (Diane) :
... on pourrait en faire d'autres en ayant les
ressources
nécessaires.
Et, comme je vous le dis, l'objectif ultime, c'est que la loi soit respectée,
ce n'est pas d'imposer des sanctions à des
entreprises qui ne veulent
que respecter la loi.
D'ailleurs, une petite
parenthèse, e
n ce moment, quand on a une plainte, le premier >contact
qu'on fait avec l'entreprise, c'est clair que, si l'entreprise veut se
conformer, ça ne se rendra pas en enquête. Le dossier va être fermé. On va
expliquer à l'entreprise qu'est-ce qu'elle doit faire pour se conformer, puis
le dossier peut être fermé. On ne s'amuse pas à faire des enquêtes puis à
émettre des ordonnances dans ces situations.
Mme Weil
: C'est une
approche préventive, essentiellement, parce qu'ils sont de bonne foi, mais peut-être
vraiment pas équipés. Les grands, par exemple, je pense qu'on a entendu Option
Consommateurs nous donner un autre portrait, évidemment, de pratiques excessives,
et, bon, on n'est pas là-dedans, c'était vraiment les PME ou les PPME et peut-être
d'autres entreprises qui n'ont tout simplement pas les compétences.
Donc, dans un cas comme ça, est-ce que
vous allez chercher, disons, dans certains domaines très techniques ou très
avancés… Mais, quand même, ce serait une petite entreprise. Je ne le sais pas exactement.
Est-ce que vous, vous serez appelés à chercher des ressources externes parfois
ou est-ce que vous voyez plus le rôle en termes d'explication de la loi, pas nécessairement
l'implantation des mesures de protection de renseignements? C'est parce qu'il y
a un aspect qui est très technique. Puis, l'autre aspect, c'est vraiment de
comprendre le fond de la loi puis des obligations. Alors, dans ce cas-là,
est-ce que vous entrevoyez peut-être d'être obligés parfois d'aller chercher
des expertises à l'extérieur?
Le Président (M. Bachand) :Rapidement, Me Poitras, s'il vous plaît. Le temps file. Merci.
Mme Poitras (Diane) :
En fait, je vous dirais que tous les moyens… Ce qu'on pense, c'est d'être le
plus efficace possible quand on essaie de rejoindre les entreprises. Ça répond
à votre question?
Mme Weil
: D'accord. Merci.
Le Président (M. Bachand) :
Merci beaucoup. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, Me Poitras, Me Desmeules. Merci d'être avec nous ce soir
en commission parlementaire. Je vais y aller rapidement.
Vous recommandez que les partis politiques
soient soumis aux mêmes cadres juridiques que les entreprises privées. Ça
contraste avec l'avis de la commission en éthique sur les sciences et
technologies, qui nous a dit plus tôt que les cadres juridiques devaient être
pensés en fonction de la nature des organisations puis de leur finalité
sociale. Je pense qu'on va tous convenir qu'une entreprise privée puis un parti
politique, ça a des finalités sociales différentes. Pourquoi est-ce que, selon
vous, il faudrait être indifférent à cette question-là et appliquer le même
cadre juridique à une entreprise privée puis à un parti politique?
• (21 heures) •
Mme Poitras (Diane) :
En fait, comme la protection des renseignements personnels dans la loi est
organisée autour de la finalité poursuivie, je pense qu'il y a une place à ça.
Et il ne faut pas voir le fait que vous êtes... que les partis politiques
seraient assujettis aux mêmes règles que les entreprises. Il ne faut pas y voir
qu'on les assujettit à des entreprises commerciales. Actuellement, les
organismes à but non lucratif sont assujettis aux mêmes règles. Et, comme je le
mentionnais, ça fonctionne en Colombie-Britannique.
M. Nadeau-Dubois : Deuxième
élément...
21 h (version révisée)
Mme Poitras
(Diane) : ...assujettis aux mêmes règles que les entreprises, il
ne faut pas y voir qu'on les assujettit à des entreprises commerciales. Mais, actuellement,
les organismes à but non lucratif sont assujettis aux mêmes règles. Et, comme
je le mentionnais, ça fonctionne en Colombie-Britannique.
M. Nadeau-Dubois :
Deuxième élément, votre recommandation n° 18, vous
parlez de... votre mémoire parle de... Donc, vous recommandez de limiter ou
d'interdire l'utilisation de renseignements personnels en certaines
circonstances préjudiciables aux individus ou portant atteinte à leurs droits fondamentaux.
Concrètement, à quelles circonstances
faites-vous allusion ici? Pouvez-vous nous donner des exemples?
Mme Poitras
(Diane) : Tout à fait, l'exemple... j'ai parlé tout à l'heure
d'utilisation des renseignements génétiques dans un contexte d'assurance ou
d'emploi. On peut penser à l'utilisation biométrique... des renseignements biométriques,
pardon, pour faire du profilage. Alors, prendre votre image pour, un exemple
concret, là, prendre... Certains prétendent qu'à partir de votre image ils sont
capables de déterminer votre orientation sexuelle. C'est le genre d'utilisation
qu'on ne devrait pas faire.
M. Nadeau-Dubois : Oui.
Seriez-vous capable de nous donner des exemples qui ne sont pas relatifs à des
renseignements biométriques?
Mme Poitras
(Diane) : Bien, les exemples d'utilisation de renseignements
génétiques dont je vous parlais, c'est souvent, probablement les renseignements
sensibles dont on va parler.
M. Nadeau-Dubois : Votre
recommandation suivante, la n° 19, vous parler de...
Vous nous invitez à revoir et à préciser la définition de «fins compatibles». Comment
faudrait-il, selon vous, la clarifier?
Mme Poitras
(Diane) : C'est sûr qu'il y a déjà un bon commencement avec le
lien pertinent... direct et pertinent. Notre crainte, c'est que, dans le
secteur privé, <ce soit... >ça puisse donner lieu à certains abus
que peut-être on ne verrait pas dans le secteur public. Je n'ai pas ce soir...
Ça nous fera plaisir, là, de voir et de collaborer, le cas échéant, mais je
n'ai pas une précision à vous donner ce soir.
M. Nadeau-Dubois : Ça, on
serait intéressés à recevoir des suggestions de votre part.
Et, en terminant, M. le Président, Option
Consommateurs est venue plus tôt nous recommander de vous confier un pouvoir
carrément d'enquête, d'aller dans certaines entreprises privées pour ouvrir la
boîte des algorithmes et voir quel est le code et quelle est l'utilisation qui
est faite dans le privé des renseignements personnels.
Est-ce que c'est le genre de pouvoir que
vous souhaiteriez avoir, aimeriez avoir? Et qu'est-ce que vous en feriez, d'un
tel pouvoir?
Mme Poitras
(Diane) : En fait, c'est intéressant parce qu'on... La réponse
courte : Je crois qu'on a le pouvoir d'obtenir toute information qui nous
permet d'avancer dans le cadre d'une enquête et de réaliser notre mission. Dans
le cas de l'intelligence artificielle, il y a certains algorithmes que même les
concepteurs ne sont pas capables de comprendre. Je ne vous cacherai pas aussi
que ça prend des experts techniques à la commission qui seraient capables de
comprendre ces algorithmes-là ou la possibilité de faire affaire avec des
experts externes qui pourraient nous accompagner. Mais on pense qu'on a déjà un
pouvoir...
Le Président (M.
Bachand) : Merci beaucoup, Me Poitras, Me Desmeules. Merci
beaucoup d'avoir été avec nous ce soir, c'était très apprécié.
Cela dit, avant de terminer, je dépose les
mémoires des personnes et organismes qui n'ont pas été entendus. Je vous
remercie de votre contribution.
La commission, ayant accompli son mandat,
ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 21 h 3)
Mme Poitras
(Diane) : ...mais on pense qu'on a déjà un pouvoir.
Le Président (M.
Bachand) :Merci beaucoup. Me Poitras, Me
Desmeules, merci beaucoup d'avoir été avec nous ce soir, c'est très apprécié.
Cela dit, avant de terminer, je dépose les
mémoires des personnes et organismes qui n'ont pas été entendus. Je vous
remercie beaucoup pour votre contribution.
La commission ayant accompli son mandat
ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 21 h 3)