L'utilisation du calendrier requiert que Javascript soit activé dans votre navigateur.
Pour plus de renseignements

Accueil > Travaux parlementaires > Travaux des commissions > Journal des débats de la Commission de l'économie et du travail

Recherche avancée dans la section Travaux parlementaires

La date de début doit précéder la date de fin.

Liens Ignorer la navigationJournal des débats de la Commission de l'économie et du travail

Version préliminaire

43e législature, 1re session
(début : 29 novembre 2022)

Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.

Pour en savoir plus sur le Journal des débats et ses différentes versions

Le jeudi 23 novembre 2023 - Vol. 47 N° 32

Étude détaillée du projet de loi n° 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives


Aller directement au contenu du Journal des débats


 

Journal des débats

11 h 30 (version non révisée)

(Onze heures quarante-deux minutes)

La Présidente (Mme D'Amours) : Bonjour, tout le monde! Ayant constaté le quorum, je déclare de la séance la Commission de l'économie et du travail ouverte. La commission est réunie afin d'entreprendre l'étude détaillée du projet de loi n° 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives.

Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, Mme la Présidente. Mme Boivin Roy (Anjou-Louis-Riel) est remplacée par Mme Gendron (Châteauguay); M. Tremblay (Dubuc) est remplacé par Mme Abou-Khalil (Fabre); Mme Cadet (Bourassa Sauvé) est remplacée par Mme Setlakwe Mont-Royal—Outremont); et M. Leduc (Hochelaga-Maisonneuve) est remplacé par M. Bouazzi (Maurice-Richard).

La Présidente (Mme D'Amours) : Merci. Avant de débuter les remarques préliminaires, je dépose le mémoire reçu depuis la fin des auditions, soit celui de la Ligue des droits et libertés du Québec.

Nous débutons avec les remarques préliminaires, M. le ministre. La parole est à vous. Vous disposez de 20 minutes.

M. Caire : Ah! Mme la Présidente, je n'ai pas l'intention de prendre tout ce temps-là. En fait, je vais simplement saluer mes collègues de la partie ministérielle qui m'accompagnent, évidemment, les juristes qui vont m'accompagner, mais aussi peut être une salutation particulière pour mon adjointe parlementaire, la députée de Fabre, et pour ma collègue de l'opposition officielle, pour vous, Mme la Présidente, la secrétaire, les membres de la commission. Mais sinon, Mme la Présidente, je suis impatient d'avoir d'excellentes discussions avec mes collègues, et ce sera tout pour moi pour l'instant.

La Présidente (Mme D'Amours) : Merci. J'invite maintenant la porte-parole de l'opposition officielle et députée de Mont-Royal—Outremont à faire ces remarques préliminaires. Vous disposez d'un temps de 20 minutes maximum.

Mme Setlakwe : Merci, Mme la Présidente. Permettez-moi aussi, à mon tour de faire les salutations d'usage à vous, Mme la Présidente, à tout le personnel de la commission, M. le ministre, et collègues du gouvernement, les légistes, etc.

Donc, c'est avec ouverture, là, qu'on va avoir... qu'on va faire une étude approfondie du projet de loi que vous avez déposé. On va avoir des discussions intéressantes, je n'en doute pas, de façon constructive pour... pour avancer. On a des grands défis devant nous en termes de haut niveau de la transformation numérique et au niveau de rehaussement de la cybersécurité, et il y a plusieurs des mesures qui sont mises de l'avant que... qui ont un bien-fondé.

Hier, durant l'adoption du principe, j'ai mentionné qu'on votait contre, on a voté contre le principe, et c'est vraiment dans l'optique que ce projet de loi là ne peut pas être étudié dans un dans un vacuum, là, dans l'abstrait sans faire... ou en faisant abstraction de la réalité, là, sur le terrain et de toutes les difficultés qui ont été vécues avec le fiasco à la SAAQ et d'autres défis qui nous... qu'on a devant nous, surtout en sachant qu'on est en train d'amorcer un virage important au niveau de deux portefeuilles gouvernementaux fondamentaux, là, la santé et l'éducation. Et puis je vais me permettre de faire... de faire un lien tout à l'heure avec le dépôt du rapport de la Vérificatrice générale ce matin, dont un des chapitres concerne franchement ce que je considère une situation catastrophique, épeurante au niveau de la protection de nos renseignements de santé. J'y reviendrai.

Mais premièrement, je vais juste revenir sur certaines de vos remarques, M. le ministre, hier, durant votre allocution que j'écoutais attentivement et que j'ai...

Mme Setlakwe : ...vous avez mentionné hier, textuellement, là : «Je n'ai aucun problème à regarder les Québécois puis leur dire aujourd'hui : Le gouvernement est meilleur qu'il ne l'a jamais été à protéger les systèmes d'information, à protéger nos renseignements personnels, je dirais, à protéger aussi le fonctionnement de l'État.» Vous conviendrez avec moi qu'il y a beaucoup, beaucoup de travail à faire. Vous n'avez pas... évidemment, vous n'êtes pas arrêté là, vous avez dit qu'il y avait encore du travail à faire, mais vous avez quand même fait cet énoncé-là que «le gouvernement est meilleur qu'il ne l'a jamais été à protéger les renseignements personnels».

Moi, j'ai de la misère à donner des exemples de données plus sensibles que le contenu de nos dossiers médicaux. Et puis là, ce matin, la Vérificatrice générale nous dit qu'elle a fait un audit, elle et son équipe, de janvier 2021 à  mars 2023. Et l'objet de l'audit, c'est que ça ne visait pas les dossiers papier, ça visait les renseignements personnels numériques qu'ils ont étudié deux CISSS. Et puis, franchement, leurs constats sont accablants, là, c'est un désastre. Il y a des manquements, un manque de rigueur au niveau de toutes les étapes, là, l'accès, des accès non autorisés, des gens qui ont accès à des informations même après qu'ils aient quitté leur poste, des communications, des utilisations, franchement, c'est épeurant pour les Québécois. Il y avait des situations qui avaient fait l'objet des médias au printemps et, suite à ça, nous, à l'opposition officielle, on avait demandé, on avait envoyé une demande de mandat d'initiative pour que la commission... pas celle-ci, mais une autre, mais, quand même, c'est le sujet qui nous occupe ce matin.

Que la commission se saisisse de cette situation-là pour en prendre la pleine mesure, pour vraiment savoir quel est l'état de la situation, quelle est la gravité, on fait face à quoi, prendre l'inventaire, vraiment, avoir une idée, suite à ces reportages-là, d'une idée de l'ampleur du problème, et se questionner : Est-ce qu'on met les bonnes mesures en place pour protéger les renseignements? On attend toujours la convocation. Encore une fois, ce n'est pas comme les commissions où on siège ce matin, mais, tout de même, le gouvernement n'a pas répondu à cette demande-là. Et puis là on a ce rapport accablant de la Vérificatrice générale. Il y a plus de 10 000 systèmes d'information, plus de 400 000 utilisateurs dans le réseau.

Et ses recommandations, probablement, le constat, je vais y aller rapidement, puis je sais que ça vise le ministère de la Santé, mais on en viendra aussi à la question : Mais qu'est-ce que le MCN fait dans ce contexte-là? Quel est son rôle? Au niveau du ministère de la Santé, les établissements audités ne contrôlent pas suffisamment les accès à des renseignements personnels numériques d'usagers. Il y a des accès sans autorisation du gestionnaire responsable. On nous dit même que, parfois, la personne qui reçoit la demande d'autorisation, c'est elle qui y répond. Ce n'est pas impressionnant. Mots de passe pas suffisamment robustes, mesures d'authentification insuffisantes, mots de passe partagés, des documents qui sont imprimés, il n'y a pas de contrôle d'accès, des postes où s'ouvrent automatiquement des dossiers. C'est sérieux, là, ce sont nos dossiers médicaux. Au niveau des mesures de cybersécurité reconnues comme nécessaires en matière de protection de renseignements personnels numériques, elles sont à améliorer. Au niveau de la journalisation, ce n'est pas assez, là, ce qui est fait, je pense qu'il n'y en a pas, de journalisation, et alerte pour détecter des activités suspectes dans les systèmes audités. C'est complètement défaillant.

Je fais une pause ici pour rappeler qu'on a travaillé ensemble, M. le ministre, sur le projet de loi n° 3, qui va viser une meilleure fluidité de la donnée, c'est ce qu'on veut, c'est ce qu'on souhaite. Puis je ne regrette pas du tout qu'on ait appuyé l'adoption de ce projet de loi là. Mais le Dossier santé numérique, ce n'est pas pour demain, c'est pour... Il y a des projets pilotes en place. Le ministre de la Santé nous disait, cet été, en commission parlementaire, au mois d'août, que ça pouvait prendre des années encore.

• (11 h 50) •

Donc là, le système actuel, on est pris avec les systèmes actuels. Ce matin, la Vérificatrice générale disait «pour encore trois à cinq ans». Donc, je m'inscris dans le contexte de la loi qu'on étudie ce matin, parce qu'il va falloir qu'on comprenne, là, comment on s'inscrit dans tout ça. Vous voulez plus de pouvoirs, vous voulez avoir une meilleure mainmise, une meilleure poigne, s'assurer d'une meilleure coordination, harmonisation, etc. Tout ça, c'est bien beau ça, ce sont des principes auxquels, évidemment, on ne peut pas...

Mme Setlakwe : ...on ne peut pas s'opposer. Mais dans les faits, sachant qu'on va prioriser la santé, il va falloir qu'on tire au clair qu'est-ce que votre ministère, qu'est ce que, vous, vous allez jouer comme rôle dans le dossier du... dossier santé numérique? Sachant qu'il n'y est pas prêt, il va falloir qu'on ait quelque chose de robuste, mais en attendant, on a des problèmes sérieux avec ce qu'on a. Et vous avez dit hier que le gouvernement excelle à protéger les renseignements personnels des Québécois.

La Présidente (Mme D'Amours) : S'il n'y a pas d'intervention... préliminaires.

Mme Setlakwe : On pourra y revenir. Non, non, on va échanger, là. Je voulais absolument amener ces points-là ce matin, parce que ça... Je trouve ça inquiétant. Et on ne parle pas d'éducation. L'éducation aussi, il va y avoir un système qui va être mis en place, qui va permettre au ministre de l'Éducation de recevoir les données. Continuons sur les constats qui ont été émis ce matin par la Vérificatrice générale. Le ministère de la Santé, les établissements audités manquent de rigueur dans la gestion des risques et des incidents en lien avec la confidentialité des renseignements personnels numériques. Il n'y a aucun véritable portrait des renseignements personnels détenus. Dans quel système avons-nous des renseignements personnels? Il y a aucun inventaire. Ils n'ont pas été capables d'avoir un inventaire. Encore une fois, je ramène notre demande de mandat d'initiative qui souhaitait justement... qui visait vraiment à faire le point, un état de situation. Le gouvernement n'y a pas donné suite. Et vous êtes et vous allez être encore plus avec le projet de loi qu'on va étudier, le grand leader au niveau de la transformation numérique au Québec.

No 4 La sensibilisation et la formation ainsi que l'encadrément... que l'encadrement sont insuffisants, ce qui accroît les risques reliés à la protection des renseignements personnels numériques. Les recommandations qui ont été émises, je l'ai mentionné, sont... sont toutes visées vers le ministère de la Santé et des Services sociaux. Mais ça, ça concerne des champs d'activité qui tombent, je crois, sous votre responsabilité, M. le ministre, responsabilité qui sera accrue et pour laquelle vous aurez plus de pouvoir, plus d'outils à votre disposition. Donc, on pourra y revenir, là, à savoir où est ce que va s'inscrire le ministère de la Cybersécurité et du Numérique dans tout ça?

Parce que la Vérificatrice générale l'a dit ce matin, elle souhaite que toutes ces recommandations-là, qui visent certains... certains sites, certains établissements dans le réseau, s'appliquent à la grandeur du réseau dans tous les établissements. Alors, j'aurais pensé que c'était quelque chose que, vous, vous auriez... Ça s'inscrirait dans votre mandat de faire une surveillance de tout ça. Et je termine mon point sur le rapport de la vérificatrice en disant qu'elle a mentionné qu'elle a été prudente en ce qu'elle a été conservatrice dans la rédaction de son rapport. On comprend pourquoi. Elle ne veut pas dire exactement où, là, il y a des enjeux, et pour des raisons évidentes de cybersécurité, pour s'assurer que ces faiblesses-là ne soient pas connues de tous, incluant des personnes malveillantes. Mais on a... Au fil des questions, on a découvert que, vraiment, il y avait un échantillonnage assez important, là. Elle a ciblé des centres où il y avait un haut volume de données. Donc, son rapport, il est assez révélateur et percutant.

Hier aussi, dans votre allocution, vous avez mentionné que la cybersécurité devient une mission régalienne de l'État, comme l'est la santé, l'éducation, la sécurité publique. C'est dire toute l'importance que votre gouvernement, que vous accordez au numérique et à la cybersécurité. Vous dites que c'est très innovateur. Il n'y a pas d'équivalent ailleurs au Canada ou en Amérique du Nord où, vous avez dit, même en Europe. Donc, encore une fois, le mandat, il est colossal. Et donc j'ai hâte qu'on discute de ce mandat renouvelé et avec plus de pouvoirs que, vous, vous souhaitez obtenir via le projet de loi no 38.

Au niveau des projets pilotes, on aura l'occasion d'avoir des discussions, pour une durée de trois ans, renouvelables maximum un an, qui vont vous permettre de tester différents cadres normatifs, différents... vérifier différentes hypothèses. Tout ça semble bien intéressant. On pourra voir si tout ça est assez bien... assez bien encadré. Vous avez mentionné que pour ces aspects-là on n'a pas le droit de manquer notre coup. Et donc ça va être pour vous un outil extrêmement, extrêmement important. Donc, c'est dire toute l'importance qu'il faut octroyer, là, à...

Mme Setlakwe : ...l'étude détaillée de ce projet de loi là.

Au niveau de... On a eu... On a reçu peu de mémoire puis on a eu peu de gens durant les consultations, mais on a eu la CAI qui a déposé un mémoire, et la Ligue des droits et libertés abondait dans le même sens. Et vous êtes revenu sur le point que faisait la CAI, à savoir... Eux, ils voudraient maintenir l'obligation de faire approuver les règles de gouvernance en amont, suite à un dialogue constructif, quand il y a un mandat ou une désignation qui est faite à une source officielle de données comme le ministère de la Cybersécurité et du Numérique. Vous, vous dites : Non, non, ça serait préférable... C'est une bureaucratie additionnelle, des formalités qui n'ajoutent rien, qui n'ont pas de plus-value. Changeons la règle et prévoyons simplement que ces règles-là doivent tout simplement être transmises à la CAI. La CAI s'oppose à ça. On pourra en discuter quand on sera rendu là. Mais si je suis votre raisonnement, parce qu'hier vous êtes revenu là-dessus, durant votre allocution dans le cadre de l'adoption du principe, puis ça, on le comprend, là, il y a plusieurs centres de traitement de données, des centaines. Ça peut être un problème, je comprends très bien la logique. Parce que là nos données, plus elles se ramassent, plus elles sont multipliées dans différentes bases de données, bien, on augmente le risque qu'il y ait des fuites, qu'il y ait des enjeux, des incidents de confidentialité. Donc, l'idée, c'est de confier à des sources officielles le mandat d'en assurer la détention et de contrôler, j'imagine, la communication à d'autres organismes. Tout ça, là, honnêtement, c'est un principe que je suis. D'ailleurs, vous avez mentionné que ça avait été fait avec la collaboration de l'opposition officielle. On n'a rien contre. Vous expliquez le principe, et puis je pense que, sur le principe, il n'y a pas d'enjeu. C'était le commentaire de la CAI, qu'on va pouvoir discuter. C'était plutôt... Le mandat est tellement important, et ça sort régulièrement, bien, ça sort toujours en fait du cadre des fonctions courantes de l'organisme, alors ça vaut la peine, vraiment, qu'on s'assure que les règles de gouvernance soient optimales. Mais vous, vous dites qu'on a surmultiplié les bases de données parce que la réglementation... Donc, en ayant la source officielle, on corrige le problème d'avoir une surmultiplication des bases de données, mais vous dites qu'on a surmultiplié les bases de données, parce que la réglementation, le cadre législatif dans lequel les organismes, les ministères et organismes travaillent est tellement complexe, tellement contraignant, tellement contre-productif, que les ministères et organismes qui avaient le droit d'avoir accès à ces informations-là, les collectaient. Honnêtement, il y a un lien que je ne fais pas, on pourra en discuter. Mais, si effectivement le cadre est trop restrictif, bien là, après ça, il ne faut pas se... il ne faut pas aboutir dans une situation où les données ne circulent pas, mais je ne pense pas que c'était ça le point de la CAI. Le point de Me Poitras c'était de dire : Il y a des règles de gouvernance qui doivent être mises de l'avant et je les révise avec mon équipe. On a un dialogue constructif. On est à la fin du processus. Je vois le ministre qui dit : Non, non, non, pas du tout, ce n'est pas ça la situation.

Alors, on va échanger parce que moi, je ne suis pas la logique puis je ne comprends pas l'objection du ministre par rapport à cette obligation-là de revoir les règles en amont, sachant que ces règles-là pourraient servir de précédent, de modèle pour d'autres sources officielles de données. Rappelons que le ministère de la Cybersécurité et du Numérique détient... est nommé source officielle de données en lien avec le SAG, le service d'authentification gouvernementale, par lequel il y a un registre qui est créé avec des informations extrêmement sensibles sur les Québécois, incluant le numéro d'assurance maladie, numéro d'assurance sociale, etc.

• (12 heures) •

Alors, il va falloir qu'on m'explique pourquoi on veut alléger le processus en amont pour s'assurer qu'on a des règles de gouvernance optimales, sachant que le SAG n'a pas été à la hauteur de la situation dans le cadre du déploiement de SAAQclic. Je vois encore une fois le ministre qui n'est pas d'accord avec mon énoncé, mais on a aussi l'auditeur externe, PricewaterhouseCoopers, qui a clairement énoncé qu'il y avait des lacunes au niveau du SAG, et qu'elles étaient connues. Ce n'est pas vrai que... Le ministère semble dire que ce n'est pas vrai que le rapport dit ça. Le rapport dit qu'il y avait des lacunes au niveau du SAG et qu'elles étaient connues plusieurs mois avant le déploiement de SAAQclic. On pourra y revenir.

Donc, voilà...


 
 

12 h (version non révisée)

Mme Setlakwe : ...donc, voilà, honnêtement, ça s'adresse à un portrait de situation. Je pense que ça met la table à nos discussions. Encore une fois, hier, dans mes remarques, j'ai hésité et je me disais : On vote pour, on vote contre? Si je regarde le projet de loi de façon isolée, là, en faisant abstraction du fiasco SAAQclic, en faisant abstraction de tous les défis, tous les enjeux, et aussi du fait qu'on n'a pas les ressources humaines et financières nécessaires pour mener à bien ce mandat colossal, je me dis : Est-ce qu'il est opportun de donner tous ces pouvoirs, de donner tous ces outils à un ministère tout jeune et à un ministre qui... dont les premières initiatives ont fait l'objet de grandes, grandes critiques.

Donc, voilà. Est-ce qu'on avait autre chose en préliminaire? Non, je ne pense pas, je pense que ça met la table. Je ne veux revenir sur tout le fiasco SAAQclic, je pense que ça a été dit et redit, mais c'était quand même le premier grand dossier de transformation numérique, un des très grands dossiers de transformation... Non! Le ministre n'est pas d'accord. C'était... les attentes étaient élevées. Les Québécois ont droit d'avoir des transactions, de faire des transactions avec l'État dans un contexte convivial, simple, dans les délais. Et, franchement, un gouvernement ne devrait pas surestimer la littératie numérique de sa population et penser naïvement que, parce qu'on déploie un système, là, SAAQclic en l'occurrence, que, je ne sais pas moi, 90 % de la population va instantanément adhérer, il va avoir les capacités, il va avoir le soutien informatique, il va être à l'aise avec le nouveau système. C'était surestimer l'adhésion de la population et sous-estimer du même coup le besoin de continuer d'aller en personne en succursale, parler à un être humain. Ce qui m'amène en fait à un dernier point que j'aimerais faire.

La Vérificatrice générale, ce matin, a aussi critiqué ou émis des constats relativement à Services Québec. On pourra discuter aussi de Services Québec puis où s'inscrit le ministre de la Cybersécurité et du Numérique dans ce dossier-là. On s'entend que Services Québec, bon, ce n'est pas juste le téléphone, c'est aussi.... Trois façons d'offrir les services : au téléphone, au comptoir ou en ligne, et que le recours à Services Québec n'est pas obligatoire. Il y a une entente qui doit être convenue avec chacun des ministères et organismes. Mais, honnêtement, à lire le rapport puis...

La Présidente (Mme D'Amours) : Merci, Mme la députée, c'est tout le temps que vous aviez pour vos remarques préliminaires. Est-ce que j'ai d'autres collègues qui ont des remarques préliminaires? Sinon, nous en sommes aux motions préliminaires. S'il n'y a pas de motion préliminaire, nous allons immédiatement commencer l'étude article par article. Je prends en considération l'article 1 du projet de loi. M. le ministre, la parole est à vous.

M. Caire : Oui. Merci, Mme la Présidente. Donc, beaucoup de belles discussions à venir, Mme la Présidente. Commençons donc par celle concernant l'article 1, qui se lit comme suit :

L'article 5 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) est modifié par l'ajout, à la fin de l'alinéa suivant :

Il peut également, sur recommandation conjointe du ministre de la Cybersécurité et du Numérique et du ministre chargé de l'application de la loi qui régit une entreprise du gouvernement visé à l'article 4, prévoir que les dispositions du chapitre 2.2, les dispositions de tout règlement pris en vertu de l'article 22.1.1 ou les orientations, les stratégies, les politiques, les standards, les directives, les règlements et les indications d'application relatives à la sécurité de l'information pris en vertu de la présente loi s'appliquent en tout ou en partie aux conditions qu'il détermine à une telle entreprise.

Donc, Mme la Présidente, c'est un petit peu l'échange que j'avais hier... bien, en fait, dans le débat qu'on a fait sur le principe, quand je disais que, dans un premier temps... Et, oui, je disais que le gouvernement, je pense aujourd'hui, est meilleur qu'il ne l'était, à cyberprotéger ses systèmes d'information, etc. J'ai aussi dit qu'il y avait encore du travail à faire avant d'en arriver au niveau où on devrait être. Parce que je considère que nous devons continuer d'évoluer pour aller plus loin encore dans notre capacité opérationnelle. Cette disposition-là vise à assujettir au réseau gouvernemental de cyberdéfense les entreprises du gouvernement. Donc, c'est l'idée, c'est d'étendre la portée du réseau gouvernemental...

M. Caire : ...de cyberdéfense.

La Présidente (Mme D'Amours) : Merci. Commentaire sur l'article 1? Mme la députée.

Mme Setlakwe : Merci, Mme la Présidente. Donc là, ce que vous souhaitez faire ici... J'aimerais ça que vous élaboriez un petit peu, là, parce qu'on avait déjà l'article 5 dans la loi actuelle, là, la LGGRI, telle qu'elle se lit aujourd'hui, là, que je vais sortir, mais en fait on là ici, là, dans le cahier. Le principe était que le gouvernement pouvait ou peut... bien, va toujours pouvoir, sur recommandation du ministre, soustraire un organisme public ou une catégorie d'organismes publics visés à l'article 2 ou une entreprise à l'application, en tout ou en partie, de la loi. Vous voulez ajouter que, sur recommandation conjointe de votre part et du ministre chargé de l'application de la loi qui régit une entreprise du gouvernement visé à l'article 4, prévoir que les dispositions du chapitre 2.2, les dispositions de tout règlement pris en vertu de l'article 22.1.1 ou les orientations stratégiques, politiques, standards, etc., etc., relatifs à la sécurité pris en vertu de la présente loi s'appliquent à une telle entreprise.

Bon. Pouvez-vous nous dire, là, dans les faits, qu'est-ce que vous avez en tête exactement, là? Ce serait quoi, là, avec cette nouvelle disposition-là, ce serait quoi le plan de match dans les prochains mois, dans les prochaines années, là, c'est... Puis donnez-nous des exemples précis, s'il vous plaît, là, de...

M. Caire : Je vais... En fait, Mme la Présidente, je vais répondre à la demande de ma collègue. Je vais commencer par un exemple. Actuellement, Hydro-Québec, notre société d'État, dont le gouvernement est l'actionnaire unique, qui est une entreprise de l'État, donc qui agit en toute indépendance, et c'est souhaitable que ça continue en plusieurs matières, on va être d'accord là-dessus, je pense, vous et moi, mais on pense... Puis dans un contexte où, de façon, je dirais, globale, les états sont à identifier quels sont leurs secteurs stratégiques, quels sont, en matière de cybersécurité, quels sont les secteurs les plus à risque en matière de cybersécurité, on pense immédiatement aux secteurs qui touchent l'énergie, le transport, les secteurs qui touchent à l'économie d'un État sont des secteurs névralgiques, les transports. Donc, il y a ce constat-là qui se fait et pour lequel les États ont le réflexe de dire : Bon, bien, on va prendre des dispositions particulières en matière de cybersécurité pour s'assurer de la protection de ces secteurs stratégiques et/ou entreprises stratégiques.

Évidemment, le gouvernement du Québec n'échappe pas à cette logique-là. On comprend qu'Hydro-Québec est un actif stratégique en matière de cybersécurité pour toutes sortes de raisons. Et donc, ce qu'on souhaite, c'est pouvoir intégrer une entreprise de l'État comme Hydro-Québec, là, je prends l'exemple d'Hydro-Québec, mais je pourrais en prendre d'autres, comme Hydro-Québec, les intégrer au réseau gouvernemental de cyberdéfense parce que c'est un actif stratégique, autant sur le plan économique, évidemment. Sur le plan de la sécurité publique, on comprend que notre sécurité à Hydro-Québec pourrait avoir des conséquences catastrophiques. Et donc on souhaite, par cette loi-là, on souhaite être capable d'intégrer les entreprises de l'État au périmètre du réseau gouvernemental de cyberdéfense. C'est une question de cohérence, c'est une question de procédure, c'est une question d'interopérabilité. C'est une question aussi de hiérarchie puis de rapidité d'intervention au niveau de cet actif-là.

La Présidente (Mme D'Amours) : Merci. Mme la députée.

Mme Setlakwe : Oui. Merci, M. le ministre. Est-ce que... Donc, actuellement, dans... avec... sans cet ajout-là, sans cette nouvelle disposition ou ce nouveau... nouvel alinéa, vous n'aviez pas d'échanges du tout avec Hydro-Québec? C'est ça, j'aimerais comprendre, parce qu'il y en a eu, des incidents à Hydro-Québec. D'ailleurs, dans les derniers mois, il est arrivé quelque chose d'assez sérieux, peut-être que vous pourriez nous en parler, puis à savoir qu'est-ce que... qu'est ce qui aurait été... bien, ça a fait l'objet des... non, non, mais c'est public puis, heureusement, ça n'a pas été trop grave, je pense que ce sont les sites ou le site qui étaient inopérants. Mais avec... dans le régime actuel, donc, ça vous empêchait de faire... de poser certains gestes?

• (12 h 10) •

M. Caire : En fait, ça fait en sorte qu'on n'a pas droit d'obtenir d'informations autres que celles qu'Hydro-Québec voudrait bien nous transmettre.

Au niveau des procédures d'intervention, les procédures d'intervention du ministère de la Cybersécurité et du Numérique ne s'appliquent pas à Hydro-Québec.

Au niveau de nos standards, de nos procédures standards, nos...

M. Caire : ...opération, ça ne s'applique pas à Hydro-Québec. Au niveau de la chaîne de commandement, si vous me permettez, je n'aime pas le mot, là, mais c'est la première image qui me vient en tête, elle est interne à Hydro-Québec et à Hydro-Québec seulement. Non, effectivement, Hydro-Québec, le ministère de Cybersécurité et du Numérique, législativement, n'a aucun pouvoir sur ce qui se passe en matière de cybersécurité à Hydro-Québec.

La Présidente (Mme D'Amours) : Mme la députée.

Mme Setlakwe : Oui. Est-ce qu'il y a des... est-ce que vous avez eu des échanges avec Hydro-Québec?

M. Caire : Oui, on a. On a de très bons échanges. C'est très cordial. C'est très, très amical. Mais là, on parle de cybersécurité. Là, on parle d'être opérationnel, on parle d'avoir des réactions en cyberdéfense, on parle de travailler selon des protocoles, selon des normes qui sont standardisés, qui doivent être édictés par une autorité centrale. On n'est pas dans la bonhomie et les discussions cordiales, là. En tout cas, moi, ce n'est pas ma vision d'un réseau gouvernemental de cyberdéfense. Je pense qu'il doit y avoir une autorité. Puis, Mme la députée, je pense que vous et moi avons eu suffisamment d'échanges pour que je puisse croire que vous n'êtes pas hostile à cette idée-là, il doit y avoir une autorité, une autorité assumée. Mais cette autorité-là, pour qu'elle soit une autorité, encore faut-il qu'elle ait le pouvoir et les outils pour assumer cette autorité-là, ce qui n'est pas mon cas présentement.

Et ça me rappelle un autre dossier pour lequel on me fait reproche, mais pour lequel je n'avais pas l'autorité d'agir. Donc moi, je veux bien, là... moi je veux bien assumer cette responsabilité-là, mais une responsabilité ne s'assume pas par un titre. Une responsabilité, ça s'assume par des pouvoirs que la loi nous donne. Et aujourd'hui, ce que je demande à l'Assemblée nationale, c'est de me donner le pouvoir d'agir sur l'ensemble des entités gouvernementales, incluant les entreprises de l'État.

Mme Setlakwe : Quand vous dites que vous faites des reproches dans certains dossiers, là vous faites référence à quel dossier, celui de la santé ou celui de la SAAQ?

M. Caire : La SAAQ. À la SAAQ. Ce qui permet d'intervenir, c'est ce que la loi nous permet de faire. Je veux dire, le fait de porter le titre de ministre de la Sécurité et du Numérique ne fait pas en sorte que j'ai autorité sur Hydro-Québec en matière de cybersécurité. Je n'ai pas autorité sur Hydro-Québec, nonobstant le titre. Alors, moi, je pense que, dans le réseau gouvernemental de cyberdéfense, je pense que c'est une lacune. Puis il ne s'agit pas de mettre à mal l'indépendance d'Hydro-Québec dans ses opérations. Pas du tout. On ne veut pas aller là, on veut... puis c'est ce que l'article prévoit. Puis là, je dis Hydro-Québec, mais je trouve qu'on surpersonnalise le débat parce que ce sont les entreprises de l'État. Il y en a d'autres qui, pour d'autres raisons, pourront être intégrées... qui pourront être intégrées au réseau gouvernemental de cyberdéfense parce que qui, dans un secteur qui touche notre économie, qui... bon, Hydro-Québec, c'est l'énergie, qui va dans le secteur des transports. Mais si on veut un réseau gouvernemental robuste, fiable, cohérent dans ses actions, bien, il faut... il faut qu'il y ait une entité qui ait une autorité à le faire, à coordonner tout ça, à orchestrer tout ça. Et moi, ce que je demande à l'Assemblée nationale, c'est de donner le pouvoir au ministère de faire ça.

Mme Setlakwe : Il n'y avait aucune façon pour vous, avec l'ancien régime, de coordonner des actions, d'avoir des redditions de comptes, de savoir ce qui se passait chez Hydro-Québec. Au niveau des transports, on pourrait en reparler. Est-ce qu'ils ont une bonne expertise à l'interne, chez Hydro-Québec?

M. Caire : Oui.

Mme Setlakwe : Oui?

M. Caire : Vraiment, oui.

Mme Setlakwe : Quand vous parlez...

M. Caire : Oui. Je veux rassurer la population, là, puis je vous dirais même que ce serait un avantage pour le gouvernement du Québec de pouvoir bénéficier des investissements qui sont faits chez Hydro-Québec en matière de sécurité, qui sont importants, de bénéficier du laboratoire de recherche en cybersécurité d'Hydro-Québec qui pourrait être une plus-value pour l'ensemble du réseau. Donc, cette interaction-là, elle est bénéfique pour l'ensemble des Québécois parce qu'elle bénéficie à l'ensemble du périmètre de l'État québécois.

Mme Setlakwe : O.K. Donc, c'est sûr que, là, ici, on parle des entreprises, mais est-ce que vous avez... Si on pense à SAAQ-CLIC, là, qui était sous la responsabilité du ministère des Transports ou si on pense...

M. Caire : C'est... Mme la Présidente, avec...

Mme Setlakwe : Non, ce n'était pas sous la responsabilité de...

M. Caire : ...avec respect, la Société d'assurance automobile du Québec est une société d'État. Le principe de la...

M. Caire : ...société d'État, c'est d'être indépendant des pouvoirs politiques. C'est pour ça qu'on crée des... bon, les agences du revenu, les sociétés d'État. Le pouvoir du gouvernement, c'est, sur recommandation, de nommer le P.D.G.. Mais, si on prend SAAQclic, c'est le conseil d'administration qui, en 2014, autorise le projet d'acquisition avec SAP. C'est le conseil d'administration qui, en 2017, autorise les budgets pour aller de l'avant avec SAP. C'est le conseil d'administration qui va autoriser le déploiement de la phase un, par exemple, en 2019. Parce qu'on parle de la phase deux, qui a été hautement problématique, là, j'en conviens, mais la phase un, ça a été autorisé. La phase deux, le plan de match, le déploiement de la phase deux, c'est le conseil d'administration qui l'autorise. Puis là où il faut faire attention...

Puis l'idée n'est pas de se dédouaner, là. Ce n'est pas que... pas que je veux me dédouaner de ma responsabilité ou pitcher le singe sur l'épaule, mais est-ce qu'on veut vraiment que le gouvernement brise ça? Est-ce qu'on veut que le gouvernement, par exemple, dans le cas de... bon, de la... oui, de la SAAQ, ou d'Hydro-Québec, ou de Loto-Québec, ou toutes ces sociétés-là qui sont gérées par un conseil d'administration... est-ce qu'on veut, par exemple, que le ministre ait le pouvoir d'annuler une décision d'un conseil d'administration d'une de nos sociétés d'État, d'imposer une décision? Je pense que non. Je pense qu'on ne veut pas aller là. Je pense qu'on ne veut pas aller là.

C'est pour ça... Puis, Mme la députée, en tout respect... parce qu'on a des bons échanges, vous et moi, puis je vous sais de bonne foi quand vous dites que vous voulez collaborer, mais, quand vous dites que l'audit dit : Le gouvernement a sous-estimé les ressources à mettre au comptoir ou le gouvernement a surestimé... Non, non. Ce qui est écrit dans l'audit, c'est que c'est la Société d'assurance automobile qui a sous-estimé les efforts à faire au comptoir. La Société d'assurance automobile du Québec a surestimé l'utilisation. La Société d'assurance automobile, dans le déploiement, a déployé des portions de l'application qui étaient peu ou pas testées, pas suffisamment testées ou pas testées du tout, ce qui a engendré un certain nombre de problèmes postdéploiement. Ce n'est pas le gouvernement, parce que le gouvernement ne se met pas les mains dans les opérations.

Maintenant, pour revenir, pour revenir à... aux entreprises de l'État, je pense qu'au nom de la cybersécurité... je pense qu'on peut aller là, je pense qu'on peut aller... ou on peut donner la capacité au ministère de la Cybersécurité et du Numérique de dire : Bon, bien, compte tenu de l'aspect névralgique de la société en question, compte tenu de la menace grandissante qu'on connaît tous, compte tenu des conséquences d'une attaque réussie et compte tenu des avantages de travailler à l'intérieur du réseau gouvernemental de cyberdéfense, je suis très à l'aise de dire à l'Assemblée nationale : Je vous demande de me donner l'autorité de faire ça.

La Présidente (Mme D'Amours) : Mme la députée.

Mme Setlakwe : Oui... Non... Mais merci. Puis je comprends, là, ce que vous dites au niveau des opérations internes d'une société d'État comme la SAAQ, là, je comprends, mais ce n'est pas vrai qu'il n'y avait aucune interaction avec le ministère des Transports. Tu sais, je veux dire, c'est... ça demeure quand même... À un moment donné, il y a quelqu'un qui est ultimement responsable puis il y a quelqu'un qui a donné le O.K. pour déployer le système, a dit : O.K., on donne le feu vert. Non? Le feu vert s'est donné...

M. Caire : Pas au ministère des Transports, le conseil d'administration. Ceci étant dit, là, Mme la députée, où je vous suis, c'est qu'effectivement mon ministère pourrait éventuellement avoir cette capacité... on en rediscutera dans les articles plus loin, là, puis je sais que vous avez des questions là-dessus... pourrait avoir la capacité de faire une certaine surveillance, mais il faut, je pense, en tout cas, il faut... Puis là c'est un peu en contradiction avec ce que je demande à l'Assemblée nationale, parce qu'il faut éviter l'ingérence.

• (12 h 20) •

Donc, c'est pour ça que, dans l'article 1, en modifiant l'article 5, je dis : Bon, bien, en collaboration avec le ministre responsable de la loi qui est lien avec l'entreprise de l'État, ce qui veut dire, dans les faits, qu'on va s'asseoir... par exemple, si on parle d'Hydro-Québec, puisque c'est... bien, on va s'asseoir avec le ministre responsable puis avec... on va se le dire, avec les autorités d'Hydro-Québec, on va dire : Bon, bien, voici pourquoi on veut le faire, voici comment on veut travailler ça, puis... et après ça, par décret, on pourra intégrer en tout ou en partie l'entreprise aux dispositions mentionnées dans l'article.

Mme Setlakwe : Avez-vous quelque chose à ajouter...

M. Caire : ...Non, c'est de ne pas oublier de ramener du lait.

La Présidente (Mme D'Amours) : Mme la députée.

Mme Setlakwe : Oui. Donc, quel sera votre votre lien avec la nouvelle société d'État qui sera créée, fort probablement, là, en 2024, Santé Québec?

M. Caire : Bien, on va avoir les discussions avec le ministre, mais, personnellement, je pense qu'elle doit être assujettie à la LGGRI au niveau de la cybersécurité, minimalement. Au niveau des opérations, bien, moi, là-dessus, je dirais que le statut sera à discuter, là, il faut regarder ce que ça implique au niveau du ministère, au niveau de cette agence-là, de sa capacité d'agir, parce que l'objectif, c'est toujours de s'assurer que le pouvoir est exercé au bon endroit, et donc de... Mais au niveau de la cybersécurité, pour moi, effectivement, là, qu'il faut que ce soit intégré au réseau puis à la philosophie du ministère de la Cybersécurité. Au niveau des autres fonctionnalités, là, ça fera certainement l'objet de discussions avec mon collègue de la Santé et des Services sociaux.

Mme Setlakwe : Je veux juste revenir aussi... merci... au premier énoncé que vous avez fait. Donc, vous avez identifié des zones névralgiques, puis je comprends, vous dites : On ne doit pas trop personnaliser ou spécifier...

M. Caire : ...je ne voudrais pas qu'ils se sentent à l'abri.

Mme Setlakwe : Il y en a d'autres, là, oui, mais vous avez quand même mentionné l'énergie, les transports, l'économie. Donc, outre Hydro-Québec, qu'est-ce que vous avez en tête, comme priorités, ou... Tu sais, vous avez quand même des exemples en tête qui vous ont poussés à mettre en oeuvre ce nouvel article là.

M. Caire : Oui, bien, je pense, peut-être, mettons, à Investissement Québec, qui, au niveau de l'économie, est un acteur névralgique, très, très certainement. Bon, la société des parcs de Bécancour, là, compte tenu du déploiement de la filière batterie et du volet économique névralgique. Bon, puis, pour les autres, là, Loto-Québec et la SAQ. On aura des discussions, mais peut-être pas les premières entreprises de l'État auxquelles je pense, évidemment, là.

Mais, très certainement, là, si on est capables, par une cyberattaque, d'avoir un impact négatif soit sur l'économie, nos institutions démocratiques... Bon, évidemment, là on pense plus à l'Assemblée nationale et son indépendance, donc là, ça pourrait... Puis ça, ce n'est pas l'objet de la loi, mais on discute, là. On a déjà, d'ailleurs, une très bonne collaboration avec l'Assemblée nationale, qui s'est intégrée d'elle-même. C'est la décision de l'Assemblée de s'intégrer au réseau gouvernemental de cyberdéfense, là. Mais, tu sais, il faut protéger nos institutions démocratiques. Mme la députée, vous avez probablement autant d'exemples que moi en tête, là où, par différents moyens numériques, on essaie d'interférer, qui dans les élections, qui dans les décisions qui peuvent être prises par un gouvernement. Donc, c'est un... La cybermenace est une menace qui touche plusieurs sphères de la société.

Mme Setlakwe : Exactement. Donc, si on revient au libellé, c'est le gouvernement qui peut, sur recommandation conjointe du ministre de la Cybersécurité et du Numérique et du ministre chargé de l'application de la loi qui régit l'entreprise en question... Donc, vous allez identifier des entreprises, puis là vous allez suivre le processus, mais ça va émaner de... Comment ça va se faire, dans les faits, là?

M. Caire : Bien, dans les faits, je vais m'asseoir avec le ministre responsable de l'entreprise, dans un premier temps, énoncer l'intention. Après ça, je pense qu'il serait nécessaire de s'asseoir avec l'entreprise visée aussi, d'expliquer l'intention, puis, une fois que l'intention est claire, et que tout le monde se rallie à l'intention, bien, c'est un décret du gouvernement, et donc le décret est adopté par le gouvernement, et, après ça, l'entreprise... la ou les entreprises visées par le décret seront assujetties à la loi, selon ce qui est édicté dans l'article.

Mme Setlakwe : Donc, vous allez, si je vous entends bien, commencer par Hydro-Québec.

M. Caire : Oui. Oui, oui, je n'en ai pas fait de cachette, ni auprès de mon collègue, qu'Hydro-Québec était très certainement, la première entreprise à laquelle je...

M. Caire : ...compte tenu de son caractère hautement névralgique. Ce n'est pas la seule, mais c'est certainement celle qui m'apparait le plus prioritaire.

Mme Setlakwe : Puis là si on en nomme deux, trois autres, ce serait?

M. Caire : Bien, comme j'ai dit, là, je pense à Investissement Québec, mais c'est sûr que, tu sais, en termes de cybermenaces, c'est moins urgent. Puis je pense que, là... puis il faut faire aussi de la pédagogie. On peut peut-être penser à la Caisse de dépôt et de placement, donc. Mais, encore là, tu sais, c'est sûr que le caractère... la menace est peut-être moins imminente, moins... a moins d'impact, mais ça reste quand même des entreprises de l'État qui sont ciblées dans les cybermenaces actuelles. Les organisations qui ont un impact économique sont aussi la cible de cybermenaces. Quand on regarde le tableau à l'international, là, de qu'est-ce qui est ciblé, soit par les cybercriminels, mais aussi, j'oserais peut-être même dire « surtout », par les États délinquants qui utilisent de plus en plus les cybermenaces pour arriver à leurs fins.

Mme Setlakwe : O.K., quand vous dites : Ce sont les dispositions... là, on... je suis plus dans le détail, les dispositions du chapitre 2.2, les dispositions de tout règlement pris en vertu de... bon là, il y a un article spécifique, là, on est dans la LGGRI, évidemment, le chapitre 2.2, c'est... je ne suis pas sûre de...

M. Caire : Oui, si on va dans le... Bon, bon, vous avez section deux, on est dans le dirigeant de l'information... non.

Mme Setlakwe : Oui, cest ça, hier, j'essayais de faire l'exercice de me référer le chapitre...

M. Caire : 12 ici, le chapitre 2.2, Sécurité de l'information, c'est 12.2. « Tout organisme public doit s'assurer de la sécurité des ressources informationnelles », ta-ta-ta, là, c'est donc, ça, ces dispositions-là vont... s'appliqueraient. 12.3, aussi, 12.4, 12.5, 12.6, 12.7. On va jusqu'à 12.7, Mme la députée.

Mme Setlakwe : O.K., donc c'est vraiment le chapitre qui concerne la sécurité de l'information.

M. Caire : C'est ça, c'est ça.

Mme Setlakwe : Puis fort probablement que vous allez avoir des discussions avec Santé Québec ou le ministre qui est responsable... qui sera responsable de Santé Québec.

M. Caire : Oui.

Mme Setlakwe : Le cas échéant, mais je pense qu'on... Vous vous en alliez vers ça, je pense, là. O.K.

M. Caire : Oui, parce que, comme vous l'avez mentionné, le secteur de la santé est aussi un secteur qui est visé, je dirais, plus par les cybercriminels cette fois, que par les États délinquants. Quand on parle de l'Énergie, Transports, Économie, là on constate que c'est plus des menaces étatiques, si vous me permettez l'expression, mais, quand on parle de la santé, la menace, elle est présente, mais c'est plus au niveau de la cybercriminalité.

Mme Setlakwe : Vous réagissez comment quand vous entendez les constats de la Vérificatrice générale, au niveau de la protection de nos renseignements de santé?

• (12 h 30) •

M. Caire : Bien, je... Hé! mon Dieu! c'est des choses que je dis depuis longtemps, Mme la députée, quand, hier, je parlais des sources de données, pourquoi les sources de données, pourquoi il faut arrêter de surmultiplier les banques de données. Pourquoi cette pratique-là, elle est nuisible? Parce qu'administrer autant de bases de données, trouver l'expertise pour être capable d'administrer ces bases de données, protéger ces bases de données, entretenir les technologies qui soutiennent ça et logiciels, matériels pour autant de bases de données, c'est titanesque. Alors, quand on a mis en place... Puis, oui, je soulignais la collaboration de l'ancien député de Le Pinière, puis les discussions qu'on avait. Puis je veux aussi parler du député de Rosemont, parce que ça a été un travail de comprendre l'importance de faire ça, d'aller vers les sources de données. La source de données, elle n'a pas un mandat spécifique. Puis là dessus, je suis en désaccord avec la CAI. Son mandat, c'est de fournir de l'information, puis c'est le mandat de n'importe quelle base de données que de fournir de l'information. Son mandat, c'est de faire en sorte qu'il y ait...


 
 

12 h 30 (version non révisée)

M. Caire : ...moins besoin d'avoir accès à moins de bases de données pour avoir la même information. Donc, c'est d'empêcher la surmultiplication d'une même information, c'est d'empêcher la surmultiplication de la nécessité d'expertise. C'est... C'est de permettre de mieux gérer ça. Puis quand on parle de gérer, dans le fond, ce que la Vérificatrice générale nous dit, c'est quoi? C'est tous les accès. Ce n'est pas la première fois que la VG parle de ça, la gestion des accès. Elle a raison. Elle a raison. Et il y en a trop partout. Il y a trop de monde partout qui font ça. Donc, quand on a adopté la loi no 95, c'était un constat de ça.

Et je vous ramène à l'audit de PricewaterhouseCoopers. Quand PricewaterhouseCoopers dit : Vous le saviez. Comme je le disais hier, bien oui, on le savait que nos bases de données étaient désynchronisées. Bien oui, on le savait que le citoyen X avait une identité dans tellement trop de bases de données partout que d'en assurer l'intégrité et puis la cohérence, c'était impossible. Et donc, quand on en arrive à mettre en place les sources officielles de données, ce qu'on a fait avec l'identité numérique, bien, c'est sûr qu'il y a des clashs, c'est sûr qu'il y a des... Il y a des bases de données qui nous disent : Tel citoyen, son nom, on l'écrit comme ça. Puis là on a un citoyen que le nom, c'est pas mal le même, mais il n'est pas écrit de la même façon.

Une voix : ...

M. Caire : Vous avez vécu ça, Mme la députée? Bon. Bien, c'est ça.

Mme Setlakwe : ...plein de monde qui m'a téléphoné ou qui m'ont écrit pour dire...

M. Caire : Bien oui, mais moi aussi. Moi aussi. Mais c'est sûr, parce qu'à la RAMQ le nom est écrit d'une façon, puis à l'agence du revenu, le nom est écrit de l'autre façon. Ça fait que tant que ces bases-là ne se parlent pas, ce dont on était des experts, hein, on était des experts à ne pas se parler entre organismes du gouvernement... Ça va bien parce que le citoyen dit : Bien, mon nom est mal orthographié, mais ce n'est pas grave, tu sais, j'ai reçu mon chèque, puis ma déclaration d'impôt est rentrée, puis tout est beau. Puis quand je vais me faire soigner à l'hôpital, bien, mon nom n'est pas écrit comme il faut, mais ce n'est pas grave, tu sais, ma carte d'assurance maladie, elle passe et je reçois mes soins.

Ça fait qu'il n'y a pas de corrections qui sont faites, mais quand est venu le temps de dire : O.K. Ce citoyen-là, je dois lui donner une identité unique, hors de tout doute raisonnable, parce qu'après ça, avec cette identité numérique là, c'est tous les services gouvernementaux qui vont être accédés. C'est l'ensemble de ces informations que je vais avoir accès. Je peux-tu vous dire que le niveau d'authentification doit être élevé? Puis c'est là-dessus, Mme la députée, où je vous dis : Le service d'authentification gouvernamentale, il fonctionne bien. Puis là je touche du bois parce que rien n'est parfait, mais des incidents de confidentialité, il n'y en a pas. Des vols d'identité, il n'y en a pas. Et des bris de confidentialité, il n'y en a pas. Puis des accès non autorisés, à date, il n'y en a pas.

Est-ce que ça... Est-ce qu'on est à l'abri de ça? Non. Vous le savez. Vous l'avez dit, le risque zéro n'existe pas. Mais pour l'instant, le système, il est robuste, il fonctionne bien. Pourquoi? Parce que quand on fait la vérification d'identité puis qu'on se rend compte que, woups, c'est pas mal le même nom, mais il n'est pas écrit pareil. Alors, qu'est-ce qui se passe? Est-ce que c'est une erreur de saisie? Est-ce que ce sont deux citoyens différents, auquel cas, je ne peux pas en effacer un des deux en disant je vais choisir celui-là, puis l'autre, bien, il se débrouillera? Bien non, je ne peux pas faire ça. Est-ce que c'est une... est-ce que c'est un fraudeur qui s'est créé des identités? Et ça, ça touche 7 % de la population. Ça, c'est le...

Et d'ailleurs, vous regardez dans le rapport d'audit ces commentaires-là qui sont faits. C'est vrai qu'ils sont faits, mais ils sont faits dans la section des problèmes inévitables. Parce qu'on savait qu'il y avait de la désynchronisation. Mais qui? Quel citoyen est victime de ça? Pour quel citoyen l'identité n'est pas correcte sur une base de... on ne pouvait pas le savoir avant que les gens créent leur compte d'identité numérique.

Mme Setlakwe : Bien, je vous suis. Je comprends très bien, mais il demeure que...

M. Caire : Mais c'est pour ça que...

Mme Setlakwe : Oui, allez-y.

M. Caire : Non, mais c'est pour ça quand on dit : Le SAG ne fonctionne pas bien, je veux qu'on fasse attention parce qu'il y a quand même des femmes et puis des hommes qui ont travaillé là-dessus, qui à partir d'un système qui, lui, s'en allait dans le mur, Accès UniQc, là, ça s'en allait dans le mur, ce projet-là, pas à peu près.

Mme Setlakwe : ...

M. Caire : Accès UniQc. Ça, c'était le projet qui était là avant que, nous, on arrive pour remplacer clicSEQUR. Puis je ne veux pas faire de politique avec ça, là. Je vous énonce un fait, là, c'était... Ça, ça n'allait pas dans la bonne direction. On l'a arrêté, puis on a fait l'analyse, puis on a rapatrié ça chez nous, chez nous étant à ce moment-là au Conseil du trésor, au sous-secrétariat, celui du dirigeant principal de l'information, on a reparti ce projet-là avec le Service québécois d'identité numérique. Et là on vient de faire la première livraison de ce grand ensemble, parce qu'on y va par étape, qui est le Service d'authentification gouvernementale, qui est la première pierre, la pierre d'assise sur laquelle on va mettre tout le Service québécois d'identité numérique, là, à terme. Et ça fonctionne bien. Ça fait que, oui, on a eu des enjeux de communication, puis je ne m'en cache pas. On n'a pas... On n'a pas de félicitations...

M. Caire : ...à recevoir là-dessus, là, tout à fait d'accord. Mais sur le fonctionnement, les Québécois peuvent avoir confiance au SAG parce qu'il fonctionne bien. Mais ça, c'est ça. C'est quand on fait ce ménage-là dans nos banques de données puis qu'on s'en va vers une source officielle, bien oui, il va y avoir nécessairement des accrocs comme ça, de la désynchronisation, des données qui ne concordent pas pour une même personne, ça... et là,  bien, ça veut dire qu'il faut faire des vérifications, il faut faire des enquêtes, il faut s'assurer avant d'intégrer ça à la source officielle de données, il faut s'assurer qu'on intègre la bonne information, et c'est ce qu'on fait.

Mme Setlakwe : Je vous suis. C'est superintéressant. Puis vous dites que ces accrocs-là ou ces situations problématiques causées par une multiplicité de notre identité dans différentes bases, ça touche 7 % de la population.

M. Caire : Exact.

Mme Setlakwe : Donc, vous, ce que vous dites, M. le ministre, c'est que vous saviez qu'en lançant SAG, qui était la première étape, la porte d'entrée pour arriver à SAAQ-CLIC, vous saviez que SAG dès qu'il devient opérationnel et qu'une personne entre ses informations, il allait y avoir 7 % qui n'allait pas réussir pour différentes raisons.

M. Caire : Non.

Mme Setlakwe : Non.

M. Caire : On ne savait pas. On ne savait pas qu'il y avait 7 %.

Mme Setlakwe : 7 % de la population, des disparités aussi dans l'identification, dans les noms.

M. Caire : Dans ceux qui ont créé un compte de niveau 2, parce que là, pour expliquer le compte de niveau, c'est une authentification très simple pour lesquels il y a peu de vérifications qui se font, donc, mais ça ne donne pas accès à des prestations électroniques de services où il y a de la donnée sensible. C'est vraiment une petite navigation confortable, si je peux me permettre l'expression.

Le compte de niveau 2, lui, son niveau de vérification, là, on a une authentification à multifacteurs pour s'assurer vraiment de l'identité de la personne, parce que là on va donner accès à des informations plus sensibles, puis éventuellement on va pousser pour aller vers des niveaux de sécurité plus élevés, dépendamment de quelle sorte de prestation électronique on aura traité. Mais pour l'instant, le niveau 2, c'est le niveau qui est tout à fait correct pour ce qu'on a à faire, et c'est là où la vérification est plus importante. On a l'avis de cotisation, le... bon, vous les savez.

Et c'est au moment de cet enregistrement-là que nous, avec les différents partenaires, l'Agence du revenu, la Régie de l'assurance maladie, même au niveau du gouvernement fédéral, avec le numéro d'assurance sociale. Ça fait que, là, on va faire des vérifications d'identité, puis on va s'assurer de la concordance de tout ça. Puis une fois qu'on est convaincu de l'authenticité de la personne, on crée son compte dans le registre d'identité, puis c'est sur ce registre d'identité là que le SAG s'appuie pour être capable.

Mais avant de vous faire entrer dans le registre d'identité, il faut s'assurer hors de tout doute, donc... Et c'est là où, à un moment donné, si on a une information pour laquelle un partenaire nous dit : Non, moi je ne peux pas corroborer cette information-là, woup! puis on arrête, puis on rentre dans un processus d'enquête. On dit : O.K. Mais qu'est-ce qui ne va pas? Qu'est-ce qui ne marche pas? Puis c'est là où on va accompagner le citoyen.

Donc, non, on ne savait pas qu'il y aurait 7 %. On savait que c'était une possibilité, là, sur l'ensemble, puis ce n'était pas surprenant qu'il y ait cette possibilité-là.

Mme Setlakwe : Ça allait tourner autour de 7 %.

M. Caire : Oui, ce n'était pas... ça aurait été assez difficile de prévoir ça, là.

Mme Setlakwe : Mais tu sais, donc, là, le SAGdevient la porte d'entrée. On commence avec ça, on rentre nos pièces d'identité, on remplit ce que le système nous demande. Je pense qu'il y avait quatre...

M. Caire : Oui.

Mme Setlakwe : ...qui est devenu peut-être trois.

M. Caire : Pour le compte que niveau 2 c'est quatre.

Mme Setlakwe : Le niveau 2, dont on avait besoin pour accéder à SAAQ-CLIC.

M. Caire : Oui, c'est ça.

Mme Setlakwe : Donc, on fait ça et on sait qu'il va y avoir des gens qui ne vont pas pouvoir passer cette étape-là, qui vont aller en succursale, puis d'autres vont pouvoir aller sur SAAC-CLIC et compléter, leur quoi...

• (12 h 40) •

M. Caire : Oui. Si je peux me permettre?

Mme Setlakwe : Oui.

M. Caire : Mais le processus d'accompagnement ne nécessitait pas d'aller...

Mme Setlakwe : Non, mais pour le SAAQ-CLIC...

M. Caire : Ça aurait pu. Il y avait des services en ligne qui permettaient, par des agents, par exemple de l'Agence du revenu ou par des agents de Services Québec, d'accompagner le citoyen, puis de permettre de faire les vérifications d'usage.

Mme Setlakwe : ...d'histoires où les gens avaient été envoyés d'une place à l'autre pour essayer de solutionner.

M. Caire : Oui.

Mme Setlakwe : Puis c'était bon que les gens se ramassent en.. Là, là où je veux en venir,  ça va se rattacher à notre projet de loi. C'est donc SAG, on savait que ça n'allait pas fonctionner pour 100 % de la population, puis c'est normal, là, de...

M. Caire : Est-ce que je peux? Est ce que je peux me permettre?

Mme Setlakwe : Oui.

M. Caire : Le registre d'identité, parce que le SAG, c'est l'application. Le registre...

M. Caire : ...d'identité, c'est la source d'information qui nourrit le SAG.

Mme Setlakwe : ...on en parlait dans le mémoire de la CAI...

M. Caire : C'est ça.

Mme Setlakwe : ...de ce registre.

M. Caire : C'est ça.

Mme Setlakwe : O.K., le registre.

M. Caire : Alors, c'est le... Oui, on savait qu'au moment de constituer le registre d'identité, c'est des cas comme ceux-là... pouvaient potentiellement se produire.

Mme Setlakwe : Survenir.

M. Caire : Absolument.

Mme Setlakwe : Donc, on sait ça, puis là, on sait qu'on déploie une plateforme SAAQclic, qui... on espère qu'il y a le plus haut pourcentage possible de la population qui va y adhérer. On a fermé les succursales pendant trois semaines avant, ce que le premier ministre a admis, qui était une erreur d'avoir fait ça, bon.

M. Caire : ...absolument.

Mme Setlakwe : Mais tout ça mis ensemble, tu sais... Puis je comprends, vous parlez de l'indépendance de la SAAQ dans tout ça, tu sais, c'est leur bébé, là, c'était leur... bon. Mais il faut bien qu'il y ait quelqu'un qui prenne la décision, puis qui prenne la responsabilité, et qui dise : Je regarde tout ça, là, le plan de match, le plan de déploiement et je lève un drapeau, puis il me semble que le drapeau a été levé. Donc, j'essaie de voir qui était responsable, qui était la personne qui avait cette vue d'ensemble, ou aurait dû avoir cette vue d'ensemble. Alerte, là, on ferme les succursales. Alerte, on a un SAG qui va être la première étape ou le registre, puis on sait que ça ne fonctionnera pas à 100 %. Après avoir fermé pendant trois semaines, on lance la plateforme, mais personne n'a dit : C'est une recette pour un échec. Et c'est sûr que la population se dit : Bien, il y a un ministère de la Cybersécurité et du Numérique. C'est un volet de la transformation numérique.

M. Caire : Absolument. Bien, Mme la députée...

Mme Setlakwe : Donc, qu'est-ce que le projet de loi va changer? Êtes-vous encore aujourd'hui à dire : Ce n'était pas à vous à faire cet exercice-là de vous prononcer...

M. Caire : Bien là, on devance les articles.

Mme Setlakwe : Oui, on devance probablement.

M. Caire : Non, non mais... Non, mais je veux quand même répondre à votre question parce que c'est une bonne question puis je pense que c'est important d'avoir cette discussion-là maintenant, puis après on ira plus rondement dans les articles. Mais je vous connais, Mme la députée, je sais qu'éventuellement...

Mme Setlakwe : ...le projet de loi n° 3...

M. Caire : Tout à fait. Non, non, mais tout à fait. Puis la question que vous vous posez, là, il y a plein de monde qui se la pose, puis vous me donnez l'opportunité d'y répondre. Je vais y répondre. Alors, qui? C'est les dirigeants de la SAAQ, donc le P.D.G. et le conseil d'administration. C'est eux qui prennent les décisions.

Mme Setlakwe : ...qui touchent au SAG/registre.

M. Caire : Ah... O.K., mais le SAG... Non, non, le SAG, c'est ma responsabilité, c'est ma responsabilité. Le service d'authentification gouvernementale, c'est ma responsabilité. J'ai cru comprendre que votre question portait sur SAAQclic.

Mme Setlakwe : Bien... ça va ensemble. C'est dans ce sens-là.

M. Caire : Non. Non. Non, Mme la députée. C'est ça... Puis l'erreur que j'ai commise puis qui est soulignée dans l'audit de PricewaterhouseCoopers, c'est d'avoir laissé les communications entourant le déploiement de ces deux services-là se faire par une seule et même entité en même temps, ce qui a créé la confusion que vous évoquez. Et ça, c'est dans l'audit. Et ça, c'est un blâme que je prends sans problème, parce qu'effectivement, effectivement, ce sont deux systèmes complètement différents. SAAQclic, c'est le système de la SAAQ, c'est la transformation numérique de la SAAQ. C'est la SAAQ qui est responsable de son projet. Le service d'authentification gouvernementale se veut l'interface qui va permettre aux Québécois d'accéder aux prestations électroniques du gouvernement et de ses sociétés d'État.

Mme Setlakwe : ...dans le fond, dans l'avenir, vous dites : Là, on a fait l'erreur une première fois, ça n'arrivera pas, là.

M. Caire : Non seulement ça n'arrivera pas, mais c'est corrigé, parce que maintenant... Autre erreur, pour créer un compte SAG, on accédait à SAAQclic. Alors, un Québécois qui voulait se créer un compte du service d'authentification gouvernementale devait passer par SAAQclic. Aujourd'hui, il y a une plateforme autoportante. Donc, tous les Québécois qui, en prévision de se connecter sur des prestations électroniques du gouvernement, auxquelles on pourra ajouter des services au fur et à mesure... Puis on aura cette discussion-là plus tard, parce qu'il y a des dispositions de la loi qui visent à nous permettre de faire ça, ce qu'on ne peut pas faire présentement. Puis ça, je veux en discuter avec vous. Bien, les Québécois maintenant peuvent aller se créer leur compte en se disant : Bien, à un moment donné, c'est le carnet santé. À un moment donné, ça va être l'agence du revenu. À un moment donné, ça va être les autres ministères et organismes, parce que ce service là, à terme, va devenir l'interface unique. Donc, au lieu d'avoir un clicSÉQUR quelque part, puis un autre système ailleurs, puis un mot de passe ici, puis un autre mot de passe là, puis un mot de passe qu'on ne se souvient plus, parce que je me connecte une fois...

M. Caire : ...par année à l'Agence du revenu, ça fait que je n'ai pas retenu mon mot de passe, l'année passée, puis l'autre affaire non plus, puis... On va avoir un service d'identification gouvernementale.

Et je suis très fier de dire aux Québécois que nous sommes en discussion pour que d'autres gouvernements utilisent ce service-là pour les prestations électroniques de service, est-ce que ça va se faire, je ne le sais pas, je l'espère, de façon à ce qu'au Québec, de la même façon qu'on s'identifie avec des pièces d'identité fournies par le gouvernement, on puisse le faire dans un univers numérique, ce qui va grandement simplifier l'utilisation des Québécois.

Donc, ce sont deux systèmes complètement différents, qui n'ont pas le même objet du tout. Parce que le SAG, son objet, c'est de vérifier l'identité de quelqu'un avant de lui permettre d'utiliser des services... des prestations électroniques de service, puis SAAQclic, bien, ça fait les services de la SAAQ, mais ça va être le même service d'authentification gouvernementale. Quand vous allez vouloir interagir avec l'Agence du revenu pour vos impôts, ça va être le même service d'authentification. Quand vous allez vouloir interagir avec le système de santé pour des services numériques en santé, ou en éducation, ou avec la famille, ou avec... Alors, ce sont deux systèmes complètement différents.

La Présidente (Mme D'Amours) : Ceci étant dit, vous avez une très belle discussion, tous les deux, mais je vous ramène à l'article un. Je sais que votre discussion est en rapport avec le projet de loi, mais je vous ramène mon... à l'article un, s'il vous plaît.

Mme Setlakwe : Oui, Mme la Présidente.

La Présidente (Mme D'Amours) : Merci. Merci Beaucoup.

Mme Setlakwe : On parle des entreprises, donc la SAAQ est une entreprise. Là, j'ai entendu que... Mais, de toute façon, le libellé, on l'a regardé, je comprends, là. Donc... Mais le SAAQ est une entreprise. Et vous avez dit que c'était dans votre intention d'assujettir éventuellement la SAAQ aux règles de sécurité.

M. Caire : Mais la SAAQ n'est pas une entreprise du gouvernement.

Mme Setlakwe : Non. O.K. C'est une entité, c'est une...

M. Caire : C'est une société d'État.

Mme Setlakwe : C'est une société d'État. Ce n'est pas une entreprise au... C'est bien ça?

M. Caire : Un organisme autre que budgétaire...

Mme Setlakwe : Oui, O.K., mais un organisme autre que budgétaire, mais il est déjà assujetti à la LGGRI?

M. Caire : Oui.

Mme Setlakwe : O.K.

Des voix : ...

Mme Setlakwe : C'est ça. La LGGRI, elle vise... il y a une définition, là. Ah, je comprends. Donc, elles ne rentrent pas, les entreprises ne sont pas visées, là, à l'article, à la définition d'organismes publics, donc il fallait prévoir cet amendement pour pouvoir les assujettir. O.K. Donc, en tout cas, je comprends l'explication.

Puis vous dites : ultimement, votre plus grand regret, c'est que les communications autour du déploiement de SAAQclic aient aussi visé SAG, mais vous maintenez ces deux applications, deux sujets, deux plateformes complètement distinctes. O.K.

Moi, je n'ai pas vraiment autre chose sur le 5, là. Je pense que c'est... le libellé est correct. On a clarifié quel chapitre s'appliquait. Donc, vous allez pouvoir, sur recommandation conjointe. Puis ça, c'est un libellé qu'on retrouve, une recommandation conjointe de deux ministres, ça se retrouve dans le corpus législatif. Ça, c'est assez clair, la façon de fonctionner. Moi, je n'ai pas d'autre chose sur cet amendement-là.

• (12 h 50) •

La Présidente (Mme D'Amours) : Merci, Mme la députée. D'autres commentaires sur l'article un? Est-ce que l'article un est adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : Adopté. L'article deux. M. le ministre, s'il vous plaît.

M. Caire : Alors, Mme la Présidente, l'article deux. Cette loi est modifiée par l'insertion, après l'article cinq, du suivant :

«Un organisme public doit appliquer les orientations, les stratégies, les politiques, les standards, les directives, les règles ou les indications d'application prises en vertu de la présente loi. Le... la responsabilité du respect de cette obligation incombe aux dirigeants de l'organisme public qui doit prendre les moyens pour faire connaître et respecter par les membres du personnel de celui-ci. Pour l'application de la présente loi, le dirigeant de l'organisme public correspond à la personne ayant la plus haute autorité administrative, tel le sous-ministre, le président-directeur général ou toute autre personne responsable de gestion courante de l'organisme. Toutefois, lorsqu'il s'agit d'un organisme public visé au paragraphe quatre...

M. Caire : ...4.1° du premier alinéa de l'article 2, le conseil d'administration ou, dans le cas d'une commission scolaire visée par la Loi sur l'instruction publique pour les autochtones cris, inuit et naskapis (Chapitre I-154), le conseil des commissaires et le dirigeant de l'organisme.»

Donc, ça vient... En fait, on fait deux choses, d'une part, réaffirmer le caractère obligatoire dans le fait d'appliquer les orientations et les stratégies des politiques qui sont prises par le ministère et, en lien avec la discussion que nous venons d'avoir, indiquer clairement qui a la responsabilité d'en assurer l'application. Donc, je ne veux pas qu'on refasse... bien, je ne veux pas, je ne souhaite pas refaire toute la discussion qu'on vient d'avoir, mais elle a fait œuvre utile en ce que ça répond, je pense, à une question que vous m'avez posée précédemment. On vient affirmer qui est responsable d'appliquer les directives, les stratégies, les orientations qui seront prises par le ministère de la Sécurité du numérique.

La Présidente (Mme D'Amours) : Merci. Commentaires sur l'article 2?

Mme Setlakwe : Oui, Mme la Présidente. Donc, est-ce que vous êtes étonné qu'il n'y ait pas eu plus de... c'est général, ma question, là, qu'il n'y ait pas eu plus d'intervenants lors des consultations? Comment vous interprétez ça?

M. Caire : Je ne sais pas, honnêtement. Bien, mon hypothèse, c'est que c'est beaucoup de la régie interne. Donc, le processus législatif fait qu'à l'interne les gens ont eu l'occasion de se prononcer sur le projet de loi. Puis l'externe, bien, c'est beaucoup de la régie interne. C'est ce que je pense. Mais je ne pourrai jamais répondre au nom de ceux qui ne se sont pas présentés.

Mme Setlakwe : Non, effectivement. Mais on a eu un... Je ne sais pas si eux, ils avaient un enjeu ici, là... Bien, j'ai deux questions. Premièrement, ici, là, on répond à une problématique comme quel problème exactement est-ce que vous avez pu constater depuis que votre ministère existe, depuis que vous êtes ministre de Cybersécurité et du Numérique, qui vient vous inciter à adopter cette nouvelle clause de 5.1.

M. Caire : Bien, le ministère...

Mme Setlakwe : ...finalement, ou il ne le savait pas, ou il y avait... c'était quoi, la raison?

M. Caire : Bien, le ministère, c'est le résultat essentiellement de la fusion de deux organisations, donc le sous-secrétariat du dirigeant principal de l'information et de la transformation numérique, qui était au Conseil du trésor, donc qui bénéficiait de l'autorité du Conseil du trésor, et une certaine partie du CSPQ qui est devenu l'ITQ, qui a été intégré au ministère.

Mme Setlakwe : Ça fait partie du...

M. Caire : Le CSPQ, qu'on a aboli, donc ça a donné le centre d'acquisitions gouvernemental et Infrastructures technologiques Québec, et Infrastructures technologiques Québec a été intégré au ministère de la Cybersécurité et du Numérique. Donc, je dirais qu'au niveau de l'autorité, les gens étaient habitués de se rapporter au Conseil du trésor. Puis, bon, bien, changer une culture, bien, ce n'est n'est pas toujours simple. Donc, on a voulu réaffirmer le caractère obligatoire dans la mise en place des orientations stratégies et politiques, et là on vient dire qui est responsable de ça, nommément, quelque chose qu'on a fait, soit dit en passant, dans le p.l. no 64 qu'est devenu la loi 25, là, où on a dit : Bien là, c'est bien beau de faire une loi, mais qui est responsable de la faire appliquer? Vers qui on se retourne si ça ne fonctionne pas?

Mme Setlakwe : Donc, dans le régime actuel, il n'y avait pas une obligation d'appliquer les orientations.

M. Caire : Bien, c'est une obligation implicite. Donc, par interprétation de la loi, quand on prend ces politiques-là, oui, on part du principe que les ministères et organismes vont l'appliquer. Maintenant, ce qu'on fait, c'est une affirmation claire de dire : Bien là, je les prends puis vous avez l'obligation de les appliquer, puis voici qui a l'obligation de le faire.

Mme Setlakwe : J'aimerais ça, peut-être...  Est-ce que Mme... c'est Me Bacon?

M. Caire : ...Non, mais c'est ça, c'est clairement...

Mme Setlakwe : Est-ce qu'elle a un complément...

M. Caire : ...c'est que ce n'est plus une interprétation de, c'est clairement indiqué dans la loi. C'est une affirmation qui est claire, nette et précise, vous devez le faire. Donc, il y a plus de place à interprétation.

Mme Setlakwe : Puis le mot «doit», on sait exactement ce que ça veut dire...

Mme Setlakwe : ...mais c'est... Dans les faits, est-ce qu'il y avait un problème de... d'exécution?

M. Caire : Oui, un problème d'interprétation, mais disons que ça a donné lieu à des discussions, ça pouvait donner lieu à des discussions, ça pouvait donner lieu à des : Oui, mais on ne savait pas que, on n'était pas sûr que... Alors là, bien là, vous êtes sûr que puis vous le savez que, c'est écrit dans la loi.

Mme Setlakwe : Puis pourquoi il y avait une résistance, M. le ministre?

M. Caire : Je vous dirais que c'est un changement de culture, Mme la députée, c'est un changement de façon de faire. On crée un ministère qui s'occupe de la cybersécurité et du numérique. Les gens avaient l'habitude de faire affaire avec le Conseil du trésor, qui est plus un organisme de contrôle, qui est... qui est... qui est plus général. Là, on a un ministère qui est investi d'une autorité, mais dans un secteur... le secteur de la cybersécurité et du numérique. Donc, ça amène un changement de culture, ça amène un changement dans la... je n'ose pas dire la voie hiérarchique parce que ce n'est pas ça, ce n'est pas une voie hiérarchique, pas au sens propre du terme, mais dans qui assume l'autorité. Puis, dans l'interprétation, quelquefois, bon, bien, le Trésor, c'est le contrôle budgétaire, c'est les sous. Le ministère, c'est les politiques. Avant ça, c'était à un seul et même endroit. Maintenant... Donc, pour être sûr qu'il n'y avait pas de mésinterprétation, on le met dans la loi.

Mais... Puis... Mais l'élément clé aussi... bien, je dis l'élément clé... un élément important, c'est de désigner qui est responsable de faire appliquer les différentes politiques, stratégies, etc. Ça aussi, c'est un élément qui est... qui est important. Donc, ce n'est pas juste de dire : Vous devez le faire, c'est : Vous, en pointant quelqu'un du doigt, vous devez le faire.

Des voix : ...

Mme Setlakwe : Pardon?

M. Caire : Non, non, c'est correct. C'est... Là, c'est le beurre qui manque.

La Présidente (Mme Tremblay) : Est-ce qu'il y a d'autres questions concernant l'article 2?

Mme Setlakwe : Oui, j'aurais une autre question. Donc, je comprends très bien l'obligation de... pas... oui, l'obligation de le faire et de prévoir qui... à qui la responsabilité ou l'obligation incombe. On dit que c'est le dirigeant de l'organisme. Après ça, on vient définir qui est le dirigeant. Est-ce que, cette définition-là, on la retrouve ailleurs?

Des voix : ...

M. Caire : Elle était... En fait, on va la retirer de l'article 8, parce qu'elle était dans l'article 8. On la retire de l'article 8 puis on vient... Mais, de toute façon, elle est dans la loi 25 aussi.

Mme Setlakwe : ...on n'a pas inventé un libellé ici.

M. Caire : Non, non, non.

Mme Setlakwe : On a repris exactement... O.K. Mais moi, je veux quand même mieux comprendre la problématique, là, dans les faits, depuis les... Combien... Ça fait combien de temps que votre ministère est... a été constitué?

M. Caire : Un peu moins de deux ans.

Mme Setlakwe : Un peu moins de deux ans. C'était en janvier...

M. Caire : 2022.

Mme Setlakwe : O.K. Si vous sentez le besoin de prévoir l'obligation, c'est quoi, c'est qu'il y avait des orientations? Comment ça se faisait? Donc, il y avait des orientations, des stratégies, des politiques, standards, directives, règles ou indications d'application, je pense, c'est un terme défini aussi, qui existaient, mais qui est... quoi, qui étaient tablettés ou qui n'étaient pas mis à exécution?

M. Caire : Non, pas nécessairement, mais...

Mme Setlakwe : Je voudrais comprendre : C'est dans quels domaines qu'il y a une problématique pour sentir le besoin de prévoir ça?

M. Caire : ...il faut comprendre qu'on passe d'une culture du silo, où chacun faisait ça pour lui-même, par lui-même, vers une culture où il y a un ministère qui fait ça maintenant de façon transversale.

Mme Setlakwe : De façon transversale?

M. Caire : Bien, c'est-à-dire que, quand le ministère va prendre une politique, bien, la politique, elle s'adresse à tous les organismes assujettis à la LGGRI.

Mme Setlakwe : Je comprends.

M. Caire : Donc, dans ce sens-là, elle est transversale.

Mme Setlakwe : O.K.

La Présidente (Mme Tremblay) : Alors, je vous remercie pour votre précieuse collaboration.

Donc, compte tenu de l'heure, parce qu'il est maintenant 13 h, nous allons suspendre les travaux de la commission jusqu'à 14 h. Merci.

(Suspension de la séance à 13 heures)


 
 

14 h (version non révisée)

(Reprise à 14 h 02)

La Présidente (Mme D'Amours) : Bonjour, tout le monde. Nous reprenons nos travaux. Nous étions à l'article 2. Est-ce qu'il y a des commentaires à l'article 2? Mme la députée.

Mme Setlakwe : Merci, Mme la Présidente. On était bien avancé dans l'article 2, mais, quand on s'est laissé, on discutait... À 13 heures, nous avons... quand on a pris une pause pour le dîner, on était rendu à... Bien, on se demandait, s'il y avait eu de la résistance sur le terrain et pourquoi ce changement-là était mis de l'avant. Puis là M. le ministre expliquait que c'était un changement de culture. Auparavant, c'était le trésor qui en était responsable, c'était un contrôle budgétaire. Il y avait peut-être une culture de travailler en silo, ce que vous souhaitez évidemment changer, mais je ne suis pas sûre que vous aviez terminé.

Moi, je me demandais, est-ce qu'il y avait quand même... Est-ce que vous avez vécu des frustrations? Est-ce qu'il y a eu des situations où vous sentiez que les organismes soit n'avaient pas le temps, pas les ressources ou, pour différentes raisons, on ne mettait pas de l'avant les orientations, stratégies, etc.?

M. Caire : Non, je pense, comme je vous dis, c'est plus au niveau de la compréhension de qui fait quoi, c'est quoi, ce ministère-là, qu'est-ce que ça fait, c'est quoi, son autorité. On est vraiment dans la gestion du changement.

Mme Setlakwe : Est-ce qu'il y a des circonstances où les orientations, stratégies, peuvent être... Donc, ce n'est jamais à l'initiative d'un organisme, mais ça va toujours être celle du ministère.

M. Caire : Oui.

Mme Setlakwe : O.K. Et, quand on dit, donc... Là, Je comprends que le troisième alinéa, c'est du texte, un libellé standard. Mais, au deuxième, on dit que «la responsabilité du respect de cette obligation incombe au dirigeant qui doit prendre des moyens pour la faire connaître et respecter par les membres du personnel de celui-ci». Ça veut dire quoi, «va prendre les moyens», est-ce que ça, c'est du libellé nouveau, là, la deuxième partie? Non, non plus.

M. Caire : Non. Vous allez retrouver le pendant dans la loi 25 notamment.

La Présidente (Mme D'Amours) : D'autres interventions?

Mme Setlakwe : Non, pas sur...

La Présidente (Mme D'Amours) : Non. Donc l'article 2 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : Adopté. M. le ministre, l'article 3, s'il vous plaît.

M. Caire : Oui, Mme la Présidente, il se lit comme suit : «L'article 8 de cette loi est modifié par la suppression du troisième alinéa.» C'est un lien avec l'article qu'on vient d'adopter, Mme la Présidente, compte tenu que c'est un déplacement de texte d'un article à l'autre.

La Présidente (Mme D'Amours) : Commentaires sur l'article 3? Commentaires?

Mme Setlakwe : Désolée. Vous supprimez donc... Non, vous l'avez simplement déplacé.

M. Caire : On vient de l'adopter dans l'autre article.

Mme Setlakwe : Oui, exactement.

La Présidente (Mme D'Amours) : Parfait. Donc, l'article 3 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 4. M. le ministre.

M. Caire : Mme la Présidente : Cette loi est modifiée par l'insertion, après l'article 12.5, des suivants :

«12.5.1. Le ministre peut, par arrêté, prévoir l'obligation pour un organisme public qu'il désigne de recourir à ses services pour réaliser des activités de cybersécurité selon les conditions et les modalités qu'il détermine.

«12.5.2. Le ministre peut, par tout moyen et dans l'objectif de soutenir un organisme public en cas d'atteinte ou de risque d'atteinte visé au deuxième alinéa de l'article 12.2, lui ordonner de retirer de ses infrastructures, de ses systèmes, tout logiciel, toute application ou tout autre actif informationnel qu'il détermine.

«Le pouvoir prévu au premier alinéa peut être exercé uniquement dans l'un ou l'autre des cas suivants :

«1° le ministre estime qu'il y a urgence d'agir sans délai en matière de cybersécurité ou qu'il y a un danger que soit causé un préjudice...

M. Caire : ...comparable à une ressource informationnelle ou de l'information sous la responsabilité de l'organisme public visé;

«2° le... le ministre - pardon - estime qu'il y a urgence d'agir dans un court délai en matière de cybersécurité.

«Dans le cas prévu au paragraphe 2° du deuxième alinéa, le ministre ne peut exercer le pouvoir prévu au premier alinéa qu'à la suite de vérifications sérieuses et documentées. Il ne peut en outre l'exercer sans qu'une consultation entre le chef gouvernemental de la sécurité de l'information et le chef délégué de la sécurité de l'information rattaché à cet organisme ait eu lieu et sans avoir préalablement avisé le dirigeant de l'organisme public concerné de son intention de le faire.»

Donc, Mme la Présidente, deux nouvelles possibilités. La première, c'est de faire en sorte que les organismes du gouvernement, le cas échéant, soient obligés d'utiliser les services, par exemple, du Centre gouvernemental de cyberdéfense pour des activités de cybersécurité.

Le deuxième article, bien, c'est qu'actuellement, le ministre de la Cybersécurité n'a pas l'autorité, lorsqu'il y a un danger, une menace, je pourrai vous donner des exemples, là, d'obliger les organismes à prendre des mesures immédiates qui sont effectivement, de ce qu'on appelle en bon français, là, fermer les systèmes, donc de les retirer des actifs, que la menace soit immédiate ou que la menace soit dans un court délai. Donc, ça, c'est un nouveau pouvoir, là, que je demande à l'Assemblée nationale pour être capable, un petit peu dans la discussion qu'on a eue, Mme la députée, pour être capable d'agir très rapidement, parce qu'on a eu des cas où il y avait des menaces imminentes puis où ce n'est pas le temps de faire des comités puis avoir de longues discussions, là, il faut agir rapidement. Il y a d'autres cas où la menace, on la connaît, elle est moins imminente, donc là, on peut peut-être prendre plus le temps d'analyser les situations et les impacts potentiels. Donc, c'est ce que ces deux articles-là visent.

La Présidente (Mme D'Amours) : Commentaires sur l'article 4?

Mme Setlakwe : Oui, Mme la Présidente. Celui-là, il est un peu plus, comment dirais-je, c'est un amendement plus matériel, là, et, de façon générale, j'aimerais savoir qu'est-ce que vous avez pensé des commentaires qui ont été mis de l'avant par la Fédération des cégeps dans son mémoire quand même assez étoffée. Ils expriment énormément d'inquiétudes. On pourra y revenir, là, au fur et à mesure des articles, mais ici, là, dans l'article qu'on est en train d'étudier, ils ont des préoccupations. Tu sais, je dirais que, généralement, eux, c'est... ils ont l'impression que les pouvoirs, les nouveaux pouvoirs qui vont vous être octroyés pourraient ne pas convenir à un organisme, pourraient ne pas leur convenir, ou pourraient faire en sorte qu'ils ne puissent pas... qu'ils n'aient pas les moyens de l'exécuter, que ça leur impose un fardeau financier ou un fardeau en termes de ressources matérielles et humaines. En tout cas, j'aimerais savoir généralement, qu'est-ce que vous avez pensé de leur...

M. Caire : Bien, je trouve ça super intéressant, parce qu'on est exactement dans la discussion qu'on avait entre l'indépendance d'un organisme et où est-ce qu'on donne une autorité au gouvernement sur l'exécution, et ici on parle évidemment de cybersécurité, et c'est la raison pour laquelle moi, j'implore l'Assemblée nationale d'adopter cet article-là. Pensons, Mme la députée, à, par exemple, une campagne de sensibilisation, ce que nous, on fait à l'intérieur du gouvernement pour s'assurer comment nos employés réagissent quand on reçoit une tentative d'hameçonnage ou... Bon, alors, nous, on a... le Centre gouvernemental de cyberdéfense va orchestrer ça, on va envoyer des courriels, on va regarder qui répond, qui ne répond pas, quelle est la réaction, puis après ça, on fait de la... on peut faire de la pédagogie.

• (14 h 10) •

Ça peut être aussi, par exemple, un service de test d'intrusion. Donc, nous, on... au ministère, le Centre gouvernemental de cyberdéfense va balayer les systèmes qui sont du gouvernement, qui sont visibles depuis Internet pour valider est-ce qu'il y a des vulnérabilités? Est-ce qu'il y a des portes d'accès? Est-ce qu'on peut essayer de faire... de s'introduire dans un système?

Donc, on va avoir un certain nombre de services, de protocoles. Puis ce qu'on souhaite, c'est dire : Bien, c'est... vous devez utiliser ces services-là.

Je vous ramène à SAAQclic. Je vous ramène à SAAQclic, discussion très intéressante qu'on a eue...

M. Caire : ...qu'est-ce qu'il y a dans... puis je ne veux pas en faire un cas d'espèce. C'est un exemple que je veux donner. Les tests, est-ce que ça a été suffisamment testé? Alors, en ayant cette capacité là de tester les applications, les actifs qui sont visibles depuis Internet, bien, on s'assure d'un certain niveau de fiabilité. Ça, c'est le premier élément.

Sur les deux autres articles... Bien, je ne sais pas, Mme la députée, aviez-vous des... sur les pouvoirs, de dire : Bon, retirez ces systèmes-là ou...

Mme Setlakwe : Non, non, allez-y, c'est intéressant.

M. Caire : Bien, en fait, c'est... Je vais vous donner l'exemple. Est-ce que vous vous souvenez? Je pense que c'est au Noël 2021, oui, lorsque la faille... a été découverte, c'était une faille. C'est probablement la pire vulnérabilité de l'histoire de l'informatique. Je veux dire, quelqu'un qui exploitait cette faille-là prenait le contrôle total du système. Il faisait ce qu'il voulait avec. Et tous les systèmes qui utilisaient cette librairie-là, donc, était porteuse de cette vulnérabilité-là. Alors, on ne pouvait pas commencer à se faire un comité pour dire : Bon, bien, qu'est-ce qu'on fait? Puis on arrête-tu le système? Oui, je ne sais pas... Non, non, c'est-à-dire, là, il fallait agir dans l'urgence.

Donc, je vous dirais que le premier paragraphe vise à dire : Bon, bien, si on est dans une situation d'urgence de cette hypothèse-là, là, il n'y a pas de questionnement, il n'y a pas de consultation. Vous faites ça, vous devez faire ça. C'est une question de sécurité. Dans le deuxième cas, peut-être avez-vous suivi l'actualité, le gouvernement fédéral dit : Bon, bien, l'antivirus Kaspersky, nous, on va en proscrire l'utilisation. Il y a peut-être un danger d'une vulnérabilité parce que c'est un produit qui a été... qui a été créé, conçu par une société russe. Vous connaissez le contexte actuel. Bon, alors, dans notre cas à nous, bien là, oui, il y a un risque potentiel, mais, avant d'agir, bien, je pense que ce serait le temps de regarder nos différents ministères et organismes. Qui utilise ça? Quelle est la véritable vulnérabilité de ça? Qu'est-ce que ça a comme... là, oui, il faut agir. Oui, il faut que les ministères et organismes répondent à la question : Est-ce qu'on doit retirer ça de nos systèmes disponibles? Mais compte tenu qu'on n'est pas au même niveau que dans le premier cas, bien là, je vais demander à la cheffe gouvernementale de la sécurité et de l'information, les chefs délégués : Faites-moi des analyses, faites-moi des recommandations, puis on dira si on suit cette recommandation-là ou non. Mais il y a un danger potentiel, et vous devez répondre à cette question-là, puis vous ne devez pas à répondre à cette question-là dans 6 à 8 mois, là, je veux des réponses rapidement. C'est un peu l'objectif des trois paragraphes, alinéas... alinéas, c'est ça.

Mme Setlakwe : Oui, là, vous étiez peut-être plus dans 12.5.2. Je peux comprendre...

M. Caire : ...si vous vouliez les explications de tout ça en même temps.

Mme Setlakwe : Mais eux, là, la Fédération des cégeps, pensez-vous que... premièrement, pensez-vous que les préoccupations qu'ils mettent de l'avant sont répandues au sein des organismes ou...

M. Caire : Non, bien, parce que... ce que... la préoccupation des cégeps, c'est de dire : Si vous nous forcez à utiliser les services du centre gouvernemental de cyberdéfense, est-ce que ça va être très lourd? Est-ce que ça va être très coûteux? Bon, alors, il y a une tarification puis, dans certains cas, les services sont gratuits, dans d'autres cas, il y a une tarification, puis la tarification, elle est la même pour tout le monde. Puis, généralement, l'objectif du ministère de la Cybersécurité et du numérique, ce n'est pas de générer des profits, mais c'est d'assurer la pérennité de ses services. Donc, d'un côté... et, de l'autre côté, bien, si les économies qu'on fait, c'est parce qu'on ne fait pas... on ne pose pas les bons gestes en matière de sécurité...

Vous savez, Mme la députée, on estime qu'une attaque réussie, le coût est un en dizaines de milliers de dollars, dépendamment de la taille de l'entreprise, ça va de 25 000 $ à quelques millions de dollars. Alors, dans le fond, ce qu'on dit ici, c'est qu'il faut s'assurer que les bons gestes sont posés pour assurer la sécurité puis la cybersécurité de nos systèmes. Nous avons chez nous des services qui contribuent à ça. Et, oui, on pourrait effectivement dire : Bien, ces services là, compte tenu des circonstances, ces services-là sont obligatoires d'utilisation. Parce qu'ultimement, au-delà du coût financier, il y a le coût financier plus le coût matériel...

M. Caire : ...plus le coût humain de se faire voler des informations. Vous avez l'exemple... mon Dieu! je ne me souviens plus le cégep, qui a été victime d'une cyberattaque, puis ses systèmes d'information ont été paralysés. Moi, je serais curieux d'avoir le bilan financier de cette attaque-là réussie. D'après moi, ça va coûter plus cher que d'avoir recours aux services du gouvernement.

Mme Setlakwe : ...

M. Caire : Non, puis... Exact, je suis d'accord avec vous, pas juste financiers. Donc, je comprends la préoccupation de la Fédération des cégeps. Puis, je veux dire, on n'est pas dans une dynamique de faire des sous. On est dans une dynamique d'empêcher des dépenses plates.

Mme Setlakwe : Puis des incidents, oui.

M. Caire : Et des incidents, et des cours reportés, et des examens reportés, et de l'identité volée de notre monde. Puis là on peut continuer comme ça.

Mme Setlakwe : ...qui est, surtout, très grave. Non, mais, écoutez, j'essaie de voir... Je comprends votre explication, là. Je pense qu'il y a un bien-fondé, quand même, à ce que les organismes adhèrent aux services du ministère pour réaliser les activités de cybersécurité. Ça fait que là, ça m'amène à juste... J'ai quelques questions. Activités de cybersécurité, c'est très vaste.

M. Caire : ...exemple, on peut faire...

Mme Setlakwe : Oui, mais ça, ce n'est pas un terme défini, là, mais c'est nouveau, c'est une expression... bien...

M. Caire : Oui, bien, en fait, défini dans le sens où ça circonscrit les activités à ce qui est relatif...

Mme Setlakwe : Non, mais défini dans le corpus, là.

M. Caire : Oui, oui... Ah! non, je ne pense pas.

Mme Setlakwe : Non?

M. Caire : Bon, bien, regardez, voyez-vous, je pense que oui, moi. Me Bacon, voulez-vous me sortir... Je vais laisser Me Bacon... sur ce bout-là.

La Présidente (Mme D'Amours) : Ça me prend consentement pour que maître... Donc, Mme, veuillez vous identifier, pour...

M. Caire : Vous avez présumé de mon consentement, Mme la Présidente?

La Présidente (Mme D'Amours) : Bien, vous n'avez pas répondu. Qui ne dit mot consent.

M. Caire : D'accord. Je consens.

La Présidente (Mme D'Amours) : Merci.

Mme Bacon (Nathalie) : Oui, bonjour.

La Présidente (Mme D'Amours) : Donc, veuillez vous identifier, s'il vous plaît, votre titre, et puis...

Mme Bacon (Nathalie) : Oui. Nathalie Bacon, légiste pour le ministère de la Cybersécurité du Numérique. Les mots «activités de cybersécurité» n'ont pas, en soi, besoin d'être définis. Par contre, ils sont présents dans le corpus législatif, c'est-à-dire dans les textes d'application pris en vertu de la LGGRI. Vous l'avez présent, si ma mémoire est bonne... et c'est ça que je cherche, l'article... au règlement qui est pris en vertu de l'article 22.1.1 de la loi sur... la LGGRI. Vous avez un règlement sur les modalités et conditions d'application des articles 12.2 à 12.4, et... je me tourne vers ma collègue, merci... l'article 5, où nous retrouvons le concept d'activités de cybersécurité, et on donne un exemple, qui sont des tests d'intrusion. Si vous allez sur Légis Québec, c'est le règlement... Il est codifié, là, sur Légis Québec.

Mme Setlakwe : ...sont inquiets, mais ce n'est pas... O.K., je pense que...

Mme Bacon (Nathalie) : Pas besoin de définir davantage, autrement dit. Puis vous avez aussi, sur... voyons... le Grand dictionnaire terminologique, un onglet particulier sur la qualité de l'information, le vocabulaire à utiliser en sécurité de l'information. Et vous avez une série d'expressions et, si vous cliquez sur «tests d'intrusion», vous allez voir «activités de cybersécurité» ou des gestes, là... C'est vraiment... c'est très technique, c'est de nature opérationnelle.

Mme Setlakwe : Merci. Donc, l'autre élément de leur préoccupation, c'est qu'on leur impose cette obligation-là d'utiliser les services spécifiques que le ministre déterminerait, sans consultation préalable sur les modalités et conditions associées. Mais, dans les faits, j'imagine qu'il y a une discussion, qu'il y a une... tu sais?

• (14 h 20) •

M. Caire : C'est clair que oui, puis, là-dessus, je pense qu'il n'y a pas... Je veux dire, ça va... l'obligation va découler non seulement d'une consultation, mais d'un constat. Je veux dire, on n'imposera pas des services si ce n'est pas absolument nécessaire. Parce qu'il faut comprendre qu'en le faisant, nous, on s'impose aussi le fardeau de le rendre, le service, là. Ce n'est pas... C'est bien beau dire : le service est obligatoire, mais ça veut dire que, de notre côté, il faut que le service soit livré, là.

Mme Setlakwe : ...avez-vous les ressources?

M. Caire : Oui. Bien, ça, là-dessus, d'ailleurs, Mme la députée, j'ouvre et je ferme une parenthèse, parce que je vous ai entendu dire qu'il restait 1 000 postes à combler...

M. Caire : ...de postes à combler dans l'organigramme, tel que défini par le sous-ministre, mais il faut comprendre que le ministère de la Cybersécurité et du Numérique a dépassé ses cibles d'heures rémunérées. Je veux dire, moi, j'ai embauché plus de gens que ce que le Conseil du trésor m'autorisait. Et là, on est en discussion avec le Conseil du trésor pour régulariser cette situation-là, mais je n'ai pas je n'ai pas la capacité, je n'ai pas l'autorisation d'embaucher plus de monde, présentement, là.

Mme Setlakwe : Donc, les postes vacants, il y en a combien?

M. Caire : Bien, c'est-à-dire qu'il y a des postes vacants. Dans la conception de l'organigramme du nouveau ministère, tel... parce que c'est un nouveau ministère, donc le sous-ministre a dit : Bon, bien, je vais réfléchir à un organigramme, à des divisions administratives, comment j'organise les travaux, puis ça, ça veut dire... parce que j'ai besoin de ça, ça, ça, de T.C. Après ça, bien, vous connaissez un peu la mécanique, on établit nos besoins, on va rencontrer le ministère responsable de répondre à ces besoins-là. Le ministère nous dit : Bien, voici ce que je suis capable de t'accorder. Puis, des fois, entre ce que nous, on voudrait avoir puis ce qu'on reçoit, il y a un écart. Donc, c'est des postes, idéalement, dans des discussions futures avec le Conseil du trésor, pour lesquels on prendra des ressources. Mais actuellement, le ministère de la Cybersécurité et du Numérique est au top de ce qu'on peut avoir en termes de ressources.

Et je vous dirais qu'on a quand même beaucoup d'expertise de différents niveaux, là. Comme je vous disais, on est à 1 900 employés, il y en a à peu près 800 qui sont dévolus au service de traitement de la paie, de gestion, etc., donc ça nous laisse à peu près 1 200 employés qui sont dans le domaine de la technologie, là, c'est quand même pas mal, là.

Mme Setlakwe : O.K. je comprends. Donc, je comprends la nuance, mais vous semblez avoir besoin d'un budget additionnel, j'imagine?

M. Caire : Écoutez, on va avoir des bonnes discussions avec le ministre des Finances.

Mme Setlakwe : On va avoir des bonnes discussions. Parce que tout ça...

M. Caire : Mais comme tous les ministères. Je veux dire, on est en demande, puis après ça, bien, il y a des arbitrages qui se font, puis après ça, bien, les ressources qui nous sont attribuées, bien, on doit... Mais je vous dirais que pour remplir cette mission-là, il n'y a pas d'inquiétude, le volet Cybersécurité a été bien pourvu dans les dernières années par le ministère des Finances, là. Ça, là-dessus, il n'y a pas d'inquiétude, on est capables. Disons qu'on n'a pas lésiné sur les moyens pour s'assurer qu'on allait dans la bonne direction.

Mme Setlakwe : ...l'obligation... pour un organisme public. Excusez-moi si on en a parlé déjà, mais ça ne vise pas, donc, les entreprises dont on parlait ce matin?

M. Caire : Oui, compte tenu de l'article un. Donc, les organismes, les entreprises de l'État, qui, par décret, seront assujettis à la LGGRI, bien, à ce moment...

Mme Setlakwe : ...de façon...

M. Caire : C'est ça, c'est ça.

Une voix : ...

M. Caire : Oui, c'est ça. Donc, par décret, on va le faire, mais on va... Dans ce cas-là, on va le faire par décret.

La Présidente (Mme D'Amours) : D'autres commentaires sur l'article quatre?

Mme Setlakwe : Oui. Donc, juste pour poursuivre, donc quand vous allez, dans le futur, charger une entreprise de... ou prévoir qu'une entreprise va devoir se... adhérer aux dispositions de la loi qui porte sur la sécurité, ça va inclure la disposition qu'on est en train d'étudier?

M. Caire : C'est ça.

Mme Setlakwe : Parce qu'elle va être dans le chapitre en question, oui?

M. Caire : Ça va être dans le décret.

Mme Setlakwe : O.K. Mais pourquoi qu'on s'est limité, donc, aux dispositions du chapitre 2.2?

Des voix : ...

La Présidente (Mme D'Amours) : Allez-y, Mme.

Mme Bacon (Nathalie) : Mme la Présidente, les articles 12.5.1, 12.5.2 vont être inclus dans le chapitre 2.2.

Mme Setlakwe : Puis, s'il y avait un organisme qui vous disait : moi, je n'arriverai pas, vous ne pouvez pas me faire ça, je n'ai pas les ressources?

M. Caire : Bien, c'est-à-dire que dans le cas qui nous préoccupe, on rend un service du gouvernement obligatoire, donc c'est nous qui avons le fardeau de donner le service. Donc, ça n'a pas d'impact sur les ressources de l'organisme parce qu'on les oblige à consommer nos services. Donc, si...

Mme Setlakwe : ...ça prend des ressources quand même pour...

M. Caire : Oui, oui, oui, ça prend des ressources, mais ce n'est pas des ressources qui devront être fournies par l'organisme qui utilise nos services. C'est des ressources que nous, on devra avoir pour être en mesure... C'est pour ça, je vous disais, tout à l'heure, c'est sûr qu'on ne rendra pas obligatoires des services, si on se met dans une situation de rupture de service...

Mme Setlakwe : ...non, parce qu'encore une fois je... tu sais, je... ayant lu leur mémoire, je me dis : Mon Dieu! Ils sont vraiment inquiets, puis là c'est peut-être un cri du cœur pour avoir plus de soutien, peut-être. Ils disent même qu'ils ont... que c'est documenté, ce n'est plus à démontrer, qu'ils ont des enjeux de main-d'oeuvre au niveau des ressources informationnelles.

M. Caire : Et ce que je comprends, et donc, de ce fait, ils devraient être heureux de cette disposition-là parce que, Mme la Présidente, vous me permettrez de le redire, le ministre peut, par arrêté, prévoir l'obligation pour un organisme public qu'il désigne de recourir à ses services pour réaliser des activités. Donc, «ses services», c'est les services du ministère.

Mme Setlakwe : Ça implique des ressources aussi du côté de l'organisme, ici, en l'occurrence, des cégeps.

M. Caire : Bien, bien... Bien non. Je vous donne un exemple. Si on décide que les tests d'intrusion ou les balayages pour détecter les vulnérabilités, c'est un service obligatoire, bien, c'est chez nous que le service va être donné.

Mme Setlakwe : ...oui, je comprends. Ça n'impliquera pas des ressources?

M. Caire : Ça n'impliquera pas les ressources de l'organisme.

Mme Setlakwe : O.K.

M. Caire : Parce que c'est nos services à nous qui deviennent obligatoires. Ce serait assez mal venu de dire : Bien, le service est obligatoire chez nous, mais... bien, envoyez-nous donc vos ressources. Ce n'est pas du tout ça, l'idée, là. Si on décide de... comme je vous dis, de faire des tests d'intrusion, bien, c'est nos équipes qui vont faire des tests d'intrusion sur les systèmes des entités concernées, donc. Mais ça, c'est nos ressources à nous qui vont faire ça.

Mme Setlakwe : Puis leurs inquiétudes au niveau de 12... Pardon?

M. Caire : ...eux ne seront pas obligés de le faire parce que nous, on va faire le service. Donc, si ça se trouve, ils vont peut-être même économiser des ressources.

Mme Setlakwe : Je comprends. Donc, ça, c'est 12.5.1. Ça me semble... Ça me semble tout à fait correct. 12.5.2. Eux semblaient dire, tu sais, que ce n'était pas très balisé, mais j'en vois quand même un mécanisme... ça demeure un mécanisme exceptionnel ou une mesure exceptionnelle, c'est-à-dire.

M. Caire : Je pense que je vous ai donné le meilleur exemple dans lequel ce pouvoir-là va être utilisé. On est vraiment dans une situation d'extrême urgence. Dans le cas de 12.5.2, là, le premier paragraphe, là, on est dans l'extrême urgence. Dans le paragraphe deux, on est dans une urgence qui est quand même... qui a qu'un horizon de temps plus étiré, là. Puis je vous ai donné, je pense, deux exemples assez précis qui ont inspiré la rédaction de l'article en question.

Mme Setlakwe : Et vous ne pouvez pas exercer le pouvoir ou vous ne pouvez l'exercer qu'à la suite de vérifications sérieuses et documentées.

M. Caire : C'est lorsque le danger... Il y a un danger, mais il n'est pas imminent, d'un préjudice irréparable. Comme, je vous donnais l'exemple de Log4Shell. Alors, ça, c'est une... Log4Shell, c'est une librairie Java qui est utilisée dans plusieurs applications et qui permettait à l'attaquant d'injecter du code source et donc de prendre le contrôle total et absolu du système qui était victime de la faille. Ça fait qu'imaginez-vous ça dans un hôpital ou... Ça, c'est fou, là.

Mme Setlakwe : ...

M. Caire : Alors là, c'est dans ce cas-là où on dit : Non, non, là, vous fermez, tout le monde, vous fermez vos systèmes parce que... Et cette faille-là, elle avait été beaucoup médiatisée, publicité... publicisée, pardon, donc il y a un paquet de monde qui savait que ça existait. Ça fait qu'à partir de là le risque qui était imminent. Alors que, Kaspersky, on a une évaluation qui a un risque potentiel, mais là on n'est pas dans l'urgence de dire... on l'utilise depuis des années, on n'est pas...

Mme Setlakwe : ...

M. Caire : Kaspersky, c'est un... j'allais dire...

Une voix : ...

M. Caire : Oui, un antivirus, j'allais utiliser le mot anglais. C'est un antivirus qu'on utilise, justement, pour la protection des systèmes puis c'est de conception russe.

Mme Setlakwe : ...

• (14 h 30) •

M. Caire : Le fédéral, lui, dit : On veut le bannir. Au Québec, bien, on dit : O.K., on comprend qu'il y a un danger, mais, dans la disposition du deuxième paragraphe, je demanderais la... puis ce que j'ai fait de toute façon, là, mais je demanderais à la cheffe gouvernementale de sécurité de l'information de faire quand même une analyse. Parce que vous comprendrez que ça a des impacts extrêmement importants si on décide de retirer ça de nos systèmes d'information. Donc là, il faut documenter ça, là, il faut... Ça ne peut pas être basé juste sur le fait : Ah! bien, c'est des Russes, on ne les aime pas, donc on l'enlève, là, ça prend un petit peu plus de recherche.

Mme Setlakwe : Ça va. Eux, ils demandaient...


 
 

14 h 30 (version non révisée)

Mme Setlakwe : ...de mettre en place un mécanisme de consultation formel.

M. Caire : Et ça ne peut pas être plus formel que ça, j'ai l'obligation de consulter la cheffe de la sécurité de... la cheffe gouvernementale et le chef délégué. Dans ce cas-ci, on peut penser que ce serait le ministère de l'Enseignement supérieur. Donc, il y a un mécanisme formel. Puis il faut savoir aussi que les chefs délégués, ils ont tout un réseau en dessous d'eux, là : le responsable de la sécurité, le responsable opérationnel de la cyberdéfense. Là, il y a tout un réseau qui est installé sous eux. Ce n'est pas...

La Présidente (Mme D'Amours) : D'autres commentaires?

Mme Setlakwe :  Est-ce que vous voyez dans les faits qu'il y aurait une participation qui pourrait participer au processus?

M. Caire : Absolument. Parce que le chef délégué, comme je vous dis, est connecté sur son... le réseau de ses responsables opérationnels dans les différentes entités.

Mme Setlakwe : Moi, ça va.

La Présidente (Mme D'Amours) : Parfait. L'article 4 est-il adopté?

M. Caire : Adopté.

La Présidente (Mme D'Amours) : Merci. L'article 5, M. le ministre, s'il vous plaît.

M. Caire : Mme la Présidente, l'article 5 se lit comme suit : L'article 12.6 de cette loi est modifié par l'insertion, après le paragraphe 4e, du suivant : 4.1. Mettre à la disposition des organismes publics des outils et des pratiques exemplaires en telle matière et informer le ministre des résultats observés.»

Donc, Mme la Présidente, ça crée une obligation, puis ça répond peut-être un peu aussi à ce que la députée de Mont-Royal--Outremont disait, ça crée une obligation pour mon ministère de mettre en place un certain nombre d'outils en matière de cybersécurité, là, qui seront à la disposition des organismes soumis à la LGGRI. Donc, que nous, on se crée cette obligation-à de mettre à disposition des outils.

La Présidente (Mme D'Amours) : Des commentaires sur l'article 5?

Mme Setlakwe : Oui, s'il vous plaît. Oui, ça ne sera pas bien long. Donnez-moi un instant. Est-ce que vous pensez que c'est assez? Je comprends où vous voulez en venir, là, mais...

M. Caire : Bien oui, parce que l'idée, comme je vous le dis, c'est se créer une responsabilité à la cheffe, ou bien, à la actuellement, mais au chef gouvernemental de la sécurité de l'information, puis ça va nous permettre aussi d'uniformiser les bonnes pratiques en mettant à disposition des outils. Ça permet d'uniformiser parce que, comme ils sont disponibles, bien, les gens les utilisent, puis on s'assure qu'on a des outils uniformisés, on a des pratiques uniformisées.

Mme Setlakwe : Alors, ça, ça va. Je pense que c'est clair. Mettre à la disposition des outils, des pratiques exemplaires. «Pratiques exemplaires», c'est un terme qui est utilisé ailleurs, j'imagine? Oui.

M. Caire : Je sens un petit doute.

Mme Setlakwe : Non, non, pas du tout.

M. Caire : Collègue...

Mme Setlakwe : En telle matière.

M. Caire : ...je vois vos yeux dévier vers ma droite...

Mme Setlakwe : Oui, vers votre voisine.

M. Caire : ...à l'occasion.

Mme Setlakwe :  Bien, c'est parce que je sens qu'il y a des réponses au niveau légal qui sont toutes prêtes, là, à côté, à côté de vous. 

M. Caire : Mme la députée...

Mme Setlakwe : Tu sais, puis même honnêtement...

M. Caire : ...je vous taquine.

Mme Setlakwe : Je le sais bien.

M. Caire : Non, mais je sais qu'entre avocats vous avez ce code de crédibilité que nous, les informaticiens, n'avons pas.

Mme Setlakwe : Donc, dites-nous, s'il vous plaît, Me Bacon, que ce serait... que cette expression-là serait reprise à d'autres endroits dans le corpus.

Mme Bacon (Nathalie) : Oui, Mme la Présidente. C'est repris à l'article 5, paragraphe 8e, de la directive gouvernementale sur la sécurité de l'information qui est disponible, là, qui a été pris par le décret 1514-2021 du 8 décembre 2021.

M. Caire : Bon, doutez-vous que j'aurais pu vous le dire? Ssi vous en doutez, vous auriez une raison de le faire.

Mme Setlakwe : Merci. Et puis, à la fin, quand vous dites, donc, que le chef gouvernemental, après avoir mis à la disposition des organismes des outils et des pratiques exemplaires, il doit informer le ministre des résultats observés.

M. Caire : Oui.

Mme Setlakwe : Ça, c'est un petit peu flou par contre. Est-ce que ça va se faire une fois par année? Ça va se faire à quelle périodicité de... sous quelle forme?

M. Caire : Il n'y a pas... Bien, en fait, on ne prévoit pas de périodicité, parce que, bon, compte tenu que le chef gouvernemental et le ministre travaillent en collégialité, ça va se faire au besoin...

M. Caire : ...comme je vous dis, l'idée, c'est d'avoir aussi une uniformisation dans les pratiques. Donc, en rendant des services, des outils disponibles, vous comprendrez qu'on espère... «Disponibles» veut dire : Vous pouvez les utiliser, normalement, veut dire qu'il y a une uniformisation des pratiques, des standards, des normes. Puis après ça, bien, est-ce que ça a eu l'impact escompté, notamment sur l'uniformisation des pratiques? Bien là, le chef gouvernemental fait son rapport au ministre.

Il n'y a pas besoin d'une périodicité parce que, dans les faits, ce n'est pas comme un projet de recherche, par exemple, où il y a un protocole particulier ou, vous savez, la mise en place de quelque chose de particulier qui va nécessiter de dire : Bien, on va se donner un délai de six mois ou on va se donner un délai d'un an. C'est une disposition qui est quand même de nature assez générale. C'est tout simplement de dire que, bien, on met ça pour... on se crée une obligation à nous de mettre en place ces pratiques-là... ces outils-là, c'est-à-dire, bien, les pratiques aussi, puis il y a un objectif d'uniformisation. Est-ce que l'objectif est rencontré? Est-ce qu'il y a lieu de prendre d'autres mesures? Bien, c'est tout simplement d'affirmer cette nécessité-là d'uniformisation. Je vais finir par le dire comme il faut.

Mme Setlakwe : Mais ce n'est pas juste de l'uniformisation. J'essaie de voir... Mais les organismes publics, eux, il faut qu'ils... il faut qu'ils transmettent de l'information aussi, il faut qu'ils rendent des comptes ou ça, c'est prévu ailleurs?

M. Caire : Ce qu'on fait, c'est qu'on met en place des outils et on met en place des pratiques exemplaires, et après ça, par rapport à... aux outils qui sont utilisés par les organismes et les pratiques exemplaires qui sont mis en place, bien, le chef gouvernemental et les chefs délégués, je veux dire, sont capables de voir l'état d'avancement des choses, sont capables de voir l'impact qui... que ça peut avoir sur, justement, l'uniformisation puis... Mais oui, je vous dirais que l'objectif ultime, c'est l'uniformisation.

Mme Setlakwe : Est-ce qu'il y a une façon... Est-ce qu'il y a une façon pour le public de suivre ça? Est-ce qu'il y a...

M. Caire : Bien, le ministère fait son rapport annuel. Nous, on a le rapport annuel de gestion qu'on dépose à l'Assemblée nationale. Donc, à partir de là...

Mme Setlakwe : Je n'ai pas d'autre chose.

La Présidente (Mme D'Amours) : Merci. L'article 5 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : Adopté. L'article 6, M. le ministre, s'il vous plaît.

M. Caire : Oui, Mme la Présidente. L'article 12.8 de cette loi est modifié par l'insertion, dans le premier alinéa et après «doit», de «en conformité avec les orientations définies par le ministre concernant les initiatives de transformation numérique».

Donc, Mme la Présidente, ça vient, dans les faits, réitérer la possibilité du ministre de définir des orientations particulières avec des... en lien avec des initiatives de transformation numérique. C'est notamment dans le cadre du portefeuille de projets prioritaires.

La Présidente (Mme D'Amours) : ...de concordance.

M. Caire : Bien, un petit peu plus que de la concordance, là, je vous dirais que ça vient... ça vient... ça vient préciser l'article.

La Présidente (Mme D'Amours) : Commentaires sur...

Mme Setlakwe : Oui.

La Présidente (Mme D'Amours) : Oui, allez-y, Mme la députée.

Mme Setlakwe : Oui, merci, Mme la Présidente. Non, non, je ne pense pas que c'est de la concordance. Non, je revois... je revois la... je relis la modification mais à l'intérieur du texte, parce qu'on est en train d'ajouter une phrase.

M. Caire : C'est parce que le principe...

• (14 h 40) •

Mme Setlakwe : Oui, bien... En fait, oui, il y a un petit peu de concordance dans le sens qu'il y a un... Mais ça s'inscrit comment dans votre vision, là, de mettre en place des priorités?

M. Caire : C'est une obligation qui existe déjà, pour les ministères et organismes, de transmettre les plans de transformation numérique au ministère de la Cybersécurité et du Numérique. On va le voir plus loin, Mme la députée, là, avec le... C'est pour ça, je vous dis : C'est en lien avec le portefeuille de projets prioritaires. Le portefeuille de projets prioritaires va être constitué, doit être constitué...

(Interruption)

M. Caire : C'est les Kings. Doit être constitué de projets... de projets qui sont dans les... les plans de transformation numérique. Donc, ça vient, dans les faits... bien, réitérer... s'assurer que ces plans-là qui sont faits...

M. Caire : ...qui déterminent comment les ministères et organismes entendent assurer leur transformation numérique... Bien, on ne vous dérange pas, j'espère? O.K., d'accord. ...entendent assurer leur transformation numérique, doivent quand même, lorsqu'ils élaborent le plan, doivent s'assurer qu'ils sont en conformité avec les orientations qui sont prises par le ministère. Donc, de la concordance, oui et non, là. C'est juste de venir renforcer le fait que, un, vous avez l'obligation de constituer un plan de transformation numérique; deux, ce plan de transformation numérique là doit se faire en conformité avec les orientations qui sont définies par le ministère avec un amendement proposé par Me Bacon.

Mme Setlakwe : Je comprends, mais je ne suis pas sûr que c'est assez précis, là. Donc, peut-être que ça prend la discussion ultérieure, là, pour bien saisir, mais vous allez donc élaborer... puis c'est le gouvernement qui va se prononcer. Le Conseil des ministres va établir les priorités, le portefeuille de priorités.

M. Caire : Oui.

Mme Setlakwe : Parce qu'on ne peut pas, là.... Vous avez dit... On l'a entendu durant le briefing, vous l'avez dit durant vos interventions, il y a plus de 5 000 projets en cours...

M. Caire : 2 538.

Mme Setlakwe : Non, pas 5 000; 2 538. Je suis désolée. Vous avez raison.

M. Caire : On va essayer que ça ne se rende pas à 5 000 justement.

Mme Setlakwe : Non, quand même. Non, non, c'est mon erreur. 2 538 projets en ressources informationnelles...

M. Caire : Oui.

Mme Setlakwe : ...en cours ou dans les différents plans de transformation numérique.

M. Caire : Oui, oui c'est ça. Oui.

Mme Setlakwe : Ils sont là. Ils sont à des différents stades d'avancement.

M. Caire : Mais les 2 538, ce sont des projets en cours.

Mme Setlakwe : Oui.

M. Caire : Ça ne tient pas compte de ce que les ministères et organismes ont mis dans leur plan de transformation numérique.

Mme Setlakwe : O.K. Donc, ça, c'est vraiment beaucoup plus large, oui.

M. Caire : Ça... Bien, d'où l'idée du portefeuille de projets prioritaires, dont on discutera plus loin, d'où l'idée du leadership assumé par le ministre de la Cybersécurité et du numérique. Donc, c'est de s'assurer que lorsqu'il y a une rédaction d'un plan de transformation numérique, ce plan de transformation numérique là doit se conformer aux orientations qui sont prises par le ministère de la Cybersécurité et du Numérique.

Mme Setlakwe : Je comprends, ça va de soi, là. Si vous établissez des priorités, bien, il faut que le plan soit aligné.

M. Caire : C'est ça.

Mme Setlakwe : Mais est-ce que vous pouvez nous permettre juste une minute pour... Je voudrais juste consulter ma collègue. Merci.

La Présidente (Mme D'Amours) : Je vais suspendre les travaux quelques minutes.

(Suspension de la séance à 14 h 44)

(Reprise à 14 h 45)

La Présidente (Mme D'Amours) : Nous reprenons nos travaux. Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Oui. Merci, Mme la Présidente. Merci pour la brève suspension. Donc, à l'article 13, j'essaie juste de faire le lien. À l'article 13, là, dans le chapitre III de la LGGRI...

M. Caire : ...

Mme Setlakwe : Oui, je suis un petit peu plus loin, parce qu'on parle à l'article 13 dans la planification...

Mme Setlakwe : ...mais il y a une obligation pour un organisme public de, au deuxième paragraphe, d'établir une programmation des investissements et des dépenses en ressources informationnelles. Puis nous, on a obtenu... c'est toute une liste, là, par ministère, c'est toute la programmation. On a eu ça dans nos cahiers de crédit. Et donc ma question est la suivante : Est-ce que, dans la séquence, là, vous recevez ça, ils ont l'obligation d'établir une programmation de leurs investissements et de leurs dépenses? Il y en a, là, mais j'imagine que c'étaient des pages et des pages par ministère. Et là vous recevez ça. Quand vous, vous allez établir vos priorités, bien là, vous partez de ça, ça, c'est le point de départ où vous pouvez...

M. Caire : On va, avant ça... Parce que, là, on parle du plan de transformation numérique. Le plan de transformation numérique, moi, je vais donner des orientations. Le plan de transformation numérique doit s'y conformer. Si nous adoptons cet article, évidemment, là, bien, on va rajouter l'obligation de s'y conformer. Comme vous pouvez voir, moi, j'ai la possibilité de demander des modifications au plan. Donc, la non-conformité aux orientations prises pourrait... devient un motif pour moi de dire : Le plan doit être modifié parce qu'il n'est pas conforme aux orientations. Donc, on est en amont de ce que vous dites, parce que quand on a la planification et les dépenses, ça, ça s'en va vers les projets qui ont été autorisés. Donc, avant d'autoriser un projet, il faut qu'il soit dans le plan de transformation numérique, un.

Deux, avec la modification que je propose, ce plan-là va devoir se conformer aux orientations qui sont prises, sans quoi je pourrais, puis je dis au «je», mais le ministre pourrait ordonner ou apporter des modifications au plan. Donc, ça, Mme la députée, ça nous amène à l'idée que le plan doit respecter les orientations du ministre du gouvernement, à être amené dans le portefeuille de projets prioritaires, éventuellement. Et là, après ça, dans la planification, on va suivre la séquence.

Mme Setlakwe : O.K. Donc, dans le fond, ici, ce qu'on regarde, c'est...

M. Caire : C'est avant, c'est avant, oui.

Mme Setlakwe : Mais c'est-à-dire qu'à 13, c'est après, là.

M. Caire : C'est ça. Oui, oui, excusez-moi. 13 vient après le plan de transformation numérique.

Mme Setlakwe : Oui. Une fois que le plan, on détermine qu'il est en conformité avec les...

M. Caire : Les orientations.

Mme Setlakwe : ...les orientations...

M. Caire : C'est ça.

Mme Setlakwe : ...bien là, plus tard, il y a une obligation d'établir une programmation des investissements pour mettre en œuvre...

M. Caire : Le plan.

Mme Setlakwe : ...le plan. O.K. Donc, l'organisme public doit, en conformité avec les orientations définies par le ministre, concernant les initiatives de transformation numérique... définies pas le ministre concernant les initiatives de transformation... On essaie de voir si c'est assez précis, là. Est-ce que vous allez mettre ça par écrit? Vous allez les diffuser de quelle façon?

M. Caire : Bien oui, les orientations, effectivement, sont diffusées à l'ensemble des organismes qui sont soumis à la LGGRI, à ces dispositions là avec la LGGRI.

Mme Setlakwe : Est-ce qu'il y a un délai pour s'exécuter?

M. Caire : Pour pour le plan?

Mme Setlakwe : Oui.

M. Caire : Il est-u séquencé, le plan? C'est-u quinquennal? Je ne me souviens plus.

Mme Bacon (Nathalie) : C'est dans les règles.

M. Caire : Oui, c'est ça. Je vais vous trouver votre réponse, Mme la députée. Ce n'est pas un plan annuel, là.

(Consultation)

La Présidente (Mme D'Amours) : En attendant la réponse, est-ce qu'il y a une autre question, Mme la députée?

• (14 h 50) •

Mme Setlakwe : Non, non, c'est en lien avec le... juste comprendre le processus, là. Puis je comprends qu'on aura peut-être la discussion plus tard, là, quand on va discuter de l'établissement de ce portefeuille de...

M. Caire : Alors, c'est quadriannuel.

Mme Bacon (Nathalie) : C'est le 15 juin 2023, le premier, puis, après ça, aux quatre ans.

M. Caire : Aux quatre ans, c'est ça.

Mme Bacon (Nathalie) : Une révision chaque année, la stratégie aux quatre ans...

M. Caire : Le plan est aux quatre ans, mais la révision est annuelle.

Mme Setlakwe : O.K., mais ça, vous tirez ces détails-là d'un règlement?

Mme Bacon (Nathalie) : Oui, les règles sur... c'est les règles sur la planification...

Mme Bacon (Nathalie) : ...et la gestion des ressources informationnelles qui... qui sont prises en vertu de l'article 16.2 de la LGGRI. C'est l'arrêté ministériel n° 2022-03 et c'est l'article 3 et 4 de ces règles-là, précisément l'article 4.

Mme Setlakwe : Et pourquoi, ici, vous ne référez pas spécifiquement au portefeuille de projets prioritaires? Vous parlez de... d'initiatives de transformation numérique.

M. Caire : O.K. Oui, parce que... parce que, des plans de transformation numérique, certains projets seront... feront partie du portefeuille de projets prioritaires. Tous les projets présentés par les ministères et organismes ne seront pas du portefeuille de projets prioritaires, ce qui ne veut pas dire que les ministères et organismes ne pourront pas les réaliser, mais simplement qu'ils ne seront pas soumis aux mêmes obligations de priorité par rapport aux... aux ressources financières, matérielles et humaines dont dispose le ministère pour réaliser le projet.

L'idée, c'est... c'est de dire : Ces projets-là devront être réalisés prioritairement, mais pas uniquement ces projets-là. Il est possible, donc, s'il y a de la disponibilité pour faire d'autres projets qui ne seraient pas du portefeuille de projets prioritaires, mais qui pourraient quand même être réalisés par le ministère et l'organisme qui en aura la capacité, puis c'est de s'assurer qu'on ait vraiment à réaliser les projets qui sont des priorités gouvernementales.

Donc, là, on travaille à deux niveaux. Le premier niveau, c'est s'assurer de la conformité avec les orientations dès le départ, à la genèse, donc soit dans les plans de transformation numérique. Après ça, à travers ces... ces... ces plans-là, on extrait les projets qui sont... qui répondent à des priorités gouvernementales, donc on en fait un portefeuille de projets prioritaires. On va le voir à l'article suivant, Mme la Présidente, qu'il y a une obligation de prioriser ces projets-là par les ministres... les ministères concernés, mais ça ne veut pas dire que d'autres projets prévus au plan de transformation numérique ne pourront pas être réalisés si les ressources dont dispose le ministère le permettent.

Mme Setlakwe : Donc... Non, non. Mais ce... cet ajout-là, je pense que ça... ça va.

Dernier commentaire. Je regardais le mémoire de la Fédération des cégeps, eux constatent qu'on vient opérer un resserrement en matière de planification organisationnelle : «Le projet de loi vient retirer la possibilité pour un organisme de déterminer ses propres orientations.»

M. Caire : Non.

Mme Setlakwe : Non. C'est... c'est ce que vous... qu'on vient de discuter, là.

M. Caire : Non.

Mme Setlakwe : Non, parce qu'il va y avoir les projets prioritaires, mais ça ne ferme pas la porte à d'autres initiatives.

M. Caire : Ça ne ferme pas la porte, c'est... c'est de simplement s'assurer que les capacités ne sont pas dispersées au détriment des projets prioritaires. Ça ne veut pas dire qu'on ne peut pas réaliser d'autres projets que les seuls projets prioritaires.

Mme Setlakwe : Est-ce que le texte de loi est assez clair, dans ce cas-là?

M. Caire : Je pense que oui. Bon, c'est correct, j'ai compris.

Mme Setlakwe : Oui, vous jugez, Me Bacon, que c'est assez clair?

Mme Bacon (Nathalie) : Oui. Oui. Vous avez... Vous... vous êtes allée tantôt à l'article 13. Vous allez un petit peu plus loin, à l'article 16 de la LGGRI, vous avez tout... 16.1, qui est la planification des investissements en ressources informationnelles. Ça fait que vous avez... vous participez à cet exercice-là à chaque année avec l'étude des crédits, le PQI-RI, le Plan des... des dépenses et des investissements en ressources informationnelles, le PIDRI. Alors, tous les projets apparaissent au tableau de bord gouvernemental, et c'est une... une partie de ces projets-là qui vont constituer le portefeuille de projets prioritaires qui vont être consacrés à la transformation numérique de façon accélérée et prioritaire.

Mme Setlakwe : Non, mais je pense qu'on a peut-être... on a répondu à leurs craintes, là, que... On ne ferme pas la porte à des initiatives. On craint que les orientations qui seraient définies par le ministre dans sa volonté d'uniformiser les... les initiatives en transformation numérique ne tiennent pas compte de la réalité particulière de chaque catégorie d'organismes publics.

M. Caire : ...ça, parce que le plan demeure... la rédaction du plan demeure la prérogative de l'organisme, c'est l'organisme qui fait son plan. On ne... on... on ne va pas dire à l'organisme quelles sont les bonnes réponses aux... aux... aux enjeux de l'organisme. C'est justement pour ça que le plan, il émane de l'organisme. Donc, c'est à eux de nous dire c'est quoi, les solutions à leurs problèmes. À l'intérieur de ça, nous, évidemment... Mais c'est pour ça qu'on rajoute «en conformité avec les orientations», c'est parce qu'il ne faut quand même pas que ça soit complètement déconnecté de ce que l'ensemble du gouvernement veut faire. Donc, il faut qu'il y ait quand même...

M. Caire : ...harmonisation, mais l'harmonisation ne veut pas dire éteindre totalement l'initiative de l'organisme en question.

Mme Setlakwe : Très bien. Est-ce qu'eux ils avaient autre chose? Permettez-moi juste quelques instants. Autonomie décisionnelle. Parce que dans le fond, ce qu'eux mettent de l'avant, c'est probablement ce qui préoccupe les autres organismes.

M. Caire : Tout à fait. C'est une question légitime.

Mme Setlakwe : Je pense que c'est tout à fait légitime. Mettre spécifiquement de l'avant le fait qu'un organisme public dans le milieu de l'éducation ne peut pas se comporter comme un organisme public faisant partie de l'éventail de l'administration gouvernementale. Impossible de substituer une réalité par une autre. Vous êtes sensible à ça.

M. Caire : Tout à fait, puis c'est vrai pour les cégeps, c'est vrai pour d'autres organismes du gouvernement. C'est pour ça que l'initiative doit émaner de l'organisme et non pas de l'entité centrale qu'est le ministère. Le ministère prend acte de ce qui lui est proposé par les différents organismes. Maintenant, dans une vision d'ensemble, le ministère va dire : Bien, O.K. Voici ce qui répond aux priorités gouvernementales. Voici ce qu'on va prioriser. Vous devez le prioriser, mais ce n'est pas totalement exclusif sur d'autres initiatives qui répondent... Puis ce que le gouvernement va prioriser, généralement, c'est ce qui sert le plus grand ensemble, le plus grand nombre. Donc, même là, dans les priorités gouvernementales, ça ne veut pas dire que l'organisme va être exclu de ça, puis que l'idée de la priorisation, c'est qu'est ce qui sert, qu'est ce qui sert le mieux l'ensemble.

Mme Setlakwe : Mais qu'est-ce qui sert le mieux l'ensemble? Il y a parfois, j'imagine, des... des projets particuliers qui sont tout aussi importants, peut-être pour l'organisme. Il faudrait... Il ne faut pas leur fermer la porte.

M. Caire : Tout à fait. Et ce n'est pas... Et ce n'est pas exclu parce qu'ils les mettront dans leur plan de transformation numérique. Donc, si c'est vraiment une solution locale à un problème local, bien, la solution sera locale. Donc, ça ne deviendra jamais un projet prioritaire du gouvernement parce que c'est très localisé. Ça ne veut pas dire que l'organisme ne pourra pas le réaliser.

La Présidente (Mme D'Amours) : D'autres commentaires?

Mme Setlakwe : Non, ça va, ça va vraiment pour cet article-là.

La Présidente (Mme D'Amours) : Merci. L'article 6 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 7, M. le ministre, s'il vous plaît.

M. Caire : Oui, Mme la Présidente. Article 7 : Cette loi est modifiée par l'insertion, après l'article 12.8...

«12.8.1. Le ministre propose annuellement au gouvernement, dans les 60 jours suivant le dépôt à l'Assemblée nationale du plan des investissements et des dépenses en matière de ressources informationnelles et des organismes publics visés à l'article 16.1, un portefeuille de projets prioritaires en ressources informationnelles afin que soit établies les priorités gouvernementales au regard des initiatives de transformation numérique des organismes publics. Sous réserve de l'obtention des autorisations requises conformément à la présente loi, un organisme public doit prioriser la réalisation de tout projet visé par les priorités gouvernementales dont il est responsable. Le ministre peut prendre une directive pour préciser les orientations quant aux critères de priorisation des projets en ressources informationnelles des organismes publics et établir les règles visant à assurer une gouvernance centralisée de la gestion des portefeuilles... de la gestion de portefeuille, pardon, des projets prioritaires, entre autres en ce qui concerne le suivi des projets.

«Une directive prise en vertu du présent article doit être approuvée par le gouvernement et est applicable à la date qui y est fixée. Une fois approuvée, elle lie les organismes publics concernés, et les règles qu'elle établit s'ajoutent à celles qui leur sont déjà applicables en vertu de la présente loi, notamment en matière de reddition de comptes et de vérification.»

«12.8.2. Le ministre présente au gouvernement, au moment qu'il juge opportun, la consolidation des états d'avancement des projets en ressources informationnelles des organismes publics visés par le portefeuille de projets prioritaires.»

• (15 heures) •

Donc, Mme la Présidente, bien, pour faire court, c'est... La notion de portefeuille de projets prioritaires existait déjà. Ce qu'on vient ajouter à cette notion-là, d'une part, c'est que moi, j'ai le mandat de présenter... Bien, je l'ai encore. Le ministre de la Cybersécurité et du Numérique a le mandat de présenter au gouvernement le portefeuille de projets prioritaires, qui va l'accepter ou non. Mais s'il est accepté, bien, les projets qui sont priorisés font en sorte que les organismes visés doivent prioriser ces projets-là. Donc, ça veut dire que les ressources matérielles, les ressources humaines et les ressources financières qui doivent être consenties pour la réalisation seront consenties. On dit «sous réserve des autorisations» parce qu'évidemment, si ça implique, par exemple...


 
 

15 h (version non révisée)

M. Caire : ...une augmentation des ETC, bien, ça demeure une... une prérogative du Conseil du trésor, par exemple, d'autoriser ou non un nombre d'ETC supplémentaire. Donc, c'est toujours sous réserve des pouvoirs qui sont ceux... Par exemple, là, ici, c'est le Conseil du trésor puis ça pourrait être au niveau du PQIRI en matière de financement des ressources informationnelles, et ça permet, après ça, bien, de prendre certaines directives pour s'assurer au niveau de la centralisation de la... et des suivis des projets. Donc, il n'en demeure pas moins que le ministre de la Cybersécurité, même si le projet est réalisé par un autre ministère, le ministre de la Cybersécurité et du Numérique a quand même certains pouvoirs pour s'assurer du suivi des projets, s'assurer de la reddition de comptes, s'assurer que le projet, il est... il suit les orientations du gouvernement, etc. Donc, ça donne un pouvoir de contrôle et de surveillance supplémentaire au ministre de la Cybersécurité et du Numérique.

Maintenant, ces règles-là doivent être approuvées par le règlement, parce qu'elles vont assujettir le ministère concerné. Donc, évidemment, ça prend l'autorité, la plus haute autorité étant au Conseil des ministres, pour assujettir un ministère à différentes règles. Et ça ajoute l'obligation pour le ministre de la Cybersécurité et du Numérique de présenter l'avancement des projets au Conseil des ministres pour s'assurer que le portefeuille de projets prioritaires, bien, les priorités sont respectées.

Mme Setlakwe : Ça, c'est un des articles les plus importants, là.

M. Caire : Je trouve aussi, je ne vous obstinerai pas beaucoup là-dessus.

Mme Setlakwe : Annuellement, dans les 60 jours suivants le dépôt à l'Assemblée nationale du plan, les investissements et dépenses, vous proposez un portefeuille de projets prioritaires. Sur la base de quels critères? Sur la base de quels critères? Comment vous allez déterminer, là, tu sais, qu'est-ce qui est pour le bien commun?

M. Caire : O.K., Bien, premièrement...

Mme Setlakwe : Qu'est-ce que vous avez en tête dans...

M. Caire : Oui, tout à fait. Premièrement, évidemment, c'est en fonction du fait que c'est dans les plans de transformation numérique des ministères et organismes. Ensuite, lorsqu'on fait l'analyse, bien, d'abord, quelles sont les priorités du gouvernement? Ça, c'est le discours d'ouverture du premier ministre qui fixe les orientations de son gouvernement. Donc, ça, c'est le premier critère. Le deuxième critère, c'est la valeur technologique. Est-ce qu'il y a une plus-value dans le projet? Je vous donne un exemple. On a un besoin, par exemple, totalement au hasard, là, évidemment, on a un besoin de gestion d'immeuble au niveau du réseau de l'éducation. Bien, on se dit : Il n'y a pas juste le réseau de l'éducation qui fait de la gestion d'immeuble. Est-ce qu'il y aurait moyen de mutualiser avec quelque chose d'autre qui... d'existant, avant de se lancer dans un projet? Donc, est-ce qu'il y a une valeur technologique à ce que vous faites? Est-ce que l'acquisition qui est proposée, on parle du... Mme la députée, on parle du DSM? Bon, bien, est-ce que l'acquisition qui est proposée... est-ce que la valeur technologique est vérifiable? Dans le sens où est-ce qu'on achète une solution qui est périmée ou qui est en voie d'être périmée? Est-ce qu'on achète quelque chose qui va évoluer dans le temps? Alors, on va évaluer la valeur technologique.

Et finalement, on a adopté au ministère un cadre de gestion des bénéfices. On a travaillé en collaboration avec l'ENAP, développer des formules qui vont nous permettre de dire : Bon, bien, quels sont les bénéfices puis quels peuvent être les bénéfices? Bien, est-ce qu'il y a une augmentation de l'efficacité? Est-ce qu'on diminue le temps de traitement de la prestation de services? Est-ce qu'on diminue le nombre d'erreurs? Est-ce qu'on diminue le nombre de ressources humaines nécessaires pour la prestation de services? Est-ce qu'on augmente la capacité à fournir le service? Donc, il y a une série de mesures, de calculs comme ça, pour lesquels on est capable de mesurer quels sont les bénéfices attendus du projet. Chacun de ces éléments-là va donner une espèce de pointage. Puis, au final, ceux qui auront le plus de bénéfice global vont dire : Bien, ça, c'est un projet à prioriser par rapport à d'autres projets qui ont moins de bénéfices.

Mme Setlakwe : Merci. Vous avez touché au DSM puis à la valeur technologique. Est-ce que vous êtes capable de vous prononcer aujourd'hui sur... Je comprends qu'il y a eu un appel d'offres, puis il y a même eu, je pense... il a été repris, là, à deux reprises, en tout cas, plus d'une fois, parce que je pense qu'il n'y avait pas de soumissionnaire la première fois. Finalement, c'est connu, là, c'est epic.

M. Caire : Oui...

Mme Setlakwe : ...qui a gagné le contrat qu'il y a eu. Et quelle est votre appréciation de la valeur... de ce produit-là, sachant qu'il y a eu des difficultés dans d'autres juridictions?

M. Caire : C'est-à-dire, puis je vais digresser un peu avec votre permission, Mme la Présidente, parce que vous avez raison, qu'ils ont eu des difficultés à la genèse du produit. Aujourd'hui, pour avoir eu des discussions avec mon homologue de l'Alberta sur l'implantation de ce système-là, ils en sont extrêmement satisfaits. Ils ont augmenté la performance de leur réseau de la santé de façon extrêmement significative. J'ai eu l'occasion, parce qu'on a eu une rencontre des ministres responsables de la transformation numérique... du Canada. Donc, on était à Niagara Falls, il n'y a pas longtemps, pour discuter, normalement, de cybersécurité, mais moi, j'ai eu cette discussion-là avec le ministre responsable pour l'Alberta. Ils sont très, très, très satisfaits. Et d'ailleurs on a établi des liens avec eux, là, pour voir comment ils avaient fait l'implantation puis le déploiement du système, la gestion et la maintenance, donc bénéficier de leur expérience.

Donc, dans un contexte d'un système de santé similaire au nôtre, ce système-là donne entière satisfaction au gouvernement albertain.

Mme Setlakwe : O.K. Je n'avais pas réalisé qu'ils étaient des utilisateurs d'un système. Donc, ils ont leur Dossier santé numérique, eux.

M. Caire : Ils ont déployé le système Epic, comme nous souhaitons le faire, eux, c'est fait, puis les gains d'efficacité sont significatifs.

Mme Setlakwe : Ça fait combien de temps qu'ils ont fait ça?

M. Caire : C'est une bonne question. Ça fait un certain temps déjà... bien, un certain temps. J'irai vous chercher la réponse pour ne pas dire de niaiserie, là. Mais, chez eux, c'est entièrement déployé.

Mme Setlakwe : O.K.. Donc là, vous avez élaboré les critères. Bien, vous en avez parlé, je pense que ça a été bien expliqué. Donc, vous proposez un portefeuille afin que soient établies les priorités gouvernementales, au regard des initiatives de transformation numérique des organismes publics. Ça, ça va. Donc, vous allez en parler avec vos collègues puis vous allez élaborer ce portefeuille.

M. Caire : C'est ça. En fait...

Mme Setlakwe : On a parlé de la suite, là, de la séquence.

M. Caire : C'est ça. Je fais une proposition. Le Conseil des ministres est libre évidemment de l'accepter tel quel, de ne pas l'accepter, de me demander des modifications. Donc, ça reste la prérogative du Conseil des ministres, mais une fois que c'est adopté, ça devient le portefeuille des projets à prioriser pour le gouvernement.

Mme Setlakwe : Et puis là, dans les faits, là, ce serait quand, au plus tard?

M. Caire : Bien, en fait, évidemment, il faut... Je ne peux pas présumer de l'adoption de la loi. Mais...

Mme Setlakwe : Grosso modo, là?

M. Caire : Non, mais vous comprendrez que j'ai une réserve élémentaire. Mais la loi est adoptée, admettons, là, théoriquement, on adopte la loi dans les prochains jours, on met ça en application, normalement, on... le dépôt, à l'Assemblée nationale, des investissements, des dépenses, se fait au printemps, donc, 60 jours après, je vais présenter un portefeuille de projets prioritaires. C'est parce que l'idée, évidemment, c'est de recevoir les enveloppes aussi au PQI RI. Donc, moi, je ne peux pas présumer de ce que, par exemple, mon collègue des infrastructures va faire au niveau du PQI, qu'est-ce qui sera attribué comme enveloppe, donc je ne peux pas le présumer, donc je dois attendre de savoir quelle est l'enveloppe qui est réservée aux ressources informationnelles. Puis après ça, en fonction de l'enveloppe, là je peux établir le portefeuille des projets prioritaires.

Mme Setlakwe : Mais là, vous devez avoir une idée?

M. Caire : Oui, oui. Bien, en fait, je sais...

Mme Setlakwe : Je suis certaine que vous avez une ébauche en quelque part.

• (15 h 10) •

M. Caire : Non, absolument. Mais on a... c'est sûr qu'on... au moment où on se parle, le ministère a déjà commencé à regarder les projets, puis a déjà commencé à faire des évaluations, puis a déjà commencé à constituer une ébauche. Sauf que, ne sachant pas quels seront les montants au PQI RI, en ressources informationnelles, qui seront alloués par le ministre responsable des infrastructures, je ne peux pas établir un portefeuille formel. Parce que dépendamment des montants qui seront octroyés, bien, je peux faire tel, tel, tel projets, puis, si j'en ai moins, bien, celui-là,  je ne peux pas le faire, ou celui-là, je l'aurais fait, mais il est trop coûteux, ça fait que je vais peut-être en faire un peu plus puis... Vous comprenez? Là, on va jouer avec les projets en fonction des montants qu'on va avoir.

Mme Setlakwe : Je comprends. Mais le thème numéro un, est-ce que ce serait santé?

M. Caire : Bien oui.

Mme Setlakwe : Évidemment.

M. Caire : Clairement. Puis je vous dirais : santé...

M. Caire : ...vous ne vous trompez pas.

Mme Setlakwe : Et puis ce sera quoi, votre rôle, au niveau, là, du déploiement de DSM? Puis on le sait que c'est commencé, il y a des projets pilotes. Puis, tout à l'heure... bien, en fait, plus tôt aujourd'hui, quand j'ai mis de l'avant le délai de trois à cinq ans, vous sembliez trouver que c'était beaucoup trop long. Comment est-ce que... Est-ce que vous avez une mise à jour? Moi, en fait, la dernière fois que j'en ai parlé, c'était avec le ministre de la Santé il y a quelque temps.

M. Caire : Avec respect, Mme la députée, je vais laisser mon collègue de la Santé faire les annonces sur ses projets. Je vais répondre à votre question, qui est tout à fait légitime : Quel est mon rôle? Alors, mon rôle, d'une part, c'est d'évaluer la valeur technologique. Mon rôle, c'est... Là, la précision que je vais apporter, c'est que mon collègue responsable des Infrastructures donne une enveloppe globale. Donc, il me dit : Cette année, en ressources informationnelles, je mets... dans le PQI-RI, je vais mettre 700 millions, mettons. Alors, à partir de là, c'est la prérogative du ministère de la Cybersécurité et du Numérique de dire comment, ce 700 millions là, je vais le ventiler, à quels projets je vais attribuer des sommes au PQI-RI. Ça, c'est nous qui le décidons. Mon collègue dit : Voici, toi, tu as... ça, c'est ton enveloppe, puis arrange-toi avec. Mais c'est lui qui décide c'est quoi, le montant de l'enveloppe. Après ça, c'est au ministère qu'on décide : O.K., comment on en fait la répartition?

Donc, dans le cas du DSM, bien, vous comprendrez qu'il fallait répondre aux demandes financières au PQI-RI. Donc, ça, c'est un rôle qu'on a joué. On a évalué la valeur technologique. Vous m'avez posé une question tout à l'heure : Est-ce que vous pensez que ce produit-là est un bon produit? Bien, c'est évident que le ministère de la Cybersécurité s'est prononcé en support à nos collègues. Parce que ce que je vous ai dit tantôt demeure. Je veux dire, ce n'est pas au ministère de la Cybersécurité et du Numérique de dire au ministère de la Santé et des Services sociaux comment répondre à ses besoins. Ce sont eux, les experts, ce sont eux qui savent de quoi ils ont besoin.

Nous, on peut évaluer la valeur technologique. Nous, on peut évaluer la pérennité du système. Est-ce que, dans le temps, c'est un système qui peut évoluer? Si oui, de quelle façon... Bon, ça, on peut évaluer ça. Est-ce que, financièrement, le projet est viable? On va faire les... On a, chez nous, Mme Munger, qui est sous-ministre adjointe à la gouvernance et au financement. Donc, eux vont faire l'évaluation de la viabilité du projet. Donc, ça, c'est une évaluation qu'on fait. On donne notre... bien, notre autorisation... on donne notre recommandation ou non, donc. Et on est... évidemment, on a un représentant sur le comité de gouvernance du ministère, là, parce qu'on collabore avec le MCN... le MSSS. Mais le MSSS demeure le maître d'oeuvre de son projet.

Mme Setlakwe : O.K. Donc, vous êtes déjà impliqués à certaines étapes, que vous venez d'énoncer?

M. Caire : Absolument. On va être impliqués à toutes les étapes, mais on est toujours dans un rôle de support. Moi, je vous dirais... Puis l'expérience aussi, c'est que vous voulez que les lignes d'affaires continuent d'être maîtres d'œuvre de leur projet. Parce que le jour où c'est les technologies qui prennent le contrôle, bien, ça... le risque qu'on ne réponde pas efficacement aux besoins des lignes d'affaires est grand, là.

Mme Setlakwe : Oui. Et donc vous êtes en support?

M. Caire : Oui.

Mme Setlakwe : Mais, tu sais, j'essaie toujours de situer ça.

M. Caire : Ah! bien, on est en support...

Mme Setlakwe : Support, exercer le leadership... C'est quand même de la transformation numérique.

M. Caire : Oui, bien, on est en support dans certains... Sur certains aspects, on assume une autorité. Comme je vous dis, sur la valeur technologique, on s'est prononcés, il y a une recommandation. Est-ce que la valeur technologique, elle est là, est-ce qu'elle est au rendez-vous? Est-ce que les bénéfices attendus sont suffisants? Donc, ça, le ministère va se prononcer là-dessus. Est-ce qu'on alloue, oui ou non, les sommes au PQI-RI à ce projet-là? Alors, ça, c'est nous qui avons cette décision-là à prendre.

Mais sur, bon, les appels d'offres, c'est le ministère qui s'en occupe. Le ministère va trouver un intégrateur. Je veux dire, nous, on ne fait pas de l'intégration. C'est correct, il va se trouver un intégrateur. Vous disiez que le ministre s'est adjoint un spécialiste en technologie. Ils vont trouver un intégrateur. On va même peut-être bénéficier, puis je l'espère, en tout cas, de l'expertise de l'Alberta. Donc, on veut se donner quand même tous les moyens pour s'assurer que ce projet-là est un projet qui va être un succès, là. Vous comprendrez qu'on aime mieux quand ça marche que quand ça ne marche pas, là.

Mais le ministère... Il y a certains aspects où le ministère est décisionnel, mais, de façon globale, le ministère, il est en soutien à ce que les autres ministères vont faire, parce que les...

M. Caire : ...puis moi, je crois fortement à ça, les ministères doivent demeurer responsables et en contrôle de leurs projets, parce que c'est eux qui connaissent leurs besoins, c'est eux qui savent. Tu sais, ce n'est pas à moi à dire à un médecin comment... Qu'est-ce qui répond à ses besoins. Je peux lui faire des suggestions, je peux lui offrir des produits, je peux l'aider à intégrer ces produits-là, je peux lui... Peut-être lui montrer des choses qui existent qu'il ne savait pas, je peux faire tout ça, mais au final, c'est lui, l'utilisateur, là, c'est lui qu'il faut qu'il soit confortable avec le produit puis qu'il dise : O.K., ça, ça répond à mes besoins puis ça m'aide à être plus efficace.

Puis il a été un temps où les technologies avaient un contrôle plus grand, puis ça n'a pas donné des bons résultats, là. Moi, j'ai vu ça, des supersystèmes qui sont morts au cimetière, des systèmes pas utilisés, parce que, justement, oui, c'était super, tu sais, pour nous autres, les technologies, c'était superintéressant, mais pour l'utilisateur : qu'est-ce que tu veux que je fasse avec ça.

Mme Setlakwe : Mais, le besoin... Non, je comprends ce que vous dites, là, il faut qu'ils soient impliqués. Je ne suis pas en train de dire qu'il faut les sortir, ils sont les maîtres d'œuvre, mais il faut qu'il y ait cette... je ne sais pas si c'est un support ou un soutien, mais il faut qu'il y ait, au fur et à mesure des étapes d'avancement, une révision puis une approbation.

M. Caire : Mais on est d'accord. C'est pour ça qu'on veut s'assurer que, quand il y a un plan de transformation, il est en conformité avec les orientations, c'est pour ça qu'on veut s'assurer qu'au niveau de la cybersécurité il y a des choses qui vont être faites. Parce qu'il faut répondre aux bonnes pratiques en cybersécurité, ça, c'est notre responsabilité, ça, c'est le rôle qu'on doit assumer. C'est pour ça qu'on veut s'assurer que, quand on fait un déploiement, bien, il y a quand même des standards à respecter, il y a des... il y a les règles de l'art qui doivent être respectées. Et ça, on est là. On est là, on est là. Quand on parle d'utilisation des services pour s'assurer d'une uniformisation, on est là.

Je suis d'accord avec vous, là, le ministère a un rôle à jouer, puis c'est de s'assurer que les bonnes pratiques sont mises en place, et ça, ça doit se faire en collaboration avec le ministère concerné, pour s'assurer qu'ultimement le système doit répondre à ces besoins. Mais je suis à la même place que vous. Puis je vous dirais que les modifications que je demande à l'Assemblée nationale visent à mieux encadrer, mieux définir puis donner plus d'outils pour être capables de faire ça.

Mme Setlakwe : Tu sais, c'est sûr que c'est des... c'est les utilisateurs, vous avez parlé des médecins, des professionnels qui oeuvrent dans le réseau, qui savent ce qu'ils vont avoir besoin, tu sais, ce qu'ils veulent voir se retrouver dans le fameux...

M. Caire : DSN.

Mme Setlakwe : Oui, du DSN, mais c'était le système de dépôt, là, mais bon, c'est le DSN?

M. Caire : Oui, oui.

Mme Setlakwe : Mais après ça, une fois qu'eux disent : Bien, voici le contenu, voici ce que j'ai besoin, mais là, ça prend... On n'est plus dans l'expertise médicale, là, on est dans...

M. Caire : Non, on est dans les standards. Puis c'est pour ça, par exemple, on va prendre... on prend une directive pour dire : Bien, quand vous achetez un système comme ça, il ne devrait pas y avoir de personnalisation, parce que ça déstabilise le système, parce que ça empêche l'évolution du système, ça empêche les mises à jour, alors, si vous voulez avoir une personnalisation, parce que le système ne répond pas entièrement à vos besoins, trouvez-vous une autre application, puis, à travers des API, connectez le système plus personnalisé au système général. Mais on ne personnalise pas un système général. C'étaient des pratiques qui existaient qui n'existeront plus. Parce qu'on prend ce genre de directive là pour établir ça comme des normes, ça ne se fait pas, voici la bonne pratique, la bonne pratique, c'est. O.K., ça se peut, là, que le système, il ne réponde aux besoins de tout le monde, je veux dire, c'est possible, surtout en santé, il y a quand même plusieurs complexités, là, puis c'est difficile de faire un système qui réponde à tout ça, mais il y a une façon de répondre à cette situation-là sans toucher au système général, qui est une mauvaise pratique. Donc, ça, c'est là où le ministère, il a un rôle de dire : On ne fait pas ça, c'est interdit de faire ça, vous ne pouvez pas faire ça, voici la bonne pratique.

• (15 h 20) •

Mme Setlakwe : est-ce qu'il est déjà au dossier, l'intégrateur...

M. Caire : Là-dessus, je ne pourrais pas vous... Puis, c'est pour ça, je vous dis : je vais laisser mon collègue répondre à ces questions-là. Honnêtement, là-dessus, je ne pourrais pas vous dire.

Mme Setlakwe : Mais généralement, là, tu sais, on prend un pas de recul. On en est... Puis je sais, là, que le maître d'œuvre, c'est le MSSS. Mais on avait déjà parlé, vous et moi, du fait qu'il y avait deux projets pilotes. Puis, quand on étudiait le PL trois...

Mme Setlakwe : ...projets pilotes n'avaient pas encore... Je pense que les appels d'offres étaient en cours, mais il n'y avait pas eu de...

M. Caire : ...appels d'offres...

Mme Setlakwe : Les projets n'étaient pas... ils n'avaient pas démarré encore. Là...

M. Caire : Non, parce qu'ils venaient de choisir le système. Honnêtement, je pourrai vous faire une mise à jour, Mme la députée, ça me fera plaisir, mais je ne voudrais pas vous induire en erreur, là, je ne sais pas exactement où on en est rendu dans le déploiement, là, mais je sais que, si ce n'est pas commencé, ça ne sera pas très long avant que les projets pilotes commencent.

Mme Setlakwe : O.K. Donc... Parfait. Donc, vous allez établir votre portefeuille de projets prioritaires. On a compris que tout ça dépend des enveloppes disponibles. Et puis donc, tu sais, là, il y a beaucoup d'énergie, beaucoup de ressources, beaucoup de fonds qui vont être alloués vers ces priorités-là, mais on s'entend que, s'il y a un changement de gouvernement, bien, on peut revenir à la case départ.

M. Caire : Ça peut être un changement de priorité. C'est la prérogative du nouveau gouvernement...

Mme Setlakwe : C'est toujours comme ça, oui.

M. Caire : ...d'établir son portefeuille de projets prioritaires.

Mme Setlakwe : Puis, en éducation, vous avez été impliqué de la même façon qu'en santé?

M. Caire : Oui. Tout à fait. Toujours dans le respect, là, de la discussion qu'on vient d'avoir... Éducation nous fait valoir ses... quelles sont les bonnes solutions à ses problèmes. Mais, pour nous, c'est de s'assurer que la solution, elle est technologiquement viable.

Mme Setlakwe : O.K. Donc, ensuite : «Sous réserve de l'obtention des autorisations requises conformément à la présente loi, un organisme doit prioriser, il a obligation, la réalisation de tout projet visé par les priorités...», ça va de soi, une fois qu'on a établi qu'il y avait des projets prioritaires. Et le troisième alinéa, vous pouvez prendre «une directive pour préciser les orientations quant aux critères de priorisation des projets en ressources informationnelles, établir les règles visant à assurer une gouvernance centralisée de la gestion, entre autres en ce qui concerne le suivi...». Ça, on est dans du droit nouveau, là, ça, ce n'est pas un libellé...

Mme Bacon (Nathalie) : ...

Mme Setlakwe : Oui.

Mme Bacon (Nathalie) : Oui. La Loi sur les infrastructures publiques pour tout ce qui concerne le PQI, je peux vous dire l'article. L'article 11, je pense.

Des voix : ...

M. Caire : J'entends des voix, Mme la Présidente.

Des voix : ...

Mme Bacon (Nathalie) : 18. 18, paragraphe... deuxième alinéa, paragraphe 2°.

M. Caire : Article 18 de la Loi sur les infrastructures publiques.

Mme Bacon (Nathalie) : ...les projets en ressources informationnelles ne sont pas assujettis à la Loi sur les infrastructures publiques, sauf dans une certaine mesure, le temps de dresser l'ensemble du PQI. Puis, dans cette section-là, ce sont les pouvoirs du Conseil du trésor, l'article 18, ça fait qu'on a fait un miroir pour le ministre de la Cybersécurité, oui.

Mme Setlakwe : Merci. «Directive...»... Là, je suis à la fin : «la directive prise en vertu du présent article doit être approuvée par le gouvernement et est applicable à la date qui est fixée. Une fois approuvée, elle lie les organismes publics concernés et les règles qu'elle établit s'ajoutent à celles qui leur sont déjà applicables». O.K., ça me semble...

Une voix : ...

Mme Setlakwe : Oui, on a repris ça, ce texte-là aussi est repris. Merci.

La Présidente (Mme D'Amours) : Merci, Mme la députée. L'article 7 est-il adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 8, M. le ministre, s'il vous plaît.

M. Caire : Oui, Mme la Présidente. Donc, l'article 19... pardon. L'article 12.9 de cette loi est modifié :

1° par l'insertion, après le paragraphe 3°, du suivant :

«3.1° maintenir à jour une consolidation des états d'avancement des projets en ressources informationnelles des organismes publics visés par le portefeuille de projets prioritaires;»;

2° par la suppression du paragraphe 5°.

Donc, Mme la Présidente, l'article 8 du projet de loi prévoit que le chef gouvernemental de la transformation numérique assume la responsabilité de maintenir à jour une consolidation des était d'avancement du projet en ressources informationnelles visées par le portefeuille de projets prioritaires.

Et le paragraphe 2° : l'article 8 du projet de loi est une modification de concordance en lien avec l'article 9 du projet de loi qui suit.

La Présidente (Mme D'Amours) : Y a-t-il des commentaires sur l'article 8?

Mme Setlakwe : Oui. Bien là, je venais juste de relire tout ça à ma collègue...

Mme Setlakwe : ...pas vraiment poser de questions sur le changement qui a été fait à 12.8.2, puis c'est mon erreur, mais là, ici, on revient sur l'état d'avancement. Est-ce que vous me permettez de poser une question qui était en lien avec les deux, là?

Donc, vous présenter au moment qu'il juge opportun... que vous jugez opportun la consolidation des états d'avancement. Comment vous allez faire le tri? Est-ce que vous êtes vraiment bien placé pour les évaluer? C'est un petit peu «lousse», là. Comment vous faites pour assurer qu'il y ait une prévisibilité, là? Comment ça va fonctionner tout ça, là, ce nouveau régime-là de...

M. Caire : ...vous parlez par rapport au portefeuille de projets prioritaires?

Mme Setlakwe : Oui. Oui, oui, parce qu'on continue de parler de l'état d'avancement, là, puisque vous devez maintenir à jour. Donc, dans la séquence comment ça va fonctionner la mécanique pour...

M. Caire : Bien, en fait, on a déjà, nous, un système de suivi des projets qui existe à l'interne, le SIGRI, le système intégré de gestion en ressources informationnelles, qui nous donne un tableau de bord de l'état d'avancement des ressources informationnelles.

Là, ce qu'on vient faire... Puis je vais faire... Avec votre permission, je vais faire 12.8, 12.9 en même temps. Donc là, on vient donner cette responsabilité-là de la mise à jour de l'état d'avancement au chef gouvernemental de la transformation numérique.

Donc, à partir de cet état d'avancement là, moi, je vais regarder les projets qui sont du portefeuille de projets prioritaires et je vais faire une reddition de comptes au Conseil des ministres. Je vous dirais que l'objectif de ça et... Bon, l'article 12.9, c'est un état général, un état général des lieux que... pour lequel on donne la responsabilité nommément au chef gouvernemental de la transformation numérique. Dans le cas du portefeuille de projets prioritaires, c'est de donner au Conseil des ministres les outils pour s'assurer du suivi des projets qu'il aura déterminés comme étant des priorités du gouvernement. Et donc, à partir de là, c'est le Conseil des ministres qui va être capable de dire : Bon, bien, ce projet-là, il avance bien, ce projet-là n'avance pas. Pourquoi? Puis le ministre concerné par le projet, le ministre X : Qu'est-ce qui se passe? Pourquoi ce projet-là n'avance pas comme... Puis toi, le ministre de la Cybersécurité, qu'est-ce que tu fais? Puis là cette discussion-là, elle se fait au Conseil des ministres, mais seulement pour les....

Donc, 12.8, c'est... on dit : Ça, ça se fait au Conseil des ministres. 12.9, on dit : Bien, ça reste que l'outil du suivi des projets gouvernementaux, il a la responsabilité de faire cette consolidation-là, cette mise à jour là, puis de s'assurer d'avoir l'information consolidée. On donne la responsabilité, nommément, au chef gouvernemental de la transformation numérique. Mais ici, 12.9, on parle de tous les projets. 12.8, on parle des projets qui sont du portefeuille de projets prioritaires. Puis le niveau de reddition de comptes n'est pas le même, parce que 12.9, c'est une reddition de comptes qui se fait au ministre de la Cybersécurité et du Numérique. 12.8, c'est une reddition de comptes qui se fait au Conseil des ministres.

Mme Setlakwe : Puis vous le faites, à 12.8, au moment que vous jugez opportun?

M. Caire : Oui, bien, c'est parce qu'il faut qu'il y ait quand même un état d'avancement, d'une part. D'autre part, je vous dirais que je vais faire le suivi... moi, je fais le suivi des projets prioritaires. Admettons qu'il y a un projet pour lequel la priorité n'est peut-être pas suffisante. Ça me donne l'opportunité d'aller au Conseil des ministres, d'apporter l'état d'avancement puis dire : Bien, ça, ça n'avance pas au rythme où ça devrait avancer. Donc, je rapporte à l'autorité en la matière le fait qu'il y a peut-être un projet qui ne va pas au rythme où il devrait aller, par rapport au fait qu'il est une priorité du gouvernement.

• (15 h 30) •

La Présidente (Mme D'Amours) : J'ai quelque chose à vous dire. C'est que, bon, vous avez consenti à une question pour le 12.8, mais, s'il y a un débat là-dessus, moi, je suis obligée de rouvrir l'article 7. Donc, est-ce qu'il va y avoir un débat additionnel? Non?

Mme Setlakwe : Non, c'était juste pour comprendre.

La Présidente (Mme D'Amours) : Pour comprendre. Ça fait que donc, je vous ramène à l'article 8, s'il vous plaît. Merci.

Mme Setlakwe : O.K., comment vous faites... Dans la séquence... Ensuite, comment est-ce que... Comment vous faites le lien avec le tableau de bord des projets en ressources informationnelles?

M. Caire : Le tableau de bord... la mise à jour du tableau de bord se fait par les organismes qui ont la responsabilité de réaliser le projet. C'est eux qui doivent...


 
 

15 h 30 (version non révisée)

M. Caire : ...le tableau de bord à jour. Ils doivent le mettre à jour minimalement annuellement et ils doivent le mettre à jour lorsqu'il y a un changement par rapport à la situation. Donc, si par exemple le projet, oups, on se rend compte que le projet, avec les données qu'on a, a pris du retard, il faut mettre à jour le projet et après ça, nous, on voit le résultat de ça. Maintenant, ce que le chef gouvernemental va faire, c'est une consolidation de tout ça. Et là, c'est... lui, ça lui donne, compte tenu qu'il est le responsable de la transformation numérique, ça lui donne l'autorité pour agir auprès des organismes pour lesquels des projets pourraient présenter des difficultés.

Mme Setlakwe : O.K. Et pourquoi on supprime déjà le paragraphe 5° sur les stratégies?

Une voix : ...

M. Caire : Ouais, c'est parce qu'on le met à l'article 9. C'est une réécriture, ça, Mme la députée. On va, le... On va l'amener au niveau de l'article 9. Là, on est dans la légistique.

Mme Setlakwe : Ah! On fait juste le déplacer.

M. Caire : C'est ça.

Mme Setlakwe : Merci.

La Présidente (Mme D'Amours) : Merci. Et que l'article 8 est adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : L'article 9, M. le ministre, s'il vous plaît.

M. Caire : Mme la Présidente, l'article 9 se lit comme suit : L'article 12.12 de cette loi est modifié par l'insertion, après le paragraphe 8°, du premier alinéa, du paragraphe suivant :

«8.1°. Proposer au ministre des stratégies pour favoriser l'approche de gouvernement ouvert et voir à la mise en œuvre de celle-ci.»

Donc, on vient changer, la responsable... de qui assume la responsabilité du gouvernement ouvert parce qu'on a évidemment le... la gestionnaire, parce que c'est une gestionnaire de la donnée numérique gouvernementale. Et compte tenu du fait que la donnée ouverte, ça reste de la gestion de données, on transfère cette responsabilité-là, qui était au chef gouvernemental de la transformation numérique, à la gestionnaire de la donnée numérique gouvernementale. Donc, c'est plus dans son créneau à elle de gérer et de gérer la donnée.

La Présidente (Mme D'Amours) : Commentaires sur l'article 9?

Mme Setlakwe : Oui. Écoutez, je m'excuse, c'est juste le libellé : Approche de gouvernement ouvert?

M. Caire : Oui. Bien, parce que, bon, le gouvernement du Québec, depuis 2020, on est membre du Partenariat pour le gouvernement ouvert, ce qui nous amène un certain nombre d'obligations en matière de transparence et en matière de gestion de la donnée ouverte. On a adopté récemment la stratégie du gouvernement ouvert. Donc, on veut aller vers une augmentation de la disponibilité de la donnée ouverte. Donc, la donnée qui est rendue disponible à l'ensemble de la population de la planète, libre de droits, libre d'accès.

Mais ça, évidemment, ça nous amène quand même, je dirais, à un processus de classification de la donnée, bon, qu'est-ce qui est de la donnée, qui peut être de la donnée ouverte, puis qu'est-ce qui est de la donnée qui ne peut pas être de la donnée ouverte, est-ce qu'on va en diffusion proactive, est-ce qu'on est en... est-ce qu'on continue à être en accès à l'information, tu sais, toute une réflexion qui se fait autour de ça. Et donc, la gestionnaire de la donnée numérique gouvernementale a le mandat de nous proposer des stratégies, quelles sont les bonnes orientations par rapport à ce qui se fait dans le monde, par rapport à ce qu'on fait nous-mêmes, par rapport à ce qui nous amène vers une plus grande transparence, quelles sont les stratégies et les approches qu'on peut prendre pour améliorer nos prérogatives de gouvernement ouvert.

Mme Setlakwe : Merci, M. le ministre.

La Présidente (Mme D'Amours) : Est-ce que l'article neuf est adopté?

Des voix : Adopté.

La Présidente (Mme D'Amours) : Merci. L'article 10. M. le ministre.

M. Caire : Mme la Présidente, l'article 12.16 de cette loi est modifié :

1 par le remplacement, dans le paragraphe deux du premier alinéa, de «faire approuver par» par «transmettre»;

2 par la suppression de la première phrase du deuxième alinéa.

La Présidente (Mme D'Amours) : ...M. le Ministre?

M. Caire : Pardon, Mme la Présidente?

La Présidente (Mme D'Amours) : «De la dernière phrase». Vous avez dit «de la première»?

M. Caire : «De la dernière», oui. Je m'excuse, vous avez raison, Mme la Présidente, «de la dernière phrase», effectivement. Bon, bien, ça, c'est le... C'est l'article qui enlève l'obligation de faire approuver les règles de gouvernance...

M. Caire : ...par la Commission d'accès à l'information — non... oui, c'est ça — procéder à l'évaluation des facteurs relatifs à la vie privée. Voilà.

La Présidente (Mme D'Amours) : Merci. Commentaires sur l'article 10?

Mme Setlakwe : Oui. Merci, Mme la Présidente. Donc, bien, c'est l'article dont on avait commencé à discuter, mais pas de façon fluide, là. Je ne comprends toujours pas votre réticence. Puis Me Poitras est venu dire à quel point... elle est venue faire un plaidoyer puis elle a produit un mémoire, avec son équipe, expliquant qu'elle ne saisissait pas les motifs pour lesquels vous souhaiteriez court-circuiter un processus qui était en cours, parce que, dans les faits, il y a une source officielle de données qui est en échange avec... en processus d'échange qu'elle nous dit constructif avec la CAI, c'est le MCN, c'est votre ministère. Et qu'est-ce qui accroche? Y a-tu quelque chose qui accroche avec la CAI?

M. Caire : Ah! il y a plein de choses qui accrochent.

Mme Setlakwe : Il y a plein de choses qui accrochent?

M. Caire : Oui, oui, mais... puis ça va me faire plaisir de vous l'expliquer, Mme la députée. En fait, la genèse de ça, c'est l'adoption de la loi n° 95. À l'origine, la Commission d'accès à l'information était contre l'adoption de tout ce qui touche la source officielle de données, le gestionnaire de la donnée numérique gouvernementale, parce qu'on part d'un modèle dont on s'est parlé, vous et moi, d'entrée de jeu. Donc, on part d'un modèle où chacun est responsable de la collecte de ses informations. L'état des choses avant 95 était que deux organismes...

Mme Setlakwe : Parlez-moi de 95 pour le bénéfice de quelqu'un qui nous écouterait, là.

M. Caire : Oui. Bien non, vous avez raison, Mme la députée. La loi n° 95, c'est la loi qui a institué le gestionnaire de la donnée numérique gouvernementale, qui a institué le principe des sources officielles de données, et donc tout ce qui va... tout ce qui va avec en matière de communication d'information, qui a déterminé la donnée comme un actif gouvernemental, et ça, c'est très important parce qu'on passe d'une propriété de chaque ministère et organisme avec tout ce que ça implique légalement, à la donnée, qui est un actif gouvernemental qu'on doit valoriser.

La Commission d'accès à l'information était contre ça parce qu'elle a dit : Vous faites un régime particulier, et au niveau de la protection des renseignements personnels, on a peur que cette utilisation-là soit effrénée puis soit... que n'importe qui fasse n'importe quoi avec des renseignements personnels. Alors, je le place parce que, d'entrée de jeu, la commission n'était pas très favorable à cette idée-là.

Mme Setlakwe : Mais l'idée d'avoir une source officielle...

M. Caire : L'idée d'avoir des sources de données, la Commission d'accès à l'information n'était pas à l'aise avec cette idée-là parce qu'elle trouvait que ça créait un régime particulier qui faisait en sorte qu'on allait centraliser la donnée, on allait collecter trop de données puis, éventuellement, on mettait des renseignements personnels à risque d'être mal utilisés et/ou à risque d'une fuite de données.

Mme Setlakwe : ...vous me permettez, elle a été adoptée...

M. Caire : Elle a été... en juin 2021. C'est votre collègue de La Pinière, l'ancien député de La Pinière qui était là.

Mme Setlakwe : Oui, merci, là, de m'aider avec l'historique de ça. Donc, elle a été adoptée à l'unanimité.

M. Caire : À l'unanimité. Autant les... Tous les partis représentés à l'Assemblée nationale ont voté en faveur, autant au principe qu'à l'adoption finale, parce que le principe, Mme la députée, c'est ce dont vous et moi, on discute depuis qu'on a la chance de collaborer ensemble. Et c'est là où moi, j'ai des divergences avec la Commission d'accès à l'information, puis je le dis sans malice parce que je pense que la commission joue un rôle qui est fondamental, qui est essentiel, un rôle de chien de garde, mais aussi un rôle de nous challenger dans nos idées, dans nos positions. Et d'ailleurs, dans les échanges qu'on a eus, souvenez-vous, sur le fait que la loi n° 95 amenait un régime... les sources de données étaient un régime particulier, nous, on n'est pas d'accord avec ça. Ce n'est pas une l'interprétation du MCM parce que la loi n° 25, qui est le régime général qui s'applique à tout le monde au Québec, s'applique entièrement à la LGGRI. Donc, en aucun cas la LGGRI ne se soustrait à aucun article de la loi n° 25, contrairement au p.l. n° 3 qui s'extrait de la loi n° 25 et qui crée un régime particulier. Ça, c'est le premier élément.

• (15 h 40) •

Donc, la règle générale, dont la CAI parle... parce qu'elle dit : Le p.l. n° 3, c'est une règle générale qui s'applique à tous, mais LGGRI, c'est une règle encore plus générale, parce que c'est la règle générale de tout le monde qui s'applique entièrement...

M. Caire : ...oui, allez-y, allez-y... je pense que... avec votre permission, Mme la Présidente, c'est un échange qui est superimportant, avec votre autorisation.

La Présidente (Mme D'Amours) : Oui, puis ça va très bien. Vous vous écoutez, vous ne vous interpellez pas. Moi, je vous laisse aller.

Mme Setlakwe : Merci.

M. Caire : Merci, Mme la Présidente.

La Présidente (Mme D'Amours) : Au moment où ça sera moins harmonieux, j'interviendrai, mais allez-y, tout va bien.

M. Caire : Mais ma collègue et moi, on est dans l'harmonie totale. Sauf depuis que j'ai appris qu'elle m'a laissé, là, ça, c'est...

Mme Setlakwe : Pour la période du dîner.

M. Caire : Je garde espoir.

Mme Setlakwe : Donc, la loi n° 25, c'est la Loi sur l'accès à l'information, protection des renseignements.

M. Caire : Non, c'est la Loi sur la protection des renseignements personnels. La loi d'accès n'a pas été...

Mme Setlakwe : Oui, oui... la protection, je m'excuse, vous avez raison, protection des renseignements personnels. Et puis, quand on a fait le trois, sur... quatre on a travaillé ensemble sur le projet de loi trois, on a répliqué plusieurs de ces articles=là, on a créé un régime distinct.

M. Caire : Mais c'est ça.

Mme Setlakwe : Exhaustif, là.

M. Caire : C'est ça, exclusivement pour le domaine de la santé et des services sociaux. Donc, c'est pour ça qu'on dit : Ça, c'est un régime particulier, parce que la loi n° 25 ne s'applique plus.

Mme Setlakwe : Ah! elle ne s'applique plus. La loi n° 5... le projet de loi n° 3 est devenu la loi n° 5...

M. Caire : C'est ça.

Mme Setlakwe : C'est un régime de...

M. Caire : ...de protection des renseignements personnels spécifiques à la santé.

Mme Setlakwe : ...de protection des renseignements personnels en santé, oui, parfait.

M. Caire : C'est ça.

Mme Setlakwe : Et juste pour comprendre le corpus puis quand... La LGGRI, elle chapeaute tout ça, dans un sens.

M. Caire : Non.

Mme Setlakwe : Non, pas ça, pas...

M. Caire : Non. La loi n° 5, vous avez raison de l'appeler la loi n° 5, elle est autoportante, c'est un régime particulier.

Mme Setlakwe : Oui, oui, elle est autoportante.

M. Caire : La LGGRI, elle est soumise... Parce que la loi n° 25, elle est quasi constitutionnelle. Donc, sauf régime d'exception, elle s'applique à toutes les lois. Donc, la LGGRI est soumise à la règle générale qui est la loi n° 25.

Mme Setlakwe : O.K., merci.

M. Caire : Bon. Et donc, en plus, on a pris des dispositions, puis je vous invite à aller regarder, là, qui est l'article 12.10, la donnée numérique... bien, qui va dans le sens de ce que je vous dis, là, la donnée numérique gouvernementale constitue un actif informationnel stratégique du patrimoine numérique gouvernemental, leur mobilité et leur valorisation au sein de l'administration publique à des fins administratives ou de services publics... Comprenez-vous? C'est important, là. On dit que la valorisation et la mobilité, c'est à des fins de services publics ou à des fins administratives, en tenant compte de leur nature, de leurs caractéristiques et des règles d'accès et de protection qui, autrement les registres, sont d'intérêt gouvernemental. Alors là, on vient rajouter des éléments à travers lesquels les données, oui, on veut les valoriser, oui, on veut la mobilité, oui, on veut qu'à des fins administratives... Puis c'est ce que je disais dans mon intervention, Mme la députée. Tu sais, là, quand je dis qu'un parent va inscrire son enfant à l'école, puis que le ministère de l'Éducation lui dit : Peux-tu aller me chercher un document produit par le ministère de l'Éducation que tu vas redonner au ministère de l'Éducation? Tu sais, c'est comme, il faut que ça arrête ça, là, là. Alors, l'idée, elle est ça.

Bon, dans le régime préloi n° 95, les ministères et organismes, pour avoir le droit de s'échanger des informations, les règles et les ententes à être signées, à être négociées et à être approuvées entente pas entente, information par information, ça devenait tellement contraignant que ce que les ministères et organismes ont dit, c'est : Bien, écoute, la loi nous autorise à avoir ces informations-là dans une perspective d'administration ou de prestation de services. Donc, on a le droit de les collecter, ces informations-là. Donc, ça va être beaucoup plus simple pour nous de collecter l'information que de demander à un autre organisme qui est déjà détenteur de cette information-là de nous le partager, parce que, là, ça veut dire qu'il faut négocier les ententes, s'assurer... puis ça, c'est pour chaque étape, chaque information, donc négocier des ententes, faire approuver par la Commission d'accès à l'information pour l'ensemble des organismes, pour l'ensemble des informations. Impossible. Donc, ça se ne faisait pas.

Puis qu'est-ce qui arrive? On le voit avec la Vérificatrice générale ce matin, on a surmultiplié des banques complètes d'informations. Ça, c'est l'autre chose. Quand la Commission d'accès à l'information dit : Vous allez centraliser l'information. Non, c'est la situation actuelle qui fait qu'on centralise, mais on centralise dans des centaines de banques d'informations différentes. Alors, moi, je suis un attaquant, je m'essaie avec eux, ça ne marche pas. Pas grave, j'en ai x centaines d'autres à essayer, puis ça va finir par marcher à un moment donné, là, c'est sûr.

Alors, qu'est ce qu'on voit dans le rapport de la Vérificatrice générale? Bien, c'est qu'à un moment donné, ça va marcher parce que c'est impossible d'administrer tout ça. Donc, l'idée, c'est de dire...

M. Caire : ...bon, bien, nous, on va faire... on va désigner un organisme.

Prenons l'exemple du MCN pour l'identité. Le MCN a été désigné par le gouvernement comme le détenteur des informations sur l'identité. À terme, ça veut dire que quelqu'un qui a besoin de renseignements sur l'identité d'un citoyen va poser la question au MCN. L'avantage, il est multiple. Premièrement, on ne vivra pas la situation que j'ai... j'ai... j'ai expliquée ce matin puis qui se retrouve dans l'audit de PricewaterhouseCoopers, à savoir deux banques d'information qui parlent d'un même citoyen, mais dont le nom n'est pas orthographié de la même façon, qui crée de la confusion et des problèmes, parce qu'en ayant une source officielle de données, bien, on sait qu'on s'adresse au bon citoyen et qu'on a les bonnes informations. Je mets ces informations-là à jour, ce qui veut dire que je ne suis pas désynchronisé. Pourquoi? Parce que, si vous faites affaire avec l'Agence du revenu, comme tout le monde, une fois par année, mais que vous faites affaire avec un autre ministère une fois aux trois ans, quatre ans, cinq ans, les informations que ce ministère-là a ne... datent d'il y a plusieurs années, ça se peut que les informations soient périmées, ne soient plus bonnes, alors que si, à chaque fois qu'on fait affaire avec le gouvernement, la source de données se met à jour, bien, c'est sûr que j'aurai toujours la dernière information à jour. Alors, ça, ça nous permet d'avoir l'intégrité de l'information. Après ça, bien, les règles de gouvernance, c'est comment on gère l'accessibilité.

Mme Setlakwe : ...

M. Caire : Oui. Oui, je vous en prie.

Mme Setlakwe : ...donc, et jusqu'à... jusqu'ici, il me semble que...

M. Caire : J'y arrivais.

Mme Setlakwe : ...on s'entend, là, que c'est... c'est la façon de faire optimale. Il n'y a pas d'enjeu.

M. Caire : Oui. Mais... mais... mais vous comprenez que la Commission d'accès à l'information ne partage pas ce point de vue là. Je veux dire, elle partage le principe, mais elle dit...

Mme Setlakwe : Mais là, vous... vous m'en informez, là. O.K.

M. Caire : Mais... mais la commission d'accès à la... Puis... puis... puis, je veux dire, je ne veux pas faire dire à la Commission d'accès à l'information ce qu'elle n'a pas dit, ce qu'elle n'a pas dit, oui...

Mme Setlakwe : Ce n'est pas ça qu'elle dit dans le mémoire. Mais, vous, vous me donnez l'historique.

M. Caire : Non, mais je vous... c'est pour ça que je vous invite à relire les... les... les mémoires qui ont été déposés dans le cadre de 95. C'est pour ça que, quand on... on... on a ce prisme-là, on se dit : Oups. Ah bon!

Alors, ensuite, c'est une... comme c'est une déconcentration de l'information, ce n'est pas... on ne multiplie pas, on déconcentre l'information...

Mme Setlakwe : Mais on déconcentre, on la...

M. Caire : Bien, dans le sens où, moi, je... je n'ai que les renseignements qui concernent l'identité, je n'ai pas les renseignements qui concernent la santé, je n'ai pas les renseignements qui concernent l'éducation, je n'ai pas les... les... les renseignements qui concernent la famille. Donc, je... au lieu... dans une banque x où je vais avoir tout ça, donc non seulement l'identité, mais peut-être quelques informations sur la santé, quelques informations sur l'éducation, quelques informations sur les revenus... Parce qu'il y a des ministères qui ont besoin de tout ça pour être capables de donner le service, donc eux autres, ils collectent ces informations-là, ils y ont droit, ils y ont droit. Alors, ça, ça fait des banques qui sont... où il y a trop d'information.

Donc, si on déconcentre l'information et qu'on s'échange l'information selon des principes de bonnes pratiques en technologies de l'information, bien, la... la... la banque, la source de données qui est attaquée est moins... moins hypothéquante. Je veux dire, si j'attaque une banque d'information en santé, mais que je n'ai pas de renseignements d'identité, j'ai un bilan de santé, mais je ne sais pas à qui il est. Ça paraît... Tu sais, il a... il a... il a moins de... moins d'attrait. Donc, quand on me dit : Ça va être très attractif, c'est moins attractif, parce que j'ai moins d'information dans une même banque.

Mme Setlakwe : Donc, vous, le... le... le MCN, vous n'avez que les renseignements qui concernent l'identité...

• (15 h 50) •

M. Caire : C'est ça.

Mme Setlakwe : ...c'est ça qui...c'est dans votre...

M. Caire : C'est dans le décret.

Mme Setlakwe : ...pas dans votre... votre... mais dans le registre....

M. Caire : Oui.

Mme Setlakwe : C'est ça, les renseignements d'identité. Puis ça, c'est quelque chose qui est en train de se construire, là?

M. Caire : Oui. Oui.

Mme Setlakwe : Évidemment. Nom, prénom, nom du mari, dans certains cas...

M. Caire : Oui. Mais... mais... Et c'est là, Mme la... la députée, où j'arrive à votre question. On a ajouté les règles de gouvernance, je vous dirais, par compromis, pour rassurer... - l'approbation des règles de gouvernance - pour rassurer la Commission d'accès à l'information, parce qu'à la base on... on n'en voyait pas l'utilité. Donc, depuis, plusieurs éléments... D'une part, le p.l. n° 3 n'a pas... la loi n° 25 n'a pas cette disposition-là, le p.l. n° 3 n'a pas cette disposition-là, puis vous êtes aux premières loges pour savoir que le p.l. n° 23 n'a pas été dans cette direction-là non plus par amendement. Donc, le seul régime qui est soumis à ça, c'est la...

M. Caire : ...d'une part. D'autre part, nous, on a commencé le processus d'approbation des règles de gouvernance en juin 2022. Donc, depuis un an et demi, Il y a des discussions avec la Commission d'accès à l'information, ce que l'on constate... Et quand je parlais de bureaucratie, c'est que ça fait beaucoup, beaucoup, beaucoup de documents qui sont demandés. Quand on dit : On est en attente de documents, oui, c'est parce qu'à chaque fois qu'on répond, il y a d'autres documents à fournir, puis d'autres documents à fournir, puis d'autres documents à fournir. Puis, en plus, puis je ne blâme en rien la Commission d'accès à l'information, mais c'est quand ils ont le temps. Alors, pour nous, c'est une priorité. Je veux dire, on est en train de parler du déploiement d'un système névralgique du gouvernement du Québec qu'on ne peut pas déployer présentement parce que les règles de gouvernance ne sont pas approuvées.

Donc, moi, même si je voulais étendre le service d'authentification gouvernementale à la santé, je ne peux pas. Si je veux l'étendre à d'autres prestations électroniques de services, je ne peux pas. Pour des discussions qui durent depuis un an et demi, alors imaginez-vous. Puis, quand la commission dit : Oui, mais on est en train d'ouvrir un sentier, chaque source officielle de données va avoir une réalité. Je veux dire, ce n'est pas vrai parce que, sinon, on ferait des règles générales pour toutes les sources officielles de données. Si c'était... si on pouvait appliquer de façon générale les règles de gouvernance, on le ferait une fois.

Puis oui, là on serait d'accord, dire : Chaque nouvelle source officielle de données est soumise aux règles de gouvernance puis... Non, chaque source officielle... Pourquoi? Parce qu'on parle... Quand on parle de règles de gouvernance, on ne parle pas de sécurité de l'information, on parle de qui a accès. Alors, légalement, à qui je dois donner accès à ces informations qui, de par sa loi, ont accès à ces informations. Puis ça répond en partie à ce que la Vérificatrice générale dit ce matin : Je donne accès à qui? Je lui donne accès comment? Est-ce que je lui donne accès en lecture? Est-ce que je lui donne accès en modification? Est-ce que je lui donne accès en ajout? Est-ce que je lui donne accès en suppression? Puis c'est important, c'est important.

Alors, ça, ces règles-là, les règles de gouvernance vont déterminer ça. Mais ça, ça prend une analyse de chacune des données, de chacun des organismes qui doit y avoir accès. Et qu'est-ce que la loi dit? Et, après ça, c'est toute la notion du consentement. Comment je gère le consentement? Parce qu'il va falloir gérer le consentement, parce que nous sommes soumis à la loi 25, et la loi 25, il y a tout un chapitre qui parle du consentement. Et, après ça, dans nos règles de gouvernance, il va falloir qu'on parle des systèmes automatisés. Parce que, si on veut implanter de l'intelligence artificielle, un instant, là, l'intelligence artificielle, oui, mais la décision, qui prend la décision, qui est imputable de la décision, qui... Alors, il n'y a pas une règle générale qui va s'appliquer à tout le monde. Alors, on est-tu dans un... Puis il n'y a pas de plus-value. Puis pourquoi je le dis, puis je le dis en tout respect, parce que tous les pouvoirs de la CAI...

Puis, dans la loi 25, Mme la Présidente, c'est votre humble serviteur qui a augmenté les pouvoirs de la CAI. On travaillait avec celui qui est maintenant chef de l'opposition officielle, puis on s'est assuré... On voulait que la CAI puisse avoir une meilleure prise sur l'utilisation... Alors, on a augmenté ses pouvoirs. Donc, son pouvoir de recommandation, son pouvoir d'ordonnance, son pouvoir de surveillance, la CAI les a, elle a tout ça. Et elle peut les exercer au moment où la CAI le juge nécessaire. Et c'est pour ça que la logique de dire : Bien, tous les autres organismes m'ont dit : Bien, on va transférer... on va transmettre à la CAI. Donc, il faut que la CAI soit avisée que, oui, on a établi des règles de gouvernance, puis ça, c'est correct, il faut que la CAI en soit avisée, puis il faut formellement dire à la CAI : Nous avons fait ça.

Maintenant, si la CAI décide qu'il y a un travail à faire, bien, c'est sa prérogative de le faire, puis elle a tous les pouvoirs. Puis on lui en a même donné des supplémentaires pour être sûr qu'elle jouait pleinement son rôle. Donc là, actuellement... Puis, comme je dis, ce n'est absolument pas un reproche à la CAI, je suis convaincu que la CAI fait ce qu'elle peut dans...

M. Caire : ...dans le contexte actuel. Mais il n'en demeure pas moins qu'on est dans une... de mon avis, on est dans une couche bureaucratique qui n'a pas de plus-value parce la CAI peut exercer tous ses pouvoirs, peut jouer son rôle pleinement, ce qui fait en sorte que, nous, on n'est pas capable de faire la même chose.

Mme Setlakwe : Je vous entends, mais j'aurais deux commentaires. Quand vous dites : Il n'y a pas de plus-value, il n'en demeure pas moins que dans ces règles de gouvernance là, qui sont négociées ou discutées en amont et qui doivent être approuvées en vertu du régime actuel, mais il y a toutes sortes de mesures de contrôle, n'est-ce pas? Puis...

M. Caire : Pas... Bien oui, oui, oui. vous avez raison

Mme Setlakwe : Bien, vous avez référé vous-même, là, au rapport de la Vérificatrice.

M. Caire : Oui. Mesures de contrôle dans le sens où il faut s'assurer que les données ont... les bonnes personnes accèdent aux données de la bonne façon.

Mme Setlakwe : C'est ça?

M. Caire : Oui, tout à fait. Mais...

Mme Setlakwe : Mettons de côté le fait que la commission était en désaccord avec le concept même, là, d'établir cette base de données puis d'avoir une source officielle, tout ça, moi, je... Mais là, à partir du moment où ça existe puis que ça prend des règles de gouvernance, vous dites : Mais il y a un pouvoir, il n'a pas de plus-value parce qu'ultimement la CAI peut intervenir.

M. Caire : Oui.

Mme Setlakwe : Oui, mais il est trop tard quand elle intervient, il est arrivé un incident. Non?

M. Caire : Non, mais elle peut... Premièrement, elle peut intervenir à tout moment puis si je peux me permettre, Mme la députée, cette logique-là est vraie pour le dépôt national de données de santé et de services sociaux. C'est cette logique-là est la même logique en éducation. Puis, dans un cas et dans l'autre, cette approbation-là n'est pas jugée nécessaire. Puis la CAI nous dit : Oui, mais c'est parce qu'en santé c'est un régime général, mais la LGGRI aussi est soumise à un régime général qui est la loi n° 25.

Mme Setlakwe : Mais je ne voudrais pas qu'ils en échappent un bout, là. Mais je vois... je ne vois pas que c'est tout à fait le même rôle et la même fonction, là, en vertu du p. l. 3 qui est devenu la loi n° 5.

M. Caire : Souvenez-vous des échanges qu'on a eus, Mme la députée. L'idée était justement la capacité, à l'intérieur du réseau de la santé des services sociaux, de s'échanger ces informations-là dans une perspective d'efficacité.

Mme Setlakwe : Oui.

M. Caire : C'est la même logique, sauf qu'au lieu de le faire intra réseau santé, on le fait pour l'administration, à l'exclusion des réseaux.

Mme Setlakwe : Oui. Et elle est là, la distinction, ça reste dans le réseau.

M. Caire : Mais je vous dirais que...

Mme Setlakwe : Alors qu'ici... Oui, allez-y.

M. Caire : Mais, si je peux me permettre, de notre côté, c'est exclusivement des organismes publics qui vont accéder aux données, alors que, et dans le réseau de l'éducation et dans le réseau de la santé, c'est le public et le privé, bien oui.

Mme Setlakwe : ...un organisme tel que défini dans la loi.

M. Caire : Oui, oui, mais, mais, mais, mais dans le p.l. 5, on inclut... on inclut les cliniques qui travaillent, les GMF, etc. Ce sont des organismes privés. Ils ne sont pas des... ce n'est pas des organismes publics.

Mme Setlakwe : Non, non, le circuit est différent, c'est vrai.

M. Caire : Alors...

Mme Setlakwe : Oui.

M. Caire : Alors que... Puis je vous dirais que la LGGRI, on est plus restrictif dans le sens où nous ne traitons qu'avec des organismes publics, pas des organismes privés qui sont impliqués dans la LGGRI.

Mme Setlakwe : Non. Mais vous avez une concentration de données qui permet d'identifier un Québécois, une Québécoise, des données sensibles.

M. Caire : C'est vrai.

Mme Setlakwe : Des données personnelles.

M. Caire : Oui, oui, c'est vrai.

Mme Setlakwe : Les numéros d'assurance sociale.

M. Caire : C'est vrai. C'est vrai.

• (16 heures) •

Mme Setlakwe : Puis ça ressemble à quoi vos règles de gouvernance? Vous dites que vous en parlez depuis juin 2022. Là, c'est-tu un document de 200 pages ou si c'est un...

M. Caire : Non. Mais j'aimerais vous le dire. Mais le jour où la CAI les aura approuvés, je vous le dirai. Mais pour l'instant, je ne peux... tant que ce n'est pas approuvé...

Mme Setlakwe : Parce que c'est sûrement... Ils avaient prévu, dans ça, donc différentes mesures de contrôle, la journalisation, les accès.

M. Caire : Tout à fait.

Mme Setlakwe : Qui? Quand? Comment? Pourquoi? Pour combien de temps?

M. Caire : En vertu de quelles lois, en vertu de quelles missions? De quelle façon? Oui, oui.

Mme Setlakwe : J'ai comme l'impression, là, corrigez-moi, que si ça avait pris un délai... peut être que si ça n'avait pas pris autant de temps, vous ne seriez pas en train de vouloir modifier la loi pour dire qu'on enlève cette obligation de les faire approuver au préalable. Je pense que votre grande frustration, c'est plus par rapport au temps que ça a pris.

M. Caire : Bien non. De toute façon, je ne parlerai pas de frustration, mais je dirais que c'est un constat. C'est un constat que, la procédure, elle est lourde, elle est bureaucratique. Mais je vous arrête sur un point, moi, j'ai toujours pensé que ce n'était pas une mesure qui était nécessaire...


 
 

16 h (version non révisée)

M. Caire : ...mais bon, la politique, c'est l'art du compromis. Bon, c'est un compromis. Sauf qu'aujourd'hui, on se rend compte que c'est un compromis qui n'a pas de plus-value, mais qui a des impacts négatifs qui sont assez puissants merci, là, parce que là on parle de paralyser un système complètement, là. Ah! est-ce qu'on veut ça?

Mme Setlakwe : Il est paralysé...

M. Caire : Bien, il n'est pas... Non, il n'est pas paralysé parce qu'avec la loi 14, on réussit à maintenir le système dans un état de... un système en expérimentation. Bon, il est en expérimentation. Mais en expérimentation, il n'est pas en déploiement.

Mme Setlakwe : Il n'est pas en déploiement...

M. Caire : Il n'est pas en déploiement, donc... Il ne peut pas passer à en déploiement parce que la loi 14 ne s'applique plus à un système qui serait en déploiement. Il ne s'applique qu'aux systèmes qui sont en réalisation. Donc, oui, je peux le maintenir dans un état en expérimentation jusqu'à expiration de la loi 14, mais ce n'est pas ça qu'on veut, là. Tu sais, le système... Moi, je le sais, qu'il fonctionne, là. Je n'arrête pas de vous dire qu'il fonctionne bien, qu'il est robuste, qu'il fait le travail puis qu'on voudrait développer les autres aspects du Service québécois d'identité numérique. Mais je réitère l'harmonisation, pour moi, c'est l'objectif parce qu'ultimement, j'ai toujours pensé qu'il n'y avait pas de plus-value à le faire comme ça.

Mme Setlakwe : Je pense que s'il y avait eu des règles de gouvernance détaillées, là, pour les différents établissements ou les CISSS qui ont été visés par la sortie... le rapport de la Vérificatrice générale... Vous ne pensez pas que ça aurait aidé?

M. Caire : Je pense que le problème est plus profond que ça, Mme la députée.

Mme Setlakwe : Il est plus profond que ça?

M. Caire : Oui. Je pense que oui. Le problème est plus vaste que des simples règles dans le... de ce qu'on voit.

Mme Setlakwe : Bien, c'est parce que ça semblait être complètement... prêtez-moi l'expression, un «free for all» complet.

M. Caire : Parce qu'on parle d'accès non autorisés, on parle d'accès qui n'ont pas été révoqués. Tu sais, je pense que, dans ce cas-là, le problème est plus profond. La réponse va se trouver dans l'application de la LGGRI en matière de gestion de la donnée numérique gouvernementale, là, oui, parce que ça va répondre à différents... puis c'est un problème qui est multidimensionnel. Mais sur l'approbation des règles de gouvernance puis des obligations qui sont faites aussi par la loi 25, par la LGGRI elle-même, je persiste et je signe. Je pense qu'on est dans un mécanisme... Puis si le mécanisme avait été si bon, je veux dire, on l'aurait répliqué dans le p.l. 5. S'il avait été si bon, on n'aurait pas amendé le p.l. 23 pour ne pas le répliquer. S'il avait été si bon, on l'aurait inclus à la loi 25. Je pense que... Mais ces concepts-là étaient peut-être plus clairs, je ne sais pas. Je ne veux pas présumer. Alors que, quand on est arrivé avec 95, oui, on était dans du droit nouveau. Mais aujourd'hui, par l'expérience qu'on en a, j'en arrive à la conclusion que ce compromis-là n'est pas utile, puis ça n'hypothèque en rien... parce que je crois à la mission de la Commission d'accès à l'information, absolument. Comme je vous dis, on a rajouté des pouvoirs à la commission quand on a révisé la Loi sur la protection des renseignements personnels. Non seulement on a ajouté des pouvoirs, mais on a remodelé aussi la composition de la CAI. Ça, c'est le pain qui manque? Il manque du pain?

Mme Setlakwe : Oui.

M. Caire : Oui, c'est ça. Mais on est... Bien, c'est ça. Moi, je pense qu'aujourd'hui je suis tout à fait capable de vous dire que je ne pense pas qu'on soit... qu'on mette à risque les sources officielles de données en le faisant comme ça. Je ne pense pas qu'on hypothèque la capacité de la CAI à faire son travail, au contraire, parce qu'il y a aussi l'aspect que j'ai mentionné, je veux dire, la CAI pourrait se retrouver dans une situation où elle va désapprouver des règles qu'elle aurait approuvées au niveau de la surveillance. Parce qu'un incident de sécurité n'inclut pas nécessairement que les règles n'ont pas été suivies. Vous êtes d'accord avec moi...

Mme Setlakwe : ...des règles robustes, un processus détaillé, des règles claires pour tous les intervenants, on réduit notre risque.

M. Caire : On réduit le risque, mais on ne l'élimine pas. Donc, si on est dans un cas où les règles ont été suivies, mais il y a quand même un incident de confidentialité majeur, bien, la CAI est face...

M. Caire : ...des règles qu'elle a approuvées, donc elle s'est commise envers ces règles-là. Puis je ne vous ferai pas accroire que c'est exclusivement pour ça que je le fais, là, je n'insulterai pas votre intelligence, là, mais ça reste quand même un élément à rajouter dans la réflexion. Mais, pour moi, on est dans une étape qui est administrative, qui est bureaucratique, puis qui n'est pas efficace, et qui n'ajoute pas, qui n'a pas de plus-value au niveau de la... Puis, en plus, bien, ne présumons pas que les ministères, que les sources officielles de données ne sont pas en mesure d'établir des règles de gouvernance qui sont robustes et solides, je veux dire, c'est...

Mme Setlakwe : Dans certains cas... vous parlez des autres régimes, là, dans certains cas, dans plusieurs cas, je comprends que la donnée va beaucoup circuler dans le réseau de la santé quand le p.l.... quand la loi no 5 va être pleinement en application, mais, souvent, on avait prévu que ça peut être... ça doit être, lorsque possible, anonymisé.

M. Caire : Absolument.

Mme Setlakwe : Ce qui n'est clairement pas le cas ici, là, avec votre registre.

M. Caire : Bien, c'est... par définition, non, un registre d'identité, on ne peut pas anonymiser.

Mme Setlakwe : Par définition, non, donc, tu sais, j'établis quand même une distinction, ici, là.

M. Caire : Non, mais, par contre, ce que la loi prévoit... la loi no 25, ce qu'elle prévoit, c'est qu'une information doit être transmise dans la forme minimale. Je n'ai pas le libellé exact, là, mais, par exemple, quand vous êtes en vérification d'identité, ce que vous allez me soumettre, c'est : cette personne-là prétend être ça. Et, moi, la réponse que je vais vous retourner, c'est : Bien, c'est vrai ou c'est faux, mais il n'y a pas d'échange d'information. Donc, ça aussi, ça fait partie des éléments de la loi no 25, c'est qu'on doit transmettre le minimum d'informations possible.

Donc, il y a déjà un cadre, puis moi, je le dis à qui veut l'entendre puis j'en suis convaincu, la loi no 25 demeure un régime de protection des renseignements personnels qui est le plus sévère en Amérique, là. On a déjà, sous le coup d'une loi générale qui est extrêmement sévère, à laquelle on a rajouté 12.10, 12.11, ce qui amène encore d'autres prérogatives, auxquelles on rajoute les règles de gouvernance, auxquelles on rajoute l'approbation de la CAI... dont, je pense, on a un exemple que cette étape-là n'est pas nécessaire, elle n'amène pas de plus-value à l'exercice.

Mme Setlakwe : ...que vous trouvez que c'est long et ardu, puis, oui, les renseignements sont protégés autrement, mais c'est un registre qui est constitué de données hypersensibles. Vous dites : La seule chose que j'ai à confirmer à un organisme qui veut les utiliser... tu sais, je confirme, si, oui ou non, on a bien affaire à Michelle Setlakwe, là, ou on a bien affaire à... mais c'est plus que ça, ces informations-là vont circuler et être utilisées par d'autres organismes.

M. Caire : Bien non. C'est ça que je vous dis, c'est que, si vous faites une vérification d'identité...

Mme Setlakwe : D'autres vont pouvoir y accéder, c'est ça, là, je... mais il va y avoir des accès, là, puis des...

M. Caire : Pourquoi? En vérification d'identité? Non, non.

Mme Setlakwe : Bien, alors vos règles de gouvernance que vous êtes en train de discuter avec la CAI, ça porte sur quoi?

M. Caire : Bien comme je vous dis, là, ça va porter sur un certain nombre d'éléments, à qui je vais transmettre ma réponse, je veux dire, est-ce que moi, là, je veux dire...

Mme Setlakwe : Mais parce que la personne va accéder aux informations personnelles, elle va les voir.

M. Caire : Bien non. Pourquoi?

Mme Setlakwe : Oui ou non, c'est juste ça? Alors, pourquoi que c'est si long à faire approuver les règles de gouvernance?

M. Caire : Bien, ça, c'est une excellente question à laquelle je ne peux pas apporter de réponse. C'est une bonne question, mais vous ne la posez pas à la bonne personne.

Mme Setlakwe : Je peux vous demander juste une petite suspension?

M. Caire : Oui, oui, oui.

La Présidente (Mme D'Amours) : Je suspends les travaux quelques minutes.

(Suspension de la séance à 16 h 10)

(Reprise à 16 h 22)

La Présidente (Mme D'Amours) : Nous reprenons nos travaux. Nous étions à l'article 10. Mme la députée.

Mme Setlakwe : Merci, bien, juste pour, oui, poursuivre nos échanges. Vous avez fait un plaidoyer détaillé, là, ou une explication détaillée, à savoir pourquoi vous ne voyez pas de plus-value. Moi, je demeure quand même sceptique. Mais j'ai peut-être une dernière question. En quoi vous faites une distinction avec l'Institut de la statistique, qui a passé à travers le processus, qui a ses règles, les règles sont... ont reçu la bénédiction de la CAI...

M. Caire : Oui, en fait...

Mme Setlakwe : Puis ici... puis là, ça, c'est ma première question, puis la deuxième, c'est plus honnêtement vis-à-vis le public, vis-à-vis, tu sais, la confiance du public, elle est ébranlée, là, elle est effritée, veut, veut pas. Avec ce qu'on a connu, avec ce qui a été dit aujourd'hui, c'est... je veux bien l'explication technique, là, mais vous êtes à la... quand même à la fin du processus. Et je... Moi, en tout cas, personnellement, je ne suis pas à l'aise à ce qu'on change la règle, mais c'est vous, à la fin de la journée, qui allez prendre la décision. Mais j'aimerais donc voir en quoi vous voyez une distinction avec l'Institut de la statistique puis...

M. Caire : Sur l'Institut de la statistique, ce qu'il faut comprendre, c'est que l'Institut collecte énormément d'informations différentes, donc toutes les informations qui peuvent concerner l'identité, anonymisées ou non. Parce qu'il y a des projets de recherche où il n'y a pas... où l'anonymisation des données n'est pas souhaitable. Ça, c'est ce qu'on s'est fait dire aussi quand on a adopté la loi 25... va pouvoir agglomérer des informations financières sur un individu de santé, d'éducation. Donc, il y a vraiment une agglomération très importante de données de toute catégorie sur un même individu qui ne sont pas nécessairement anonymisées.

Ces données-là peuvent être rendues disponibles autant pour des organismes du secteur public que du secteur privé. Donc là, on est dans un cadre qui est vraiment différent, où là il y a une concentration de données qui est très importante, qui est très diversifiée et qui est accessible à toutes sortes d'organisations de la société civile. Donc, pour cette raison-là, l'Institut de la statistique a effectivement cru bon d'avoir des règles de gouvernance à être approuvées par la Commission d'accès à l'information, alors que nous sommes dans un régime qui est exclusivement public. Donc, il n'y a pas d'entreprise privée. La donnée que nous collectons, que les sources d'information va collecter, c'est une donnée éclatée. Donc, c'est justement, on ne veut pas agglomérer la donnée à un même endroit, on veut l'éclater à différents endroits, mais pas multiplier les sources de données. On veut les restreindre. Donc au niveau de la sécurité, cette façon là de faire, elle est beaucoup plus efficace, elle est beaucoup plus efficace.

Et la donnée qui est gérée par une source officielle, c'est une donnée qui est très spécifique. Les regroupements sont logiques. Donc, on parle seulement de l'identité, on va parler seulement de la santé, on va parler seulement d'éducation, on va parler seulement des finances, du revenu. Donc, on peut éclater ça en autant de sources de données que possible...

M. Caire : ...pour avoir le moins d'informations possible. Donc, on est à un niveau très élevé, ou plus élevé, je devrais dire, très élevé, je retire, Mme la Présidente, plus élevé de sécurité de l'information à la base. Donc, ça, c'est très différent de ce que l'Institut de la statistique fait parce que les besoins sont différents. Pour l'Institut de la statistique, elle doit avoir accès à ça.

Au niveau de la sécurité du public, bien, je vous dirais que, puis je peux renvoyer la question en quoi le p.l. 3 mais le p.l... la loi n° 5 et le p.l. 23 vont assurer la sécurité du public, puisque ces règles-là ne s'appliquent pas à ces deux régimes-là. Nonobstant le fait que là aussi on va avoir une concentration beaucoup moins grande d'information, j'en conviens, mais accessible autant aux organismes publics qu'aux organismes privés, et donc il y a une diversité que nous n'avons pas. Et au final la santé va donner des accès à l'information pour des fins de services, pour des fins administratives, mais pour des fins de recherche, ce que nous ne ferons pas, parce que nos sources de données vont donner accès aux informations dans la seule finalité administrative ou de service. Donc, il n'y a pas des fins de recherche. Donc, quand on va donner accès, c'est à un organisme qui, de par sa loi ou de par sa mission, doit avoir accès à ces informations-là. Donc, au niveau de la gestion de la règle de gouvernance, on n'est pas dans le même bain parce que, pour un projet de recherche, bon, il y a différents protocoles à respecter, il y a différentes prérogatives à respecter, alors que nous on dit : Bien, est-ce que pour les fins de ton service, de prestation de services, est-ce que tu as accès... est-ce que tu dois avoir accès à cette donnée-là, oui ou non? Alors, déjà là, il y a comme un entonnoir dans notre cas à nous qui n'est pas ailleurs.

Et dernier point, la LGGRI prévoit déjà, 12.10, 12.11, des règles particulières aux sources officielles de données qui ne sont pas répliquées dans les autres régimes. Donc, on a déjà un niveau de contraintes qui est important, on a déjà une restriction de la donnée, un éclatement de la donnée, on a déjà... tu sais, déjà ce qu'on met en place, de par la nature même d'une source officielle de données, fait en sorte que le niveau de protection va être plus important.

Pour ce qui est de la confiance du public, Mme la députée, je pense que la meilleure façon d'obtenir la confiance du public à terme où ce système-là sera mis en place, c'est d'en démontrer la sécurité, comme on le fait par exemple avec le Service d'authentification gouvernementale. Puis, encore là, je me mets à risque parce qu'il s'agit que je dise ça pour qu'il arrive un incident, là, mais... Pour lesquels, à date, on a au-dessus de 1 300 000 comptes de créés, on a... la SAAQ nous disait qu'il y avait je ne sais pas combien de millions de transactions qui ont été faites, puis il n'y en a pas d'incidents de sécurité. Il y a des problèmes avec le système, mais il n'y a pas de faux comptes, il n'y a pas de vol d'identité, il n'y a pas de fuites de données, il n'y a pas d'accès non autorisé à la donnée. Donc, c'est ça qui bâtit la confiance avec le public.

La Présidente (Mme D'Amours) : Merci. Est-ce que vous avez d'autres commentaires?

Mme Setlakwe : Non, je pense que je... Non, au fil des discussions, moi, je vois quand même des distinctions avec la loi n° 5 puis je pense que ça demeure une bonne idée de garder le régime tel qu'il est, mais on... je pense qu'on a fait le tour de la question.

La Présidente (Mme D'Amours) : Parfait. Est-ce que l'article 10 est adopté?

M. Caire : Adopté.

Mme Setlakwe : Sur division.

La Présidente (Mme D'Amours) : Sur division. Je vous remercie infiniment de votre collaboration. Compte tenu de l'heure, la commission ajourne ses travaux sine die. Merci, tout le monde.

(Fin de la séance à 16 h 30)


 
 

Document(s) associé(s) à la séance