Journal des débats de la Commission des finances publiques

(Quinze heures trente-quatre minutes)

Le Président (M. Bernier) : Alors, bon après-midi à tous. À l'ordre, s'il vous plaît! Ayant constaté le quorum, je déclare la séance de la Commission des finances publiques ouverte et, bien sûr, je demande aux personnes d'éteindre la sonnerie de leurs téléphones cellulaires.

La commission est réunie afin de procéder à des consultations particulières et auditions publiques sur le projet de loi n° 135, Loi renforçant la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement.

M. le secrétaire, y a-t-il des remplacements?

Le Secrétaire : Oui, M. le Président. M. Matte (Portneuf) est remplacé par M. Huot (Vanier-Les Rivières); M. Bonnardel (Granby) est remplacé par M. Caire (La Peltrie).

Le Président (M. Bernier) : Merci. Donc, je vous souhaite à tous un bon après-midi de travail et de consultations. Et nous aurons le plaisir de recevoir, cet après-midi, le Centre de recherche sur la gouvernance — de l'ENAP, M. Christian Boudreau; FACIL... pas facile, ce qu'il va nous présenter, mais l'organisme FACIL, pour l'appropriation collective de l'informatique libre, représenté par M. Mathieu Gauthier-Pilote; et le personnel et les gens du Vérificateur général du Québec avec nuls autres que Mme Guylaine Leclerc, vérificatrice, et M. Serge Giguère.

Auditions (suite)

Donc, merci. Bon après-midi. Je souhaite la bienvenue à notre invité, M. Christian Boudreau. Bienvenue, M. Boudreau, cet après-midi, à la Commission des finances publiques. Vous avez 10 minutes pour votre présentation. La parole est à vous.

Centre de recherche sur la gouvernance (CERGO)

M. Boudreau (Christian) : Merci beaucoup. D'abord, merci de me donner ce temps d'antenne. J'essaierai d'être aussi concis que mon rapport. Comme vous avez pu voir sur la page titre, je ne suis pas seul. Je suis, évidemment, un professeur de l'ENAP et j'y enseigne, notamment, des cours qui touchent à la gouvernance, à la transformation de l'État à l'ère du numérique. Mon autre collègue, qui m'a aidé à la production de ce mémoire, n'est pas là, il s'appelle Luc Bernier, également a été membre, jusqu'à l'année passée, du CERGO, même président du CERGO... actuellement professeur à Ottawa, et un troisième, M. Michel Chandonnet, chargé de cours chez nous, spécialiste en gestion de projet.

D'abord, d'entrée de jeu, nous tenons à souligner que nous sommes assez en faveur, évidemment, avec les propositions qui sont faites dans ce projet de loi et plus particulièrement nous sommes très à l'aise à ce qu'il y ait renforcement des mécanismes de gouvernance stratégiques et évidemment, aussi, administratifs. Et, plus particulièrement, ce que nous souhaitons, c'est qu'il y ait un renforcement du pouvoir ou des pouvoirs du bureau du dirigeant principal de l'information pour qu'il puisse exercer et assumer convenablement, efficacement, son rôle de leader et de chef de file dans cette gouvernance des ressources informationnelles, plus particulièrement qu'il exerce son rôle de chef de file, le bureau du dirigeant principal de l'information, notamment, à l'égard de projets que je considère de portée gouvernementale, et là je m'explique, donc, des projets qui impliquent plus d'un partenaire, que l'on considère comme étant des projets extrêmement complexes, également qui nécessitent des investissements majeurs mais dont les gains d'efficience, d'efficacité et de qualité sont tout à fait importants, donc qu'il faille la peine, évidemment, de développer. Donc, ces projets-là, je pense que vous en connaissez certains, sont des projets, donc, très porteurs, autant, je pense, pour aller chercher des économies d'échelle que pour rendre la vie plus simple à nos citoyens, que l'on pense à l'authentification en ligne, à l'intégration d'un portail à l'échelle provinciale, que l'on pense aussi à un dossier intégré en santé, en justice, éducation. Donc, on voit que la notion d'intégration des services, de mise en commun, de mutualisation des ressources devient essentielle pour une meilleure optimisation des services.

Ceci dit, les technologies sont au rendez-vous, là. Le problème n'est pas là. Je pense que le problème est davantage un problème de gouvernance, d'où l'importance, évidemment, de se donner des mécanismes et éventuellement, évidemment, des lois pour pouvoir régler cette question-là, donc, des problèmes de gouvernance. Et là, dans notre rapport, on identifie évidemment des leviers qui soit s'inscrivent dans ce que propose ce projet de loi ou qui tendent parfois à aller un peu plus loin.

D'abord, un premier levier aux mécanismes de gouvernance, et j'insiste sur celui-là, c'est de reconnaître et de donner, je dirais, pleins pouvoirs à une entité — évidemment, ici, on parle du bureau du dirigeant principal de l'information — pour qu'il puisse exercer son rôle de planificateur stratégique, donc de visionnaire, pour qu'il puisse identifier des projets porteurs impliquant, évidemment, une multitude de partenaires et qu'il puisse amener ces partenaires, donc, des ministères et des organismes, à travailler ensemble, à travailler pour, évidemment, des objectifs non pas ministériels, mais gouvernementaux et, en bout de ligne, évidemment répondre aux intérêts des citoyens. Alors, ce que ça veut dire concrètement, c'est qu'on aille évidemment vers des propositions, qu'on identifie à la fois une vision, des stratégies mais également des chantiers très structurants, effort qui a déjà été fait, je dois le souligner, notamment, dans la stratégie TI 2015, où on commence à identifier, notamment, des chantiers ou, à tout le moins, des axes très porteurs. Ce qu'on suggère, c'est qu'on aille plus loin et qu'on précise et qu'on identifie de façon beaucoup plus claire ces projets porteurs impliquant une multitude de partenaires.

• (15 h 40) •

Deuxième principe, et là c'est un principe qui va davantage toucher, je dirais, les structures de gouvernance, c'est qu'on suggère la mise en place d'un comité de gouvernance. Un des principes de base lorsqu'on s'en va vers cette gouvernance collaborative impliquant une multitude de partenaires : plus on est nombreux autour de la table, plus on a de la difficulté à convenir ensemble... Donc, l'idée de réduire évidemment ces partenaires, et je sens qu'on tend à vouloir le réduire dans ce projet de loi, est, je pense, une avenue tout à fait intéressante et nécessaire. Maintenant, jusqu'où doit-on la réduire? Mes études montrent que, lorsqu'on dépasse 10 partenaires, autour d'une table, sur des projets complexes, ça devient pratiquement... pas cacophonique, mais difficile de convenir. Non seulement le nombre est important, mais le choix des partenaires est important, et je pense qu'il va être important qu'on mette autour de la table... et j'ai cru comprendre, dans le projet de loi, qu'on laissait la place également à la possibilité de désigner un dirigeant d'information venant des grands organismes.

Il faut comprendre que les cinq grands organismes, la RAMQ, la Régie des rentes, l'Agence du revenu, la CNESST et la SAAQ, disposent actuellement des expertises... probablement, la majorité des expertises des infrastructures en ressources informationnelles et même des services. Alors là, si on ne les a pas autour de la table, nous n'aurons pas autour de la table les acteurs ou les acteurs organisationnels les plus importants et stratégiques dans le développement de services intégrés.

Troisième principe, c'est toute la question des outils de gestion. Et le projet de loi met en place et suggère des outils de gestion, soit quelques... On semble vouloir abroger certains outils de gestion, mais il faut retenir, je pense, que ça en prend. Ça prend des outils de gestion pour permettre au dirigeant principal ou au Trésor de faire son travail de suivi quant aux projets gouvernementaux de portée gouvernementale, mais également il faut que ces outils-là, qu'on va mettre en place, permettent aux ministères et aux organismes d'exercer eux-mêmes leurs propres gestions et gouvernances. Donc, il ne faut pas que ce soient simplement des outils de contrôle entre les mains d'organismes centraux, mais il faut que ça devienne également des outils de gestion et de suivi. Que l'on pense tout simplement à un dossier d'affaires. On ne peut pas imaginer un projet de 1 million ou de 5 millions sans dossier d'affaires. Donc, il va de soi que ça prend ce genre d'outil de suivi, de justification. Ça prend également une programmation, un plan de dépenses ou d'investissement et, évidemment, une gestion de risques, etc.

Quatrième principe, c'est l'expertise. Pour que ces projets réussissent, ça prend, comme je vous l'ai dit, un leader, un organisme leader, et, pour que l'organisme leader puisse exercer son plein contrôle, il faut qu'il ait une crédibilité aux yeux des partenaires, notamment les grands organismes, et, pour ça, bien, il faut qu'il ait évidemment les moyens de ses ambitions. Alors, nous, on considère qu'il est important qu'il ait les ressources pour pouvoir faire cette planification stratégique, identifier une vision, des projets porteurs, des stratégies et un plan de mise en oeuvre sur lesquels se grefferont ensuite des projets ou, à tout le moins, les ministères, les organismes. Alors donc, ça prend évidemment les ressources pour le faire, et je ne suis pas sûr, bien que je puisse me tromper, que les ressources sont suffisantes actuellement pour exercer ce rôle.

Ça prend également les ressources pour exercer des suivis et des contrôles, ce qui est, je pense, une des dimensions importantes du projet de loi. Et vous comprendrez que, si tous les projets de 1 million et supérieurs à 5 millions sont analysés, et approuvés, et autorisés par le bureau principal du dirigeant principal de l'information, c'est énorme. Alors, je pense que le bureau du dirigeant principal devra prioriser des projets très structurants impliquant des investissements majeurs, sur lesquels il doit, évidemment, exercer une gouvernance plus collaborative mais un leadership affirmé. En termes d'expertise, je pense que les moyens et petits organismes auront besoin d'accompagnement pour la mise en application de cette loi n° 133 et également de ses amendements dans la loi n° 135, parce que, contrairement aux grands organismes, qui ont les ressources pour pouvoir faire des plans d'affaires et ce genre de choses, les petits et moyens organismes n'ont souvent pas les expertises pour le faire et s'en remettent à l'entreprise privée. Alors, il me semble que le bureau du dirigeant principal pourrait être un accompagnateur ou, à tout le moins, outiller ces petits et moyens organismes.

Je terminerai — je veux m'assurer que je suis dans les temps — pour dire que, dans cette loi sur la gouvernance et la gestion des ressources informationnelles, on ne fait aucunement allusion aux nouvelles démarches de gestion de projet, c'est-à-dire... et j'ai nommé les méthodes dites plus agiles. Alors, ces méthodes agiles, ce sont des méthodes beaucoup plus, je dirais, souples, comme le dit son nom, et beaucoup plus itératives, où les planifications à long terme ne conviennent pas. Donc, on doit également inclure, si on veut faire de l'innovation... se permettre d'être agiles tout en permettant quand même une planification de certains projets. Mais, pour ce qui est des projets qui sont davantage destinés à la prestation de services ou encore le développement de logiciels libres, je vois très mal comment une planification triennale, par exemple, pourrait s'appliquer.

Voilà. Donc, en conclusion, oui pour un rôle accru ou des pouvoirs accrus de gouvernance, des mécanismes, mais en même temps ne pas tuer l'innovation et s'assurer que ça se fait de façon à outiller à la fois les ministères, le Conseil du trésor sans bureaucratiser à outrance, évidemment, les mécanismes. Alors, merci.

Le Président (M. Bernier) : Merci. L'expérience d'un professeur pour respecter les temps. Merci. M. le ministre, on va vous accorder la parole.

M. Moreau : Oui. Ah! bien, vous êtes bien gentil, M. le Président. Je pense que je vais accepter votre proposition.

Le Président (M. Bernier) : Si vous ne le faites pas, j'ai un problème.

M. Moreau : Oui. O.K. Non, je vais l'accepter. Je vais saluer mes collègues de la commission qui sont avec nous aujourd'hui des deux côtés de cette table et saluer le Pr Boudreau, le remercier pour sa contribution à nos travaux.

Quand on analyse le mémoire que vous nous suggérez, on se rend compte qu'il y a une proposition, en tout cas, pour la question de l'indépendance du bureau comme du dirigeant principal de l'information qui est une proposition parallèle, carrément, à ce qui est fait dans le projet de loi. Quoique vous êtes d'accord avec les orientations du projet de loi, vous dites : Ça devrait être un organisme indépendant. Je vous dirais que cette proposition-là a été examinée puis, honnêtement, je ne vois pas en quoi le fait que le dirigeant principal de l'information soit un organisme indépendant va renforcer sa capacité de coordonner, de percevoir et de persuader l'Administration d'une orientation ou d'une décision qui sortirait du comité de gestion. Et je vous aurais entendu dans les premiers groupes que je vous aurais dit ça, mais, maintenant que je vous entends dans les derniers groupes, je vous le dis avec... pas avec autorité, je le dis avec beaucoup d'égards pour votre opinion, mais je le dis avec, je pense, l'appui de ce que nous avons eu comme représentations depuis le début de nos auditions, notamment la présentation qui a été faite par le vice-président des ressources informationnelles de Desjardins, qui est appuyé par, je pense, de façon unanime, tous les groupes que nous avons entendus jusqu'à maintenant, et qui nous disait précisément que, dans le cas de Desjardins, le dirigeant principal de l'information, ou son équivalent, chez Desjardins siégeait ou assistait de façon régulière au conseil d'administration de Desjardins. Si on faisait une transposition dans l'organisation de l'État, ce conseil d'administration là pourrait être à deux endroits, soit au Conseil des ministres soit encore au Conseil du trésor, le Conseil du trésor agissant en amont sur des décisions à caractère économique prises par le Conseil des ministres ou entérinées par le Conseil des ministres. Alors, il me semble que de le situer là où on le situe est un... bien sûr, ce n'est pas la recommandation que vous faites, mais j'aimerais vous entendre à savoir si vous estimez que c'est valable ou s'il y aurait une contre-indication de le situer, dans l'architecture du projet de loi, à cet endroit-là.

Et, au niveau des ressources suffisantes pour exercer son rôle, bien, s'il siège au Conseil du trésor... Le Conseil du trésor est le premier organisme de redistribution des crédits à travers les ministères et organismes, et le caractère indépendant, par exemple, du Bureau des enquêtes indépendantes dans le domaine de la police, de tous les organismes qui sont indépendants des tribunaux administratifs... Leur capacité d'agir ou leur capacité économique d'agir relève de crédits qui sont ultimement déterminés par le ministre de tutelle, dans beaucoup de cas le ministre de la Justice, compte tenu du caractère indépendant des tribunaux, et je ne vois pas en quoi ça a pu constituer un problème, dans la mesure où le contrôle de l'octroi des budgets et des crédits budgétaires est fait par l'Assemblée nationale dans une procédure tout à fait particulière qui est l'étude annuelle des crédits, et où tous les partis d'opposition peuvent demander à un dirigeant d'organisme : Est-ce que vous avez les moyens nécessaires pour effectuer le mandat qui vous est confié par la loi? Et je sais d'expérience qu'en général les oppositions ne se gênent pas pour poser ces questions-là s'il y a le moindre doute.

Alors donc, sur la première partie, j'aimerais vous entendre. Sur la question des moyens, je suis d'accord avec vous sur les ressources financières et je tiens à vous rassurer sur le fait que c'est l'intention claire du gouvernement de fournir au dirigeant principal de l'information les crédits requis pour qu'il exerce sa mission.

• (15 h 50) •

Le Président (M. Bernier) : Merci. M. Boudreau.

M. Boudreau (Christian) : Oui. Vous avez cru comprendre que, dans ma présentation, je n'ai pas fait allusion de cette indépendance. Lorsque nous avons écrit ce mémoire, ça s'inscrivait dans des études que j'ai menées en me basant, notamment, sur des études internationales d'administration de gouvernements que je considère des meneurs et qui avaient quand même rattaché ce rôle du bureau le plus proche possible des hautes sphères politiques. Et je faisais, entre autres, un peu de pouce sur une déclaration que M. Couillard avait faite en 2014, de rattacher, notamment, cette entité de coordination gouvernementale au niveau des ressources informationnelles directement au Conseil exécutif, donc, un secrétariat qui relèverait du Conseil exécutif. Là, j'en suis moins sûr, mais en même temps je trouvais l'idée intéressante.

Mais je pense que ce qu'il faut avant tout retenir, c'est : le fait de maintenir le bureau du dirigeant principal d'information au Trésor fait en sorte que son rôle de contrôleur lui colle à la peau. Et je pense que c'est important qu'il exerce ce rôle de contrôleur des projets, mais je pense qu'il doit aussi, dans la mesure du possible, être capable de s'en distancier et aussi de mettre de l'avant, ce qui me semble encore aussi, sinon plus important, son rôle de planificateur stratégique. Et c'est pour ça qu'on se disait : Est-ce que cette indépendance pourrait rehausser le volet plus planification, vision sans nuire en même temps? Et j'ai eu le temps de sonder le terrain là-dessus. Plusieurs m'ont dit, effectivement : C'est une arme à double tranchant de sortir, par exemple, le DPI ou le bureau du Trésor. En le situant au Trésor, c'est sûr que ça lui donne un pouvoir quand même assez important, parce qu'il a le chapeau, évidemment, du conseil, et les organismes, les grands organismes et les autres ont probablement plus tendance à y donner, à tout le moins, une écoute, mais l'effet pervers, c'est qu'on le considère quand même avant tout, lorsqu'on le retrouve évidemment dans cette structure, davantage comme un organisme contrôleur qu'un organisme qui donne une vision. Alors, je pense qu'il faudra juger : Est-ce qu'on sera en mesure de rehausser ce rôle de visionnaire, qui va probablement faciliter les choses, du contrôleur? Alors, s'il arrive avec des projets porteurs, probablement que son rôle de contrôleur va probablement non pas s'estomper, il va devenir peut-être moins important, mais il va être focalisé sur des projets porteurs.

Alors, c'était surtout une question non pas de symbole, mais c'est une question d'image. Et actuellement, pour connaître quand même assez bien l'administration publique pour être intervenu dans plusieurs ministères et organismes, il reste que c'est tout de même une image qui est portée ou qui transparaît lorsqu'on parle du bureau du dirigeant principal d'information. Alors, c'est simplement : Est-ce qu'on peut, en le laissant au Trésor, rehausser... Alors, si on fait la démonstration qu'il a possibilité d'à la fois exercer ses contrôles, sans que ses contrôles soient trop lourds, tout en étant le chef de file des développements des prochains projets en TI structurants, impliquant une multitude de partenaires et...

Le Président (M. Bernier) : ...M. le ministre.

M. Moreau : Merci, M. le Président. Je ne veux pas faire affront à ce que vous venez de dire, là, mais, en résumé, vous dites que ce n'est pas une mauvaise idée de le mettre au Trésor et que ce qui peut être en compétition, c'est le pouvoir de contrôle du Trésor par rapport au pouvoir de vision du dirigeant. Alors, je vous dirige à l'article 7 du projet de loi, au point 0.1° : Le dirigeant principal de l'information a, notamment, pour fonctions de «développer et de soumettre au Conseil du trésor une vision globale en matière de ressources informationnelles». Non seulement c'est le premier mandat qu'on lui donne, mais c'est au premier chef dans l'attribution des pouvoirs qui lui sont faits. Alors, je retiens que sa présence au Conseil du trésor l'amène à un niveau décisionnel de très haut rang dans l'État, vous êtes d'accord avec ça. Et, sur la vision, bien là — comme on dit, «the proof is in the pudding» — il va falloir qu'on commence à mettre en application la loi, parce que, précisément, ce que vous souhaitez, c'est ce qui est écrit dans le texte de loi. Ça va pour ça? Bien.

Pour la deuxième question, vous indiquez que le dirigeant de l'information devrait avoir un rôle d'accompagnateur des petites entreprises. Et je pense que, ça aussi, on le retrouve dans les dispositions de la loi au paragraphe 7°, toujours de l'article 7, «de diffuser auprès des organismes publics et des entreprises du gouvernement les pratiques exemplaires en matière de ressources informationnelles et d'informer le Conseil du trésor des résultats observés et des bénéfices obtenus». Je comprends que ça, c'était déjà dans les pouvoirs qui lui étaient conférés en vertu de ce qu'on appelle le projet de loi n° 133, qui est la loi à la base.

Sur cette question-là — je ne sais pas si vous avez entendu les représentants des petites entreprises dans le domaine de la technologie de l'information, qui saluent le travail, notamment, qui a été fait dans le cadre de Passeport Entreprises et le rapport déposé par mon collègue le député de Marguerite-Bourgeoys — il semble qu'il y ait, je dirais, un désir commun des petites entreprises de faire en sorte que l'on procède... on a utilisé l'expression «allotissement», en fait, pour faire en sorte qu'il n'y ait pas une instance, au sein du gouvernement, qui soit l'instance de gestion des projets ou de trancher les projets pour qu'ils soient accessibles aux petites entreprises, mais d'avoir une sensibilité pour que, dans les très grands projets — et souvent les projets du gouvernement sont définis comme des très grands projets — il y ait un souci qui soit dirigé, dans le document d'appel d'offres, au fournisseur pour que lui décentralise l'offre des services en technologies de l'information et en particulier, on l'a entendu la semaine dernière, la décentralise dans un aspect aussi régional pour favoriser le développement économique dans les régions. Je pense que c'est une proposition qui a été reçue assez favorablement autour de la table ici.

Et j'aimerais savoir — vous êtes professeur à l'École nationale d'administration publique — quelle forme cette chose-là pourrait prendre. D'abord, est-ce que vous êtes en accord avec ça? Si on est en désaccord, c'est difficile d'imaginer une forme. Et, si vous êtes en accord, quelle forme est-ce qu'on pourrait donner à ce souhait-là? Est-ce que ça a besoin d'être une forme législative ou si on le retrouve davantage dans un règlement ou dans les documents contractuels éventuellement produits par le dirigeant principal de l'information ou les dirigeants des informations des organismes de qui ils relèvent?

Le Président (M. Bernier) : M. Boudreau.

M. Boudreau (Christian) : Oui. Je ne suis pas sûr de très bien tout saisir les nuances de votre intervention, mais j'aimerais peut-être commencer mon intervention en disant que le bureau du dirigeant principal... et on verra ensuite pour ce qui est de la décentralisation, là, des pouvoirs de gestion, mais devrait effectivement outiller, et ça, je pense que c'est prévu, et accompagner. Je ne suis pas en train de dire qu'il devra faire de la gestion de projet, mais ce qui est certain, c'est que, lorsqu'on demande à des ministères et des organismes de monter des plans d'affaires ou des dossiers d'affaires, des plans triennaux ou des planifications d'investissement, souvent, ils sont mal outillés pour le faire. Et je pense qu'il serait malvenu que... Cette information minimale pour préparer ces outils de gestion, il me semble, devrait être du ressort d'une entité gouvernementale du genre bureau du dirigeant principal de l'information.

Maintenant, pour ce qui est... et là je ne suis pas sûr de saisir tout à fait la question, mais, pour ce qui est de la décentralisation de la gestion de certains projets...

M. Moreau : ...je ne sais pas si c'est le député de La Peltrie ou le député de Chutes-de-la-Chaudière, mais je sais que ça venait de la deuxième opposition, où on disait : Les petites entreprises nous disent : Nous, là, on n'est pas équipés pour répondre à l'ensemble...

Une voix : ...

M. Moreau : ... — alors, le député de La Peltrie — on n'est pas équipés pour répondre à l'ensemble d'un grand projet et on aimerait ça être capables de développer notre... parce qu'on a véritablement, souvent, une expertise qui est très pointue qu'on veut mettre au service de l'État, on est capables d'avoir des contrats partout dans le monde, mais on n'est pas capables d'en avoir avec le gouvernement du Québec.

Alors, le premier ministre en tête dit : Oui, ça a bien du bon sens, moi, j'aimerais ça que les petites entreprises et très petites entreprises du Québec puissent avoir accès à des marchés publics, notamment, dans le domaine des technologies de l'information. La question qui se posait, c'était de dire : Comment on opérationnalise tout ça? Le député de La Peltrie demandait à je ne me souviens pas quel intervenant : Est-ce qu'il devrait y avoir une strate gouvernementale qui vient défaire en morceaux une demande en matière de technologies de l'information ou si, pour éviter une bureaucratie de démantèlement, là, ou de création partielle, on peut le faire à travers la demande, l'appel d'offres et donner des instructions précises aux fournisseurs d'ouvrage? Alors, c'est ça, le...

• (16 heures) •

M. Boudreau (Christian) : O.K. C'est clair. Je ne suis pas un spécialiste de la gestion contractuelle des projets TI, mais ce que je sais, c'est qu'il y a des pays qui favorisent de façon assez importante les petites entreprises, pour qu'elles puissent soumissionner, par des assouplissements contractuels au moment des appels d'offres, des garanties moins élevées, de ne pas exiger, par exemple, des garanties de plusieurs millions de dollars, ce que la majorité des petites entreprises ont.

Ce qui est sûr, c'est qu'il faut revoir, à mon sens, les règles contractuelles. Et est-ce que ça nécessite une modification légale? Je ne le sais pas. Peut-être plus réglementaire. Mais il me semble que déjà, dans les types d'appels d'offres, il faudrait voir si le CSPQ est contraint par un format particulier. Mais ce qui est sûr, c'est que les appels d'offres ne favorisent pas actuellement les petites entreprises, alors qu'on le devrait. Aux États-Unis, dans certains cas, on fait des appels d'offres, mais ce n'est même plus des appels d'offres, c'est des appels à des défis où il n'y a même plus d'appels d'offres. Alors, c'est sûr qu'on peut trouver une façon, soit, plus formelle, mais il reste qu'actuellement je pense que les règles d'appels d'offres, vous avez tout à fait raison, ne facilitent pas les petits joueurs.

M. Moreau : Il y a une question à l'égard de la capacité financière dans les garanties qui sont demandées. Ça, je pense qu'on est tous conscients de ça. Puis là vous ouvrez en dernier sur la question que soulevait le député de Marguerite-Bourgeoys, en disant : Plutôt que de demander un prix, suggérez le problème, puis on verra quelles seront les suggestions qui seront faites pour le solutionner par l'imagination des petites entreprises en technologies de l'information. Mais je comprends que vous n'émettez pas d'opinion à savoir si ça devrait, ce fractionnement des demandes à l'intérieur d'une demande plus globale, être fait à l'interne ou à l'externe. Vous n'avez pas...

M. Boudreau (Christian) : Je n'ose pas me prononcer là-dessus.

M. Moreau : Bien. Merci.

Le Président (M. Bernier) : Ça va?

M. Moreau : Je pense que le député de Vanier-Les Rivières, M. le...

Le Président (M. Bernier) : M. le député de Vanier-Les Rivières.

M. Huot : Merci, M. le Président. Bonjour, M. Boudreau. Merci de votre mémoire. Un petit mot sur la fin de votre mémoire, quand vous dites : «En terminant, nous sommes surpris de ne voir aucune mention des nouveaux modes de gestion de projet...» Je ne sais pas jusqu'à quel point on doit être aussi spécifique dans un projet de loi, là, aller sur les modes de gestion de projet avec les démarches itératives. Je pense que ça fait quand même partie des rôles et des fonctions du DPI, des DI aussi.

Mais je fais un lien avec ce que vous dites plus tôt dans votre mémoire, «une deuxième itération» de la stratégie TI. Peut-être qu'il y a lieu, dans une deuxième itération de la stratégie TI... On parlait de 2015-2017, la stratégie. Vous savez aussi qu'il y a une stratégie numérique qui s'en vient, sans dévoiler de secret, il y a une stratégie numérique et il y a un volet administration publique, évidemment, dans ça. Donc, qui dit stratégie dit plan de mise en oeuvre, habituellement. Donc, peut-être qu'on a plus lieu d'avoir quelque chose dans ça plutôt que directement dans une loi, s'il y a évolution, qu'il faudrait revoir la loi pour modifier la loi parce qu'il y a une évolution dans la gestion de projet, dans les modes de gestion de projet, mais c'est une façon de vous ouvrir la porte à nous parler peut-être un peu plus de ça, donc, qu'on pourrait retrouver dans une deuxième itération d'une stratégie TI ou dans un plan de mise en oeuvre de la Stratégie numérique.

Le Président (M. Bernier) : M. Boudreau.

M. Boudreau (Christian) : C'est tout à fait ça. Loin de moi l'intention ou la prétention de vouloir proposer une loi qui vient toucher ces éléments de stratégie et de vision, là. Tout ce que je dis, c'est qu'il y a eu une stratégie TI, et, dans son nouveau rôle... pas son nouveau, mais son rôle de visionnaire et de planificateur stratégique, il serait, il me semble, tout à fait approprié qu'il revienne à la charge avec un plan stratégique, une stratégie beaucoup plus précise, cette fois-ci, et qui pourrait devenir... Et là on est à l'extérieur, évidemment, du cadre légal, là. On est vraiment plus dans des dimensions de planification stratégique et qui relèveraient, à mon avis, du bureau du dirigeant principal. Mais, à mon sens, il est temps d'en sortir une deuxième, avec des précisions quant aux principaux projets porteurs. Certains sont déjà dans les cartons du gouvernement. Il s'agirait d'être plus précis et plus transparents, peut-être, là-dessus.

M. Huot : ...de savoir qu'on a des directives, on a des choses qui sont données plus à l'interne, mais vous voudriez les voir dans un plan de match, c'est ce que je comprends, un peu plus.

M. Boudreau (Christian) : Dans un plan de match, et non seulement dans un plan de match, mais pas juste au niveau administratif. Il faut comprendre que, lorsqu'on énumère une vision, on le fait pour évidemment que les ministères et les organismes embarquent, mais on veut aussi que la population comprenne. Et, fort de cet appui de la population, qui comprend bien vers où va le gouvernement dans ses projets structurants de services intégrés et de grands projets, je pense que ça pourrait être un atout tout à fait approprié pour coordonner et enfin gouverner de façon plus collaborative certains projets.

M. Huot : Merci.

Le Président (M. Bernier) : Merci. Mme la députée de Chicoutimi.

Mme Jean : Merci beaucoup. Alors, bonjour, M. Boudreau. Bienvenue à l'Assemblée nationale. Merci de venir partager avec nous votre point de vue sur le projet de loi n° 135. Vos commentaires et votre éclairage sont extrêmement importants pour nous, pour améliorer le projet de loi et faire en sorte qu'il soit le mieux adapté possible à la nécessité de la gestion des contrats de ressources informationnelles. Alors, bienvenue. J'ai quelques petites choses par rapport à votre présentation, quelques petites questions qui me sont venues à l'esprit puis j'en ai une de base. Vous dites, bon, bien accueillir le projet de loi, l'augmentation du pouvoir entre les mains du directeur principal en information est une bonne nouvelle, il va pouvoir être chef de file, etc., que le projet de loi ou la loi en général devrait permettre des économies d'échelle, devrait aussi simplifier la vie des citoyens, ce qui est l'objectif visé.

Ma question porte sur un risque potentiel, puis j'aimerais avoir votre opinion sur ce risque-là, le risque potentiel de justement simplifier, faire des économies d'échelle. Est-ce qu'on risque, à ce moment-là, de se retrouver avec des plus gros projets encore? Et, de ce fait, est-ce que les appels d'offres vont être encore plus compliqués? Et est-ce que finalement ça risque de diminuer le nombre de fournisseurs que le gouvernement pourrait avoir justement pour la réalisation de ses projets en ressources informationnelles? Selon vous, est-ce que ce risque-là existe? J'aimerais vous entendre là-dessus.

M. Boudreau (Christian) : ...

Le Président (M. Bernier) : M. Boudreau.

M. Boudreau (Christian) : Pardon. Oui. Lorsqu'on parle de projets intégrés ou de projets multipartenaires, des projets où on mutualise les infrastructures, les ressources, et il y en a plusieurs d'ailleurs, là, ça soulève toutes sortes de risques, des risques évidemment liés à la complexité de ces projets-là parce qu'on doit arrimer plusieurs joueurs, plusieurs systèmes, plusieurs vocabulaires, plusieurs cultures. Et les études ont montré... mes études, que, dans ces projets d'intégration des services, on a eu beaucoup de difficultés à arrimer non pas la technologie, là, mais ces divers joueurs entre eux pour convenir du mode de fonctionnement, s'entendre sur... Alors, effectivement, il y a des risques. Et, vous avez mis le doigt évidemment sur un autre problème, ce sont des projets à haut risque mais également à gros investissement. Est-ce qu'on devra... Moi, je suggère qu'on devra les saucissonner le plus possible pour ne pas, évidemment, se retrouver avec un pain entier, mais le couper en tranches, hein, le plus possible, ce qui n'est pas évident, ce qui n'est pas évident. Donc, ça prend une coordination d'une très grande complexité.

Et il ne faut pas penser que tous ces projets n'ont pas réussi. Certains ont réussi, mais, je vous dirais, plus il y a de partenaires, plus ça vient toucher, je dirais, le domaine d'affaires de certains de certains organismes, plus il devient difficile... Et souvent la solution, il ne faut pas se le cacher, passe évidemment par une collaboration, une mutualisation avec les ministères et organismes et parfois, de façon aussi simple, avec un partenaire privé. Alors, le meilleur exemple, c'est l'authentification en ligne. On s'évertue, depuis plusieurs années, à avoir une authentification unique, clicSEQUR, alors qu'on sait très bien que l'avenir, aujourd'hui, si on regarde du côté fédéral et ailleurs, c'est les institutions bancaires, qui le font très bien. Le système est déjà en place. Donc, je ne suis pas en train de dire qu'on doit privatiser, mais on doit être imaginatif. Et parfois la complexité nous amène à regarder ce qui se fait ailleurs, soit du côté des OBNL, des organismes privés ou encore... Mais, ceci dit, effectivement, je pense que ces projets-là sont complexes. Et, si on les maintient dans leur... on les considère dans leur globalité, on risque d'exclure effectivement des fournisseurs.

Alors, moi, je pense qu'il va être important de les couper en petits projets, mais, avant de les couper, ayons au moins en tête la cible, la solution. Puis ensuite, lorsqu'on aura une bonne idée de ce qu'on veut faire du projet, bien là, on pourra imaginer des règles de gestion contractuelle plus souples et qui permettront à des plus petits joueurs d'intervenir.

• (16 h 10) •

Le Président (M. Bernier) : Merci. Mme la députée.

Mme Jean : Merci. Donc, je comprends que ce que vous recommandez... Oui, c'est une bonne idée de regrouper ces gens-là autour d'une même table pour faire en sorte d'identifier comment un projet peut répondre à plus d'un organisme, mais, une fois que ça, c'est fait, pour éviter justement le risque de se retrouver avec moins de fournisseurs ou avec moins d'accès pour les PME, de tenter d'éclater le projet en plus petits projets, donc diminuer le risque d'échec, diminuer le risque pour les fournisseurs ou augmenter le nombre de fournisseurs. C'est bien ça?

M. Boudreau (Christian) : Oui. Merci.

Mme Jean : Parfait. Merci. Dans le même ordre d'idées, au niveau de l'intention, de ce que le projet de loi propose, au niveau des directeurs et des directrices informatiques, on parle, si je comprends bien, d'autour actuellement de 125 directions informatiques et peut-être qu'on pourrait se retrouver autour d'une trentaine, 25 plus cinq, au niveau des organismes parallèles. Vous parliez, vous, qu'en haut de 10 la gestion est difficile. Donc, on se retrouve actuellement en haut de 10, donc ce qui reste encore une difficulté. Puis, je suis d'accord avec vous, autour d'une table, être une trentaine de personnes, c'est encore quelque chose de complexe, et la coordination des 30 personnes dans une même vision risque d'être un défi pour ce comité. Ma question est non pas si ça va fonctionner ou non, mais, de passer de 125 à une trentaine — et vous semblez un peu connaître les organisations — vous anticipez quoi comme problématique de résistance au changement? C'est certain que ça va être un changement majeur dans l'État, dans la machine gouvernementale.

Selon vous, quelles sont les principales résistances ou quels sont les problèmes qui seront engendrés par une résistance envisageable vis-à-vis le changement?

Le Président (M. Bernier) : M. Boudreau.

M. Boudreau (Christian) : Elles seront très nombreuses. Bien, d'abord, les ministères et les organismes auront à ajuster, si jamais on les embarque dans des projets communs, leurs façons de faire, leurs systèmes, probablement vont se voir départir de certaines ressources. Il va y avoir une résistance au changement, c'est clair, donc, et donc un maintien, une mainmise sur leurs propres ressources risquent d'être une des formes de résistance.

Une autre forme de résistance? Bien, écoutez, là, je pense que, même à 30, ça va être ingérable, là. Pour moi, c'est clair, là. Écoutez, ça a pris trois ans à faire le changement d'adresse. Ils étaient cinq ou six partenaires autour de la table. Puis ce n'est pas compliqué, un système intégré de changement d'adresse. Il fallait convenir d'une adresse et d'un processus d'identification. Ça a pris deux ans et demi... pas le système, là, comme tel... de s'entendre sur une façon d'authentifier commune. On n'a pas été capable de s'entendre. On a chacun maintenu... Alors, on va rencontrer ce genre de résistance. Alors, moi, je pense que le rôle du DPI, du bureau... devra dire : Écoutez, là, on doit s'entendre sur une solution. On va déjà définir des balises, peut-être pas une architecture, mais, à tout le moins, une solution avec déjà des paramètres. Je pense, la pire chose, ça serait de tout négocier. Si on n'est pas capables, dans notre vision, dans nos projets, de proposer déjà quelques balises : Est-ce qu'on s'en va vers une authentification unique? Si oui, de quelle forme?, alors donc un travail de veille et d'une proposition structurée d'un projet pas tout canné, là... Mais, au moins, avec des indications, et des balises, et des normes et des standards, on va s'éviter beaucoup de négociations inutiles.

Mme Jean : Oui, et je comprends que, oui, 30, ça risque d'être ingérable, si j'utilise...

M. Boudreau (Christian) : Ingérable.

Mme Jean : ...votre expression.

M. Boudreau (Christian) : Et d'avoir les bons joueurs autour de la table. C'est surtout ça.

Mme Jean : Et qu'on pourrait peut-être aider à la gestion de ces 30 personnes là en proposant, de la part du DPI, des balises, déjà des suggestions, donc avoir fait diligence préalablement et arriver avec des solutions et des balises au comité même, de manière à ce que les gens discutent là-dessus. Donc, il y a peut-être une voie de réussite en passant par cette solution. C'est bien ça?

M. Boudreau (Christian) : C'est ce que je pense. Ne pas partir à zéro. Il se fait des choses intéressantes à travers le monde, je pense qu'on peut s'en inspirer, et déjà ça nous donnerait une erre d'aller.

Le Président (M. Bernier) : Merci. Mme la députée.

Mme Jean : Donc, idéalement, selon ce que j'entends, une dizaine de personnes serait idéale, puis, si on en a plus que ça, bien, il faut se trouver des moyens de rendre efficace cette plateforme-là.

Dans un autre ordre d'idées, vous parlez de méthodes de gestion de projet agiles. C'est un défi de gérer des projets en ressources informatiques. J'aimerais savoir : Dans votre esprit, lorsqu'on parle de gestion de projet agile, dans ce contexte-là, comment on pourrait l'appliquer ou comment ça se décline?

M. Boudreau (Christian) : Bien, écoutez, j'ai été appelé à travailler sur deux projets dernièrement qui avaient adopté cette méthode très agile et qui va tout à fait, je dirais... pas à l'encontre de ce qu'on retrouve dans le projet de loi n° 135 et dans la loi n° 133, mais qui est basée sur d'autres, je dirais, mécanismes où on ne planifie pas nécessairement trop à l'avance, mais on va plutôt essayer de développer rapidement quelque chose qu'on va tester auprès d'un utilisateur.

Ce genre de développement ou de projet se prête très bien à la prestation de services électroniques, où on doit développer rapidement. Je ne parle pas des systèmes de mission, là, des systèmes qui gèrent les programmes. Eux demandent une planification à long terme. Mais, lorsqu'on veut vraiment innover dans un univers de plus en plus ouvert qui fait appel de plus en plus à des logiciels libres ou à des plateformes ouvertes, je vois difficilement comment des mécanismes où tout est prévu à l'avance sur trois ans vont permettre d'aller chercher cette innovation-là. Alors, moi, je pense qu'on doit à la fois... oui, pour des projets importants qui touchent à nos systèmes de mission, qui gèrent des programmes importants, ils devront être soumis a des mécanismes de planification rigoureuse, mais il y a certains projets, et ils sont de plus en plus nombreux, où on doit permettre la prise de risque, l'innovation. Autrement, on risque de tuer l'innovation.

Mme Jean : En fait, vous arrivez à ma dernière question. Il nous reste deux minutes, si j'ai bien compris. On a parlé, avec les autres groupes qui sont venus témoigner, d'une possibilité, en tout cas, d'une avenue possible, d'une possibilité par le gouvernement d'avoir une partie du budget en ressources informatiques qui pourrait porter un certain risque de non-réussite. Et l'idée de base de tout ça était, avec ce budget-là, de permettre à des PME de venir proposer des solutions qui soient testées, qui soient essayées. Et il y a des chances que ça fonctionne, mais on sait déjà qu'il y a des chances que ça ne fonctionne pas.

Est-ce que cette avenue-là est quelque chose qui rejoint ce que je viens d'entendre, c'est-à-dire un moyen qui permettrait de favoriser l'innovation au sein de l'État?

M. Boudreau (Christian) : Oui. Lorsque je parlais d'innovation dans une méthode agile, je le voyais notamment à l'intérieur des gouvernements ou des ministères qui ont à développer des systèmes. Alors, je pense que les ministères et les organisations doivent être eux-mêmes agiles dans le développement d'une prestation. Et, bien entendu, si on est capables de mettre plus d'agilité dans la gestion de nos contrats, ça serait extraordinaire. Et d'être capable de rejoindre ces PME, ces petites entreprises, ces start-up, que ce soit par des hackathons ou toutes sortes de formes de sollicitation, ça peut être des défis, ce qu'on appelle du «crowdsourcing», et ça, on le voit de plus en plus, qui ne recourt pas du tout aux règles traditionnelles de la gestion de contrats mais qui permet justement des propositions intéressantes de solution que l'on peut examiner a posteriori.

Le Président (M. Bernier) : Merci.

Mme Jean : 30 secondes?

Le Président (M. Bernier) : 30 secondes, oui.

Mme Jean : Juste pour faire du chemin avec qu'est-ce que vous venez de dire. Est-ce que vous pensez que de faire un hackathon par le gouvernement ou par l'appareil gouvernemental serait quelque chose de possible, selon votre connaissance?

M. Boudreau (Christian) : Bien, il en fait déjà depuis deux ans. Les... en font déjà depuis cinq ans. La plupart des gouvernements en font. Maintenant, ça soulève d'autres difficultés, qui est la pérennité. Alors, un hackathon n'est qu'une façon de faire la démonstration qu'il y a de l'innovation, mais le problème, c'est que, une fois que l'hackathon terminé, malheureusement, l'application meurt. Alors, il faut assurer... et là il y a divers mécanismes à prévoir. Mais je pense que c'est une façon de commencer justement ce processus d'innovation, mais il faut s'assurer qu'il y a une continuité.

Mme Jean : Merci.

Le Président (M. Bernier) : Merci, M. Boudreau. M. le député de La Peltrie.

• (16 h 20) •

M. Caire : Merci, M. le Président. Pr Boudreau, bienvenue. Vous avez parlé essentiellement d'un problème de gouvernance au niveau de la gestion des technologies de l'information puis vous semblez dire que ça prend un leadership et une entité centrale qui serait en mesure d'être imputable de cette gouvernance-là. Je vous suis, jusqu'à date?

Il y a un élément, par contre, dans votre présentation, puis là-dessus je rejoins un peu le président du Conseil du trésor, où j'aurai besoin de clarifications, parce que vous semblez dire que le fait que cette entité-là relève du Conseil du trésor est une bonne chose et une mauvaise chose à la fois. Dans le cas de l'entité, vous avez parlé qu'elle ait quand même une certaine indépendance. Donc, moi, j'aimerais vous entendre. Est-ce qu'il est possible, comme le suggère le président du Conseil du trésor, que l'entité soit partie prenante du Conseil du trésor, soit à la table du Conseil du trésor mais bénéficie, malgré tout, de cette indépendance que vous semblez dire qui serait nécessaire à son efficacité?

M. Boudreau (Christian) : Ce serait, je pense, à mon avis... Je ne suis pas sûr. Et là je ne peux pas présumer de mes deux autres collègues. Probablement qu'ils ne seraient pas totalement d'accord — je m'excuse, Luc — mais ils ne sont pas là. Alors, peu importe où on va le placer, moi, je pense qu'il doit avoir les coudées franches et les ressources. Si on a à retenir un message, là : il doit avoir l'expertise, les coudées franches, et la réputation, et la crédibilité d'exercer cette gouvernance auprès de la fonction publique et des ministères et organismes. Si on est capable de le maintenir ou de l'insérer dans le Conseil du trésor et qu'il est capable de s'épanouir autant en termes d'organisme de contrôle que d'organisme de vision, soit, mais, si l'organisme de contrôle prend le dessus sur la vision, bien là on va devenir probablement... Et là c'est là que les risques deviennent plus importants, où là on va plutôt être préoccupé par une gestion financière des projets qui, à mon sens, est importante, mais, si on ne l'accroche pas à des projets porteurs, à des projets qui ont des retombées importantes, je ne vois pas en quoi on va améliorer les choses. Alors, pour moi, les projets porteurs... c'est-à-dire, d'identifier des projets porteurs, une stratégie claire pour être capable de rallier tous les joueurs autour des projets importants est la première chose à faire, puis ensuite on fera les contrôles. Pour revenir sur les contrôles, ce qui est important, c'est que les contrôles qui devraient être centralisés, ce ne sont pas les contrôles de tous les projets comme tels, mais davantage ces fameux projets porteurs impliquant plusieurs partenaires et des investissements majeurs.

Je pense que l'imputabilité ministérielle de la Loi sur l'administration publique continue à s'appliquer, et les ministères devront être imputables de leurs projets ministériels. Mais, lorsqu'il s'agit d'un projet gouvernemental, on est dans une imputabilité partagée, ça devient beaucoup plus complexe, et il me semble qu'on devrait avoir les structures. Et là la loi ne donne pas d'indication, mais c'est quand même quelque chose d'assez complexe. Et je pense que le bureau du dirigeant principal de l'information devrait avoir, à tout le moins, une imputabilité qu'il devra partager, bien entendu, mais qu'il portera également de façon importante sur ses épaules.

Le Président (M. Bernier) : Merci. M. le député.

M. Caire : C'était extrêmement intéressant. Vous parlez de son expertise, et j'aimerais que vous développiez là-dessus. Le président du Conseil du trésor en a fait mention brièvement tout à l'heure. Puis on l'a retrouvée dans la présentation de plusieurs personnes.

Est-ce qu'on ne pourrait pas penser à une organisation ou, disons-le en termes informatiques, une boîte informatique du gouvernement qui regrouperait cette expertise-là, qui aurait pour mandat effectivement de faire une veille technologique, de s'amuser justement au niveau de l'innovation sans hypothéquer les mandats de gouvernance des différents ministères — comme le vice-président de Desjardins nous disait, sur trois projets, il y en a deux dont on sait qu'ils n'aboutiront à rien, mais le troisième, lui, va être efficace — qui pourrait voir jusqu'à quel point les nouvelles technologies sont adaptées aux besoins, sont applicables, dans quel délai ou dans quelle manière ça pourrait être applicable?

Donc, cette concentration d'expertises là, vous, vous la voyez comment, exactement?

M. Boudreau (Christian) : Bien, moi, je pense que, pour ce qui est de la veille, savoir quelles sont les bonnes pratiques, quels sont les projets porteurs, comment peut-on s'inspirer de ce qui se fait ailleurs, il me semble, en tout cas, que le bureau du dirigeant principal devrait avoir cette responsabilité-là. Est-ce que maintenant, quant à outiller les ministères et les organismes pour qu'eux-mêmes... Parce qu'il faut s'adresser à eux aussi, là. Les lois n^os 133 et 135 s'adressent aux ministères. Comment les ministères et les organismes peuvent être outillés pour faire cette gestion et cette gouvernance?

Et, d'expérience, et en me basant, notamment, sur le Vérificateur général, on le voit très bien, les dossiers d'affaires ne sont pas montés correctement, surtout par les petits et les moyens organismes. On voit qu'il y a un besoin évident. Si on n'a pas de dossier d'affaires, on part tout croche, là, je vous le dis, on part tout croche. Alors, je pense que ce besoin-là est criant. Est-ce qu'on doit s'en remettre à l'entreprise privée — c'est ce qu'on fait le plus souvent — pour aller les chercher ou est-ce qu'on doit imaginer peut-être une entité gouvernementale? On a longtemps pensé que ça allait être le CSPQ, mais là, bon, je ne suis plus sûr que c'est là. Est-ce que c'est le bureau du dirigeant? Mais ce qui est sûr, c'est qu'il y a un besoin, un besoin exprimé, et ça va faciliter la vie de tout le monde et surtout la vie des ministères qui ont à répondre à ça et qui doivent le faire. Ils ne le font pas pour le Trésor, ils le font pour eux. C'est avant tout pour eux. Un dossier d'affaires, c'est pour toi. C'est quoi, tes risques? C'est quoi, ta planification? Tu ne le fais pas pour le Trésor, il faut que tu le fasses avant tout pour toi. Et je ne suis pas sûr qu'on est tous outillés pour le faire. Voilà. Pas tous les ministères. Il suffit de revoir les rapports du vérificateur pour s'en convaincre.

Le Président (M. Bernier) : M. le député.

M. Caire : J'entends de ce que vous dites que, clairement, la maîtrise d'ouvrage doit rester dans les ministères. Est-ce que ça implique que la maîtrise d'oeuvre doit rester aussi dans les ministères? Parce qu'actuellement le ministère va assumer les deux : maîtrise d'oeuvre, maîtrise d'ouvrage. Et, dans la perspective de ce que vous nous dites, si on éclate la maîtrise d'ouvrage, est-ce qu'on est vraiment capable de bâtir une véritable expertise telle que vous semblez la concevoir?

M. Boudreau (Christian) : Bon. Je pense que le gouvernement ne peut pas tout faire. Ce n'est pas une shop informatique. Et je ne suis pas en train de dire qu'il n'aura pas besoin d'un bureau de projet puis, probablement, d'une firme pour l'appuyer. Puis ça, on le voit couramment, et ça, c'est correct, là. Mais, pour la maîtrise d'oeuvre, je pense que c'est important que ça reste à l'intérieur... Mais, lorsqu'il s'agit de réaliser un projet, on doit avoir les ressources pour le suivre, mais, s'il y a du développement à faire, je vois très mal comment le gouvernement devrait... En tout cas, est-ce que c'est au gouvernement de faire du développement, du code? Je ne suis pas sûr. Mais, de suivre, par contre, le projet, est-ce qu'on est bien aligné sur le domaine d'affaires, sur les besoins, sur la cible, ça, je pense que c'est important, et ça, cette maîtrise-là, doit demeurer à l'intérieur...

Donc, dans le suivi même, dans la réalisation des projets, il faut que l'expertise soit là. Puis, entendez-moi bien, là, si c'est une expertise pour un projet ministériel, ce n'est pas le Trésor, c'est le ministère. Si c'est un projet multipartenaire, de portée gouvernementale impliquant plusieurs ministères, bien là, je pense que le gouvernement doit se doter... Est-ce que c'est un bureau de projet? Je ne le sais pas, là. Mais ce qui est sûr, c'est l'expertise pour suivre à la fois les maîtrises d'oeuvre et d'ouvrage de ces projets-là. Mais il peut très bien impartir ou donner à contrat une bonne partie de ces développements mais en ayant quand même un suivi étroit sur le projet.

M. Caire : Tout à l'heure, on parlait de l'intégration des petites entreprises. Ça va peut-être me permettre de corriger une perception du Conseil du trésor, l'idée n'étant pas d'éclater chaque étape du projet. Mais, souvent, ce que les petites entreprises nous disent, c'est que les exigences pour être capable de soumissionner sont à l'effet d'être ISO, ce qui est à peu près impossible pour une petite entreprise, ou d'avoir un certain volume d'affaires ou d'avoir géré un certain nombre de mégaprojets ou... bon, toutes sortes de critères qui les éliminent à la source.

Et là je vous ramène à ma question initiale. S'il y avait cette entité-là, cette boîte-là, au sein du gouvernement, qui devenait cette caution morale là, qui, elle, était capable de fournir cette sécurité-là au ministère du fait qu'elle a effectivement les normes de qualité, qu'elle a géré des grands projets — évidemment, étant le gouvernement, on comprend que la capacité financière est là, et donc elle se porte garante de ces petites firmes là et donc ouvre la porte à leur utilisation, si besoin est, non pas parce qu'il faut répondre à une norme ou à un quota, mais parce que le besoin est là et que, cette expertise-là, il la possède — est-ce que ça, c'est le genre d'organisation que vous verriez d'un bon oeil pour le gouvernement?

M. Boudreau (Christian) : Bien, écoutez, tout ce qui pourrait être mis en place pour favoriser la compétition et notamment l'implication des petites et moyennes entreprises, si c'est fait de façon à ce qu'on maintienne évidemment toujours la possibilité à plusieurs joueurs, moi, je pense que ça serait intéressant. Mais je dois vous avouer que je n'ai pas tellement réfléchi à la chose. Mais ce qui est sûr, c'est qu'il y a divers modèles. Je ne pense pas que le modèle que vous suggérez existe. Je sais que, du côté du Royaume-Uni, ils n'ont pas pensé à ça. Ils ont revu leurs appels d'offres, ils ont revu la façon... et ils ont été capables de faire du découpage, là, dire...

Le Président (M. Bernier) : M. Boudreau...

M. Boudreau (Christian) : Pardon.

Le Président (M. Bernier) : ...je vous remercie de votre participation à la Commission des finances publiques.

Je vais suspendre quelques instants nos travaux afin de permettre aux gens de FACIL, à M. Mathieu Gauthier-Pilote de prendre place. Merci.

(Suspension de la séance à 16 h 29)

(Reprise à 16 h 31)

Le Président (M. Bernier) : Alors, nous reprenons nos travaux. Donc, nous avons le plaisir de recevoir M. Mathieu Gauthier-Pilote, de l'entreprise FACIL. Vous avez 10 minutes pour votre présentation. Par la suite vont suivre les échanges avec les parlementaires. La parole est à vous.

FACIL, pour l'appropriation collective de l'informatique libre

M. Gauthier-Pilote (Mathieu) : Merci. Donc, d'abord, je vais présenter un peu qu'est-ce que c'est, FACIL. Donc, FACIL est un organisme sans but lucratif, fondé en 2003. Nous avons une soixantaine de membres à l'heure actuelle, nous ne sommes que des bénévoles, et puis notre mandat, c'est de promouvoir une informatique alternative face à l'informatique liberticide promue par les principaux joueurs de l'industrie du numérique. Donc, FACIL fait la pédagogie de l'informatique libre et mène de front la bataille pour le logiciel libre, la culture libre, le matériel libre, les standards libres et ouverts, la libération des données d'intérêt public, le respect de la vie privée, la neutralité du réseau Internet. Au coeur de nos préoccupations sont les droits et libertés de l'humain et l'égalité sociale face au numérique.

Alors, les quatre recommandations que FACIL soumet au gouvernement dans ce mémoire sont de mettre sur pied une enquête publique sur la gestion de l'informatique au sein de l'État québécois comme le demandent tous les partis de l'opposition à l'Assemblée nationale du Québec et comme le demande également, depuis février 2015, le regroupement d'organismes de la société civile dont FACIL fait partie; la deuxième recommandation, c'est de donner la priorité au logiciel libre et aux standards ouverts de façon générale dans tous les projets numériques de l'État — cette priorité peut être inscrite dans une loi, et ses modalités, précisées dans un règlement ou un décret; la troisième recommandation, c'est d'adopter des principes, une norme et un manuel pour la conception et le design des services publics numériques — pour constituer son expertise interne et contrôler sa dépendance à l'externe, l'État québécois doit s'inspirer des méthodes qui ont fait le succès de gov.uk, notamment, pas les seules, mais... la quatrième recommandation, c'est de développer et mutualiser une expertise interne vraiment complète grâce au logiciel libre. La qualité de l'expertise interne est considérablement accrue par la libre circulation du code source.

Alors, FACIL remercie la Commission des finances publiques de l'avoir invité à donner son point de vue sur le projet de loi n° 135, qui modifie, notamment, la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, adoptée en 2011.

D'entrée de jeu, il importe d'indiquer que, pour notre organisme, la politique québécoise sur les ressources informationnelles en vigueur depuis 2011‑2012 est fondamentalement déficiente, notamment, pour tout ce qui touche le logiciel et les standards relatifs aux technologies. Notre position est qu'il faut donner la priorité au logiciel libre et aux standards ouverts de façon générale dans tous les projets numériques de l'État. Obliger les dirigeants de l'information à simplement prendre les mesures requises pour que les organismes publics considèrent les logiciels libres au même titre que les autres logiciels n'est pas la bonne approche. FACIL est confirmé dans sa position en pensant au peu de progrès réalisé après plus de six ans d'application de la politique actuelle.

Alors, rappelons que, depuis 2008, les bénévoles de FACIL se présentent devant les candidats et les candidates aux élections municipales, provinciales, fédérales pour leur demander de signer le Pacte du logiciel libre, document par lequel les signataires s'engagent fermement en faveur du logiciel libre. À quoi s'engagent-ils, exactement? Pour reprendre les mots de la dernière édition du pacte, les signataires s'engagent à «faire développer et utiliser des logiciels libres, de même qu'à faire adopter et respecter [les] standards ouverts, prioritairement, dans tous les organismes publics [ou] toutes les entreprises qui relèvent de l'État québécois» et aussi à défendre les droits des utilisateurs et des auteurs de logiciel libre et sensibiliser aux logiciels libres et aux standards ouverts tous les publics amenés à en bénéficier. Alors, deux signataires du Pacte du logiciel libre entraient à l'Assemblée nationale en 2013 : Amir Khadir et Françoise David.

Donc, notre position fondamentale sur le logiciel libre et les standards technologiques, bien qu'elle soit vieille d'au moins neuf ans, est toujours on ne peut plus d'actualité en 2017. En effet, les consultations particulières et auditions publiques sur le projet de loi n° 135 coïncident avec le lancement, le 13 septembre dernier, d'une importante campagne de sensibilisation au logiciel libre venant de la section européenne de la Free Software Foundation. Appuyée par déjà plus de 80 organisations et plus de 11 000 personnes — plutôt 12 000, là, ce matin — la campagne intitulée Argent public, code public invite les gens à signer une lettre ouverte, reproduite en annexe de notre mémoire, dans laquelle les auteurs demandent aux élus de tous les niveaux de gouvernement de mettre en oeuvre une législation exigeant que le logiciel financé par le contribuable pour le secteur public soit, règle générale, disponible publiquement sous une licence de logiciel libre. Alors, les arguments mobilisés dans cette lettre rejoignent ceux que FACIL a l'habitude d'employer pour défendre la priorité au logiciel libre et aux standards ouverts. Accorder la priorité au logiciel libre est, selon nous, la meilleure voie à suivre pour graduellement rendre public le code source des logiciels financés par les impôts et les taxes des Québécoises et des Québécois. Cette priorité, définie plus précisément dans la recommandation 2 du mémoire, doit faire son entrée dans la législation pour que l'État québécois reprenne véritablement et durablement le contrôle sur le développement et l'évolution de ses ressources informationnelles.

Bon, là, j'explique qu'il y a d'autres mémoires qu'on a présentés récemment qui sont tous encore pertinents et qu'on a aussi une synthèse de nos recommandations de 52 positions et recommandations qu'on a prises dans l'espace public dernièrement. Puis, s'il me reste encore un peu de temps pour...

Une voix : ...

M. Gauthier-Pilote (Mathieu) : Alors, c'est bon. D'accord. Alors, la première des recommandations que l'on fait, c'est donc de mettre sur pied une enquête publique sur la gestion de l'informatique au sein de l'État québécois. On l'a mise comme première recommandation. Pourquoi? Parce qu'un événement qui est survenu durant la consultation sur la Stratégie numérique du Québec, à laquelle FACIL a participé, nous incite à la faire remonter en première place. En effet, le 14 février 2017, le P.D.G. du Centre de services partagés du Québec, M. Denys Jean, paraissait en commission parlementaire pour répondre aux questions des élus, notamment, concernant le chapitre 9 du dernier rapport du Vérificateur général du Québec. À la lumière des affirmations entendues le 14 février et des faits révélés par la presse dans la même semaine, il s'avère que le CSPQ ne soit pas du tout en voie de se reformer, et il est à prévoir que les prochaines années ressembleront à celles que nous avons connues en matière de gestion de l'informatique. Alors, plus que jamais, donc, il faut procéder à une enquête.

La deuxième recommandation, c'est de donner la priorité au logiciel libre et aux standards ouverts de façon générale dans tous les projets numériques de l'État. Qu'est-ce que ça signifie, donner la priorité au logiciel libre? Ça signifie qu'au moment de faire le choix d'utiliser un logiciel on priorise les solutions qui respectent les libertés de leurs utilisateurs. Ces libertés, reconnues et protégées par la licence d'un logiciel libre, fournissent des avantages objectifs considérables sur tout logiciel qui n'est pas libre : l'utiliser sans restriction, étudier son fonctionnement, le faire auditer, l'adapter à ses besoins, le redistribuer tel quel ou modifié, mutualiser son exploitation, son développement, son support, etc. Les désavantages objectifs des logiciels privateurs de liberté sont nombreux et coûteux — restrictions d'usage, opacité, insécurité, dépendance envers un seul fournisseur, etc. — et ces logiciels doivent donc devenir le plus rapidement possible l'exception plutôt que la norme dans les ministères, les organismes publics, les sociétés d'État.

Donnons un exemple de priorité au logiciel libre pour plus de clarté. Imaginons que, suite à l'évaluation habituelle des besoins, cinq logiciels semblent bien répondre aux critères... les critères, ce seraient des critères de fonctionnalité, d'interopérabilité, de sécurité, d'ergonomie, etc., donc, les critères d'un organisme : trois sont des logiciels libres, parmi ceux qui rencontrent les critères, et deux sont des logiciels qui ne le sont pas. Donner la priorité au logiciel libre implique tout simplement de choisir d'abord parmi les trois qui sont des logiciels libres. Les deux logiciels qui ne sont pas libres peuvent s'avérer adéquats selon tous les principaux critères, voire raisonnables au niveau du coût des droits restreints d'utilisation de leur licence, mais ils sont forcément désavantageux à plusieurs autres niveaux et par conséquent à déconseiller.

Donc, en l'absence totale d'un logiciel libre adéquat — tel quel ou suite à des modifications économiquement raisonnables — le logiciel non libre est naturellement le choix qui reste, hormis celui d'attendre que la situation change. Voilà. Est-ce qu'il me reste du temps?

• (16 h 40) •

Le Président (M. Bernier) : Merci beaucoup. Merci de votre présentation. Donc, nous allons passer maintenant aux échanges avec M. le ministre. La parole est à vous.

M. Moreau : Merci, M. le Président. M. Gauthier-Pilote, bienvenue à l'Assemblée nationale. Merci de nous faire entendre la voix de FACIL, pour l'appropriation collective de l'informatique libre.

J'ai essayé de retrouver un peu dans le... bien, pas dans votre mémoire, parce que je n'en ai pas, mais dans vos propos — puis ne prenez pas ça comme un reproche — dans vos propos, des éléments qui pouvaient nous aider dans le cadre de l'étude du projet de loi qui est sur la table.

Alors, votre première recommandation ne me semble pas toucher directement le texte du projet de loi, donc je vais me rabattre sur le logiciel libre, parce que vous en avez fait un cheval de bataille tout au long de votre exposé, vous dire que, la semaine dernière, on a entendu un groupe qui est venu, c'est monsieur...

Une voix : ...

M. Moreau : Non. Monsieur qui défendait le logiciel libre...

Une voix : ...

M. Moreau : M. Béraud, qui était un défenseur ardent du logiciel libre et qui voyait dans la rédaction du projet de loi un recul par rapport à ce qui existe dans le projet de loi n° 133 comme rédaction, parce qu'avant on disait «au même titre que les autres logiciels» lorsqu'on référait aux logiciels libres, et il voit un recul dans la rédaction actuelle, où on dit «dont les logiciels libres».

Par contre, on a entendu M. Dagenais et d'autres intervenants. Notamment, les gens de Desjardins aussi nous ont parlé des logiciels libres en disant : Le logiciel libre, tiens, ce n'est pas le bouton à quatre trous. Ça peut être utile, le logiciel libre, mais il n'y a pas que le logiciel libre. Et donc, ce qu'on disait... D'ailleurs, M. Dagenais disait : Je ne sais pas pourquoi vous parlez du logiciel libre dans le projet de loi, parce qu'en réalité, qu'on le considère au même titre que les autres, c'est une bonne chose, on n'est pas contre ça, mais je ne sais pas pourquoi vous augmentez le texte du projet de loi en référence au logiciel libre, parce que, si vous le faites pour le logiciel libre, vous pourriez le faire pour 50 autres technologies. Et je sais que le mot «technologies» n'est pas un mot qui est vu comme un qualificatif positif pour les tenants du logiciel libre, alors je ne l'utilise pas pour être insultant, là, parce qu'à défaut de... Vu la limitation de mon vocabulaire pour décrire le logiciel libre, sans vouloir offenser personne, j'utiliserai le mot «technologies», qui me semble être une référence plutôt neutre. Mais en préparation, justement, des commentaires que nous faisait l'Association professionnelle des entreprises en logiciels libres, on a porté à mon attention un certain nombre de statistiques qui m'indiquent que le pourcentage des organismes publics qui utilisent le logiciel libre entre 2011 et 2017 a considérablement augmenté, passant de 53 % à 80 %, et que le nombre de variétés de logiciels libres pour la même période, entre 2011 et 2017, avait augmenté de 49 %, ce qui est considérable dans un contexte où le texte de loi semblait même un peu restrictif, là, d'après les représentants de l'association.

Alors, dans ce contexte-là, qu'est-ce que vous suggérez que nous fassions dans l'étude du projet de loi actuel qui serait de nature à augmenter encore plus l'utilisation du logiciel libre? Parce que ma compréhension, c'est que, pour tous les gens qui travaillent en technologies de l'information, il n'y a personne qui est venu ici dire : Ce n'est pas une bonne idée, le logiciel libre. Les gens sont venus dire : Ce n'est pas la réponse à tous les problèmes que l'on peut avoir, il faut avoir l'ouverture d'esprit de le considérer dans les solutions retenues, mais il ne faut pas nécessairement s'astreindre à cet univers-là uniquement. Qu'est-ce que vous nous dites là-dessus?

Le Président (M. Bernier) : M. Gauthier.

M. Gauthier-Pilote (Mathieu) : Bien, la première chose que je dirais, c'est qu'il n'y a jamais personne qui a prétendu que le logiciel libre est la réponse à tout et que c'était le bouton à quatre trous. Donc, c'est sûr qu'on peut facilement réfuter cet argument-là, étant donné qu'il ne vient pas de nous, ça ne nous concerne pas directement. Nous, on est pour la priorité au logiciel libre.

M. Moreau : Et c'est ça, là, alors, ma question : Pourquoi devrait-on mettre la priorité au logiciel libre si les gens disent : Écoutez, dans les besoins qu'on a, quand il y a possibilité d'utiliser le logiciel libre, on y va? Puis ça semble être le cas, les chiffres semblent donner raison à ce discours-là.

M. Gauthier-Pilote (Mathieu) : Oui. Je ne crois pas que les chiffres donnent raison à quoi que ce soit. L'utilisation du logiciel libre s'est généralisée. Si on prend le critère utilisation de logiciel libre, tout le monde utilise les logiciels libres en permanence. Les fondements d'Internet, c'est du logiciel libre. Les technologies qui dominent dans le Web, c'est du logiciel libre. Les nouvelles plateformes, c'est du logiciel libre. Il y a toujours du logiciel libre. Même Microsoft s'est fait éventuellement contraindre à changer sa politique. C'était un des derniers des géants d'Internet à avoir une attitude très bornée et très fermée au phénomène de... au succès, finalement, des indépendants, qui ont... une force en collaborant à large échelle sur Internet.

Il y a déjà des exemples très concrets et il y a des exemples internationaux très divers, là. Il y a la... je pense, c'est la Roumanie... non, la Bulgarie, dernièrement. Mais moi, j'ai fait exprès pour citer, dans le mémoire, des exemples comme le Royaume-Uni, les États-Unis, la France et l'État fédéral canadien, donc...

M. Moreau : ...pas de difficulté. Vous référez à votre mémoire. Nous, on ne l'a pas, votre mémoire.

M. Gauthier-Pilote (Mathieu) : Oui. Bien, ça, c'est un peu dommage. Je l'ai envoyé par courriel. On m'a dit de l'envoyer au moins 24 heures à l'avance pour que tout le monde ait l'occasion de le lire.

M. Moreau : Ah! bon, on va le...

Le Président (M. Bernier) : On va vérifier, M. Gauthier, auprès du secrétariat si on l'a obtenu.

M. Moreau : Ah! il est sur votre site, me dit-on.

Une voix : ...

M. Gauthier-Pilote (Mathieu) : Oui, effectivement, on l'a ajouté à nos publications.

M. Moreau : O.K.

M. Gauthier-Pilote (Mathieu) : Donc, par exemple, dans le mémoire, la partie qui concerne les motifs de vouloir le mettre par défaut, donc, c'est la recommandation 2.2 : «Vers l'ouverture par défaut du code source des logiciels financés par le public. Les États les plus avancés dans la livraison de services numériques de qualité et à des coûts maîtrisés ont compris que, pour profiter [...] des avantages de l'autonomie interne [autant] que de la concurrence dans l'offre du secteur [public], il faut donner la priorité au logiciel libre et aux standards ouverts. Depuis 2013, le code source des logiciels de tous les nouveaux projets relatifs à la refonte des services publics numériques du Royaume-Uni doit être libre, sauf cas de force majeure — depuis 2013. La même année, la priorité au logiciel libre était...»

M. Moreau : C'est là où vous référiez tantôt à gouvernement.uk.

M. Gauthier-Pilote (Mathieu) : Gov.uk, oui.

M. Moreau : O.K. Et, dans cette référence-là, qu'est-ce qui serait susceptible de nous inspirer ou de nous guider dans toute référence au logiciel libre dans le cas du présent projet de loi?

M. Gauthier-Pilote (Mathieu) : Bien, dans le cas de gov.uk, c'est tellement important qu'on en a fait une recommandation séparée, c'est «adopter des principes, une norme et un manuel pour la conception et le design des services publics numériques» comme l'a fait, par exemple, le Royaume-Uni de façon exemplaire, influençant tous les États, les États-Unis. Tout le monde a été influencé. Le Royaume-Uni, le Canada fédéral, la France, l'Allemagne, tout le monde a été obligé d'admettre qu'ils avaient pris une longueur d'avance sur tous les États dans le développement de services numériques de qualité à des coûts maîtrisés en se donnant une expertise interne en logiciel libre et en faisant en sorte que, par défaut, c'est du logiciel libre, c'est-à-dire, en anglais, «open source», «open data», «open» tout, là, «open design», et ils travaillent tout, ils font tout avec.

Ils ont importé, essentiellement, dans l'État du Royaume-Uni, les méthodes de développement des géants du numérique et de toutes les start-up du numérique qui sont dignes d'intérêt, là. Donc, quand on parlait tantôt des méthodes agiles...

M. Moreau : On ne vous demandera pas d'en faire la liste.

M. Gauthier-Pilote (Mathieu) : Les méthodes agiles, c'est très, très ancien, mais effectivement c'est complexe à mettre en place, ça fonctionne pour les grands organismes qui sont capables de se donner plein de petits projets qui vont avancer en parallèle.

Donc, bref, nous, on attire l'attention sur des documents qui sont produits par gov.uk, c'est les Design Principles,qui est donc les principes, Digital by Default Service Standard.

M. Moreau : Les principes de conception, vous y faites référence dans votre mémoire?

M. Gauthier-Pilote (Mathieu) : On y réfère, puis tous les liens sont là, là, donc, et c'est disponible en anglais, évidemment, là, c'est le Royaume-Uni.

Mais d'autres exemples très concrets. La même année que le Royaume-Uni disait : Pour tous les nouveaux projets de code, ça va être du logiciel libre...

M. Moreau : Mais...

Le Président (M. Bernier) : M. le ministre.

• (16 h 50) •

M. Moreau : Je vais vous poser une question. Ce n'est pas que je veux vous interrompre, là. Je comprends — parce que je n'ai pas votre mémoire, ça rend la chose plus difficile — j'écoute puis...

Le Président (M. Bernier) : Le mémoire, on vient de le faire distribuer, on vient de le recevoir.

M. Moreau : Bon. Très bien. Alors, je vous garantis qu'on va le lire, mais la question que je vous pose, c'est : Est-ce que ce dont vous parlez... Je le conceptualise peut-être mal, mais je ne pense pas que ça doit se retrouver dans la loi. Ça pourrait se retrouver dans ce qui est suggéré par le dirigeant principal de l'information, dans les paragraphes, là, 5°, 6° et 7° de l'article 7 du projet de loi, qui vient nous dire quelles sont ses fonctions. Alors, de la façon dont le projet de loi est rédigé — et c'est pour ça que je reviens peut-être même à la première question — ce qu'il aura à suggérer, le dirigeant principal de l'information, c'est de concevoir l'architecture, définir les règles inhérentes à la sécurité, diffuser auprès des organismes publics les pratiques exemplaires, etc.

Alors, ce que vous me dites, essentiellement, c'est : Le Royaume-Uni a des pratiques exemplaires dans le domaine des technologies de l'information.

M. Gauthier-Pilote (Mathieu) : Il y a des politiques pour ça, là, il y a des...

M. Moreau : Et, oui, il y a des politiques, justement. Alors, c'est là où j'en viens, là, c'est qu'il y a des politiques derrière ça. Une loi est beaucoup plus techniquement restrictive que...

M. Gauthier-Pilote (Mathieu) : ...où vous vous en allez avec ça. Puis j'ai donné l'exemple du Royaume-Uni, justement, parce que c'est en même temps que la République française, qui donnait la priorité au logiciel libre pour l'enseignement supérieur dans la loi. Et nous, on parle de priorité au logiciel libre parce qu'on pense que ça vaut la peine d'être inscrit dans une loi que c'est la priorité au logiciel libre. Et les modalités de qu'est-ce que ça veut dire concrètement peuvent être précisées après... un règlement, décret ou même au niveau administratif, là, on s'en fout.

M. Moreau : Ou on peut faire l'inverse aussi, c'est-à-dire ne pas fermer la porte au logiciel libre, et de constater, à l'expérience, si dans les meilleures pratiques, effectivement... Parce que, honnêtement, je ne vois pas pourquoi le gouvernement se priverait d'un outil qui peut être le meilleur dans les circonstances, que ça s'appelle le logiciel libre ou autrement.

Alors, si on dit dans la loi : La loi crée un cadre de réflexion, un organisme de réflexion, au sein du gouvernement, dirigé par le dirigeant principal de l'information pour avoir les meilleures pratiques, la meilleure façon de procéder, est-ce que ce n'est pas plus flexible, je dirais, d'avoir une loi qui établit ce cadre-là, sans référence directement à un élément qui, s'il s'avérait ne pas être le meilleur outil, obligerait une modification législative, qui est assez lourde, et plutôt de voir à l'usage, avec les recommandations que fera le dirigeant principal de l'information, les politiques qui seront adoptées par le gouvernement, le contrôle qui est fait par les parlementaires, si on va dans la bonne direction?

M. Gauthier-Pilote (Mathieu) : La réponse, c'est non.

M. Moreau : Bon. O.K.

M. Gauthier-Pilote (Mathieu) : Donc, ça ne serait pas aller dans la bonne direction, fondamentalement. Il y a quelque chose qui est quand même souvent mal compris, c'est qu'on ne peut pas vraiment dire que donner la priorité au logiciel libre, c'est favoriser l'un versus l'autre. Ce n'est pas vrai, parce que tous les fournisseurs, incluant Microsoft, se sont mis à faire du logiciel... Ils peuvent tous faire le choix de faire du logiciel libre demain parce que ce n'est pas une technologie qui est un logiciel libre, ce n'est pas même un logiciel, c'est une caractéristique juridique, c'est les conditions d'utilisation du travail d'un auteur, c'est des auteurs. Avec le logiciel libre, il y a des auteurs, mais il n'y a pas de propriétaire, parce que...

M. Moreau : ...droits d'auteur.

M. Gauthier-Pilote (Mathieu) : Non, non, non, c'est...

M. Moreau : Il y a des auteurs, mais il n'y a pas de droit d'auteur.

M. Gauthier-Pilote (Mathieu) : Non, la licence est dans le droit d'auteur, donc on est dans le droit public, c'est une loi fédérale.

À l'intérieur du cadre du droit d'auteur, la façon dont ça fonctionne avec les logiciels qui sont privateurs de liberté, qui sont dominants, c'est qu'on n'a, nous, les utilisateurs finals, pas le code source, typiquement, et on a juste le droit d'utiliser la propriété de quelqu'un d'autre avec des conditions restreintes.

Avec le logiciel libre, c'est des gens qui ont décidé de renverser le système. La licence sert à protéger la liberté de l'utilisateur, en tout temps, de l'utiliser pour tous les usages, le copier, le modifier et le redistribuer. En faisant ça, on a créé des biens communs numériques, ce qui fait qu'il y a des communautés qui se sont formées autour de certains de ces logiciels-là, qui sont maintenant très souvent la référence dans plein de secteurs. Dans l'intelligence artificielle à Montréal, on sait qu'il y a une concentration de savoirs en intelligence artificielle au niveau scientifique, ils sont tous en train de faire du logiciel libre. Évidemment, dans les communautés scientifiques, ça ne nous passerait pas par la tête de faire un logiciel qui n'est pas libre. Par contre, dans l'industrie, évidemment, là, c'est la question de la propriété qui rentre en jeu, et là les deux tendances existent. Il y a des applications, par exemple — là, je donnais l'exemple de l'intelligence artificielle — qui sont basées sur le logiciel libre pour que le maximum de gens puissent s'approprier le fonctionnement de cette technologie-là et participer à toute l'économie de services qui est autour de la technologie.

Donc, un point majeur que je mentionne ici, dans le mémoire, c'est que, «contrairement à une idée reçue, la priorité au logiciel libre en général ne va pas à l'encontre du principe de la libre concurrence des marchés publics : c'est le contraire qui s'avère exact. Une libre concurrence entre plusieurs prestataires de services informatiques — pour l'installation, la configuration, le développement, la formation, l'hébergement, tout ce qui tourne autour d'un logiciel — n'est pas possible chaque fois qu'un organisme public utilise un logiciel qui a un propriétaire [...] dont le modèle d'affaires repose précisément sur la jouissance d'un monopole d'exploitation détenu en vertu du droit d'auteur. Seuls le propriétaire du logiciel et ses partenaires exclusifs sont alors en mesure d'offrir des prestations de services. La documentation et les exemples abondent sur la façon dont un État peut se donner des règles et des pratiques d'appels d'offres qui ne favoriseront pas les produits ou les services d'un fournisseur particulier[...], surtout quand le fournisseur en question jouit d'un monopole d'exploitation par le biais du droit d'auteur...» Deux documents sur lesquels j'attire l'attention ici, dans le mémoire : il y a Guideline on Public Procurement of Open Source Software, de 2010, de la Commission européenne — 2010, ça fait quand même un bout de temps, ça a fait ses preuves — ensuite, plus récemment, Conseils à la rédaction des clauses de propriété intellectuelle pour les marchés de développement et de maintenance de logiciels libres, de la République française, 2014.

Et, beaucoup plus récemment encore, pour rester sur le sujet des contrats publics, digne d'intérêt, c'est le nouveau processus d'approvisionnement simplifié que l'équipe responsable des initiatives en matière de gouvernement ouvert au niveau de l'État fédéral a mis à l'essai à compter de juillet 2017. «Dans le cadre de ce processus, le document d'appel d'offres spécifie, entre autres, que le code source de la solution proposée doit être sous la licence de logiciel libre MIT, que le plafond des dépenses est de 75 000 $ CAN et que les fournisseurs retenus — jusqu'à 10, maximum — devront aller présenter leurs solutions devant un jury de cinq juges. Il s'agit d'une belle innovation d'Ottawa qui va dans le sens de plusieurs initiatives de transparence intégrale qui ont fait leurs preuves ailleurs dans le monde, particulièrement dans le domaine des technologies.» Et tout est là, les mots clés, là, pour comprendre les...

Le Président (M. Bernier) : M. le ministre aurait une question à vous poser, là, avant que...

M. Moreau : Bien, c'est-à-dire que moi, j'ai terminé dans mes questions, mais le député de Vanier-Les Rivières avait une question à vous poser. Si c'est écrit dans votre mémoire, inquiétez-vous pas, on va le lire. Vous n'avez pas besoin de prendre tout le temps de réponse pour répéter le mémoire, là, il n'y a pas de difficulté.

Le Président (M. Bernier) : On vient de le distribuer à tous, là, votre mémoire. On l'a reçu, là. Il y avait un petit peu un quiproquo, là. Il est distribué à tous. Oui, M. le député de Vanier. Vous avez trois minutes.

M. Huot : Oui. Bien, merci, M. le Président. M. Gauthier-Pilote, bienvenue en commission parlementaire.

Je vais faire ça rapidement. C'est une petite question, là, pour revenir avec ce qu'on a mis dans la loi, quand on parle de «considérer l'ensemble des technologies offrant un potentiel d'économies ou de bénéfices et des modèles de développement ou d'acquisition disponibles pour répondre [à leurs] besoins». On fait référence beaucoup au règlement TI qui avait été diffusé... le règlement d'acquisition qui avait été diffusé l'année dernière quand on parle du concept de coût total d'acquisition, donc de durée de vie utile aussi des achats qu'on fait. Donc, qui dit durée de vie utile dit peut-être aussi maintenance, dit suivi, dit... Donc, dans le contexte, il y a une évolution à faire. Le président du Conseil du trésor l'a démontré. On a tranquillement fait un virage, on utilise de plus en plus de standards ouverts, de logiciels libres. Vous demandez de le prioriser, mais, en restant fidèles au règlement qu'on a, il faut tenir compte du coût total d'acquisition, comme je vous dis. Et, avec la pénurie de ressources qu'on a un peu aussi en TI, ça demande quand même une expertise de faire un certain virage encore plus important, un certain virage.

Donc, peut-être un mot là-dessus. S'il faut aller constamment à l'externe pour assurer notre développement de projet, etc., est-ce qu'on ne se met pas en danger? Est-ce qu'il n'y a pas une notion de risque qui est importante, compte tenu qu'on dépendrait constamment de l'externe, ou est-ce qu'il faut aller... C'est difficile de recruter même pour... On a recruté, on a engagé plusieurs centaines de personnes, mais je veux vous entendre sur cette question de notion de risque là dans un contexte de pénurie et avec le virage que ça peut demander, d'aller encore plus loin.

Le Président (M. Bernier) : M. Gauthier.

• (17 heures) •

M. Gauthier-Pilote (Mathieu) : Oui. Bon, bien, si notre recommandation 1, c'est l'enquête, c'est que, comme vous le savez, il y a eu beaucoup d'histoires de dépassement de coûts, de mauvaise gestion de contrats, etc. Donc, il y aurait déjà des ressources considérables qu'il pourrait utiliser pour reconstituer l'expertise interne si on cessait d'aller dans la gestion de mégacontrats qui ne fonctionnent pas bien.

Pour nous, ce qu'il est important de dire sur l'expertise interne... On est entièrement d'accord avec tous ceux qui disent qu'on doit rebâtir une expertise interne puis qui font le parallèle entre ce qu'on avait appris à la commission Charbonneau sur l'expertise interne, qui était déficiente dans les ministères pour le secteur du transport, c'est évident. Nous, ce qu'on veut amener comme point sur cette question-là, c'est qu'une expertise interne vraiment complète, c'est assez difficile sans des développeurs, des programmeurs qui ont accès aux codes sources pour étudier le fonctionnement des systèmes dont éventuellement leurs collègues de l'administration de systèmes vont être responsables.

Toutes les pratiques modernes aujourd'hui amènent une collaboration très étroite entre les développeurs et les administrateurs, donc il y a un développement qui se fait en continu.

M. Huot : ...de plus en plus, et ça se fait au gouvernement. On ne peut pas nier que ça ne se fait pas, là... on ne peut pas dire que ça ne se fait pas, plutôt.

M. Gauthier-Pilote (Mathieu) : C'est sûr que ça se fait, mais c'est dans quelle mesure et l'importance qui est accordée à ça. Donc, pour nous, l'expertise à développer, interne, c'est une expertise...

Le Président (M. Bernier) : On va passer du côté de notre collègue de Chicoutimi. La parole est à vous, madame.

Mme Jean : Merci, M. le Président. Alors, bienvenue, M. Gauthier-Pilote, à l'Assemblée nationale. Merci, encore une fois, d'apporter votre point de vue sur le projet de loi n° 135, un point de vue particulièrement intéressant puis attendu, du fait qu'on parle de logiciel libre. Et, dans les autres auditions, on en parlé beaucoup. Vous semblez bien vous y connaître à ce niveau-là. Je comprends que le groupe FACIL... ou, l'organisation FACIL, votre mission dépasse le logiciel libre, votre mission est de la liberté des données, la liberté de la personne, bref, c'est la liberté en général au niveau de l'information, et tout. Aujourd'hui, naturellement, par rapport au projet de loi n° 135, on parle du logiciel, parce que c'est vraiment au coeur du projet de loi, on parle des ressources informationnelles, donc le logiciel, et votre connaissance et vos commentaires sur le logiciel libre peuvent être très éclairants.

Une première question. On a un article qui mentionne que, oui, si la solution est économiquement intéressante et que les technologies sont intéressantes, c'est ce qu'on demande au directeur d'utiliser comme solution pour les ressources informationnelles et d'y considérer le logiciel libre. On suggère de le considérer. Vous, ce que vous dites, dans le fond : Ce n'est pas suffisant de la considérer au même niveau que l'ensemble des autres plateformes, et vous préconisez que ce soit plutôt priorisé. Vous désirez qu'il soit priorisé.

En quelques mots, voulez-vous me répéter pourquoi il faudrait prioriser le logiciel libre dans le contexte de l'appareil gouvernemental?

Le Président (M. Bernier) : M. Gauthier.

M. Gauthier-Pilote (Mathieu) : Oui. Donc, deux catégories de réponses à ça. La première, c'est tout ce qui concerne le fournisseur de services. Donc, si c'est entièrement maîtrisé à l'interne, tant mieux, mais, des fois, aussi ça dépend de l'externe, c'est-à-dire l'expertise interne n'est pas là ou n'est pas encore là, elle n'a pas été transférée à l'interne. Et là, dans les faits, lorsque le logiciel est libre, encore une fois, je rappelle, c'est une caractéristique juridique : tous ceux qui font du logiciel pas libre en ce moment pourraient changer demain leurs licences. Ça se fait régulièrement, là, des gens qui passent à l'«open source», là. Ils ont déjà une solution, ils finissent par changer les caractéristiques juridiques.

Là, il y a forcément une mise en concurrence des prestataires qui devient possible, sinon ce n'est pas possible, tout simplement, pas possible. Ce qu'on met en concurrence, c'est le monopole d'un fournisseur de plateformes et le monopole d'un autre fournisseur de plateformes, de solutions, là, d'applications, c'est monopole versus monopole. Lorsque c'est un logiciel libre, lorsque l'ensemble des logiciels libres de la solution que l'on recherche... parce que souvent c'est un assemblage de logiciels lorsqu'ils sont libres, là, à ce moment-là, il n'y a pas personne qui exerce son monopole d'exploitation sur l'oeuvre. Et il y a plusieurs entreprises qui peuvent développer l'expertise pour offrir des services de formation, par exemple la formation destinée aux utilisateurs, évidemment, des logiciels mais ultimement la formation qui pourrait façonner l'expertise interne qui nous manque, évidemment, tout ce qui est hébergement des systèmes, etc. Ça, c'est si...

Le Président (M. Bernier) : Mme la députée de Chicoutimi a une question additionnelle.

Mme Jean : Mais, si je comprends bien, dans le fond, les grands avantages, c'est d'éliminer un monopole possible. Si on n'utilise pas le logiciel libre... Le logiciel libre permet d'éliminer des monopoles. Je comprends aussi que ça augmenterait la concurrence, selon ce que j'ai compris de ce que... Ça permettrait peut-être d'augmenter la concurrence.

M. Gauthier-Pilote (Mathieu) : Ça rend possible la concurrence autour du logiciel en question. Donc, autour du logiciel en question, évidemment, il y a des logiciels... Il faut savoir de quels logiciels on parle. Il y a les logiciels que l'État est susceptible de vouloir acquérir. Il y en a qui vont être des logiciels minuscules qui ne vont pas avoir de marché, de services autour de ce logiciel-là, ça va juste être, par exemple, un utilitaire, là, qui servirait à archiver et désarchiver des fichiers. C'est minuscule, il n'y a pas de marché autour de ça, mais il y a quand même plein de logiciels libres disponibles. Ensuite, il y a des logiciels qui sont gigantesques, c'est des plateformes, notamment, des plateformes de technologies web, des plateformes d'infonuagique, etc., qui sont des logiciels. Bien, il y a carrément des fondations qui gèrent les marques de commerce autour du logiciel libre en question et il y a un grand nombre de fournisseurs de services qui sont disponibles.

Ensuite, l'autre catégorie d'avantages, parce qu'évidemment c'est souhaitable que l'État ait la maîtrise interne de façon générale... Donc, c'est de maîtriser la dépendance à l'externe qu'il est important... Donc, ouvrir le code source par défaut, pour nous, ça a beaucoup d'avantages. Et l'exemple qu'on donne avec la recommandation 4, c'est l'expertise interne, qu'on peut vraiment développer lorsque le logiciel est libre. Et on dit : «Par exemple, des pratiques aujourd'hui jugées nécessaires au bon fonctionnement et à l'amélioration constante des systèmes d'information complexes — évidemment, l'État a des systèmes d'information complexes — comme l'intégration continue et le déploiement continu — le développement continu aussi — sont tout simplement impensables sans le partage du code source des logiciels.» Ensuite, on dit pourquoi est-ce qu'une expertise interne sans le code source est déficiente, parce que, bon, il y a beaucoup d'expertises qui nécessitent tout simplement le partage du code source des logiciels, tandis que toutes les autres expertises qui ne le nécessitent pas absolument en profitent tout de même de manière considérable. Donc, la personne qui fait juste du soutien technique, on pourrait dire qu'elle n'en a pas besoin. Mais, dans les faits — moi, je l'ai déjà fait, c'est une technique, hein — on est très avantagé par le fait qu'on peut éventuellement remonter jusqu'au code source. Voilà.

Le Président (M. Bernier) : Merci. Madame...

Mme Jean : Merci. Donc, on voit des bons avantages, et vous les maîtrisez bien.

Selon vous, puisque que c'est intéressant... puis c'est ce que je comprends de plusieurs personnes qui parlent du logiciel libre, il semblerait que c'est très intéressant d'adopter ces plateformes, selon vous, et ici, au gouvernement du Québec, qu'est-ce qui... ou encore dans les grandes institutions, qu'est-ce qui empêche... ou quelles sont les résistances à l'adoption du logiciel libre, les principales?

M. Gauthier-Pilote (Mathieu) : Il y en a beaucoup, mais, disons, une première catégorie de résistances qui sont, en fait, parfaitement normales, c'est qu'on parle de migration. Donc, si on demandait demain à l'État québécois, qui a typiquement des ordinateurs avec Windows, j'imagine, de passer au Mac, il y aurait des résistances considérables de migrer à une autre plateforme. C'est évident que personne ne souhaite faire une migration. Typiquement, si on nous dit : On doit migrer vers une autre plateforme, personne ne veut migrer. On est généralement contraint à la migration, et c'est d'ailleurs comme ça que fonctionne le modèle des développeurs de logiciels privateurs de liberté, c'est par la contrainte, c'est par le fait qu'ils nous tiennent par la licence, nos données sont dans leurs applications, on dépend d'eux pour la suite des choses.

Bon. Alors, quand c'est un logiciel libre, il existe encore des contraintes, évidemment, mais il n'y a pas les contraintes de licence.

Le Président (M. Bernier) : Mme la députée.

M. Gauthier-Pilote (Mathieu) : Donc, ça, c'est une catégorie. Les migrations complexes sont très compliquées.

Mme Jean : ...dans le même ordre d'idées, lorsqu'on prend le logiciel libre, c'est une plateforme qui est disponible, mais ça ne rend pas autonome l'organisation. Il faut, de toute façon, qu'elle fasse affaire avec des groupes qui vont travailler autour du logiciel libre. Donc, il va y avoir du service nécessaire, à l'externe ou à l'interne, pour pouvoir développer la solution informatique dont on a besoin.

M. Gauthier-Pilote (Mathieu) : Peu importe la catégorie, que ce soient des logiciels libres ou pas libres, que ce soit la plateforme a ou b, c'est les mêmes dépenses en informatique. C'est toujours des experts qui connaissent l'opération, l'administration, le développement, la sécurité, en fait, tout un paquet de gens qui sont payés, qui ont une expertise. Et, que ce soit libre ou pas libre, c'est la même chose. Ce qui devient plus facile avec le logiciel libre, c'est de dire : On a la maîtrise d'oeuvre et même on peut avoir la maîtrise de l'ouvrage de nos systèmes informatiques et on planifie le développement et on peut le faire en commun, essentiellement, on peut mutualiser à grande échelle.

• (17 h 10) •

Le Président (M. Bernier) : Merci. Mme la députée.

Mme Jean : Vous avez fait référence à une politique du fédéral pour pouvoir justement favoriser l'utilisation du logiciel libre. Ma question était : Est-ce que vous savez si c'est par le biais d'une loi ou d'une initiative, d'un décret, d'un règlement, d'une... Comment le fédéral a apporté, justement, cette idée de favoriser l'adoption de logiciels libres?

M. Gauthier-Pilote (Mathieu) : Bien... J'essaie de retrouver où j'en parle. Donc, en fait, c'est un nouveau processus d'approvisionnement. C'est possible qu'il y ait eu des changements législatifs. J'avoue que je ne le sais pas. Mais c'est très récent : 26 juillet 2017.

Aux États-Unis, ils sont rendus beaucoup plus loin, ils ont une politique sur le code source depuis août 2016, c'est quand même relativement récent, et le principal objectif de cette politique sur le code source, c'est littéralement encourager le partage et la libre utilisation du code source des logiciels par toutes les agences rattachées à l'État fédéral. Il y a des avantages évidemment à ça, mais ça va plus loin. Il y a un projet pilote, dans le cadre de cette politique-là, par lequel les agences seront tenues de publier sous licence libre ou mettre dans le domaine public — parce qu'aux États-Unis des fois on met les documents publics dans le domaine public, ce qui est une bonne idée — au moins 20 % du code source des logiciels conçus sur mesure pour les besoins de l'administration publique. Donc, on veut mutualiser à l'échelle de l'État, mais on dit : On doit sortir de l'État aussi. Il y a d'autres États qui utilisent des logiciels libres comme nous, notamment les 50 quelques États fédérés aux États-Unis, mais aussi à travers le monde... Donc, notre recommandation 4 porte précisément là-dessus, sur comment amener les administrations publiques à mutualiser entre elles...

Le Président (M. Bernier) : Mme la députée.

Mme Jean : Merci. Je reviens au projet de loi n° 135. Actuellement, le logiciel libre est mentionné comme un exemple, mais pas priorisé parmi d'autres. Je comprends que vous, vous désirez le prioriser.

La raison de le prioriser... Selon vous, pourquoi c'est nécessaire de prioriser lorsque les bienfaits du logiciel libre, ils sont connus, ils sont documentés? On le voit ailleurs. Pourquoi il faudrait prioriser plutôt que de le mentionner?

Le Président (M. Bernier) : M. Gauthier.

M. Gauthier-Pilote (Mathieu) : Parce que l'État a un rôle à jouer dans le développement de l'industrie de services en logiciel libre au Québec, et, en tant que donneur de contrats, en donnant la priorité au logiciel libre, on va favoriser le développement de l'industrie de services en logiciel libre au Québec, parce qu'il y a une industrie à travers le monde, mais ce serait donc principalement au Québec, ce serait intéressant. Et il y a d'autres raisons, là, que je n'ai pas mentionnées dans le cadre de... parce que, là, je me suis limité aux avantages de gestion, et tout ça, là, de licence et de coût, mais, globalement, nous, on pense que l'État québécois doit encourager l'ensemble de la société à s'approprier les logiciels libres, donc.

Le Président (M. Bernier) : Merci. Mme la députée, il vous reste une minute.

Mme Jean : Donc, selon vous, en priorisant le logiciel libre, le gouvernement montrerait la voie ou l'exemple à l'ensemble de l'industrie et possiblement aussi favoriserait le développement d'entreprises dans le logiciel libre. Et j'imagine que tous les autres avantages que vous avez mentionnés sont quand même intéressants ou importants pour les contrats en tant que tels en ressources informationnelles à même l'appareil gouvernemental, donc ce n'est pas seulement que pour être un levier, j'imagine, de développement économique ou de développement d'entreprises là-dedans.

M. Gauthier-Pilote (Mathieu) : Les deux, effectivement.

Mme Jean : C'est les deux. Parfait. Je vous remercie beaucoup.

Le Président (M. Bernier) : Merci. M. le député de La Peltrie.

M. Caire : Merci, M. le Président. M. Gauthier-Pilote, bonjour.

Dans le fond, essentiellement, ce que vous nous dites, c'est que, dans la mesure où on a un besoin identifié et qu'on est capable de trouver un certain nombre de logiciels qui répondent à ce besoin-là, essentiellement, on devrait prioriser le logiciel libre. Donc, vous ne dites pas : Il faut évacuer le logiciel propriétaire. Vous me permettrez d'utiliser plutôt cette expression-là.

M. Gauthier-Pilote (Mathieu) : C'est un anglicisme, mais ce n'est pas grave.

M. Caire : Oui. Bien, «liberticide»... là, j'ai moins de facilité à vous suivre, mettons. Mais, ceci étant, vous dites : On devrait prioriser le logiciel libre.

Maintenant, pour beaucoup, il y a un enjeu qui est un enjeu de sécurité, parce qu'on dit : Bon, bien, voilà, si, plutôt que d'avoir l'exécutable, j'ai le code source qui est ouvert, nécessairement, je peux avoir une brèche de sécurité. Vous répondez quoi à ça?

M. Gauthier-Pilote (Mathieu) : Non, c'est exactement le contraire, en fait. C'est la transparence sur le code qui rend possible tous les aspects de la sécurité. Donc, dans la sécurité informatique, que ce soit avec un logiciel libre ou pas libre, il y a des choses qui sont communes. Par exemple, si les gens se donnent des mauvais mots de passe, ça ne change rien, le problème est là. Ça peut être au niveau de la configuration de systèmes, au niveau de leur administration, mais il y a aussi, parfois, des failles de sécurité et la découverte des failles de sécurité, la course constante pour trouver des failles de sécurité, les colmater rapidement et faire en sorte que tous ceux qui utilisent le logiciel réagissent rapidement. Tout ça se fait de façon transparente dans le logiciel libre. C'est une des forces. C'est pour ça que les géants du numérique utilisent le logiciel libre pour leurs infrastructures depuis très longtemps.

Ce qu'on a mis en annexe dans le mémoire, c'est la lettre ouverte de la section européenne de la Free Software Foundation, qui appelle donc à ce que, lorsque c'est de l'argent public, le code soit public. On donne comme principaux avantages les questions de sécurité. Pour la sécurité des systèmes d'information de l'État, il faut qu'il y ait la possibilité pour les organismes publics de faire l'audit de sécurité interne et aussi de payer un tiers indépendant pour le faire. Lorsqu'on utilise un logiciel qui n'est pas libre, on peut faire certains types d'audit de sécurité, mais, ultimement, on ne peut pas faire l'audit du code. On ne peut pas faire l'audit du code source, parce que c'est la propriété intellectuelle cachée de l'entreprise qui l'a développé. Donc, on doit essentiellement se fier à leur bonne volonté. Alors, je suis désolé, mais, moi, je ne me fie pas vraiment à la bonne volonté. Je pense qu'il y a des experts... les communautés de sécurité sur Internet utilisent le logiciel libre. C'est la sécurité contre quel adversaire? Si on opère des systèmes informatiques, l'adversaire, ça peut être quelqu'un qui veut pénétrer les systèmes de l'extérieur, mais l'adversaire, ça peut être le concepteur du système, et c'est contre ce genre de protection là qu'on ne peut rien faire si on n'a pas accès au code source. Ça devient très... en fait, c'est possible de le faire, là. On peut décompiler le code source, ça s'appelle la rétro-ingénierie, mais c'est très long, très compliqué, ce n'est pas efficace du tout.

M. Caire : ...

M. Gauthier-Pilote (Mathieu) : C'est très inefficace.

Ensuite, on ne peut jamais vraiment savoir non plus si on a la même version du logiciel. Là, il y a un contrôle de versions. Tout le monde utilise telle version du code. Le code, il est ici, tout le monde peut le voir. Le premier qui repère un problème de sécurité le signale, et tous les gens qui sont responsables de la sécurité peuvent réagir.

Voilà. Donc, il y a énormément d'avantages. Et, typiquement, c'est un des principaux arguments, là, pour expliquer pourquoi ça a eu un tel engouement dans la communauté informatique, le logiciel libre. Ça fait partie des principaux, là... des arguments techniques de cet ordre-là.

Le Président (M. Bernier) : Merci. M. le député.

M. Caire : Vous avez abordé aussi, trop brièvement à mon goût, la question de l'expertise. Aux questions de ma consoeur, dans le fond, ce que vous dites, c'est que, si on est utilisateur d'un logiciel propriétaire et qu'il y a des ajustements ou une personnalisation à faire, bien, évidemment, c'est le concepteur du logiciel qui doit les faire. Il me renvoie une version compilée, c'est totalement transparent, puis on met les fameuses mises à jour.

Dans le cas du logiciel libre, ayant accès au code source, je peux, si j'ai l'expertise — et c'est là-dessus que je veux vous entendre — faire ces modifications-là moi-même. Donc, je ne suis plus dépendant du propriétaire du logiciel, de ses licences et de ses contraintes d'utilisation. Cette expertise-là, vous dites : Bien, évidemment, on peut aller — et c'est là-dessus que ma consoeur vous interrogeait — à l'externe, puis il y a des... Mais, à ce moment-là, quel est l'avantage? Parce que l'avantage, c'est d'avoir soi-même le code source et de soi-même faire ces modifications-là. Maintenant, si on est dépendant, qu'on soit dépendant du propriétaire du logiciel ou qu'on soit dépendant d'une expertise externe, c'est une dépendance pour une autre, là.

M. Gauthier-Pilote (Mathieu) : Bien, si on a l'expertise interne, on est autonomes, donc on a la liberté de faire évoluer nos systèmes d'information selon notre propre planification. Quand c'est un logiciel libre, on peut le faire en commun avec d'autres utilisateurs, incluant des utilisateurs organisationnels, des grandes entreprises ou des organismes publics, planifier...

Une voix : ...

M. Gauthier-Pilote (Mathieu) : Exactement. Et, lorsque, par exemple, c'est un nouveau logiciel ou une nouvelle technologie et qu'on ne l'a pas encore, l'expertise interne, on peut éventuellement, si on juge que c'est important... Parce qu'évidemment on ne va pas développer une expertise sur chaque logiciel qu'on utilise. On utilise beaucoup de logiciels. C'est lorsqu'on juge que c'est critique de l'avoir à l'interne, cette expertise-là, qu'on peut beaucoup plus facilement la rapatrier à l'interne quand c'est un logiciel libre, parce qu'éventuellement on peut donner un contrat de services à une entreprise externe suite à une vraie mise en concurrence de prestataires de services.

• (17 h 20) •

M. Caire : C'est là-dessus que je voulais vous entendre aussi, là, sur la capacité de faire jouer la concurrence dans ce développement de l'expertise là, là.

Est-ce que vous avez des expériences dans d'autres administrations où on a fait jouer cette concurrence-là, où on a été capable, de un, de développer l'expertise mais aussi d'aller chercher une diminution des coûts au niveau de la prestation de services?

M. Gauthier-Pilote (Mathieu) : Oui. C'est un fait accompli, là. Il y a plusieurs États qui le font déjà. J'ai donné l'exemple de la façon dont la Commission européenne recommandait de le faire pour l'ensemble des États européens, c'était la Guideline on Public Procurement of Open Source Software. Puis après ça j'ai donné un exemple en français qui est les Conseils à la rédaction des clauses de propriété intellectuelle pour les marchés de développement et de maintenance de logiciels libres, 2014, République française. Donc, ça se fait et ça se fait depuis un bon bout de temps, là. Et il y a des experts, là, là-dessus. Moi, je suis informaticien, là. Donc, pour la partie juridique, il y a sûrement moyen de communiquer avec les gens qui ont écrit les lois, les règlements, et autres.

Le Président (M. Bernier) : Merci. M. le député.

M. Caire : Une minute, M. le Président?

Le Président (M. Bernier) : Posez votre question. On va laisser la...

M. Caire : Non, non, c'est correct. Bien, c'est parce qu'en fait j'aurais voulu vous amener sur le terrain de l'infonuagique. Vous dites : Il y a des grosses plateformes d'infonuagique qui sont développées avec du logiciel libre. Encore là, j'aimerais vous entendre au niveau des questions de sécurité. Ce sont des applications qui sont fiables et sécuritaires? Est-ce qu'il y a des entités gouvernementales qui utilisent ce genre de plateforme là, à votre connaissance?

Le Président (M. Bernier) : M. Gauthier.

M. Gauthier-Pilote (Mathieu) : Bien, l'État fédéral a OpenStack, notamment. Honnêtement, je ne saurais pas dire... le gouvernement du Québec actuel, là. Ça se pourrait.

Une voix : ...

M. Gauthier-Pilote (Mathieu) : La réponse est non. Donc, oui, il y a OpenStack, Cloud Foundry, il y en a plusieurs qui sont utilisées, c'est des grosses communautés. Donc, la réponse, c'est : Oui, il y a des exemples. Et puis c'est certain que, si l'État québécois peut ouvrir plein de centres de données comme ça a été le cas dans le passé, il y a certainement moyen de développer une expertise en infonuagique, ce qui fait que, là, on pourrait, pour tout ce qui est important, là... La protection des renseignements personnels, ça pourrait se faire à l'interne. Il pourrait y avoir la maîtrise complète de toutes les couches de logiciel de... ce qui est plus près du matériel, jusqu'à finalement l'application finale, avec pas de boîte noire au travers de tout ça.

Le Président (M. Bernier) : Merci. Merci, M. Gauthier-Pilote, de votre présentation et de ces échanges.

Je vais suspendre quelques instants afin de permettre aux représentants du Vérificateur général du Québec de prendre place.

(Suspension de la séance à 17 h 23)

(Reprise à 17 h 28)

Le Président (M. Bernier) : À l'ordre, s'il vous plaît! Donc, nous reprenons nos travaux. Donc, nous avons le plaisir de recevoir Mme Guylaine Leclerc, Vérificatrice générale, M. Serge Giguère, M. Marcel Couture, Mme Moïsette Fortin et Mme Mélanie Blackburn. Bienvenue à la Commission des finances publiques.

Nous sommes heureux de vous accueillir cet après-midi. Nous vous laissons la parole pour une dizaine de minutes, Mme Leclerc.

Vérificateur général

Mme Leclerc (Guylaine) : Alors, merci, M. le Président. M. le Président, M. le ministre responsable de l'Administration gouvernementale et de la Révision permanente des programmes et président du Conseil du trésor, Mmes et MM. les membres de la commission, c'est avec plaisir que je participe aux auditions publiques concernant le projet de loi n° 135.

Tout d'abord, permettez-moi de vous présenter les personnes qui m'accompagnent : MM. Serge Giguère et Marcel Couture, qui sont vérificateurs généraux adjoints.

Au cours des dernières années, nous avons réalisé régulièrement des travaux concernant la gouvernance ainsi que des travaux directement liés aux technologies de l'information. Nous avons d'ailleurs déposé un portrait de la gouvernance et de la gestion des technologies de l'information au gouvernement du Québec en mars dernier. Ce portrait a fait ressortir trois zones de vulnérabilité à l'égard des technologies de l'information, soit la gouvernance, l'alignement stratégique et la surveillance de la performance. C'est donc de façon positive que nous accueillons le projet de loi. Globalement, nous sommes d'avis qu'il contient des éléments qui pourront contribuer à l'amélioration de la gouvernance et à la gestion des ressources informationnelles. Par exemple, on y constate une meilleure vision gouvernementale en matière de TI, la recherche d'une plus grande cohérence dans le processus de planification de même qu'une surveillance accrue des projets. Cependant, nous désirons attirer votre attention sur certains volets qui soulèvent des interrogations et qui pourraient constituer un frein à l'atteinte des objectifs visés s'ils ne sont pas traités adéquatement.

Relativement au dirigeant principal de l'information, le DPI, nous constatons que le projet de loi lui confère un grand pouvoir : il deviendra, en fait, le maître d'oeuvre gouvernemental des technologies de l'information. Il devra, notamment, développer et proposer au Conseil du trésor une vision globale en ressources informationnelles, favoriser l'adéquation entre les priorités gouvernementales et celles des organismes, élaborer une planification gouvernementale en la matière et présider le comité de gouvernance.

• (17 h 30) •

Ces importantes responsabilités s'accompagnent de grands défis pour le titulaire du poste. D'abord, il deviendra l'instance qui va concilier les écarts entre les demandes des organismes publics et la planification gouvernementale en matière de TI. Son premier défi sera d'obtenir une compréhension suffisante de la situation d'un grand nombre d'organismes qui ont tous leurs propres contextes et leurs besoins particuliers. Ensuite, il devra réaliser son mandat sans atténuer les effets recherchés par la Loi sur l'administration publique, entre autres que les dirigeants des organismes demeurent imputables de leur gestion, par exemple, des décisions qu'ils prennent et de la qualité des services qu'ils offrent aux citoyens. Il importe donc qu'un mécanisme d'arbitrage fort soit en place pour éviter la déresponsabilisation des organismes publics tout en permettant au DPI de conserver le recul nécessaire à l'exercice de sa fonction. Nous ne percevons pas clairement ce contrepoids dans le contenu du projet de la loi actuel. On peut supposer que le comité de gouvernance jouera ce rôle d'arbitrage. En fait, cette instance de gouvernance pourrait offrir une perspective plus globale pour aider à la prise de décision et pour mieux coordonner les investissements et les dépenses en technologies de l'information de l'ensemble des organismes publics. Toutefois, des questions demeurent sur le fonctionnement de ce comité. D'abord, la contribution réelle du comité à l'élaboration de la planification gouvernementale en matière de ressources informationnelles n'est pas claire. La même question se pose à l'égard de la détermination des priorités gouvernementales ainsi que de la répartition budgétaire entre les organismes publics. En fait, un des mandats importants du comité demeure très vague, soit celui d'assurer la cohérence dans la mise en oeuvre des orientations déterminées par le Conseil du trésor. À titre comparatif, la Loi sur la gouvernance des sociétés d'État énonce en des termes beaucoup plus clairs le fonctionnement et les responsabilités du conseil d'administration et des comités devant être constitués.

Par ailleurs, le projet de loi prévoit la nomination d'un dirigeant de l'information, par portefeuille ministériel, siégeant au comité, ce qui devrait réunir environ 25 personnes. Nous croyons qu'il y a de fortes probabilités que ce nombre augmente, puisque des organismes pourront demander d'être représentés par leurs propres dirigeants de l'information. À notre avis, il serait surprenant que les grands organismes gouvernementaux acceptent d'emblée un représentant ministériel. Dans un tel contexte, il deviendra encore plus difficile d'obtenir un consensus et il sera primordial de bien définir le fonctionnement de ce comité. De plus, le statut et la responsabilité des membres de ce comité de gouvernance mériteraient d'être clarifiés. Dans le cas contraire, il y a un risque de complexifier la gouvernance et la gestion des ressources informationnelles au sein même des entités. Pour diminuer ce risque, il sera essentiel de bien départager les responsabilités entre, d'une part, le dirigeant de l'information, représentant l'entité au comité, et, d'autre part, les autres gestionnaires de l'entité, notamment le premier dirigeant et le responsable des TI de l'entité.

Par ailleurs, le projet de loi vise à optimiser les façons de faire en privilégiant le partage, la mise en commun du savoir-faire, de l'information, des infrastructures et des ressources. Cet objectif est louable, mais il faut que cet exercice se réalise dans le respect de la réalité des organismes publics, de leur mission et, plus particulièrement, des besoins des citoyens. Il faudra trouver le moyen de concilier toutes ces réalités et les risques qui en découlent, et ce, sur un horizon à plus long terme que celui du processus budgétaire.

Dans les démarches de planification, la gestion des risques n'est pas abordée. Pourtant, il est fort probable que les risques gouvernementaux et les risques de chacun des organismes publics ne soient pas toujours arrimés. Il serait donc opportun de prévoir la prise en compte des risques tant dans la planification gouvernementale que dans chaque plan directeur des organismes publics. Cela est important pour s'assurer que les risques sont gérés efficacement et que leur impact est connu, par exemple, sur les services aux citoyens et la gestion de projet. Nous pouvons croire que l'information globale sera améliorée, puisque tous les organismes publics auront à répondre à des demandes d'information additionnelles. Par exemple, les organismes devront établir un plan directeur pour décrire son adéquation avec leurs priorités stratégiques et celles du gouvernement. Il y aurait avantage toutefois à ce que les exigences de reddition de comptes soient plus précises en ce qui concerne la mesure de la performance en technologies de l'information. Par exemple, il est essentiel de pouvoir apprécier l'obtention des bénéfices attendus de même que le degré d'atteinte des objectifs visés par les investissements en cette matière.

Finalement, nous ne saurions passer sous silence cette grande préoccupation que nous avons soulevée à maintes reprises dans nos rapports précédents. Malgré les améliorations potentielles à la gouvernance et à la gestion des ressources informationnelles qui découlent du projet de loi, celles-ci auront un effet limité si elles ne sont pas accompagnées de mesures concrètes pour corriger le déficit d'expertise gouvernementale en matière de technologies de l'information.

Voilà, pour l'essentiel, les observations qui découlent de notre analyse du projet de loi. Nous sommes maintenant à votre disposition pour répondre à vos questions.

Le Président (M. Bernier) : Merci, Mme Leclerc, de votre présentation... toujours fort intéressantes, auxquelles j'ai le plaisir d'assister à la Commission de l'administration publique, donc c'est toujours un plaisir.

M. le ministre, les échanges débutent avec vous.

M. Moreau : Merci, M. le Président. Mme Leclerc, bienvenue. Je veux saluer également les gens qui vous accompagnent : M. Giguère, M. Couture de même que Mmes Fortin et Blackburn. Bienvenue à la commission parlementaire.

Comme toujours, on est très attentifs aux remarques du Vérificateur général, parce que, si on ne l'est pas en amont, on va devoir les retrouver en aval. Alors, la prudence enseigne qu'en général, si vous estimez une chose, il est bon de s'attarder avec vous sur ces éléments-là.

J'ai pris connaissance de votre texte en même temps que vous le lisiez. Deux remarques sur ce point. C'est plus difficile d'avoir un échange immédiat. Je comprends que vous avez des réflexions qui vous amènent à ce texte-là. Par contre, il faut les prendre point par point. Le forum de la commission, malheureusement, dans un contexte de temps réduit... J'aurais beaucoup aimé les avoir avant, parce que j'estime que, sur certains points, il y a des éléments qui sont des points d'interrogation que nous, nous soulevons aussi. D'ailleurs, je commencerai par la dernière page, là, de votre mémoire, où vous dites : Ça va avoir un effet limité, tout ça, si ce n'est pas accompagné de mesures concrètes pour corriger le déficit d'expertise gouvernementale en matière de technologies de l'information. Vous me permettrez, Mme la Vérificatrice générale, de réitérer, là, qu'à cet égard, depuis le dépôt de la stratégie, nous avons autorisé, au Conseil du trésor, l'ajout de 793 effectifs, dont 370 depuis le 1er avril dernier, sur cette question-là. Vous conviendrez avec moi qu'il est impossible de corriger de façon instantanée et par un claquement de doigts l'augmentation de l'expertise interne, mais je pense qu'il faut convenir qu'on est résolument enlignés dans cette direction-là et je pense que les efforts sont non seulement valables, mais je pense qu'ils sont aussi mesurables. Moi, il ne se passe pas une semaine, au Conseil du trésor... à moins que j'aie une décision à prendre, pour augmenter l'expertise interne en technologies de l'information dans chacun des ministères et organismes qui soumettent leurs plans stratégiques. Alors, je comprends que le... puis je ne veux pas avoir l'air en opposition avec vous, là, je suis d'accord avec ça, l'augmentation de l'expertise interne, mais je vous avoue que c'est lourd à porter lorsqu'on marche résolument vers cet objectif-là, qu'on le fait sur une base hebdomadaire et qu'on se fasse redire : Bien, écoutez, là, vous savez, tout ce que vous faites, ça ne donne rien si vous n'augmentez pas l'expertise interne.

Je ne sais pas comment verbaliser le fait de dire : Le message est entendu, et le gouvernement est résolument déterminé à aller dans ce sens-là. Alors, je trouvais que c'était important de le dire. Le taux de recours à l'externe calculé lors du dernier portrait publié était de 29 %. En considérant les effectifs que nous avons octroyés, on l'a réduit à 21 %. Et on se concentre, à chaque fois... c'est la mission du dirigeant principal de l'information, d'aller vers ce que l'on appelle les postes stratégiques. Par exemple, quand on fait un transfert de technologie, il est clair qu'il y a beaucoup d'expertises à l'externe, parce que cette expertise-là, elle est ponctuelle. Et, une fois le transfert effectué, ce qu'on veut, c'est garder les éléments stratégiques à l'interne. Alors, je veux profiter de votre présence et du commentaire que vous formulez pour rassurer les gens qui nous écoutent sur le fait que nous sommes déterminés à aller dans ce sens-là.

À la page 5 de votre mémoire, vous dites que, en parlant du dirigeant principal de l'information, il va devenir l'instance qui va concilier les écarts entre les demandes des organismes publics et la planification gouvernementale en matière de technologies de l'information, et son premier défi sera d'obtenir une compréhension suffisante de la situation à l'égard d'un grand nombre d'organismes qui ont tous leurs propres contextes et leurs besoins particuliers.

Le comité de gouvernance. J'aimerais vous entendre à ce sujet-là. Je comprends que vous avez des remarques à faire sur le nombre, mais le comité de gouvernance réunit, autour d'une même table, les dirigeants de l'information des ministères et organismes. On pourra toujours débattre sur le nombre de personnes. Il y en a qui disent : Il doit y avoir plus de monde autour de cette table-là. Il y en a d'autres qui, je pense, confondant son rôle à celui de développeur de projet, ce qui n'est pas le rôle du comité de gouvernance... il devrait y avoir moins de monde que ça.

Est-ce que vous êtes d'accord que l'idée de réduire... là, on a à peu près 120 quelques personnes qui touchent à ce domaine-là, de le réduire, avec l'architecture du Conseil des ministres, aux principaux ministères qui ont un portefeuille, plus les grands organismes? Vous évoquiez le chiffre 25. Moi, je pense qu'on vise le chiffre 25 avec les grands organismes, parce qu'il y a des ministres qui n'ont pas de portefeuille et desquels ne dépendent pas des organismes... qui ne sont pas titulaires de portefeuilles responsables de certains des grands organismes qui ont des besoins en technologies de l'information.

N'estimez-vous pas que le rôle du comité de gouvernance aura précisément une de ces missions, de permettre une compréhension suffisante des besoins des ministères et organismes auprès du dirigeant de l'information?

• (17 h 40) •

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : Oui. Alors, bien, je vous dirais, ce n'est pas nécessairement le nombre qui est problématique, c'est le rôle. Donc, je pense qu'il faut définir adéquatement le rôle, premièrement, c'est qui. Qui va siéger? Donc, ce sera le DI qui siégera, mais qui sera-t-il? Et quel chapeau portera-t-il au sein de sa propre organisation?

M. Moreau : ...le responsable, selon la loi, des technologies de l'information au sein du ministère qu'il représentera et il sera désigné par le ministre responsable de chacun des ministères et par le ministre responsable des organismes sur consultation du principal dirigeant de l'organisme.

Mme Leclerc (Guylaine) : C'est ce que nous avons compris, hein? Nous l'avons compris à la lecture du projet de loi. Mais, par exemple, dans la Loi sur la gouvernance des sociétés d'État, on a une série de critères pour déterminer quel est le rôle du membre du conseil d'administration. Dans le cas du comité de gouvernance, le rôle n'est pas précis, et, en comprenant adéquatement son rôle, on pourra déterminer le nombre de personnes qui pourra y siéger et quel est son rôle par rapport à la gouvernance gouvernementale, par rapport à son rôle au sein de sa propre organisation.

M. Moreau : Mais, sur la première question, vous dites : Le DPI va avoir une tâche importante, notamment la compréhension suffisante des organismes. Est-ce que, sur ce point-là précisément, le comité de gouvernance n'est pas une réponse adéquate? Je comprends que, là, vous m'amenez sur le rôle, la définition ou les contours du rôle ou du mandat qu'on donnera au comité de gouvernance. Je viendrai à ça dans un instant.

Mais, sur l'apport qu'il a à l'égard du dirigeant principal de l'information, est-ce que vous estimez, un, que la nomination des membres qui le composent est adéquate et, deux, que sa composition pourra suppléer aux obligations de compréhension que devra avoir le dirigeant principal de l'information?

Mme Leclerc (Guylaine) : Je vous amène à l'article 12.1 de votre projet de loi, O.K., où on y dit que le comité de gouvernance a notamment pour mandat «1° d'élaborer des orientations à proposer au Conseil du trésor». Ça, c'est clair. Le troisième aussi est clair : identifier les opportunités d'optimisation, de partage et de mise en commun. C'est ce que vous dites, O.K.? Donc, ça aussi, c'est clair.

Mais le deuxième élément, qui est «d'assurer la cohérence dans la mise en oeuvre des orientations déterminées par le Conseil du trésor», ce mandat-là, pour nous, n'est pas clair.

M. Moreau : Mme Leclerc, j'ai compris, j'y viens dans un instant, ma question n'est pas là, je suis en amont de ça. Dans votre texte, vous indiquez que le dirigeant principal de l'information va avoir un mandat large, qui est problématique en soi parce qu'il devra avoir une compréhension suffisante de la situation d'un grand nombre d'organismes.

Ma question est plus précise que celle-là. Je ne suis pas sur le mandat du comité. Est-ce que le fait que le comité soit formé des dirigeants de l'information de chacun des ministères et organismes — présumons qu'on arrête à 25 — n'est pas de nature à suppléer, justement, le... ou à donner aux dirigeants de l'information une compréhension suffisante des besoins? Sinon, ce serait quoi, là, la... Ils originent des ministères et organismes. Il m'est apparu qu'ils avaient une bonne compréhension des besoins de leurs boîtes ou de la boîte qu'ils représentent au sein du comité de gouvernance.

Alors, moi, sur la nomination et la composition, est-ce que vous pensez que c'est de nature à répondre à la préoccupation que vous avez sur la compréhension que doit avoir le dirigeant...

Mme Leclerc (Guylaine) : ...

M. Moreau : O.K. Bon. Et là vous dites : On passe au mandat. Et là j'ai compris très bien que vous dites : Dans le mandat, vous devriez vous inspirer, M. le ministre, et Mmes et MM. les membres de la commission parlementaire, de la Loi sur la gouvernance des sociétés d'État.

Et là vous me référez au paragraphe 2° de l'article 12.1 de la loi. Qu'est-ce qui, au paragraphe 2° de l'article 12.1 de la loi, devrait être précisé, si on prend pied sur la Loi sur la gouvernance des sociétés d'État, qui ne l'est pas dans le projet de loi?

Mme Leclerc (Guylaine) : Avoir une précision sur le rôle, spécifiquement, sur l'assurance qu'il devra apporter sur la cohérence et la mise en oeuvre des orientations déterminées.

M. Moreau : Voulez-vous donner un exemple de votre crainte et comment on pourrait illustrer une précision? Parce que je ne suis pas contre l'idée, là. J'essaie juste de me coller plus à vos propositions.

Mme Leclerc (Guylaine) : Bien, c'est justement ce que nous souhaitons. Nous souhaitons que, cet aspect-là, vous avez une compréhension de ce que vous souhaitez. Et, si c'est d'assurer une cohérence à la mise en oeuvre des orientations, bien, c'est de pouvoir les spécifier, que ce soit à l'intérieur du projet de loi ou que ce soit à l'intérieur de directives, mais que ces aspects-là soient précisés.

M. Moreau : Bon. Mais le Conseil du trésor a un rôle où il peut établir dans la loi... On prévoit que le Conseil du trésor peut établir un certain nombre de directives. Donc, ce que vous me dites, c'est que la précision ou la manière d'assurer la cohérence de la mise en oeuvre pourrait être précisée dans les directives données par le Conseil du trésor.

Mme Leclerc (Guylaine) : C'est exactement ça.

M. Moreau : O.K. Donc, c'est dire que l'architecture actuelle de la loi le permet. Vous dites : Mais faites attention, vous pouvez le faire. Nous, on vous dit : Vous devriez le faire dans le cadre des directives. Je vous suis bien?

Mme Leclerc (Guylaine) : Et c'est l'ensemble de nos commentaires. Nos commentaires, dans certains cas, sont assez précis, je vous dirais. Et ça n'a pas lieu d'être précisé dans une loi. Mais ça pourra être soit précisé dans un règlement ou soit dans une directive.

M. Moreau : O.K. L'autre élément qui m'a frappé, là, dans vos remarques — je suis à la page 9 : Le statut et les responsabilités des membres du comité de gouvernance méritaient d'être clarifiés.

Qu'est-ce que vous souhaitez voir clarifié dans leur statut et leurs responsabilités?

Mme Leclerc (Guylaine) : C'est leur rôle par rapport au rôle qu'ils ont au sein de leurs propres organisations et le rôle qu'ils auront au sein du comité de gouvernance.

M. Moreau : Ah! Dites-moi si je vous suis bien, là. C'est un peu le problème du maire qui siège à la MRC. Est-ce qu'il représente son conseil ou s'il représente le conseil de la MRC? Donc, ce que vous dites, c'est que, ces gens-là, est-ce qu'on devrait s'attarder à ce qu'ils sont dans leurs ministères avant de les nommer là pour être sûrs d'avoir un écho entre le ministère et la personne qui siège au comité de gouvernance? Et donc ça pourrait être quelqu'un d'autre que le responsable des technologies de l'information.

Quel est le rôle le plus fondamental que ces gens-là doivent avoir au sein du comité de gouvernance, selon vous?

Mme Leclerc (Guylaine) : Je vous dirais, c'est ça qu'il faut clarifier. Je vous donne un exemple : un conseil d'administration, O.K., d'une société. Lorsqu'on siège sur un conseil d'administration d'une société, on vient travailler pour être en faveur de la société, dans les intérêts de la société. Le rôle qu'on joue à l'extérieur de la société, oui, ça nous apporte une valeur ajoutée parce qu'on a des connaissances particulières. Mais le rôle est clair. Un rôle de gouvernant, dans une société, dans une compagnie, qui siège sur un conseil d'administration, bien, c'est clair. Dans ce cas-ci, ce que nous constatons, c'est que ce n'est pas nécessairement clair, quel sera son rôle par rapport à ce qu'il exerce au sein de son organisme.

• (17 h 50) •

M. Moreau : Alors, je vous pose la question en termes plus carrés, là : Est-ce qu'il devrait représenter son organisme au sein du comité de gouvernance ou représenter le comité de gouvernance au sein de son organisme? Parce que, c'est ça, là, j'ai l'impression, l'écart ou la distinction que vous souhaitez faire.

Mme Leclerc (Guylaine) : C'est deux enjeux différents. Et ce n'est pas à nous à vous dire ce qu'il doit être et quel est le rôle qu'il doit jouer, c'est à vous de le préciser.

M. Moreau : Mais, quand vous me dites : Le statut doit être clarifié, vous n'avez pas en tête un rôle particulier à leur faire jouer. Si on dit que le comité de gouvernance... En d'autres termes, je ne cherche pas une opinion professionnelle, là, de votre part, mais j'essaie de lire à travers les lignes, parce que c'est ce à quoi vous nous invitez, essentiellement.

Selon vous, là, est-ce que, le comité de gouvernance, c'est les meilleures pratiques à l'ensemble de l'appareil de l'État, dans les ministères et les organismes, et ce comité de gouvernance là vise à conseiller le dirigeant — c'est comme ça que l'architecture de la loi est faite — à conseiller le dirigeant de l'information sur les meilleures pratiques? Donc, contrairement au conseil d'administration d'une société d'État, il n'a pas à prendre soit la part de l'actionnaire ou la part de l'administrateur. Lui, il a un rôle conseil sur les meilleures pratiques à adopter.

Et donc je reprends la formulation que je faisais au début. Si je suis cette logique-là et que vous me demandez de clarifier son rôle, je devrais quelque part préciser qu'il est le représentant du comité de gouvernance au sein de l'organisme duquel il émane.

Mme Leclerc (Guylaine) : Si c'est ce qui est souhaité.

M. Moreau : Et est-ce que, selon vous, c'est ce qui est souhaitable?

Mme Leclerc (Guylaine) : Ça dépend des objectifs que vous souhaitez atteindre.

M. Moreau : Mais, mon objectif étant d'avoir les meilleures pratiques en termes de technologies de l'information au sein du comité de gouvernance, est-ce que ce n'est pas là le rôle qu'on devrait lui confier?

Mme Leclerc (Guylaine) : Je ne suis en mesure de vous répondre.

M. Moreau : O.K.

Le Président (M. Bernier) : Merci.

M. Moreau : Il nous reste du temps, M. le Président?

Le Président (M. Bernier) : Oui, il vous reste du temps, cinq minutes.

M. Moreau : O.K. Parfait. À la page 10, on parle de la prise en compte des risques. Donc, vous dites : «...le projet de loi vise à optimiser les façons [...] en privilégiant le partage, la mise en commun du savoir-faire, de l'information, des infrastructures et des ressources.» Puis je pense que c'est ce qu'on vient de couvrir. «Dans la démarche de planification, la gestion des risques n'est pas abordée, et il est fort probable que les risques gouvernementaux et les risques de chacun des organismes publics ne soient pas toujours arrimés.» On est toujours dans la même logique, où on a un comité de gouvernance qui est le gardien des bonnes pratiques, qui permet la fluidité de l'information et des meilleures pratiques à travers les ministères et les organismes de l'État.

Dans ce contexte-là, est-ce que c'est à lui d'établir comment les risques doivent être pris en compte ou c'est plutôt — vous connaissez l'architecture du projet de loi — au niveau des directives du Conseil du trésor que devraient se situer les éléments de prise en compte des risques?

Mme Leclerc (Guylaine) : Bien, si je fais un parallèle avec la Loi sur la gouvernance, c'est dans la loi où on en fait part.

M. Moreau : Mais on l'attribue à qui? On l'attribue au Conseil du trésor ou on l'attribuerait ici au comité de gouvernance?

Mme Leclerc (Guylaine) : Je vous dirais, au comité de gouvernance.

M. Moreau : Au comité de gouvernance.

Mme Leclerc (Guylaine) : Oui.

M. Moreau : O.K. Et donc on devrait agir dans la loi là où on définit le rôle du comité de gouvernance?

Mme Leclerc (Guylaine) : Absolument.

M. Moreau : Au niveau de la prise en compte des risques?

Mme Leclerc (Guylaine) : Au niveau de la prise en compte des risques et de la planification.

M. Moreau : O.K. L'objectif que vous poursuivez, là, par cette précision-là, c'est de dire : Si on prend en compte les risques adéquatement en amont de la réalisation d'un projet ou, de façon générale, dans la façon de se comporter, on diminue les effets négatifs potentiels sur l'Administration et donc sur les finances publiques. C'est ça?

Mme Leclerc (Guylaine) : Dans un premier temps, cela. Et, dans un deuxième temps, chaque organisme a des risques différents aussi, O.K.? Donc, l'accès à l'information peut être un risque extrêmement élevé au niveau de la Régie de l'assurance maladie, par exemple, au ministère de la Santé, au ministère du Revenu, alors qu'au niveau des Services correctionnels c'est un tout autre risque. Alors, il y a les risques gouvernementaux dans leur ensemble qui sont à prendre en compte, mais aussi les risques individuels des organismes.

M. Moreau : Et donc, encore une fois, là, le comité de gouvernance, qui est le dénominateur commun auquel on ramène les connaissances particulières de chacun des organismes et donc les risques inhérents à chacun des organismes, constituerait une bonne pratique si on définit correctement dans la loi son mandat de prise en compte des risques. C'est exact?

Mme Leclerc (Guylaine) : Absolument.

M. Moreau : Bon. Peut-être l'avez-vous entendue. Mme Bouchard, de l'Université Laval, est venue — elle est docteure en droit de l'informatique, je pense, ou en gestion de l'informatique — et elle nous disait qu'il y avait un élément très important qui favorise une meilleure prise en compte des risques dans le cadre d'une reddition de comptes. Alors, si j'ai une reddition de comptes adéquate, je favorise une meilleure prise en compte des risques.

Est-ce que vous êtes d'accord avec les propos qu'elle nous a tenus ici?

Mme Leclerc (Guylaine) : Bien, disons, si je comprends bien votre question, là, c'est attendu que la reddition de comptes va permettre d'avoir une connaissance, hein, de certains risques ou de certains éléments qui ont moins bien fonctionné, mais encore faut-il que la reddition de comptes soit adéquate et non seulement une comparaison entre ce qui était prévu être dépensé, ce qui est dépensé. Il faut s'assurer que la reddition de comptes, bien, permette de voir si on a atteint les objectifs qu'on souhaitait obtenir et que la reddition de comptes permette de voir dans quelle mesure les indicateurs qu'on avait identifiés, bien, sont adéquatement réalisés.

M. Moreau : Ça, c'est à la base ce que constitue une reddition de comptes, mais moi, je vous amène de façon plus pointue — peut-être que ma question n'était pas assez précise — sur la question de la prise en compte des risques.

Est-ce qu'il devrait y avoir, dans la reddition de comptes, pour améliorer les pratiques, un élément spécifique sur les façons qui sont utilisées pour la prise en compte des risques?

Mme Leclerc (Guylaine) : Je vous dirais, pourquoi pas? Mais je ne suis pas en mesure de répondre précisément, comme Mme Bouchard peut-être pourrait le faire, là, surtout que je n'ai pas entendu... J'ai écouté Mme Bouchard, mais je ne me souviens pas de cet aspect-là de sa présentation.

M. Moreau : Mais, à la page 11, là, de votre texte, vous dites, à la toute fin : «...il est essentiel de pouvoir apprécier l'obtention des bénéfices attendus de même que le degré d'atteinte des objectifs visés par les investissements en cette matière.» Mon souvenir... là, je ne veux pas faire offense à Mme Bouchard, elle nous indiquait quatre éléments qui doivent être pris en compte et précisément pour être en mesure de mieux mesurer l'atteinte des objectifs et elle dit : Bien, préalablement à tout raisonnement, si on prend en compte ces quatre éléments-là, on arrive à une meilleure évaluation de l'atteinte des objectifs. Alors, c'est dans ce contexte-là, là, je pense, où elle parlait de la reddition de comptes.

Là, lui, il aurait pu être médecin, donc j'ai peut-être un petit peu de difficultés à lire son texte, là. Alors, premièrement, il nous parle de la vision, de la stratégie pour l'atteindre, de la performance et de la gestion des risques comme dernier élément. Alors, ça revient un peu à la recommandation ou, en fait, à l'alignement que vous nous donnez.

Le Président (M. Bernier) : Merci. Merci, M. le ministre. Nous allons passer du côté de l'opposition officielle. Mme la députée de Chicoutimi.

Mme Jean : Merci beaucoup, M. le Président. Alors, bonjour à tous. Je suis heureuse de vous voir aujourd'hui, Mme Leclerc, M. Giguère, M. Couture, Mme Fortin, Mme Blackburn. Merci d'être ici. Merci de nous éclairer de vos points de vue sur le projet de loi n° 135, très intéressants.

Comme première question, d'entrée de jeu, je vais y aller au fur et à mesure, parce qu'effectivement, n'ayant pas eu le texte avant, je vais suivre un peu la présentation que vous avez vous-même faite. À la page 2, vous mentionnez que vous avez fait un portrait de la gouvernance et de la gestion des technologies de l'information, donc vous avez fait ça, et trois faiblesses ont été soulevées, ce que vous appelez des zones de vulnérabilité à l'égard des TI. Vous parlez de la gouvernance, vous parlez de l'alignement stratégique et de la surveillance de la performance.

Rapidement, j'aimerais savoir, pour chacun de ces items-là, comment le projet de loi n° 135 vient améliorer ou vient pallier des faiblesses à ces trois niveaux?

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : Alors, dans un premier temps, vous devez savoir qu'il s'agissait d'un portrait qui a été réalisé auprès de 44 entités et c'est un questionnaire qui a été envoyé auprès de 44 entités, qui sont 20 ministères, 19 organismes et cinq entreprises, et l'objectif pour nous était d'identifier les zones de vulnérabilité au sein de ces organisations-là, de permettre qu'elles se comparent entre elles et aussi d'orienter nos travaux de vérification. Alors, les trois zones de vulnérabilité, qui sont la gouvernance, l'alignement stratégique et la surveillance de la performance... je vais laisser l'auteur du rapport vous faire un portrait de chacune de ces trois zones-là.

M. Couture (Marcel) : Bien, en fait...

• (18 heures) •

Mme Jean : ...parallèle par rapport à comment le projet de loi vient aider un peu à corriger ces vulnérabilités.

M. Couture (Marcel) : En fait, comme on vous disait, les zones de vulnérabilité, si on parle de gouvernance, par exemple, essentiellement, ça portait autour de : les gens qui ont répondu n'avaient pas le sentiment d'être en pleine maîtrise puis d'avoir le sentiment qu'ils allaient chercher la valeur maximale, la valeur optimale pour leurs investissements. Alors, c'est sûr que, le projet de loi, présentement, de la façon qu'il est fait, il y a au moins des bases qui sont mises en place pour essayer d'aider avec ça, mais, un peu comme on l'a soulevé, toute la notion de reddition de comptes, entre autres, et de suivi va prendre toute son importance dans ce volet-là.

Il y avait aussi une notion au niveau de la gouvernance. Dans la vulnérabilité de la gouvernance, il y avait la notion de gestion de risques qui était soulevée, et elle était soulevée un peu à deux niveaux, c'est-à-dire qu'elle était soulevée au niveau des instances de gouvernance, plus la haute direction, les premiers dirigeants, qui ont répondu au questionnaire. Et donc, à ce niveau-là, c'était plus de dire : Bien, la gestion de risques, à ce niveau-là, c'est l'identification des risques, c'est l'identification des impacts potentiels puis c'est l'identification de c'est quoi, notre seuil de tolérance. Du côté des gens qui ont répondu au niveau des gestionnaires TI, bien, eux autres, leur préoccupation, c'est plus de dire : Comment moi, je gère ma boîte TI pour répondre à ces attentes-là de la gouvernance et atteindre ce niveau de seuil de tolérance là? Donc, dans le projet de loi, c'est pour ça qu'on a soulevé le point de la gestion des risques, c'est un élément qu'il est important à avoir dans ce projet de loi là et/ou dans les directives sous-jacentes, si je peux dire, parce que c'est ça qui va articuler, hein, qui va articuler un peu tout cet élément-là. Ça, c'était pour la gouvernance. L'alignement stratégique, en fait...

Mme Jean : Juste vous poser une petite question...

Le Président (M. Bernier) : Oui, allez-y, madame.

Mme Jean : ...pour mon éclairage : Lorsque vous parlez de risques — juste pour être certains qu'on parle de la même chose — est-ce que vous parlez de risque de sécurité, ou de risque de dépassement de coûts, ou de risque que le projet ne donnera pas le résultat qu'on attendait? Qu'entendez-vous par «risques»? Juste pour que je sois capable de vous suivre.

Mme Leclerc (Guylaine) : Je peux y aller. C'est l'ensemble des risques. Ça peut être un risque lié au projet lui-même, mais ça peut être le risque lié à l'organisation elle-même. Comme je disais tout à l'heure, au ministère de la Santé ou à la Régie de l'assurance maladie, un risque important, c'est la confidentialité des informations, alors que ce risque-là peut être moins important dans une autre organisation. Par exemple, un système 9-1-1, par exemple, c'est l'accessibilité qui devient l'élément de risque qui est important. Donc, il y a les risques organisationnels, là, les risques liés à l'organisation proprement dite, mais il y a les risques de dépassement de coûts, les risques que le projet ne se rende pas à terme.

Mme Jean : Merci. Désolée.

Mme Leclerc (Guylaine) : Je te laisse continuer.

M. Couture (Marcel) : Parfait. Puis ça amène, en fait, à la deuxième...

Le Président (M. Bernier) : M. Couture.

M. Couture (Marcel) : ... — c'est ça — la deuxième vulnérabilité, qui était l'alignement stratégique, mais c'est exactement en lien avec ça.

C'est qu'en fait c'était la question de : les gens n'avaient pas l'assurance que les bénéfices attendus étaient atteints, et c'était donc l'alignement de tout le fonctionnement, si je peux dire, des TI à partir de la gestion des projets jusqu'à la gestion des opérations comme telles, mais l'alignement avec toute la stratégie organisationnelle, donc le fait que chaque organisation, chaque ministère, chaque organisme, il est dans une ligne d'affaires, il a des services à rendre aux citoyens, etc. Donc, c'est de bien aligner toute cette stratégie d'affaires là avec le fonctionnement, l'opération, si je peux dire, des technologies de l'information. Donc, c'est ça qui était sorti dans cette zone de vulnérabilité là, que les gens n'avaient pas le sentiment d'être en pleine maîtrise à ce niveau-là. Donc, encore là, on revient à la notion de gestion de risques puis de gestion des bénéfices attendus puis tout le phénomène de reddition de comptes, qui rentre là-dedans.

Puis la troisième vulnérabilité, bien, c'était vraiment...

Mme Jean : ...

M. Couture (Marcel) : Oui. Excusez-moi.

Mme Jean : ...dans ce dossier-là, dans cette partie-là. Est-ce que c'est à ce niveau-là, lorsque vous parliez qu'il serait intéressant d'avoir des objectifs précis et contrôlables de manière à ce qu'on puisse voir, en bout de ligne, qu'on atteint les objectifs, est-ce que c'est dans cet ordre d'idées là que votre commentaire a été fait? À un moment donné...

Le Président (M. Bernier) : M. Couture.

M. Couture (Marcel) : Oui, effectivement, c'est vraiment ça, c'est tout l'alignement des objectifs d'affaires avec les objectifs plus... appelons ça de ressources informationnelles ou de TI à ce moment-là, et c'est propre à... pas juste à l'appareil public, soit dit en passant.

Mme Jean : Donc, dans la gestion des projets de ressources informationnelles, ça serait de faire une gestion avec un alignement stratégique clair mais aussi avec des éléments de contrôle précis de manière à ce qu'on soit capable de les évaluer en cours de route et à la fin du projet. C'est ça?

M. Couture (Marcel) : Exactement.

Mme Jean : D'accord.

M. Couture (Marcel) : C'est exactement ça. Et ça découle sur la troisième vulnérabilité, qui est la surveillance, parce que, justement, cette surveillance-là, ce que les gens disaient, c'est : En fait, on n'est pas certains, on n'a pas l'assurance qu'on mesure toute la... Et, quand on parle de mesures de performance, bien, ça inclut tout ça. La performance, c'est l'atteinte des objectifs. L'atteinte des objectifs, c'est quoi? C'est de gérer nos risques correctement. Tout ça vient s'attacher. Donc, quand les gens disent : On n'a pas le sentiment, l'assurance qu'au niveau de la surveillance on est solides, bien, ça vient un peu teinter, si je puis dire, l'ensemble...

Le Président (M. Bernier) : Mme la députée.

Mme Jean : C'est clair. Merci. Une question assez large. J'aimerais savoir, selon vous, comment le projet de loi n° 135... Bon, comme introduction, on a une problématique au niveau des contrats en ressources informationnelles, problématique de dépassement de coûts, de dépassement de délai et même de projets qui, finalement, ne répondent pas, sur le terrain, à qu'est-ce qui était nécessaire.

Est-ce que le projet de loi n° 135, selon vous, va aider à pallier ces problèmes-là rencontrés, lors de la réalisation de projets en ressources informationnelles, de coût, de délai, etc.?

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : M. le Président, je vous dirais que votre question est assez large, hein, et c'est certain qu'un projet de loi sur la gouvernance des technologies de l'information, ça aide à plusieurs égards, mais ce n'est qu'aidant, hein? Alors, la gestion des contrats — là, on est vraiment dans la gestion d'un contrat de technologies de l'information dans un système, dans un organisme — donc, oui, ça va être aidant, mais est-ce que ça va résoudre... Ce n'est pas une loi sur la gouvernance qui va résoudre des problèmes aussi pointus que ceux-là.

Le Président (M. Bernier) : Mme la députée.

Mme Jean : Qu'est-ce qui résoudrait le problème, selon vous?

Mme Leclerc (Guylaine) : Bien, nous vous avons fait plusieurs rapports sur la gestion des contrats, sur les technologies de l'information. Bon, il y a l'identification des besoins, à l'origine, adéquatement, le contrôle sur le temps passé par les fournisseurs, la gestion des contrats, l'octroi des contrats, les comités de sélection. Nous avons une panoplie de recommandations dans plusieurs rapports qui ont été publiés au cours des dernières années.

Mme Jean : ...déjà qui ont été annoncées dans vos différents rapports.

Mme Leclerc (Guylaine) : Oui.

Le Président (M. Bernier) : Mme la députée.

• (18 h 10) •

Mme Jean : Je fais du chemin avec quand même qu'est-ce que vous venez de dire, et ça va peut-être aussi avec, à la page 5, lorsque vous parlez que le défi du DPI va être d'avoir une compréhension suffisante de la situation d'un grand nombre d'organismes.

Puis là j'essaie de faire un lien — peut-être qu'il n'y en a pas, vous me le direz — mais, par rapport aux projets qui sont demandés, qui sont donnés en appel d'offres ou qui sont dessinés pour pouvoir avoir une solution qui est appliquée en ressources informationnelles, je rencontrais quelqu'un, hier, du système de la santé qui travaille justement en TI au niveau du ministère et qui m'expliquait que, la façon comment les projets sont faits actuellement, c'est que ça se passe au niveau des directrices ou des directeurs, qui décident des besoins, puis là le projet est donné, puis ça se décline, après ça, lorsque le projet revient pour s'implanter où, les gens de terrain n'ayant pas été consultés, finalement, la solution ne s'applique pas, parce qu'il y a des détails qui font en sorte que le système qui a été développé ne pourra pas s'implanter, pour des raisons très pratiques qu'il y a sur le terrain et que les directeurs ou les directrices ne vivent pas quotidiennement.

Est-ce qu'il y a une possibilité, ou une façon, ou une directive, ou quelque chose qu'on pourrait faire de manière à ce qu'on évite que des projets qui sont donnés ne soient pas implantables en bout de ligne puis que ça aurait pu être prévisible, parce que, si on avait peut-être impliqué les gens sur le terrain dans la... j'ai juste «esquissé» dans la tête, mais dans la création, le développement du projet qui sera à faire... auraient été impliqués... Est-ce qu'il y a quelque chose qu'on peut faire à ce niveau-là pour éviter qu'on se retrouve avec des systèmes informatiques sur lesquels on a payé des montants importants, qui finalement ne correspondent pas ou ne peuvent pas s'adapter parce qu'il n'y a pas eu de contact avec la base?

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : Merci, M. le Président. Ce que vous présentez là, ce n'est pas unique aux systèmes informatiques, c'est de la gestion, je vous dirais. Et ce qui me vient en tête, c'est le ministère des Transports, où, au fil des ans, s'est installée une série de couches de contrôle qui fait en sorte que les décisions sont prises au niveau central mais sans nécessairement tenir compte de la réalité sur le terrain. Alors, ça, c'est des problématiques qui ne sont pas nécessairement juste liées à l'informatique, mais qui sont liées à une problématique de gestion au sein de certains ministères. Et c'est très facile d'avoir un problème, que ce soit un problème au niveau de l'identification des besoins, au niveau des contrats, au niveau de... quel que soit le problème, et d'ajouter une couche de contrôle. Et c'est une des préoccupations.

Lorsqu'on a lu le projet de loi — c'est une des préoccupations — on s'est dit : Bien, il ne faudrait pas que ça rajoute encore une couche de contrôle. Il faut s'assurer que vraiment ça règle le problème de gouvernance, là, que ça améliore la gouvernance... pas régler, mais améliorer la gouvernance, mais il faudrait s'assurer qu'on ne fait pas juste rajouter une couche de contrôle qui va faire en sorte, bien, que finalement l'identification des besoins a priori devient à négliger.

Le Président (M. Bernier) : Merci. M. le député de La Peltrie.

M. Caire : Merci, M. le Président. Bonjour à vous tous. Mme Leclerc, je sais, pour en avoir lu... en fait, les avoir lus, vos rapports, ceux de vos prédécesseurs, que vous avez effectivement fait de très nombreux rapports qui touchaient à différents problèmes de gouvernance des projets informatiques, mais, pour le bénéfice de la commission, j'aimerais vous entendre sur les constats que vous avez faits et qui vous ont amenés à rédiger cette recommandation-là sur l'expertise au sein des différents ministères et aussi les recommandations que vous avez faites pour corriger ce problème-là.

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : M. le Président, bien, dans un premier temps, ce que nous avons constaté assez souvent, c'est l'identification des besoins. Moi, j'ai le poste de Vérificateur général depuis mars 2015, mais ça fait, je pense, depuis les années 2000, hein, si je ne me trompe pas, qu'on réalise ce type de mandat là, et j'ai la chance d'avoir un vérificateur général adjoint que ça fait 20 ans qu'il est au Vérificateur général et qui a été maître d'oeuvre de plusieurs de ces rapports. Alors, je demanderais à M. Giguère de pouvoir peut-être nous présenter un peu plus précisément, au fil des ans, quels ont été les rapports, si vous le permettez, M. le Président.

Le Président (M. Bernier) : Ça nous fait grand plaisir d'entendre M. Giguère. On a eu l'occasion de l'entendre en Commission de l'administration publique, mais là on va l'entendre à la Commission des finances publiques.

M. Giguère (Serge) : Bien, effectivement, il y a eu beaucoup de rapports, au fil des ans, dans différents secteurs, qui ont touché tant la gouvernance, la technologie de l'information, les contrats, etc. Il y en a eu au CSPQ, il y en a eu au ministère des Transports — on en a parlé très souvent — dans d'autres ministères, en informatique, qui concernaient le Secrétariat du Conseil du trésor et différents autres ministères que... on le faisait de façon... en envergure.

Et, les problématiques, je vous les résumerais rapidement, là, on en a parlé un petit peu tout à l'heure, bien sûr, c'est un peu dans tout le processus de gestion des projets informatiques. On a parlé de détermination des besoins. On l'a dit tout à l'heure, qu'effectivement, très souvent, il y a une problématique, à la base, d'être sûr de ce que l'on veut, de ce que l'on veut obtenir. Et, si on ne sait pas, en partant, ce que l'on veut obtenir, bien, tout le long du processus, par la suite, il y a des impacts qui se produisent avec ça. Donc, c'est important. Puis, pour bien savoir ce que l'on veut, il faut avoir l'expertise et être capable de l'établir. N'ayant pas toujours l'expertise, bien, on a vu que souvent il faut s'en remettre aux... un autre problème qu'on soulevait, c'est qu'il faut s'en remettre beaucoup aux externes. Donc, il y a une dépendance qui se développe envers les firmes externes à ce niveau-là. Donc, encore là, il faut être capable de garder... Et c'est correct d'impartir... c'est correct d'utiliser les firmes externes, mais ce qui est important, c'est de conserver le contrôle puis être capable de suivre et, si vous me permettez l'expression, de challenger ce qui est fait au niveau des firmes externes.

Par la suite, il y avait tout l'octroi des contrats, parce qu'on voit, au niveau de l'octroi des contrats... il se développe parfois des proximités. Et c'est normal qu'en travaillant entre les gens du gouvernement et les gens des firmes privées il se développe des proximités, mais il faut se mettre les mesures de sauvegarde nécessaires pour être capable de gérer ces proximités-là et être certain de garder l'indépendance et le contrôle au niveau de la fonction publique, parce qu'au bout du compte c'est eux qui vont le payer.

Par la suite, il y a toute la question de partage des risques. On a vu, au fil du temps, au niveau de la gestion informatique que, si les besoins ne sont pas bien établis à la base, bien, on se ramasse, par la suite, que le risque reste beaucoup au niveau gouvernemental, parce que, ne sachant pas exactement ce que l'on veut, on a beaucoup, beaucoup favorisé les contrats à taux journalier, à tarif. Donc, en faisant ça, bien là, le résultat, c'est un peu le gouvernement qui garde le risque, parce qu'il n'y a pas un résultat précis qu'on attend des contrats qu'on donne, mais c'est plus à taux journalier, à tarif journalier. Donc, les firmes travaillent, travaillent, travaillent, et, si, au bout, on a atteint le nombre d'heures, mais on n'a pas atteint ce que l'on veut, c'est l'État, c'est le gouvernement, c'est les organismes qui restent pris avec la problématique.

Autre élément qui était majeur, que l'on a vu souvent dans les mandats, c'est tout le suivi des contrats comme tels. Et on a dit à une couple d'occasions qu'à un moment donné on trouvait que... on dirait que l'établissement et donner le contrat étaient comme un passage obligé mais ne devenaient pas véritablement le contrat qu'on suivait par la suite. Donc, on donnait un contrat, on mettait ça de côté et on agissait par la suite. On oubliait de s'assurer qu'on obtenait les ressources pour lesquelles on avait payé puis qu'on s'était entendus, qu'on obtenait tous les biens, et les produits, et les services pour lesquels on avait payé, que c'étaient les bonnes personnes qui venaient travailler, que le nombre d'heures était celui chargé au taux qu'on devait charger et que finalement, au bout, le résultat qu'on obtenait était le même que ce qu'on avait demandé. Et, au bout de tout ça, au bout du processus, on disait qu'il n'y avait pas toujours d'évaluation des firmes pour s'assurer qu'à un moment donné ils avaient atteint l'objectif qu'ils voulaient.

Donc, je vous dirais, rapidement, c'est les principaux points, et ça tournait autour de ces grandes familles d'éléments là.

Le Président (M. Bernier) : Merci. M. le député.

M. Caire : Vous avez parlé de la définition des besoins. Ce que je comprends, c'est qu'au fil des ans vous avez identifié le fait que, dans les différents ministères, on n'avait pas l'expertise pour être en mesure de clairement définir les besoins, ce qui amenait évidemment des modifications aux appels d'offres, ce qui amenait évidemment une incompréhension de la part des soumissionnaires, puis ce qui amenait toutes sortes de problèmes, évidemment, dans l'exécution des travaux, puisque, si on ne sait pas ce qu'on a à faire, c'est difficile de bien le faire. Ce problème-là, il était et il est récurrent et il s'ajoute... ou, en fait, ce que vous venez de nous dire découle essentiellement de ce problème-là qu'on a constaté au fil des ans, et ce, depuis très longtemps.

Maintenant, à la lecture du projet de loi, dans la perspective de corriger ces problèmes-là, et selon la compréhension que vous en avez, qui serait imputable de quoi si on adoptait le projet de loi tel quel?

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : Je veux être certaine que je comprends votre question, là : Qui serait imputable du projet?

M. Caire : À la perspective de corriger l'ensemble de ces problématiques-là, si on adoptait le projet de loi, parce que le projet de loi vise à corriger...

Mme Leclerc (Guylaine) : Bien, à mon avis, le projet de loi ne vient pas modifier l'imputabilité du premier dirigeant de l'entité. Alors, ça demeure le dirigeant qui est imputable, mais vous pourrez peut-être me corriger si... C'est ma compréhension.

M. Caire : O.K.

Le Président (M. Bernier) : Merci. M. le député.

M. Caire : Donc, ce que vous me dites, c'est qu'à la lecture de ce projet de loi là vous en arriver à la conclusion que le DPI ou le directeur de l'information ne sont pas les entités imputables de la réalisation, de la maîtrise d'oeuvre et de la maîtrise d'ouvrage des projets informatiques. Donc, techniquement, on n'a pas corrigé ces graves lacunes-là que vous soulignez depuis de très nombreuses années.

Mme Leclerc (Guylaine) : Mais les lacunes qui sont présentées sont des lacunes de réalisation, je vous dirais, là, en partie, de gouvernance aussi, naturellement, mais beaucoup d'exécution et de réalisation du mandat.

• (18 h 20) •

M. Caire : Et donc, dans cette perspective-là, comment on va départager la responsabilité, par exemple, du sous-ministre qui pourrait éventuellement, en bout de ligne, être responsable de la réalisation et de l'exécution du projet et le directeur de l'information, qui a quand même une autorité selon la loi, là, qui doit faire appliquer les meilleures pratiques, s'assurer que la planification stratégique est appliquée, donc qui a une autorité morale? Comment on va concilier cette hydre à deux têtes là?

Le Président (M. Bernier) : Mme Leclerc.

Mme Leclerc (Guylaine) : Bien, je ne suis pas en mesure de vous répondre spécifiquement, mais c'est certain que l'aspect reddition de comptes devient important aussi. Alors, le fait qu'on ait à améliorer la reddition de comptes de chacun des organismes vient favoriser une bonne gestion au sein de l'organisme, et c'est ce que nous disons aussi, c'est qu'il faut que la reddition de comptes soit adéquate et qu'elle corresponde et qu'elle réponde à l'atteinte des objectifs et qu'il y ait des indicateurs adéquats qui permettent de voir dans quelle mesure ces objectifs-là sont non atteints.

M. Caire : Et, dans sa forme actuelle, est-ce que vous pensez que le projet de loi répond à ces préoccupations-là?

Mme Leclerc (Guylaine) : C'est un commentaire que nous faisons, c'est que nous disons que la reddition de comptes devrait permettre d'arrimer l'atteinte des objectifs par rapport à la réalisation du mandat.

M. Caire : Merci.

Le Président (M. Bernier) : Merci, les représentants du Vérificateur général, Mme Guylaine Leclerc, M. Serge Giguère, M. Marcel Couture, Mme Fortin et Mme Blackburn.

Je veux, avant de lever la séance, remercier tous les groupes qui ont participé à cette consultation fort importante, remercier, bien sûr, tous les parlementaires qui ont également contribué à ces échanges avec ces groupes. Merci de votre travail.

Mémoires déposés

Donc, avant de terminer, je dépose les mémoires des personnes et organismes qui n'ont pas été entendus lors de ces auditions. M. le secrétaire, je vous les dépose. Et je remercie... à tous, de l'excellent travail.

Et je lève la séance. Et la commission, ayant accompli son mandat, ajourne ses travaux sine die.

(Fin de la séance à 18 h 22)