Journal des débats de la Commission des finances publiques
Version préliminaire
42e législature, 1re session
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
mardi 25 mai 2021
-
Vol. 45 N° 132
Consultations particulières et auditions publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives
Aller directement au contenu du Journal des débats
9 h 30 (version non révisée)
(Neuf heures trente et une minutes)
Le Président (M. Simard) :
Alors, chers collègues, bienvenue à tous. Je constate que nous avons quorum. Je
déclare donc la séance de la Commission des finances publiques ouverte.
Comme vous le savez, nous sommes réunis
virtuellement afin de procéder aux consultations particulières et aux auditions
publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la
gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement et d'autres dispositions
législatives.
Mme la secrétaire, bonjour. Y aurait-il
des remplacements ce matin?
Bien. Alors, nous allons donc, comme à
l'habitude, débuter par nos remarques préliminaires. Et je cède d'emblée la
parole au ministre. Monsieur, nous vous écoutons, vous disposez de six minutes.
M.
Caire
: Merci,
M. le Président. Écoutez, évidemment, un plaisir pour moi d'être ici. Donc,
vous me permettrez d'entrée de jeu de saluer mes collègues de la partie ministérielle,
mon collègue de La Pinière, mon collègue de Rosemont pour cette consultation
particulière sur le projet de loi n° 95.
M. le Président, projet de loi n° 95
qui est un projet extrêmement important pour la suite des choses parce qu'il
induit un changement de culture extrêmement important. Et les consultations
particulières vont être d'autant plus intéressantes qu'on va probablement avoir
plusieurs points de vue de plusieurs sources différentes de notre société, et
il faut toujours garder en tête que l'objectif du p.l. n° 95
est d'induire un changement de culture.
Il nous amène vers du droit nouveau, il
nous amène vers une philosophie qui ne trouve pas énormément d'écho ailleurs, à
savoir qu'on veut maintenant considérer la donnée comme un actif
gouvernemental. Et ça, ça répond à, je dirais, une nécessité de la
transformation numérique, à savoir concilier la valorisation, l'utilisation de
la donnée tout en assurant la sécurité de la donnée en question.
Et, M. le Président, nous vivons
actuellement dans ce que, moi, je qualifierais du pire des deux mondes, à
savoir que la donnée est difficilement accessible et n'est pas valorisée, valorisée
au sens d'utilisée, au sens où, très souvent, le citoyen se...
M.
Caire
: ...la
donnée en question.
Et, M. le Président, nous vivons
actuellement dans ce que, moi, je qualifierais du pire des deux mondes, à
savoir que la donnée est difficilement accessible et n'est pas valorisée,
valorisée au sens d'utilisée, au sens où, très souvent, le citoyen se transforme
en employé de l'État parce que deux entités gouvernementales sont incapables de
se parler, et, ce faisant, on demande à nos citoyens de répondre à des
questions pour lesquelles nous possédons la réponse. Mais parce que nous ne
nous parlons pas, nous forçons le citoyen à nous communiquer à de très
multiples reprises les mêmes informations, donc une situation où on ne valorise
pas, où on n'utilise pas la donnée et c'est le citoyen qui en fait les frais.
Parallèlement à ça, la sécurité, bien, M.
le Président, je veux dire, les événements des derniers jours, voire des
dernières années se passent de commentaire. Il faut être meilleurs. Il faut
rehausser notre capacité, notre expertise, notre façon de travailler. On ne
peut plus aborder la cybersécurité comme nous l'avons fait dans les dernières
années, et c'est aujourd'hui une question de réseau, c'est une question
d'expertise, c'est une question d'outils technologiques, c'est une question de
procédures, de façons de faire qui nécessitent qu'on change de façon
importante, en fait, je vous dirais, qu'on soit diamétralement opposés à ce que
nous faisons actuellement dans plusieurs actions du gouvernement.
C'est très exactement ce à quoi nous amène
le projet de loi n° 95, qui s'inscrit dans une logique, M. le Président,
d'actions que le gouvernement a posé dans les dernières années, à savoir
l'élaboration d'une politique de cybersécurité, la mise en place du Centre
gouvernemental de cyberdéfense, le déploiement des centres opérationnels de
cyberdéfense pour constituer le réseau gouvernemental de cyberdéfense, des
ententes de collaboration qu'on a avec notamment le gouvernement fédéral pour
être capables d'échanger l'expertise, pour être capables d'échanger de
l'information, des outils technologiques, donc cette idée-là d'avoir un réseau
qui est capable de réagir en amont de la menace, mais aussi qui est capable de
réagir à des attaques réussies, donc de contrer ces attaques-là, de limiter les
dégâts lorsqu'il en a. Alors, c'est tout ça maintenant qu'il faut considérer,
et le projet de loi n° 95, qui nous fait faire un pas de plus dans cette
direction-là, un pas extrêmement important, M. le Président.
Le projet de loi est un projet de loi
essentiellement d'opérations technologiques, et c'est dans ce sens-là, M. le Président,
qu'il faut l'aborder, que nous allons l'aborder, évidemment dans une
perspective d'écoute, dans une perspective de sensibilité par rapport aux
commentaires qui nous seront faits, bien évidemment, M. le Président, parce
que, comme n'importe quel autre projet de loi, celui-là est très certainement
perfectible, et donc je...
M.
Caire
: ...évidemment
dans une perspective d'écoute, dans une perspective de sensibilité par rapport
aux commentaires qui nous seront faits. Bien évidemment, M. le Président, parce
que comme n'importe quel autre projet de loi, celui-là est très certainement
perfectible. Et donc je suis en mode, et je vais le dire aux collègues, en mode
collaboratif, en mode informatif, en mode de disponible parce que l'objectif
ultime, c'est de doter le Québec d'un État qui est capable d'assurer une
transformation numérique au bénéfice des citoyens et qui est capable de
rehausser sa capacité à protéger les informations de quelque nature que ce soit
qui lui sont confiés et d'en assurer la disponibilité, la confidentialité et
l'accessibilité.
Donc, M. le Président, très heureux de
participer à ces consultations particulières, et je me mets à partir de
maintenant en mode écoute, M. le Président.
Le Président (M. Simard) : Je
vous remercie, M. le ministre. Je cède maintenant la parole au porte-parole de
l'opposition officielle, le député de La Pinière. Cher collègue.
M. Barrette : Pour une
période, M. le Président?
Le Président (M. Simard) : De
quatre minutes.
M. Barrette : Merci, M. le
Président. Alors, à mon tour de saluer... et de vous saluer, M. le Président,
en case départ, évidemment. M. le ministre, salutations à votre équipe et
évidemment salutations aux collègues des oppositions avec qui nous allons
travailler sur ce projet de loi ainsi qu'à leurs équipes.
C'est un projet de loi qui est court, mais
qui est de très grande envergure. Je pense qu'il y a une disproportion entre
l'envergure du projet de loi et sa longueur, comme ça arrive souvent dans
certaines lois. Ce n'est pas quelque chose de nouveau.
D'entrée de jeu, je pense aussi que c'est
un projet de loi qui est nécessaire. Il est nécessaire d'une part parce qu'on
est en 2021. Plus que jamais, on est à l'air de la gestion de l'information et
plus que jamais il y a lieu d'en tirer le plus d'éléments possible dans
l'intérêt de la société, et donc des citoyennes et des citoyens qui la
constituent.
Ayant dit ça, il est très probable qu'il y
ait certaines oppositions dans la réflexion qu'on va tenir parce qu'évidemment
on sort d'une époque où la donnée personnelle est une donnée qui est souvent
vue comme étant un trésor individuel à ne pas partager, alors que, dans bien
des circonstances, c'est le partage qui est le trésor. C'est de ce partage-là,
du moins dans une organisation qui est celle... un gouvernement, où on peut en
tirer le maximum d'éléments utiles pour la société. Donc, il va y avoir une
collision de concepts, c'est sûr qu'il va y avoir cette collision de concepts
là, et ce sera à nous de s'assurer que les protections soient en place. Ayant
dit ça, évidemment, je ne peux pas faire autrement, et les gens le soupçonnent
en m'écoutant...
M. Barrette : ...il va y
avoir une collision de concepts. C'est sûr qu'il va y avoir cette collision de
concepts là. Et ça sera à nous de s'assurer et que les protections soient en
place.
Ayant dit ça, évidemment, je ne peux pas
faire autrement, et les gens le soupçonnent en m'écoutant, ne pas faire le lien
avec le projet de loi n° 64. Les deux doivent
s'arrimer. Ça ne peut pas être deux projets parallèles. Ce sont deux projets
qui, d'une certaine manière, de grande manière, sont connectés, dans leur
finalité, même, je vous dirais. Alors, ils doivent non seulement coexister,
mais ils doivent s'arrimer de la façon la plus précise possible, efficace
possible, en matière de sécurité. Et je dirais que ça sera probablement pour
moi l'élément principal ou un des éléments principaux sur lesquels je vais
m'attarder.
• (9 h 40) •
Je pense qu'il y a sémantiquement, dans le
projet de loi et dans nos propos, il faudra bien faire attention, et je le dis
d'entrée de jeu. Évidemment, pour ceux qui nous écoutent, là, valorisation, ça
rime souvent avec commerce. Alors, je ne pense pas que l'État soit, ici, dans
un mode de valorisation à l'enseigne du commerce. Je ne le pense pas, mais le
ministre pourra me contredire éventuellement un peu plus tard dans nos micros,
mais je pense que de ce côté-là il y a une prudence à y avoir de façon à ce
qu'on puisse, de l'autre côté de la médaille, s'assurer que ce dont j'ai parlé
se réalise.
Alors, ce sont les angles, là, parce que
j'ai quatre minutes, et il ne me reste que quelques secondes, ce sont les
angles que je vais aborder et, en terminant, en comprenant bien que, là, il y a
une opportunité tournée vers le futur, qui est de tirer le maximum d'effets
bénéfiques de l'utilisation de la donnée, tout en évitant, évidemment, d'en
faire un, commerce. Alors, M. le Président, je termine là-dessus. On aura
évidemment amplement de temps ultérieurement pour élargir sur ce fond-là.
Merci.
Le Président (M. Simard) :
Bien. Merci à vous, cher collègue. Et je cède maintenant la parole au député de
Rosemont qui dispose d'une période d'une minute.
M. Marissal : Avant de
partir le chronomètre, M. le Président...
Le Président (M. Simard) :
Oui.
M. Marissal : ...je
voudrais juste vous dire que mon système a lâché trois fois depuis le début de
nos travaux. Je ne sais pas si je suis le seul à vivre ça. Pourtant je suis
dans l'immeuble du Parlement à mon bureau. Je veux juste vous dire que si,
d'aventure, un tel problème devait perdurer, ça va être assez compliqué
d'écouter les témoins. Je vous le dis, là, pour que ça soit su d'entrée de jeu.
Avec votre permission, je vais maintenant commencer ma minute d'intervention.
C'est un projet de loi important. Puis je
salue les collègues rapidement parce que je n'ai qu'une minute. Évidemment, on
le prend d'un angle positif. Souvenez-vous des Russes en 1972 qui étaient venus
pour apprendre. Moi, je... Apparemment, ça s'applique encore au Canadien de
Montréal d'ailleurs aujourd'hui, 50 ans plus tard. Moi, je suis là aussi
pour apprendre parce qu'on a beaucoup à apprendre dans ce nouveau secteur. Et
je suis là pour contribuer aussi. Cela dit, je vous le dis tout de suite, un
peu comme le...
M. Marissal : …en 1972 qui
étaient venus pour apprendre. Moi, je… Apparemment, ça s'applique encore au
Canadiens de Montréal d'ailleurs aujourd'hui, 50 ans plus tard. Moi, je
suis là aussi pour apprendre parce qu'on a beaucoup à apprendre dans ce nouveau
secteur et je suis là pour contribuer aussi.
Cela dit, je vous le dis tout de suite, un
peu comme le député de La Pinière : Moi, quand j'entends «actif»,
«valorisation», il y a des petites lumières rouges qui s'allument dans ma tête.
Non, je n'entends pas des voix, mais j'ai des alertes rouges dans ma tête qui
disent : Attention, c'est un actif qui appartient aux citoyens, et le
gouvernement en est le dépositaire, non pas le propriétaire. Alors, je vais
lancer, moi, ma réflexion sur ce projet de loi là sur cette base-là, mais avec
beaucoup d'ouverture d'esprit. On a déjà fait des projets de loi, là,
n° 14, n° 64, n° 95 — non, ce n'est pas les billets
chanceux d'une loterie. C'est des projets de loi qui vont tous dans la même
direction depuis que le gouvernement est au pouvoir, mais on a beaucoup de
travail à faire pour s'assurer qu'on préserve cette précieuse richesse que sont
nos données personnelles. Mais je le répète, là, pour que ce soit clair,
j'entreprends ces travaux avec beaucoup d'ouverture d'esprit. Merci.
Le Président (M. Simard) :
Merci à vous, cher collègue. Alors, d'ici la suspension de nos travaux cet
après… cet avant-midi, nous recevrons deux intervenants. Et nous commençons par
M. Steve Waterhouse. Monsieur, êtes-vous bien avec nous en ce moment?
M. Waterhouse (Steve) : Oui,
M. le Président.
Le Président (M. Simard) :
Super! Heureux de vous accueillir. Alors, pour les fins de notre procès-verbal,
auriez-vous l'amabilité de vous présenter à nouveau? Je dis à nouveau parce que,
bien sûr, vous êtes un habitué de notre commission.
M. Waterhouse (Steve) :
Certainement, monsieur. Je suis Steve Waterhouse, un ancien officier de
sécurité informatique au ministère de la Défense nationale et chargé de cours
au microprogramme en maîtrise à l'Université de Sherbrooke en protection de
l'information, au volet prévention.
Le Président (M. Simard) :
Merci. Alors, nous vous écoutons. Et vous savez que vous disposez de
10 minutes.
M. Waterhouse (Steve) :
Merci, M. le Président. MM. les élus, merci. C'est une opportunité rêvée de
partager ça avec vous, alors que le présent projet de loi n° 95 est plus
que nécessaire, il est primordial, comme j'entendais d'entrée de jeu. Témoin,
récemment, de toutes ces fuites de données, collectivement, nous nous demandons
à quand cesseront ces fuites, comment peut-on les prévenir.
En premier lieu, j'ai pour mon dire, c'est
de réaliser qu'appliquer le principe de sécurité par l'obscurité n'a plus sa
place au XXIe siècle. Comme dans tous les plans de protection et dans
n'importe quel contexte, il faut connaître ce que l'on veut protéger et contre
quoi. J'apporte souvent le point que les évaluations de menaces et des risques,
les EMR, sont la base des prises de décisions que tous les dirigeant, en fait,
à n'importe quel niveau pratiquent sur une base régulière. Le cyberrisque,
quant à lui, nécessite une attention particulière, car il en est suffisant… il
n'en suffit peu pour créer un événement malheureux de perte de données qui en
résulte, souvent, à des vols d'identité ou des demandes de rançon.
Il est reconnu, dans l'entreprise privée,
qu'à bien des égards, la classification d'informations est réalisable en sept
étapes, c'est-à-dire réaliser l'évaluation des risques liés aux données
sensibles, développer une politique de classification formalisée, découvrir
l'emplacement de vos données, catégoriser les types de données, identifier et
classer ces données, activer les contrôles de prévention, et contrôler et
maintenir…
M. Waterhouse (Steve) : …la
classification d'informations est réalisable en sept étapes, c'est-à-dire
réaliser l'évaluation des risques liés aux données sensibles, développer une
politique de classification formalisée, découvrir l'emplacement de vos données,
catégoriser les types de données, identifier et classer ces données, activer
les contrôles de prévention, et contrôler et maintenir les mesures.
Sept étapes appliquées globalement par le Conseil
du trésor seraient à être reprises et travailler à chacun des ministères, selon
moi, afin qu'ils précèdent… procèdent, pardon, individuellement à leurs propres
évaluations selon leur mission. À titre d'exemple, le MAPAQ n'a pas autant de
données que le ministère de la Santé et des Services sociaux à protéger et
gérer, mais il doit appliquer quand même les mêmes règles de marquage
d'informations en sa possession.
L'administration
publique s'est dotée d'une référence de base pour la classification des actifs
informationnels au Québec, en 2016, appelée Guide de catégorisation de
l'information, ou son sobriquet PR-057, qui, à mon sens, n'est
nullement le format et l'outil pour effectuer efficacement l'exercice de la
classification à proprement dit. De procéder avec une évaluation par la
disponibilité, l'intégrité et la confidentialité de base est un début, mais
n'est nullement pratique dans sa mise en application des quatre niveaux de
sensibilité… de sensibilisation, pardon, des données adoptés au PR-057, surtout
dans l'identification des données sensibles selon leur évaluation.
Les provinces
de l'Ontario, de la Saskatchewan, de la Colombie-Britannique, de l'Alberta, du
Nouveau-Brunswick et du Yukon ont produit une politique de classification de
l'information en inspiration du modèle du gouvernement fédéral, en annexe a du
présent mémoire, depuis 2017. Une sorte d'uniformité dans les pratiques de
classification facilite le partage des trucs et astuces entre les provinces et
le fédéral, du moins, il facilite l'implantation des cadres.
Et récemment
les organisations qui utilisent la suite Microsoft Office 365 peuvent
programmer les niveaux de confidentialité et étiquettes de rétention en
fonction des stratégies et des politiques dédiées. L'idée est d'approcher le
besoin de classifier adéquatement pour que ce soit rapide et efficace, tout en
appliquant une forme de prévention de diffusion non autorisée des données, par
la vocation de prévention de pertes de données, en anglais, le «data loss
prevention», vers l'extérieur du gouvernement du Québec.
Il est
important d'apporter dans cette politique comment les données seront protégées
en traitement, composées ou modifiées, au repos, dans l'entreposage, en
transit, donc dans la transmission de celles-ci, et de quelles manières les
données physiques et électroniques seront détruites en considération de leur
niveau de classification à la fin de leur vie utile.
À titre
d'exemple, depuis plusieurs années existe un moyen de transmission des
courriers électroniques sécuritaire via une infrastructure à clé publique au
ministère de la Justice du Québec. Cette façon de faire pourrait servir
l'ensemble du gouvernement, voire même avec le citoyen, lorsque le projet
d'identité numérique sera à terme et mature. De cette façon, les informations
en transit demeureraient confidentielles, un risque de fuites de moins, et
adresseraient le besoin de signature numérique, tel que mentionné dans les
notes explicatives du présent projet de loi.
Dans ce projet
de loi n° 95, il serait approprié d'adresser comment les contrats
devraient exiger la cybersécurité pour tout développeur, agence qui gère les
données citoyennes afin d'éviter les situations récentes comme avec le portail
des garderies 0-5 ans et du portail Clic Santé…
M. Waterhouse (Steve) : ...tel
que mentionné dans les notes explicatives du présent projet de loi. Dans ce projet
de loi n° 95, il serait approprié d'adresser comment les contrats
devraient exiger la cybersécurité pour tout développeur, agence qui gère les
données citoyennes afin d'éviter les situations récentes comme avec le portail
des garderies 0-5 ans et du portail Clic Santé. De ces situations, à qui
revient la responsabilité de la posture de sécurité, voire la protection des
données citoyennes de ces contractés? Les policiers pourront-ils prendre les
dépositions des citoyens lorsqu'une plainte ou une divulgation pour fuite
d'information leur est apportée? Un exemple comment c'est simple, à
l'annexe b présente une page, un tableau synthèse pour guider les
contractuels tout comme les fonctionnaires à aller dans ce sens. La majorité
des développeurs avec des projets similaires si haut mentionnés, sinon pas
tous, n'ont pas ou très peu de ressources en cybersécurité et documentent très
peu les politiques publiques de protection des renseignements personnels et
protection à la vie privée.
Merci à nouveau pour cette opportunité
d'échange avec vous. Je suis maintenant disponible à répondre à vos questions.
Le Président (M. Simard) :
Merci à vous, M. Waterhouse. Alors, je cède maintenant la parole au
ministre, qui dispose de 16 min 30 s pour sa période d'échange.
M.
Caire
:
Merci, M. le Président. Bien, d'abord, merci beaucoup, M. Waterhouse, de
participer à cet exercice. Vous êtes un expert reconnu dans l'espace public,
donc je pense qu'aujourd'hui les parlementaires vont avoir un grand bénéfice
d'échanger avec vous.
D'entrée de jeu, puis ce n'est pas une
question piège, là, parce que le gouvernement du Québec a sorti un schéma de
catégorisation des données justement parce que moi, je suis à la même enseigne
que vous, je trouve qu'on doit... en fait, je suis convaincu qu'on doit cesser
de catégoriser la donnée par celui qui l'utilise parce que sinon une même
donnée utilisée par la Santé devient protégée par tous les régimes de
protection, mais, si elle est utilisée par le Tribunal administratif du
logement, elle devient publique, et tout le monde peut s'en servir tout à fait
légalement sans contrainte. Donc, c'est un peu schizophrénique comme façon de
faire. Et moi, je dis qu'on est à l'ère où on doit réfléchir et que la
catégorisation de la donnée doit se faire sur la base de sa sensibilité et de
sa valeur, et non pas sur la base de celui qui s'en sert.
Maintenant, nous avons déposé à la
Commission des institutions le modèle de catégorisation en sept niveaux, comme
vous le prescrivez. Je ne sais pas si vous avez eu l'occasion de le voir. Et,
si oui, j'aimerais ça avoir vos commentaires là-dessus.
• (9 h 50) •
M. Waterhouse (Steve) : M. le
ministre, non, je n'ai pas eu l'occasion de pouvoir les consulter. Ce
document-là, et j'ai pourtant cherché publiquement avec les accès, donc,
publics que j'ai, mais rien n'a transpiré dans ce sens si jamais il a été
publié. Ce qui indique tout bonnement qu'il n'a pas été catégorisé, indexé, là,
par les moteurs de recherche, évidemment.
Mais ça serait très intéressant parce
qu'est-ce que c'est trop d'avoir sept niveaux de classification, alors que
l'ensemble des provinces que j'ai mentionnées tout à l'heure, ils ont adopté
quatre niveaux, tout simplement, pareil comme dans le PR-057, mais en relation
avec le modèle du gouvernement fédéral de protéger a, b, c et public comme
type...
M.
Waterhouse (Steve) : ...là, par les moteurs de recherche, évidemment.
Mais ce serait très intéressant parce que... Est-ce que c'est trop d'avoir sept
niveaux de classification, alors que l'ensemble des provinces que j'ai
mentionnées tout à l'heure, ils ont adopté quatre niveaux, tout simplement,
pareil comme dans le PR-057, mais en relation avec le modèle du gouvernement
fédéral de protéger A, B, C, et public, comme type de niveau de sécurité?
M.
Caire
:
Bien, c'est pour ça que j'aurais été intéressé à avoir vos commentaires
là-dessus. Puis ceci étant dit, cette commission parlementaire n'est pas la fin
des échanges, donc je serai très heureux d'avoir vos commentaires là-dessus,
effectivement.
Je vais vous
amener peut-être sur un autre sujet, parce que je pense que, sur le mémoire,
tel que vous le déposez, je ne peux pas être plus d'accord que ça, là, puis, tu
sais, on va se parler entre convertis. Mais j'aimerais vous amener peut-être
sur votre... peut-être sur votre passé dans une organisation chargée de la
cybersécurité. Le projet de loi n° 95, évidemment, va
se baser sur la politique de cybersécurité du gouvernement du Québec. On tend à
déployer le réseau. Donc, le vaisseau amiral est le Centre gouvernemental de
cyberdéfense, mais chaque ministère se dote d'un centre opérationnel de
cyberdéfense. Donc, l'idée, c'est d'avoir un réseau, évidemment.
Et on nous a
fait le commentaire, puis je veux vous entendre là-dessus... La gouvernance,
c'est une gouvernance de type militaire. Parce que la prétention que j'ai est à
savoir que, quand on parle de cyberdéfense, bien, évidemment, on parle de
procédures, on parle... les fameux SOP, là, qu'il faut avoir, on parle
qu'est-ce qu'il fait mettre en place comme mesures de protection, comment on
doit réagir en amont, en aval d'une attaque. Et tout ça, le maître-mot, c'est
le temps d'intervention. Plus ce temps est court, et plus l'intervention est
efficace.
J'aimerais
vous entendre là-dessus. Est-ce que vous êtes plutôt du type, oui, une
gouvernance militaire, ou vous dites : Non, je pense que... Parce que tout
à l'heure, vous parliez, là, de chaque ministère et organisme qui devrait
catégoriser sa donnée. Êtes-vous du type, plutôt, de dire : Non, il faut
laisser chaque organisation s'occuper de sa sécurité? Comment vous, vous voyez
ça, cette organisation-là?
M.
Waterhouse (Steve) : Bien, M. le ministre, c'est de la musique à mes
oreilles, la façon que vous l'apportez, parce que je prône dans le même sens.
Et quand j'ai commencé avec la réseautique en 1994, 1995, les réseaux
s'installaient au sein des différents ministères au fédéral, et tout était à
bâtir, un peu comme on est à l'étape, présentement, en discussion de cette
commission.
Et je suis
d'avis qu'il faut mettre en place une façon unifiée d'adresser le cyberrisque.
C'est perdant... C'est perdu d'avance, je devrais dire, si tous les ministères
commencent à faire une interprétation du cyberrisque à son niveau. Il faut
qu'ils le fassent, oui, mais en unisson avec la politique centrale, qui, à ce
moment-là, va donner les efforts qui vont tendre à la même direction, sans
quoi, ce sont tous des maillons faibles qui vont se tenir ensemble, et ce n'est
qu'une question de temps avant qu'ils se fassent exploiter, comme c'est
présentement la situation.
Or, oui, je
suis dans le sens que ça devrait être une forme empirique, oui, pour dire, avec
des procédures, des façons de faire à la militaire, comme on dirait. Cependant,
il faut qu'il y ait un changement profond de culture, comme vous avez dit
d'entrée de jeu. S'il n'y a pas cette culture-là de dire que la menace, elle
est omniprésente...
M. Waterhouse (Steve) :
…exploiter, comme c'est présentement la situation. Or, oui, je suis dans le
sens que ça devrait être une forme empirique, oui, pour dire avec des
procédures, des façons de faire à la militaire, comme on dirait. Cependant, il
faut qu'il y ait un changement profond de culture, comme vous avez dit d'entrée
de jeu. S'il n'y a pas cette culture-là de dire que la menace, elle est
omniprésente 24/7, qu'on est sous attaque présentement au moment où est-ce
qu'on se parle, bien, les gens ne réaliseront pas qu'une grande fin de semaine
de trois jours, bien, ce n'est pas vrai qu'il n'y aura pas d'attaque. Les
belligérants, les factions en opposition le savent très bien, savent quand est-ce
qu'on dort, savent quand est-ce qu'il y a des congés, et ce sont les moments
d'opportunité qu'ils ont pour pouvoir, à ce moment-là, tenter de pénétrer le système
et d'exploiter cette information-là.
M.
Caire
:
Merci. Un autre objectif du projet de loi n° 95 qui
est un changement de culture assez profond… Puis j'écoutais les collègues, puis
je suis tout à fait d'accord avec eux de dire : La donnée appartient aux
citoyens, et le gouvernement du Québec en est le dépositaire. Maintenant, ce
n'est pas la réalité législative au Québec. La réalité législative au Québec,
c'est : le citoyen est propriétaire de ses données, mais chaque organisme
qui collecte la donnée en est le détenteur et en a la responsabilité, et je
dirais même n'a pas de prime abord la possibilité de le partager. Donc, on
essaie d'induire un changement de culture qui dit : Effectivement, la
donnée, elle appartient aux citoyens. Ça, je pense que là-dessus, personne ne
va avoir de longs débats. Maintenant, quand c'est collecté par un organisme qui
opère au nom du gouvernement du Québec ou à l'intérieur du gouvernement du
Québec, il devient donc la responsabilité du gouvernement d'en assurer, oui, la
protection, mais aussi la mobilité, la valorisation, ce qui permet à un
organisme de réutiliser la donnée plutôt que de la collecter, et donc de
surmultiplier les bases de données, et donc d'éclater complètement les centres…
les sites où ces données-là sont conservées, conservées avec une expertise à
géométrie variable, avec des moyens techniques et matériels à géométrie
variable, et donc qui augmentent significativement le risque que ces données-là
fassent l'objet d'une fuite.
Donc, la philosophie qui est induite par
le projet de loi n° 95 est de dire : On va
instituer des sources de données, donc des organismes qui seront mandatés par
le gouvernement pour collecter certains profils de données qui seront
partageables dans le respect des lois. Et j'écoutais le député de
La Pinière tantôt, et je ne peux pas être plus d'accord avec lui que ça,
il est clair que nos lois sur les protections des renseignements personnels
doivent être mises au goût du jour — ça, c'est le p.l. n° 64,
là. Mais le p.l. n° 95, son rôle est de dire que…
dans le respect de ces lois-là, qui peut avoir accès à quoi et dans quelle
forme aussi, parce que quelquefois il n'est pas nécessaire de communiquer un
renseignement personnel, on peut simplement confirmer un état et…
M.
Caire
: …le
p.l. n° 95, son rôle est de dire que, dans le respect
de ces lois-là, qui peut avoir accès à quoi et dans quelle forme aussi. Parce
que quelquefois il n'est pas nécessaire de communiquer un renseignement
personnel, on peut simplement confirmer un état et sans communiquer le renseignement
personnel. Donc, c'est vraiment ça, d'avoir des sources de données officielles
qui vont s'échanger des informations lorsque c'est requis par une prestation de
services, dans le respect des lois actuelles, mais surtout en ayant cette
capacité-là augmentée de sécuriser l'information parce qu'il n'y aura pas
surmultiplication des sites. Donc, ça, c'est la philosophie. J'aimerais ça vous
entendre là-dessus, M. Waterhouse, comment vous, vous voyez ça. Est-ce que vous
voyez des lacunes à cette façon de faire là, des avantages? Comment vous
abordez ça, vous?
M. Waterhouse (Steve) : Bien,
M. le ministre, premièrement, je suis d'accord avec vous, il faut que ça soit
dans le respect du citoyen, parce que, présentement, le citoyen est échaudé
avec les multiples fuites de données internes au gouvernement du Québec comme à
l'externe, avec un paquet de compagnies comme on en entend à chaque semaine, et
le citoyen veut tout simplement s'assurer qu'à chaque soir qu'il se couche il
n'y aura pas le lendemain matin, à la une du journal, une fuite d'informations
qui va, à ce moment-là, lui peser sur les épaules, encore une fois, pour les
prochaines 20, 30, 40, 50 années en amont.
Devant cette possibilité-là, c'est certain
que plus qu'il y a de disparités dans la façon de gérer la donnée, comme on
disait tout à l'heure avec la classification, bien, plus il y a de moyens qui
ne seront pas mis en place pour protéger adéquatement la sensibilité de ces
données. Prenant, par exemple, lorsqu'il y a des contrats, comme on parle… on a
parlé récemment, avec les différents fournisseurs et qu'ils doivent, du donneur
d'ouvrage, exécuter une tâche x mais qu'il n'y a pas de supervision quant à la
réalisation pour effectuer des vérifications d'usage une fois le projet
complété, est-ce que ça rencontre toutes les normes et est-ce que ça respecte
aussi la sécurité, l'intégrité, la disponibilité qui est attendue d'un service
gouvernemental? Si ça, c'est toujours absent des contrats qui sont donnés à
l'extérieur, parce que l'expertise est là, il ne faut pas se le cacher, bien,
c'est certain qu'il y a nécessairement un gros potentiel de fuite de données,
si ce n'est pas pour dire de mise à risque des données citoyennes, qu'ils
soient à l'extérieur ou à l'interne du gouvernement du Québec.
• (10 heures) •
M.
Caire
: Oui,
bien, merci beaucoup pour cette réponse-là. Mais je veux quand même vous amener
peut-être un petit peu plus loin, parce qu'on est vraiment au niveau de la
configuration de comment on peut s'échanger des données, et allons-y sur la
base des contrats dont vous parlez. Est-ce que ces contrats-là nécessitent
implicitement ou explicitement que des données soient collectées? Est-ce que ce
n'est pas la première question qu'on devrait se poser? Parce que,
malheureusement, dans le modèle actuel, lorsqu'il y a prestation de services,
le réflexe est de collecter une donnée que l'on possède déjà. Prenons l'exemple
de Place 0-5 ans, il n'y avait pas d'information là-dedans qui n'était pas
connue du gouvernement du Québec. Donc, est-ce que cet organisme-là avait
besoin de se faire le collecteur et le dépositaire d'autant…
10 h (version non révisée)
M.
Caire
: …et de
collecter une donnée que l'on possède déjà. Prenons l'exemple de Place 0-5 ans,
il n'y avait pas d'information là-dedans qui n'était pas connue du gouvernement
du Québec. Donc, est-ce que cet organisme-là avait besoin de se faire le
collecteur et le dépositaire d'autant d'informations que le gouvernement
possédait déjà? C'est un petit peu dans ce sens-là que je pose ma question.
Parce que si on limite la collecte de données, si on limite le nombre de sites
où une même donnée va se retrouver entreposée, est-ce qu'on ne limite pas du
même coup les risques qui sont inhérents aux fuites de données? C'est un petit
peu ça le sens de ma question.
M. Waterhouse (Steve) : Bien,
tout à fait. Je réponds à la positive de votre question et c'est tout
simplement d'établir des moyens techniques par lesquels il y a entente et collaboration
entre le donneur d'ouvrage et l'exécutant. Ça va de soi.
Maintenant, est-ce que les systèmes à
l'intérieur des différents ministères qui vont à l'extérieur sont prêts à
recevoir une connectivité de l'extérieur de manière sécurisée, permettant justement
de puiser ou échanger des données selon le type d'application? Mais j'ai pour
mon dire, M. le ministre, que toute application développée à l'externe devrait
revenir à l'intérieur, sur l'infrastructure du gouvernement, pour ainsi assurer
la pleine confidentialité de toutes les données qui seraient utilisées. Ça
serait beaucoup plus sécuritaire, à mon sens, de le pratiquer de cette
façon-là, plutôt que de dépendre que l'entité vers laquelle on a demandé une
tâche, une exécution ou un travail x, bien, qu'ils respectent en tous points
cette façon-là. Parce qu'on a épluché plusieurs de ces fournisseurs, et très
peu respectent les fondements de base de la cybersécurité, parce qu'eux ils
produisent tout simplement un produit, un logiciel, peu importe l'outil, pour
être, à ce moment-là, disséminé, puis il y en a qui le font de façon très
cavalière. Alors, c'est pour ça que je réitère que ça devrait être ramené à
l'intérieur du gouvernement pour que ça soit bien pris en charge, supervisé et
encadré.
M.
Caire
: En
fait, il y a deux éléments, dans votre réponse, que je voudrais discuter ou que
je voudrais explorer avec vous, peut-être, de façon plus précise. Le premier
élément, c'est l'accès à l'information, le deuxième élément, c'est l'utilisation
d'applications. La politique de cybersécurité… puis, bon, on ne se le cachera
pas, là, M. Waterhouse, là, que vous avez collaboré à l'élaboration de la politique
de cybersécurité, donc je pense que vous la connaissez bien, prescrit effectivement
qu'avant de déployer une application ou de mettre en ligne un site on devrait
vérifier l'état de sécurité, le fameux «security by design», là, qui est prévu
par la politique de cybersécurité. Je ne vous le cache pas, qu'il est actuellement
appliqué à géométrie variable, là, mais ça, c'est effectivement un des rôles du
Centre gouvernemental de cyberdéfense de s'assurer que ça, c'est fait.
Donc, ce que vous me dites, c'est que, dans
le fond, quand une entreprise signe une entente avec le gouvernement, on
devrait traiter ces systèmes comme des systèmes à être déployés, donc il
faudrait les tester, il faudrait s'assurer qu'ils sont sécuritaires. Dans un
premier temps, ça, c'est ma question. Si j'ai bien…
M.
Caire
: …quand
une entreprise signe une entente avec le gouvernement, on devrait traiter ces
systèmes comme des systèmes à être déployés donc il faudrait les tester, il
faudrait s'assurer qu'ils sont sécuritaires dans un premier temps. Ça, c'est ma
question, si j'ai bien compris ce que vous dites.
Puis dans un deuxième temps, ce que vous
dites, ce n'est pas tellement qu'il faut négocier des paramètres de sécurité
avec les entreprises mais de discuter de paramètres d'accès aux systèmes du
gouvernement qui, eux, seraient évidemment préjugés sécuritaires. Est-ce que
j'ai bien compris, là, ce que vous nous dites?
M. Waterhouse (Steve) : Bien,
je vais le représicer.
Dans un premier temps, les exigences du
ministère devraient faire, à ce moment-là, office et d'obligation que
l'exécutant devrait se conformer. Parce que le gouvernement apporte, à ce
moment-là, des données qui sont sensibles, sont réputées sensibles, donc plus
sensibles… qu'eux travaillent des données publiques. À ce moment-là, vous serez
d'accord comme moi que c'est d'appliquer toujours les mesures les plus contraignantes,
selon la sensibilité qui est à traiter.
Donc, dans un premier temps, ça serait peut-être
d'avoir des systèmes de développement qui seraient soit parrainés par le
gouvernement ou du moins rendus sécuritaires aux normes du gouvernement,
hébergés chez l'exécutant ou à l'intérieur du gouvernement, reste à définir.
Mais il reste toujours bien que le gouvernement doive avoir son mot à dire sur
où le développement, le traitement d'information sera fait, et, par la suite,
comment est-ce que cette information-là doit être interprétée et lue.
Donc, si… Puis à l'annexe b, c'est
pour que je l'apportais, ce petit résumé-là, qui… c'est l'agence de transport
CATSA, à l'aéroport, que, eux, bien ils répondent des normes du gouvernement
fédéral et ils ont mis une façon assez simple de résumer ce qu'ils doivent
respecter en termes de traitement d'information, l'acheminement, l'archivage,
etc. Et si ce genre d'annexe là est apporté, en exemple, là, vers les
exécutants d'un contrat : Bien, voici les exigences que le gouvernement du
Québec s'attend de vous… et ça, il faut que ça soit imposé, il ne faut pas que
ça soit suggéré. Parce que si c'est suggéré, c'est clair qu'ils vont en
disposer, ils vont aller le chemin le plus court pour accomplir la tâche puis
se faire payer rapidement. Mais…
M.
Caire
: D'où
l'idée de le mettre dans les clauses contractuelles.
M. Waterhouse (Steve) :
Définitivement. Puis c'est ça que j'apportais dans les notes d'entrée. Parce
que si ce n'est pas présent, même s'ils le disent haut et fort : Oui, oui,
oui, on est pour les bonnes vertus, on s'attend de toujours protéger la
cybersécurité, on sait que c'est important, mais qu'il n'y a personne qui est
impliqué en termes de métier de cybersécurité dans les organisations, c'est
certain que ça va passer à côté. Puis on a des résultats comme on voit dans les
journaux.
M.
Caire
: O.K.
Et dans les clauses contractuelles, au fond, ce que vous nous dites, c'est
qu'il serait prescrit qu'on doit respecter les normes, les standards et les
politiques du gouvernement. Donc, vous n'y allez pas de façon méta, à savoir
vous devez avoir telle ou telle application. Ce que je veux dire, c'est qu'on
ne serait pas à l'étape de dire : Pour faire affaires avec le
gouvernement, vous devez utiliser tel ou tel type de systèmes. On est vraiment,
vous le dites, dans un sens plus large.
M. Waterhouse (Steve) : Il
faut, il faut parce qu'à ce moment-là, comme on dit en anglais, ça va être
«future-proof», ça va être à l'épreuve du temps. Et si vous précisez, «au
moment précis d'aujourd'hui», une…
M.
Caire
: …on ne
serait pas à l'étape de dire : Pour faire affaire avec le gouvernement,
vous devez utiliser tel ou tel type de systèmes. On est vraiment dans un sens,
vous le dites, dans un sens plus large.
M. Waterhouse (Steve) : Il
faut. Il faut parce qu'à ce moment-là, comme on le dit en anglais, ça va être
«future-proof», ça va être à l'épreuve du temps. Et si vous précisez au moment
précis d'aujourd'hui une telle méthode, un tel outil, bien, dans cinq ans,
six ans, si ce n'est pas vous qui êtes encore en poste, votre successeur,
il aura oublié comment ça a été fait. Et à ce moment-là, ça devient une méthode
ou un moyen qui est vétuste et qui n'est plus à jour, et à ce moment-là, ils
vont respecter la norme, c'est écrit noir sur blanc, mais ils vont être en deçà
des normes au moment où est-ce que ça sera utilisé. Ça fait que c'est pour ça
que c'est de le mettre selon les règles en vigueur…
Le Président (M. Simard) : En
conclusion.
M. Waterhouse (Steve) : …de
telle référence, le plus large possible.
Le Président (M. Simard) : En
conclusion.
M.
Caire
: M. le
Président, est-ce que je comprends que mon temps est expiré?
Le Président (M. Simard) : Tout
à fait. Et vous aviez d'ailleurs 17 minutes…
M.
Caire
:
16 minutes?
Le Président (M. Simard) :
Non, vous aviez 17 min 30 s parce que M. Waterhouse n'avait
pas pris tout le temps qu'il lui était imparti, donc nous l'avons réparti dans
chacun des groupes parlementaires. Alors, vous avez écoulé votre temps.
M.
Caire
:
Alors, permettez-moi de remercier M. Waterhouse pour cette très intéressante
conversation.
Le Président (M. Simard) :
Très bien. Conséquemment, puisque le député de René-Lévesque ne sera pas
présent, du moins, dans le cadre de la première intervention, y aurait-il consentement
afin que nous puissions répartir équitablement entre les deux groupes d'opposition
les 2 min 45 s qui lui étaient allouées?
M.
Caire
: Consentement.
Le Président (M. Simard) : Y
a-t-il consentement de tous les collègues?
Des voix
: Oui. Consentement.
Le Président (M. Simard) :
Très bien, ce qui ferait que, puisque vous aviez déjà un peu plus de temps que
prévu également pour l'opposition, grosso modo, je calcule à vue d'oeil en
regardant mon secrétariat, vous disposeriez, M. le député de La Pinière,
d'environ 13 minutes.
M. Barrette : Ah!
13 minutes?
Le Président (M. Simard) :
Bien oui, vous ne pouvez pas dire qu'on n'est pas généreux avec vous ce matin.
M. Barrette : Bien, vous êtes
d'une grande générosité. Je vais le prendre puis j'en suis très heureux. Alors,
allons-y. Alors, Bonjour, M. Waterhouse.
M. Waterhouse (Steve) : M. le
député.
M. Barrette : Bien, bienvenue,
évidemment, à cette commission-ci. Écoutez, je vais, pour le bénéfice de ceux
qui nous écoutent, je vais quand même établir une chose, je ne pense pas que ça
a été établi précédemment. Le ministre nous a informés que vous aviez été
consulté pour la rédaction ou du moins la réflexion qui a mené à la rédaction
du projet de loi n° 95. C'est exact?
M. Waterhouse (Steve) : Bien,
au même titre que présentement je présente devant vous.
M. Barrette : Non, non, je
comprends, mais c'est parce que c'est important pour les gens qui nous d'écoute
de savoir que vous avez participé à la rédaction du projet de loi, ce qui ne me
dérange pas du tout, là.
M. Waterhouse (Steve) : Bien,
je n'ai pas participé à la rédaction du projet de loi, M. le député, là, seulement,
à la politique…
M.
Caire
: C'est
la politique de cybersécurité, M. le député.
Le Président (M. Simard) : M.
le ministre, M. le ministre, pour l'instant, la parole ne vous appartient pas,
la parole n'appartient qu'au député de La Pinière. Monsieur, veuillez
poursuivre.
M. Barrette : Mais ce n'est
pas grave, M. Waterhouse, c'est simplement pour établir que vous avez été
dans game, si vous préférez, là. Je ne veux pas vous prêter ni d'intentions ni
de responsabilités. Ça fait mon affaire que vous avez été là pendant le
processus qui a mené le ministre à déposer son projet de loi…
Le Président (M. Simard) :
…monsieur, veuillez poursuivre.
M. Barrette : Ce n'est pas
grave, M. Waterhouse, c'est simplement pour établir que vous avez été dans
la game, si vous préférez, là. Je ne veux pas vous prêter ni d'intentions ni de
responsabilités. Ça fait mon affaire que vous aviez été… vous avez été là
pendant le processus qui a mené le ministre à déposer son projet de loi…
M. Waterhouse (Steve) : Oui,
monsieur.
M. Barrette : …parce que,
quand je lis votre mémoire, votre mémoire est quand même critique, de façon
significative, de la situation actuelle.
• (10 h 10) •
M. Waterhouse
(Steve) : Oui.
M. Barrette : Bon. Vous
considérez, quand je lis votre mémoire, que la situation actuelle, en matière
de… pas juste de cybersécurité, mais en matière de sécurité au sens global du
terme, qu'elle laisse à désirer. Et ce n'est pas une critique du gouvernement
actuel ni des précédents, c'est l'État qui est de même. L'État est rarement
contemporain dans sa gestion des données. Ça, on va dire ça comme ça. C'est ce
que vous constatez à la grandeur du gouvernement. Donc, il y a lieu d'agir.
M. Waterhouse (Steve) : Oui,
monsieur. C'est le constat, aussi, d'autres professionnels de la cybersécurité
en province aussi.
M. Barrette : C'est d'autant
plus intéressant d'avoir ce bout de conversation là qu'on arrive avec un
projet… on a, actuellement, comme je l'ai dit dans mon introduction, deux projets
de loi, là, qui traitent de sécurité des données ou de gestion de la donnée. Il
y a le 64. Il y a le 95. Manifestement, il était temps d'agir, parce qu'on
n'est pas très, disons, à date dans nos standards de gestion de la donnée. On
s'entend là-dessus.
M. Waterhouse (Steve) : Tout
à fait.
M. Barrette : Bon. Un coup que
j'ai dit ça, là, j'ai… quand j'ai lu votre mémoire, la première réflexion qui
m'est venue à l'esprit est la suivante, puis là je vous demande votre opinion :
Vous avez vu le gouvernement. Vous avez été consulté pour une partie de la
cybersécurité. Je suis obligé de conclure, à la lecture de votre mémoire, que
jamais au grand jamais la loi 95, même si elle est adoptée, par exemple,
d'ici trois semaines, ne devrait être mise en application tant que ce que
vous avez évoqué dans votre mémoire n'a pas été corrigé?
M. Waterhouse (Steve) : Bien,
c'est le but de la présente discussion, je crois, M. le député, et j'espère
qu'elle sera considérée. Ce que j'apporte, et les autres qui me suivront
apporterons aussi, comme réflexion, parce que c'est important, à ce moment-ci,
de bien redresser qu'est-ce qui n'est pas en place, et de mettre les jalons qui
sont nécessaires à tracer le chemin de demain. Parce que, présentement, oui, le
gouvernement, il est 20 ans en arrière, M. le député. Et s'il y en a qui
ne croit pas ça, bien, désolé, là, je vous l'apporte en réflexion parce que le
gouvernement du Québec comme d'autres aspects gouvernementaux à travers le pays
n'ont pas suivi l'évolution technologique, et elle va d'une vitesse à grand V.
Et si personne ne met, justement, un chemin… des balises avec lesquelles
s'aligner pour le futur, bien, c'est certain le gouvernement du Québec sera
toujours à la remorque des événements et non pas un leader en avant.
M. Barrette : Donc, je
comprends votre réponse, là. Elle va dans le sens que dans le même sens que
moi…
M. Waterhouse (Steve) : ...si
personne ne met justement un chemin et des balises avec lesquelles s'aligner
pour le futur, bien c'est certain, le gouvernement du Québec sera toujours à la
remorque des événements, et non pas un leader en avant.
M. Barrette : Donc, puis
je comprends votre réponse, là, elle va dans le sens que... dans le même sens
que moi, mais moi, je vais un pas plus loin, là. Le pas plus loin, c'est
qu'avant de mettre des données... 95, là, ce dont on parle aujourd'hui, va
mener à, mettons... On va résumer, là. On va avoir une espèce de hub où la
donnée va se retrouver ou, du moins, va transiger. Ce que vous nous dites, là,
et ce que je dis, là, c'est qu'avant que quoi que ce soit circule dans ce
hub-là, là, il va falloir que tout, au complet, soit mis en place complètement
et non partiellement. Est-ce qu'avec ça vous êtes d'accord ou non?
M. Waterhouse (Steve) : Je
suis d'accord, M. le député, parce que, sinon, ça va créer des maillons
faibles. Et ils seront un autre élément de risque et de contention.
M. Barrette : Parfait. On
s'entend là-dessus. J'ai bien compris votre mémoire et votre pensée. Mais quand
je lis votre mémoire, et vous en avez vous-même fait... vous y avez fait
référence dans l'échange que vous venez d'avoir avec le ministre, je comprends
que vous avez établi dans votre mémoire un maximum. Et même le fédéral n'est
pas au maximum. Est-ce que j'ai bien compris.
M. Waterhouse (Steve) : M. le
député, je ne comprends pas le maximum que vous référez.
M. Barrette : Bien, vous
avez mis les... À la catégorisation, par exemple, là, vous avez mis un certain
nombre de catégories, sept, de mémoire, vous avez considéré qu'au fédéral il y
a quatre. C'est dans ce sens-là. Est-ce que, quand, vous, vous parlez d'un
certain nombre de catégories, pour prendre cet exemple-là, il est absolument nécessaire.
Est-ce que, le fédéral, ça devient un point de référence qui est un cran en
dessous de ce qu'on devrait faire ou c'est le maximum que personne n'atteindra jamais
dans le public? Ou est-ce qu'à l'inverse, à l'inverse, on se contente d'un
minimum?
M. Waterhouse (Steve) : Oui,
je comprends votre question maintenant. Ayant évolué avec le système fédéral,
puis c'est quand même un modèle mature d'une cinquantaine d'années, il y a des...
trois niveaux qui ne sont pas d'intérêt national et trois niveaux d'intérêt
national. Et ça, cette norme-là, avec lesquels les provinces, je mentionnais,
se sont inspirées. D'avoir un minimum, puis ça, c'est dans l'industrie privée
aussi, ça se passe comme ça, quatre niveaux, trois niveaux, c'est pas mal la
norme qui est établie, ça se veut à ce moment-là de vraiment mettre des
catégories minimales pour, à ce moment-là, identifier qu'est-ce qui est
critique de qu'est-ce qui l'est moins pour appliquer les bonnes mesures.
Si on en met plus pour être capable de
vraiment granulariser la classification de ces données-là en importance et en
sensibilité surtout, bien, peut-être que ça sera trop onéreux d'en mettre sept
versus quatre, trois ou cinq, peut-être. C'est un exercice qui est à revoir. Et
comme le ministre me le mentionnait tout à l'heure, le ministre Caire, bien,
j'aimerais bien ça voir ce plan de sept catégories, qui serait intéressant à
travailler. Mais j'ai pour mon dire que quatre, c'est quand même, à date, une
norme appliquée par toutes les autres provinces mentionnées plus tôt, qui
ferait en sorte qu'on va faire un travail de fond très intéressant.
M. Barrette : Est-ce que
je dois comprendre que, dans votre esprit, le niveau de sécurité est équivalent
selon le... pour chacun des niveaux, et que c'est la granularisation qui change
en passant de quatre à sept...
M. Waterhouse (Steve) : …et
par toutes les autres provinces mentionnées plus haut, qui ferait en sorte...
va faire un travail de fond très intéressant.
M. Barrette : Est-ce que je
dois comprendre que, dans votre esprit, le niveau de sécurité est équivalent
selon... pour chacun des niveaux et que c'est la granularisation qui change en
passant de quatre à sept?
M. Waterhouse (Steve) : Fort
probablement. Il faudrait, je vois en détail les sept classifications qui sont
énumérées ici, mais, définitivement, il faut qu'il y ait rattaché, à ce
moment-là, importance de la donnée versus niveau 4, versus niveau 5,
6 et 7, etc., plus quelles sont les mesures à appliquer pour la protéger cette
donnée-là en transit, en repos, en destruction. C'est tout ça qui vient faire
en sorte... plus qu'il y a de niveaux, plus ça devient complexe à gérer dans le
temps. En mettre quatre niveaux, à date, c'est très simple à respecter, mais
quand on parle de sept, bien, à ce moment-là, il va falloir s'équiper pour
travailler plus longuement.
M. Barrette : Donc, vous, vous
liez, et ça a un impact dans toute décision gouvernementale, vous liez un coût
au niveau en question.
M. Waterhouse (Steve) :
Définitivement.
M. Barrette : Et plus… Bon. Et
puis là je ne sais pas dans quel ordre, là, vous les mettez, là. Le plus
coûteux, ça devrait être 1, j'imagine, ou 7, je ne le sais pas, là.
M. Waterhouse (Steve) : Bien,
le plus sensible... en fait, l'élément le plus sensible, admettons, les
stratégies du cabinet du premier ministre, bien il faut-u qu'elles soient...
présentement, devraient-elles être classifiées au même titre que le rapport
d'impôt d'un citoyen? La réponse est non. Donc, comment est-ce qu'on protège
les secrets cabinet, si on peut juste interpréter ça comme ça pour l'instant,
pour l'exemple? Et quel moyen de cryptographie on va appliquer, quel moyen pour
transporter l'information entre deux personnes? Est-ce qu'un courrier
électronique normal est suffisant? La réponse, c'est non. Bon, bien, quels
moyens qu'on protège cette transmission? Et, après coup, c'est quoi la durée de
vie d'une donnée secret cabinet? Est-ce qu'elle doit être archivée? Si oui,
comment et combien de temps, etc.?
Il y a toutes des politiques comme ça, des
sous-politiques doivent être dérivées pour à ce moment-là compléter la
désignation de ce niveau de sécurité. Comme vous dites, peut-être
niveau 7, ça serait plus important.
Et, après ça, quand on arrive à la donnée
publique, bien la donnée publique, c'est qu'est-ce qu'on retrouve sur Internet
pour tout le monde. Mais la donnée collectée par un ministère au gouvernement,
confiée à ce gouvernement-là, ne devrait certainement pas être de l'information
publique. Donc, de cette perspective, c'est d'identifier comment est-ce que le
gouvernement, le ministère protège l'information citoyenne, de quel niveau,
etc. Ça, c'est qu'est-ce qui devrait être relié étroitement à cette
classification.
M. Barrette : Bien là, je vais
vous rire, là, mais pour le citoyen moyen, là, je pense que sa donnée est plus
importante que la stratégie du premier ministre. Avec tout le respect que je
dois au premier ministre, là, je pense que le dommage de la fuite de la donnée
du premier ministre va toucher le premier ministre, alors que la banque de
données, elles, de citoyens au pluriel, ça m'apparaît plus dommageable. Je ne
pense pas que la donnée stratégique du premier ministre va permettre de voler
son identité et de faire un emprunt, de contracteur une hypothèque à son nom,
là, , alors, que dans d'autres...
M. Waterhouse (Steve) : Non,
mais la perte de stratégie provinciale envers, exemple, des transactions
hydroélectriques interprovinciales pourraient endommager les relations
gouvernementales. Ça, c'est... pour moi, c'est... important.
M. Barrette : ...dit pas que
ça n'a pas de valeur, là, je vous dis que, pour le citoyen lui-même, là, le
citoyen lambda, là...
M. Barrette : ...une hypothèque
à son nom, là, alors, que dans d'autres...
M. Waterhouse (Steve) : Non,
mais la perte de stratégie provinciale envers, exemple, des transactions
hydroélectriques interprovinciales pourraient endommager les relations
gouvernementales. Ça, c'est... pour moi, c'est... important.
M. Barrette : ...que ça n'a
pas de valeur, là, je vous dis que, pour le citoyen lui-même, là, le citoyen
lambda, là, lui, là, il se considère 7, lui, là, si le 7... maximum.
M. Waterhouse (Steve) : Tout
est relatif du point de vue qu'on le regarde, effectivement.
M. Barrette : O.K. Alors,
vous, là, je n'ai pas vu ou peut-être que j'ai mal lu votre mémoire, je n'ai
pas vu de priorisation dans les niveaux. Est-ce que j'ai mal lu?
M. Waterhouse (Steve) : Bien,
tout est à définir, M. le ministre, parce que moi, je préconise le niveau... le
modèle fédéral qui... il y a trois niveaux de base d'intérêts non nationaux, a,
b et c, c étant le plus grave, a étant le moins grave dans son importance,
comme d'autres provinces l'ont appliqué de cette manière-là, alors que le
PR-057, bien, lui, il le réfère à niveau 1 à 4, 4 étant le plus grave.
M. Barrette : O.K., bien là,
vous préférez lequel dans les deux, là?
M. Waterhouse (Steve) : Je
préférerais un modèle aligné sur le modèle fédéral, et sachant sa simplicité et
son efficacité qui a été prouvée à travers le temps, bien, à ce moment-là ça
reste à définir et de le mesurer, de le jauger, là, dans le temps. Mais il faut
nécessairement qu'il y en ait une façon de catégoriser et de classifier cette information-là
dès que possible.
M. Barrette : O.K. Quand vous
regardez la situation, parce que vous avez quand même fait un survol de la situation,
quand vous regardez l'ensemble de la situation, je suis obligé de conclure,
puis vous me confirmerez ou non, qu'au bout... à la clé, là, il y a du
personnel en quantité significative, là.
M. Waterhouse (Steve) : Vous
avez été entrecoupé, pouvez-vous répéter, s'il vous plaît.
M. Barrette : J'ai dit :
Quand j'écoute... quand je lis votre mémoire et que j'écoute vos commentaires,
je suis obligé de conclure qu'en bout de ligne, pour se rendre au bon niveau,
on a de l'embauche à faire.
• (10 h 20) •
M. Waterhouse (Steve) : Pas
autant de l'embauche, là, M. le ministre, que de former, de manière
qualitative, les gens, soit en place ou à venir, à l'intérieur des enceintes du
gouvernement, parce que, nécessairement, ce n'est pas... c'est une nouvelle
science, c'est une nouvelle façon de travailler. Et qu'est-ce qui a été appris
voilà 25 ans n'est pas nécessairement à jour pour qu'est-ce que... le
travail est à faire aujourd'hui. La classification d'information, la gestion
d'information, oui, c'est intemporel d'une certaine façon, mais la façon de le
faire, moderne, bien, il faut que les gens soient à jour pour être capable
d'apporter les meilleures solutions possibles.
M. Barrette : M. le Président,
il me reste combien de temps?
Le Président (M. Simard) : 40.
M. Barrette : 40 secondes,
O.K. Vous estimez, pour faire cette transition-là, que ça prendrait combien de
temps?
M. Waterhouse (Steve) : Bonne
question. Le moins de temps possible, c'est certain, mais il faut qu'ils soient
concentrés, les efforts, dès maintenant, pour être capables de développer,
justement, une méthodologie qui soit applicable dans les plus brefs délais.
C'est la meilleure réponse, je peux vous générer à ce moment-ci.
M. Barrette : Oui, mais
«ballpark», vous avez été dans des grandes organisations vous là, là. Pour
arriver, là... «ballpark», là, je ne vous demande pas...
M. Waterhouse (Steve) :
...c'est certain, mais il faut qu'ils soient concentrés, les efforts, dès maintenant
pour être capable de développer, justement, une méthodologie qui soit
applicable dans les plus brefs délais. C'est la meilleure réponse que je peux
vous générer à ce moment-ci.
M. Barrette : Oui, mais «ball
park», là, vous avez été dans des grandes organisations, vous là, là, pour
arriver, là, «ball park», là, je ne vous demande pas à la seconde, au jour, au
mois près, là, mais à la limite même pas à l'année près, c'est une transition
qui prend combien de temps avant d'être fonctionnelle avant de partager les
données, là?
M. Waterhouse (Steve) : Est-ce
qu'on parle d'une transition en partant de zéro et créée à partir de rien ou
convertir qu'est-ce qui est en place?
M. Barrette : Non. À partir de
ce que vous avez vu à...
M. Waterhouse (Steve) : Bien,
c'est de convertir qu'est-ce qui est déjà en place. Et, je vous dirais, il faut
prendre le temps qu'il faut. Et est-ce qu'un an... Je pourrais dire :
Prescrire un an, c'est certain. Mais il faut le faire le plus rapidement
possible. J'aimerais ça que ça soit fait le mois prochain.
Le Président (M. Simard) :
Très bien. Alors, cher collègue, malheureusement, nous devons arrêter ici.
M. Barrette :
Merci, M. Waterhouse.
M.
Waterhouse (Steve) : Bienvenue, monsieur.
Le Président (M. Simard) :
Merci à vous également, cher collègue. Je cède maintenant la parole au député
de Rosemont, qui dispose d'environ 4 min 10 s.
M. Marissal : Merci, M. le
Président. Merci au PQ de m'avoir donné ses quelques secondes, je vais franchir
le cap des quatre minutes.
M. Waterhouse, je vais commencer là
où a commencé mon collègue de La Pinière mais avec une question beaucoup
plus pointue. Avez-vous avez été rémunéré pour avoir participé à l'élaboration
de la politique de cybersécurité du gouvernement?
M. Waterhouse (Steve) :
Aucunement. Même pas le stationnement de payé, aucun café.
M. Marissal : O.K. Très bien.
Vous comprenez la question, c'est bon pour vous, c'est bon pour nous de le
savoir. De la façon dont ça avait été dit, on aurait pu penser que vous aviez
été mis à contribution, ce qui évidemment changerait votre rôle ici. Alors, je
suis heureux de l'entendre. Et merci de votre contribution bénévole.
Quand on regarde la liste des témoins,
vous en êtes le premier, et c'est bien, je pense que vous deviez figurer pas
mal, là, au top de la liste, au-dessus de la liste, devrais-je dire, de tous
les partis ici représentés. On reconnaît votre expertise.
Mais moi, je m'étonne, en regardant la
liste, d'un, de voir qu'elle est plutôt courte. On a neuf ou 10 groupes à ce
jour, alors que le ministre paradoxalement parle de droit nouveau, de
territoire à défricher, de révolution. Puis là on va «wraper» ça, on va fermer
ça en quelques jours, deux jours, là, de témoins. Je trouve ça paradoxal, j'aimerais
ça vous entendre là-dessus.
Et ce que je trouve particulièrement
paradoxal, c'est qu'il n'y a pas de collecteur de données de l'État dans la
liste qui a été retenue par le gouvernement. Je pense, par exemple, à la RAMQ,
là, qui est probablement... et Revenu Québec, qui sont les deux plus gros
collecteurs de données. Serait-il utile de les entendre?
M. Waterhouse (Steve) : Bien,
les entendre, pour eux, ce sont des exécutants dans l'accumulation des données,
puis ils vont dire : Bien, nous, on regarde vers le haut, on attend que
les politiques descendent pour être capables d'exécuter leur mission. Je ne
sais pas qu'est-ce qu'ils auraient apporté de plus à part d'élaborer ou
d'énumérer un constat d'où ils en sont et où ils veulent aller peut-être. Ça,
c'est comme ça j'entends qu'ils auraient pu contribuer et donner un état de la
situation dans laquelle ils baignent, manquant de ressources, manquant
peut-être de stratégie. Ça, c'est la façon que j'aurais pu voir leurs apports.
Mais les autres professionnels qui sont
manquants à l'appel, c'est peut-être parce qu'ils sont justement submergés de
travail tellement qu'il y en a à faire. Ils n'ont peut-être pas entendu l'appel
au moment opportun...
M. Waterhouse (Steve) : ...peut-être.
Ça, c'est la... C'est comme ça, j'entends, qu'il aurait pu contribuer et donner
un état de la situation dans laquelle il baigne, manquant de ressources,
manquant peut-être de stratégies. Ça, c'est la façon que j'aurais pu voir leurs
apports. Mais les autres professionnels qui sont manquants à l'appel, c'est peut-être
parce qu'ils sont justement submergés de travail tellement qu'il y en a à
faire. Ils n'ont peut-être pas entendu l'appel au moment opportun. Il y a plein
de facteurs comme ça qui expliquent mal pourquoi qu'il n'y a pas plus
d'appelés, ici, aujourd'hui.
M. Marissal : Mais on est
d'accord pour dire que ces deux entités là, là, que je nomme par exemple, là,
RAMQ, puis à dessin que je le fais, là, il y a eu des débats là-dessus déjà, et
Revenu Québec vont devoir au premier chef participer, là, à ce qu'on est en
train de faire, là.
M. Waterhouse (Steve) : Bien,
par... Moi, je le vois juste comme des exécutants. Une fois que la politique
sera dessinée et la stratégie sera adoptée et descendue, ça ne doit pas devenir
un débat, mais bien une exécution en partance de la stratégie globale et qu'ils
puissent à ce moment-là arrimer leurs procédures en fonction de cette
stratégie-là. Sans quoi ça va devenir une boucle sans fin. Et comme le député de
Lotbinière le mentionnait tout à l'heure, l'échéancier ne sera jamais atteint
parce que ça sera toujours en termes de poursuite de discussions et de remises
en question de tout ce qui devrait être fait. Alors, j'ai pour mon dire, M. le
député, il faut que ça soit, à un moment donné, avec des décisions. Et comme
disait le ministre Caire tout à l'heure, oui, il faut que ça soit l'habilitant
et à un moment donné il faut que ça soit directif, sans quoi ça va toujours
être à recommencer.
M. Marissal : Je crois
que vous vouliez dire le député de La Pinière, si je ne m'abuse.
M. Waterhouse (Steve) :
La Pinière. Je voulais dire La Pinière. Excusez.
M. Marissal :
La Pinière. Ce n'est pas grave. On se confond souvent. Il y en a 125. Puis
ça se ressemble parfois un peu, dans l'orthographe à tout le moins. Vous avez
dit tout à l'heure, puis je pense que votre constat est partagé, là, le
gouvernement du Québec est 20 ans en arrière. Moi, je suis un gars prudent
dans la vie, là. Puis je ne hais pas ça, faire ça par étape. Puis je me
dis : Ne serait-il pas préférable de rattraper le retard, du moins en
grande partie, avant de se relancer dans une nouvelle révolution où on parle de
valorisation de données, où on ouvre toutes sortes de nouvelles avenues?
M. Waterhouse (Steve) : Tout
dépend, M. le ministre... M. le député, pardon, de quelle façon on le voit
parce que... Moi, j'ai... De la façon que le projet de loi n° 95 va
apporter, c'est vraiment d'actualiser qu'est-ce qui a été fait par le passé
puis de le mettre au goût moderne. Moi, c'est de la façon que je l'ai compris.
C'est comme faire faillite puis de repartir. Donc, qu'est-ce qui a été fait par
le passé, aussi chambranlant que c'est, comme je le décris...
Le Président (M. Simard) :
Très bien.
M. Waterhouse (Steve) :
...pour dire que le gouvernement est en retard de 20 ans...
Le Président (M. Simard) :
Très bien.
M. Waterhouse (Steve) :
...ferait en sorte que ça va...
Le Président (M. Simard) :
Très bien.
M. Marissal :
Merci, M. Waterhouse.
M. Waterhouse
(Steve) : Merci.
Le Président (M. Simard) :
Alors, merci. Merci beaucoup, M. le député de Rosemont. M. Waterhouse,
merci pour votre intervention et votre contribution à nos travaux. Sur ce, nous
allons suspendre quelques instants, le temps de faire place à nos prochains
invités.
(Suspension de la séance à 10 h 27)
10 h 30 (version non révisée)
(Reprise à 10 h 39)
Le Président (M. Simard) :
Donc, chers collègues, nous sommes en mesure de reprendre nos travaux. Et nous
sommes en compagnie des représentants de Commission d'accès à l'information du
Québec. Madame, monsieur, soyez les bienvenus. Pour les fins de nos procès-verbaux,
auriez-vous l'amabilité de vous présenter, s'il vous plaît?
Mme Poitras
(Diane) : Alors, bonjour, je suis Diane Poitras, je suis présidente
de la Commission d'accès à l'information et je suis accompagné de
Me Jean-Sébastien Desmeules, secrétaire général et directeur des affaires
juridiques à la commission.
Le Président (M. Simard) :
Bienvenue. Vous savez que vous disposez de 10 minutes pour votre
présentation.
• (10 h 40) •
Mme Poitras
(Diane) :Merci, M. le Président. Alors,
d'abord, bonjour à tous. Et merci pour cette invitation à prendre part aux
présentes consultations particulières au sujet du projet de loi n° 95.
C'est un projet de loi qui vise plusieurs objectifs
et il s'inscrit dans la foulée de plusieurs autres initiatives, et doit donc
être analysé en tenant du compte de celles-ci, et je parle entre autres, évidemment,
du projet de loi n° 64, qui propose une réforme des lois sur la protection
des renseignements personnels.
La Commission ne commentera que les
dispositions du projet de loi qui ont un impact sur la protection des
renseignements personnels, compte tenu notamment du temps qu'il lui est
imparti, et des conséquences importantes de ce qui est proposé sur les renseignements
personnels et la vie privée des citoyens et citoyennes du Québec.
Avant d'aborder ces conséquences, la commission
tient à souligner que la transformation numérique de l'administration publique
peut et doit s'effectuer dans le respect des principes de protection des renseignements
personnels. La Stratégie de transformation numérique gouvernementale
insistait d'ailleurs sur le respect de ces principes. Et de l'avis de la commission,
le projet de loi s'écarte de cet engagement.
En effet, le très vaste régime d'exception
qui est proposé par le chapitre II.4 du projet de loi aurait pour l'effet
de remplacer à toutes fins pratiques le régime général de Loi sur l'accès pour
les renseignements personnels numériques, et je m'explique. Pour bien
comprendre les conséquences du projet de loi, il est utile de rappeler brièvement
ce qu'est la protection des renseignements personnels puis de prendre la mesure
de la portée des modifications proposées à la Loi sur la gouvernance et la
gestion des ressources informationnelles.
Alors, commençons par la protection des
renseignements personnels. À titre de composante du droit à la vie privée, qui
est protégé par la charte, la protection des renseignements personnels, ça
comprend un ensemble de principes qui vise à donner au citoyen le contrôle sur
ses informations, principalement par le biais du consentement.
Ces principes vont bien au-delà des seuls
enjeux relatifs à la confidentialité ou à la sécurité de l'information. En
résumé, ils prévoient qu'il faut limiter la…
Mme Poitras
(Diane) : …ça comprend un ensemble de principes qui visent à
donner au citoyen le contrôle sur ses informations, principalement par le biais
du consentement. Ces principes vont bien au-delà des seuls enjeux relatifs à la
confidentialité ou à la sécurité de l'information. En résumé, ils prévoient
qu'il faut limiter la collecte, l'utilisation, la communication et la
conservation des renseignements personnels à ce qui est nécessaire. Ce sont à
ces principes et au principe du consentement que certaines dispositions du projet
de loi dérogent ou permettent au gouvernement de déroger par simple décret en
prévoyant des exceptions qui ne sont pas suffisamment circonscrites, à mon avis,
ni encadrées par des mesures suffisamment robustes.
La portée de la LGGRI, maintenant, bien,
il faut se rappeler que c'est une loi qui s'applique à un très grand nombre d'organismes
publics, les ministères, des organismes gouvernementaux, des organismes
scolaires et établissements d'enseignement supérieur, de santé et de services
sociaux. En fait, les municipalités et, pour certaines obligations, les entreprises
de l'État sont pratiquement les seuls organismes publics à en être exclus.
Quant aux renseignements qui sont visés par le projet de loi, ce serait toute
donnée numérique gouvernementale détenue par ces organismes. Ça inclut les renseignements
personnels de toute nature, comme les renseignements d'identité, de santé,
financiers, fiscaux, scolaires, sociaux, policiers, pour ne donner que ces exemples.
Enfin, tel que libellé dans le projet de
loi, les fins administratives ou de services publics, là, qui conditionnent les
principes de mobilité et de valorisation de ces données que nous verrons dans quelques
instants, englobent la presque totalité des activités d'un organisme public. Il
est difficile d'identifier quelles activités ne feraient pas partie de l'une ou
l'autre des fins décrites au projet de loi.
Alors, ces précisions permettent de bien
saisir toute la portée du projet de loi. Ce qui est proposé est susceptible, à
notre avis, de s'appliquer dans la très grande majorité des situations
impliquant des renseignements personnels numériques détenus par la plupart des organismes
publics assujettis à la loi sur l'accès. C'est pourquoi la commission croit que
ce régime d'exception au principe de protection des renseignements personnels
deviendrait vraisemblablement la norme.
Voyons maintenant quelles exceptions sont
proposées par le projet de loi. D'abord, il pose comme principe que toutes les
données numériques détenues par les organismes publics sont un actif informationnel
stratégique du patrimoine numérique gouvernemental et dont la mobilité, la valorisation
à des fins administratives et de services publics sont d'intérêt
gouvernemental. L'application de ce principe aux renseignements personnels se
concilie difficilement avec le fait que les citoyens confient leurs
renseignements aux organismes publics dans un contexte et à une fin spécifique.
Ils ne renoncent pas pour autant à la propriété de leurs renseignements ni à
exercer tout contrôle sur ceux-ci, surtout que, souvent, ils n'ont pas le choix
de les transmettre aux organismes publics. Cet élément central du projet de loi
va donc à l'encontre d'un des principes fondamentaux de la protection des
renseignements personnels, soit celui de permettre à l'individu d'exercer le
contrôle sur ses renseignements. Or, le projet de loi permettrait au gouvernement
d'utiliser ou de communiquer des renseignements personnels numériques…
Mme Poitras
(Diane) : …souvent, ils n'ont pas le choix de les transmettre
aux organismes publics.
Cet élément central du projet de loi va
donc à l'encontre d'un des principes fondamentaux de la protection des
renseignements personnels, soit celui de permettre à l'individu d'exercer le
contrôle sur ses renseignements. Or, le projet permettrait au gouvernement
d'utiliser ou de communiquer des renseignements personnels numériques à des
fins auxquelles les citoyens n'ont pas consenti et dont ils n'ont pas été
informés. Ces exceptions seraient déterminées par cinq décrets du gouvernement.
Deuxièmement, lorsqu'elles impliquent des
renseignements personnels, la mobilité et la valorisation des données
numériques sont évidemment susceptibles d'aller à l'encontre des principes de
limitation de la collecte, d'utilisation et de la communication des
renseignements personnels. Plus précisément, le projet de loi permettrait au
gouvernement, par décret, d'autoriser la collecte, la communication et
l'utilisation de renseignements personnels pour une finalité différente de
celle à laquelle les citoyens ont consenti et sans tenir suffisamment compte du
respect de leur vie privée. Il permettrait aussi de concentrer, au sein d'un
même organisme public, des renseignements personnels parfois très sensibles
avec les risques que cela comporte comme l'actualité tend malheureusement à le
démontrer.
La commission comprend très bien que l'un
des objectifs du projet de loi est d'instaurer un nouveau cadre de gestion des
données numériques gouvernementales, qui réduirait les silos entre les
organismes publics, et ce, afin de favoriser l'efficacité de l'administration
publique et la prestation de services des citoyens. Toutefois, elle considère
que ces objectifs peuvent être atteints sans porter atteinte de façon aussi
importante aux principes fondamentaux visant à protéger les renseignements
personnels.
La commission croit aussi que l'adoption
de ce volet du projet de loi minerait certains efforts actuels pour rehausser
la protection des renseignements personnels dans le cadre de la réforme qui est
prévue par le projet de loi n° 64. C'est pourquoi la commission recommande
de revoir l'approche proposée par le projet de loi n° 95, du moins pour
les renseignements personnels. La modification du régime général de la Loi sur
l'accès permettrait d'intégrer les objectifs poursuivis tout en s'assurant de
la cohérence de ces modifications avec la réforme en cours et du respect des
principes de protection des renseignements personnels.
Cette avenue permettrait aussi d'éviter de
créer un régime législatif distinct du régime général de protection des
renseignements personnels et de multiplier les lois qui prescrivent des exceptions
au régime général. L'application simultanée de plusieurs lois et de nombreux
décrets occasionneraient, à notre avis, d'importantes difficultés
d'interprétation pour les organismes publics, qui peuvent être évitées. Il en
serait de même pour les citoyens qui sont les premiers concernés par les
impacts du projet de loi et les risques de ne plus être en mesure de connaître
à quelles fins leurs renseignements personnels pourront ultimement être
utilisés ou communiqués.
La commission convient que des modifications
législatives sont requises pour adapter le cadre juridique actuel au nouvel
environnement numérique. Toutefois, ces modifications, et d'éventuelles
exceptions au régime général et prépondérant prévu par la Loi sur l'accès,
doivent se trouver dans cette loi, qui a un statut quasi constitutionnel,
soulignons-le ou rappelons-le.
Aussi, ces exceptions doivent être
spécifiques et limitées à ce qui est légitime et nécessaire. Elles doivent
aussi être encadrées par des mesures de…
Mme Poitras (Diane) :
…d'éventuelles exceptions au régime général et prépondérant prévu par la loi
sur l'accès doivent se trouver dans cette loi, qui a un statut quasi
constitutionnel, soulignons-le ou rappelons-le.
Aussi, ces exceptions doivent être
spécifiques et limitées à ce qui est légitime et nécessaire. Elles doivent
aussi être encadrées par des mesures de contrôle adéquates. L'étude du projet
de loi n° 64 est justement l'occasion d'effectuer ces changements. Dans
son mémoire, la commission formule des recommandations visant à guider cet
exercice. Elle est disponible pour collaborer afin de prévoir comment faciliter
l'innovation, l'efficacité gouvernementale et l'amélioration des services aux
citoyens, mais dans le respect des principes de protection des renseignements
personnels.
L'innovation et la transformation
numérique peuvent aussi être une occasion d'améliorer le contrôle des citoyens
sur leurs renseignements. Elles ont permis le développement de plusieurs
techniques permettant l'utilisation de renseignements personnels sans qu'il
soit possible d'identifier les personnes qu'ils concernent. Ces développements
devraient aussi être pris en compte dans l'évaluation de la nécessité de
prévoir des exceptions aussi étendues.
Je vous remercie de votre attention. Il me
fera plaisir d'échanger avec vous au cours des prochaines minutes.
Le Président (M. Simard) :
Merci à vous, Mme la présidente. Et je cède maintenant la parole à M. le
ministre.
M.
Caire
:
Merci, M. le Président. Bonjour, Me Poitras, comment allez-vous?
Mme Poitras
(Diane) : Ça va bien, merci. Et vous?
M.
Caire
: Bien
oui, merci, merci. Bien, d'abord, merci d'avoir pris le temps de regarder le projet
de loi. Merci de vos commentaires. Je suis convaincu que ça va alimenter notre
réflexion.
Vous avez amené, par contre, des éléments
sur lesquels je souhaite peut-être revenir. Vous parlez d'un régime
d'exception. Or, la loi n° 95 ne prévoit aucune exception, prévoit le
respect intégral de toutes les règles, lois et directives qui existent. Donc,
comment vous en arrivez à la conclusion que 95 présente un régime d'exception?
• (10 h 50) •
Mme Poitras
(Diane) : Merci pour cette question. En fait, peut-être qu'il
faut nuance, elle ne prévoit pas de dérogation, elle ne dit pas : Ça
s'applique malgré la loi sur l'accès. Mais en prévoyant les possibilités
d'utiliser, de communiquer ou de recueillir des renseignements dans des
situations autres que celles qui sont prévues dans la loi sur l'accès, et sans
le consentement de la personne concernée, on prévoit un régime d'exception au
principe de limitation de la collecte, de l'utilisation et de la communication
des renseignements personnels.
M.
Caire
: Mais
il y a des lois qui prévoient ça. En fait, ça m'étonne, parce que même 64
prévoit qu'on peut communiquer un renseignement personnel sans le consentement,
si les fins sont compatibles, si c'est manifestement dans l'intérêt de la
personne. Et on arrive avec 95 qui dit : Nous allons intégralement
respecter ces dispositions-là. Les décrets vont venir préciser. Puis, vous
l'avez mentionné, là, un décret ne peut pas être plus permissif qu'une loi, il
doit nécessairement est plus sévère. Donc, encore là, je vous avoue, puis je ne
suis pas tout seul, là, j'ai de la difficulté à suivre comment vous en arrivez
à la conclusion que ça, c'est un régime d'exception…
M.
Caire
: …ces
dispositions-là. Les décrets vont venir préciser. Puis, vous l'avez mentionné,
là, un décret ne peut pas être plus permissif qu'une loi, il doit nécessairement
être plus sévère. Donc, encore là, je vous avoue, puis je ne suis pas tout
seul, là, j'ai de la difficulté à suivre comment vous en arrivez à la
conclusion que ça, c'est un régime d'exception, s'il y a obligation du respect
du cadre législatif et réglementaire intégral. Je ne comprends pas, là.
Mme Poitras
(Diane) : Je vais prendre un exemple concret. Il n'y a rien
comme un exemple concret pour essayer de comprendre. Comme vous le soulignez,
dans la Loi sur l'accès, on limite les situations. Le principe de base pour
l'utilisation, on va prendre un exemple en utilisation de renseignements, la
loi dit : Comme organisme public, tu peux utiliser les renseignements que
toi, tu as recueillis aux fins pour lesquelles tu les as recueillis puis que tu
as déclaré au citoyen quand tu les as recueillis. On dit… il y a une exception
dans la Loi sur l'accès qui dit : On peut l'utiliser à des fins
compatibles, vous l'avez souligné. La loi n° 95 vient
de donner toute une autre série d'exceptions qui sont prévues au chapitre 2.4,
qui sont les fins administratives ou de services publics. Tout ça, ce sont des
nouvelles exceptions qui permettent et à l'organisme qui a a recueilli et qui
détient les renseignements de les utiliser et à tout autre organisme public de
les utiliser à ces fins-là, dans la mesure où c'est prévu dans un décret.
M.
Caire
: Mais…
parce que, là, je me fais le porte-parole d'une vingtaine de juristes, là, qui
ont collaboré à ce… dont le SAIRID, et qui ne voient pas ce régime d'exception
là non plus parce qu'il est clair que soit on respecte la loi, soit on demande
le consentement dans la prestation de services.
Mais à mon tour, peut-être, de donner un
exemple où on va demander à un citoyen qui inscrit son fils à l'école d'aller
chercher un certificat de naissance qu'on va amener à l'école, que l'école va
valider, que l'école va retourner au Directeur de l'état civil pour faire
valider si le certificat de naissance qui a été présenté est le bon. Bien, ce
que la loi dit, c'est : Bon, bien, écoutez, parlez-vous, là, puis laissez
le citoyen en dehors de ça. C'est un peu ça qui est la finalité de…
Est-ce que vous voyez là un régime
d'exception? C'est un peu ça, dans le fond, l'idée du projet de loi, c'est de
dire que, si j'ai déjà la réponse, je valide auprès de l'organisme détenteur si
la loi me permet d'avoir accès à cette information-là, parce que la loi prévoit
que j'ai… Puis vous l'avez dit, hein, souvent, les organismes vont collecter
auprès du citoyen parce que, dans la Loi d'accès actuelle, il est prévu que, si
je collecte une information personnelle dans le cadre d'une mission qui m'est
donnée par la loi, j'y ai accès. Donc, on respecte intégralement cette façon de
faire là. Et, si vous n'y avez pas accès, bien, vous devrez obtenir le
consentement du citoyen. C'est un peu ce que 12.10 dit. Donc, encore là, j'ai
un peu de difficulté à voir en quoi c'est une exception par rapport à ce qu'on
fait déjà.
Mme Poitras
(Diane) : En fait, le consentement ne se retrouve nulle part
dans le projet de loi n° 95. Toutes les communications, les utilisations
qui sont prévues…
M.
Caire
:
...devrez obtenir le consentement du citoyen. C'est un peu ce que 12.10 dit.
Donc, encore là, j'ai un peu de difficulté à voir en quoi c'est une exception
par rapport à ce qu'on fait déjà.
Mme Poitras
(Diane) : En fait, le consentement ne se retrouve nulle part
dans le projet de loi n° 95. Toutes les
communications, les utilisations qui sont prévues, c'est indiqué qu'elles
peuvent se faire sans le consentement du citoyen. Si l'intention était de dire,
dans l'exemple pratique que vous donnez, c'est très simple, lors du premier
contact avec le citoyen, dire : Acceptez-vous, là, on va s'occuper de
valider tout ça plutôt que de vous retourner puis vous faire faire les
démarches à notre place, il n'y a aucun problème, ça, ce serait correct. Mais,
si on respecte... si vous me dites : Les principes... on a l'intention de
respecter les principes de la loi, pourquoi alors prévoir le chapitre II.4
du projet de loi n° 95? Parce qu'il permet de faire des choses que la loi
sur l'accès ne permet pas, sinon on n'a pas besoin du chapitre II.4 et de
toute la section sur les renseignements personnels.
Nous, ce qu'on vous dit, c'est :
C'est clair qu'il y a des situations où on peut faciliter la vie du citoyen,
etc., limiter les démarches que, lui, a à faire alors qu'on a déjà
l'information. La commission n'est pas contre ça, pas du tout. Ce qu'elle dit,
c'est : Prenons le chemin de la loi sur l'accès. On est en train de la
réformer, c'est le temps de briser les silos que vous voulez faire pour
atteindre les objectifs que vous poursuivez par 95. Mais le chemin qui est
choisi, c'est des exceptions beaucoup trop larges, pas suffisamment
circonscrites et pas suffisamment encadrées.
M.
Caire
: O.K.
Puis, en même temps... Bien, en fait, écoutez, je respecte hautement votre
opinion. Ceci étant, nous n'y voyons pas d'exception, dans le sens où il y a un
engagement et une obligation, 12.10, de respecter les lois, les directives et
les règlements intégralement. Mais tout à l'heure, vous disiez : De toute
façon, les organismes vont aller collecter l'information auprès du citoyen. Ça,
c'est l'état actuel des choses. C'est pour ça, tout à l'heure,
M. Waterhouse nous a dit que ces multiplications-là, des sites où on
conservait des données, des renseignements personnels, multipliaient dans les
mêmes proportions les risques. Vous semblez dire le contraire, à savoir que si
on y va du côté des sources de données, c'est ça qui multiplie les risques.
Comment vous conciliez votre interprétation de la sécurité des renseignements,
qui est assez contradictoire avec celle que M. Waterhouse vient de nous
donner, qui, lui, dit plutôt : Non, au contraire, allez-y vers les sources
de données parce que c'est ça qui va vous offrir une meilleure sécurité de
l'information.
Mme Poitras
(Diane) : Si on... Peut-être qu'on s'est mal compris. On n'est
pas contre le fait notamment d'instaurer... si, une des façons d'atteindre
l'objectif est d'instaurer des sources officielles de données — je
m'excuse, je ne me souviens pas exactement du terme, là, mais vous savez
sûrement à quoi je réfère...
M.
Caire
: Oui,
c'était ça.
Mme Poitras
(Diane) : ...c'est ça — et que cette source pourra
être la source qui alimente certains autres organismes...
Mme Poitras
(Diane) : …des… si une des façons d'atteindre l'objectif est
d'instaurer des sources officielles de données — je m'excuse, je ne
me souviens pas exactement du terme, là, mais vous savez sûrement…
M.
Caire
: Oui, c'est
ça.
Mme Poitras
(Diane) : …à quoi je réfère. C'est ça? — et que cette
source pourra être la source qui alimente certains autres organismes dans
certaines circonstances qui seraient définies dans la loi, par contre, ou avec
le consentement du citoyen, ce n'est pas une… on dit juste : Attention.
Est-ce que cette source doit nécessairement concentrer un grand nombre de
renseignements de santé, fiscaux, sociaux, policiers, etc.? Il n'y a pas de
balises à cette possibilité de concentration là dans la loi actuelle. Alors, on
n'est pas contre le principe. Ce qu'on vous dit, c'est que ça devrait être dans
la loi sur l'accès puis ça devrait être davantage balisé que ce que propose le
projet de loi n° 95é
M.
Caire
: Oui,
sauf que là… Puis, comme j'ai les deux chapeaux, la loi d'accès se veut
technologiquement neutre, donc je ne suis pas convaincu que je vous suis
là-dessus, puis la loi n° 95, elle, est une loi
essentiellement technologique. Donc, vous ne pensez pas que ces deux lois là
doivent effectivement être en concordance? Moi, je vous suis sur le fait
qu'effectivement 95 doit s'appuyer sur les… bien, ce que la loi d'accès ou la
loi sur la protection des renseignements personnels prescrit, mais doit, la loi
d'accès, rester technologiquement neutre, alors que le projet de loi n° 95, lui, est essentiellement, pour ne pas dire
exclusivement un projet de loi technologique, là. J'essaie de vous suivre dans
le raisonnement. Aidez-moi.
Mme Poitras
(Diane) : Il y a moyen que les principes qu'on veut intégrer…
La loi sur l'accès, c'est une loi de principes, avec des exceptions. Je suis
convaincue qu'il y a moyen d'intégrer ces principes-là de façon neutre
technologiquement dans la loi sur l'accès. Puis, comme je disais, ça va nous
faire plaisir de s'asseoir avec vos juristes puis ça va nous faire plaisir
aussi de s'asseoir avec les juristes pour voir comment ça se fait qu'eux
arrivent à la conclusion que ce n'est pas une exception aux principes de la loi
sur l'accès. Moi, j'aimerais bien comprendre comment ils arrivent à ce
raisonnement-là, parce que, pour revenir sur ce point-là, tu sais, dans la loi
sur l'accès, on dit : Une des exceptions, c'est : Si la loi prévoit
autrement qu'on peut utiliser ou communiquer des renseignements, c'est correct,
puis là, bien, c'est dans la loi n° 95 que vous venez
d'établir un paquet d'exceptions. Ça fait que c'est sûr que vous respectez la
loi sur l'accès, vous ne lui dérogez pas, mais vous créez des exceptions au
principe de limitation de la collecte, d'utilisation et de communication des
renseignements, par contre.
• (11 heures) •
M.
Caire
:
Écoutez, je suis convaincu que vous allez avoir des heures de plaisir, de
discussions avec les gens du SAIRID. Me Poitras, je vais vous laisser
«billeveser» entre juristes. Le modeste informaticien que je suis va se limiter
aux technologies. Bien, le principe de 95 — puis je suis content
qu'on aborde cet aspect-là, Me Poitras — le principe de 95, le
principe d'une source de données, c'est au contraire de concentrer une donnée
spécifique. On s'entend que le réseau de la santé collecte…
11 h (version non révisée)
M.
Caire
: …se
limiter aux technologies. Mais le principe de 95, puis je suis content qu'on
aborde cet aspect-là, Me Poitras, le principe de 95, le principe d'une source
de données, c'est, au contraire, de concentrer une donnée spécifique. On
s'entend que le réseau de la santé collecte beaucoup trop d'informations par
rapport à ce qui est propre à la santé, versus ce que l'état civil possède,
versus ce que l'Éducation possède, versus ce que Revenu possède. L'idée de la
source de données est d'avoir des sources de données qui sont spécifiques à la
mission de la source et de s'assurer d'avoir une intégrité dans l'information.
Parce qu'actuellement, au gouvernement du Québec, il y a probablement entre 250
et 300 versions différentes de Diane Poitras, ce qui est, du point de vue de
l'intégrité de l'information, ingérable. La multiplication des sources de
données rend notre organisation vulnérable aux fuites, et, bon, on a fait
référence aux événements récents. Alors, l'idée de la source de données, elle
est ça.
Et d'avoir un gestionnaire de données au
centre de ça, c'est de dire que si un organisme a besoin d'une information, il
doit vérifier à l'interne si cette information-là, elle est accessible, un.
Deux, le gestionnaire doit vérifier si, au terme de la loi, l'organisme en a
besoin dans l'exécution de sa mission. Et trois, il doit lui communiquer, dans
la version la plus humble possible, qui ne permet pas d'identifier la personne
si tant est que c'est nécessaire… Puis j'ai vu, dans votre mémoire, vous
parliez de dépersonnalisation, puis je veux être très clair, parce que la loi n° 95 n'aborde pas cette situation-là sous l'angle de la
dépersonnalisation, mais bien sous l'angle du plus petit dénominateur commun.
Je vous donne un exemple, si le gouvernement met en place un nouveau programme
qui a un critère d'âge dans l'admissibilité, bien, l'organisme qui administre
le programme pourrait, à l'état civil, s'assurer que le critère d'admissibilité
est rencontré, ce qui ne veut pas dire que je vais vous transférer ou vous
donner accès à la date de naissance. Je vais simplement vous confirmer que le
critère d'âge est rencontré.
Donc, pour moi, cette façon de faire là,
au contraire, là, de ce que j'entends de votre part, limite la transmission d'informations
et de renseignements personnels au plus petit dénominateur commun, et donc en
assure, à mon avis, puis je veux vous entendre là-dessus, là, en assure une
plus grande confidentialité. Parce que vous parlez de donner accès à des renseignements
personnels sans le consentement, et moi, je dis : Au contraire, un, on
respecte les lois, et, deux, on a l'obligation d'aller au plus petit
dénominateur commun, donc d'en transférer le moins possible. Donc, est-ce que…
je ne sais pas, est-ce que ce que je vous dis là vous amène dans une zone
différente par rapport à 95 ou il y a quelque chose que moi, je n'ai pas vu?
Mme Poitras
(Diane) : En fait, je vous dirais, pour le dire simplement,
quand je vous écoute puis que vous me dites : Bien, ce qu'on veut faire, c'est
ça, avec ces limites-là, puis ça va bien protéger les renseignements, ce n'est
pas ce que je retrouve et ce que nous retrouvons dans le projet de loi. Ces
limites que vous…
M.
Caire
:
…différente par rapport à 95 ou il y a quelque chose que moi je n'ai pas vu.
Mme Poitras
(Diane) : En fait, je vous dirais… pour le dire simplement,
quand je vous écoute puis que vous me dites : Bien, ce qu'on veut faire
c'est ça avec ces limites-là, puis ça va bien protéger les renseignements. Ce
n'est pas ce que je retrouve, et ce que nous retrouvons, dans le projet de loi.
Ces limites que vous donnez, puis l'exemple que vous venez de donner, ce n'est
pas dans le projet de loi. Ce que le projet de loi permettrait, c'est que
l'état civil communique tout ce qu'il peut avec le réseau de la santé, que le
réseau de la santé pourrait communiquer tous les renseignements au réseau
scolaire, que Revenu Québec pourrait communiquer tous les renseignements.
Puis qu'on pourrait avec ça les utiliser à toute fin et les communiquer dans
toutes situations que le gouvernement déciderait par décret. Et c'est cette
étendue du régime de possibles exceptions qu'on ne trouve pas nécessaire pour
atteindre vos finalités. Mais quand je vous entends puis je vous écoute, puis
vous me donnez des situations précises, moi, je ne retrouve pas ces balises-là
dans le projet de loi n° 95. Et si c'est ça l'intention, c'est pour ça que
je vous dis : Ça va nous faire plaisir de s'asseoir avec votre équipe pour
essayer de les mettre dans la loi sur l'accès plutôt que le projet de loi
n° 95 pour atteindre les objectifs dans la protection de la vie privée en
respectant la vie privée des citoyens.
M.
Caire
: Bien,
encore là, je… comme ministre responsable d'Accès à l'information et de la
Protection des renseignements personnels, j'ai aussi une préoccupation de
garder le projet de loi n° 64 technologiquement neutre, mais je vous
entends, Me Poitras, là, sachez que je vous entends. Mais en fait… bien en
fait ce que vous explique, il est dans la loi, là. Je vous avoue qu'en même
temps que je vous écoute j'essaie de retrouver l'article qui l'adresse
spécifiquement. Puis vous comprendrez que ma condition ne me permet pas de
faire deux choses en même temps. En fait, c'est 12.14 qui dit :
«Lorsque de telles données peuvent être utilisées ou communiquées sous une
forme ne permettant pas d'identifier directement la personne concernée, elles
doivent être utilisées ou communiquées sous cette forme.» Et c'est à dessein
qu'on n'utilise pas l'expression de dépersonnalisation parce que la
dépersonnalisation, dans l'univers technologique, amène une définition qui est
claire de ce que doit être fait versus l'anonymisation. Donc, c'est pour cette
raison-là qu'on parle d'identifier la personne, et parce qu'on est dans un
principe où on fait une obligation technologique d'aller au plus petit
dénominateur commun. Mais je rappelle respectueusement que le projet de loi
n° 95 est un projet de loi essentiellement technologique. Donc, c'est sûr
que ces concepts-là sont peut-être plus… comment je… on sait qu'on s'en va vers
du droit nouveau. On sait qu'on s'en va vers des concepts qui sont nouveaux,
mais l'idée est vraiment, de ce que je vous dis, là, de dire qu'autant pour le
Service québécois d'identité numérique, d'ailleurs, ou avec le portefeuille
d'identité numérique, on souhaite cesser de fournir beaucoup trop
d'informations par rapport à ce qui est requis, souvent. Bien, c'est le même…
Le Président (M. Simard) :
Merci, M. le ministre…
M.
Caire
: ...qui
sont nouveaux, mais l'idée est vraiment, de ce que je vous dis, là, de dire
qu'autant pour le service québécois d'identité numérique, d'ailleurs, ou avec
le portefeuille d'identité numérique on souhaite cesser de fournir beaucoup
trop d'informations par rapport à ce qui est requis souvent...
Le Président (M. Simard) : ...
M.
Caire
: Déjà?
Le Président (M. Simard) :
Bien oui, déjà.
M.
Caire
: Bien,
on va se reparler, Me Poitras, on va se reparler.
Le Président (M. Simard) : Je
cède maintenant la parole au député de La Pinière.
M.
Caire
: Merci
beaucoup... Sincèrement, merci beaucoup.
Le Président (M. Simard) :
Alors, je cède la parole au député de La Pinière pour
11 min 20 s.
M. Barrette : Ah!
11 min 20 s, c'est bon. Alors, bonjour, Me Poitras.
M. Desmeules, est-ce que c'est Me Desmeules ou c'est
M. Desmeules?
M. Desmeules (Jean-Sébastien) :
C'est Me Desmeules, oui.
M. Barrette :
Me Desmeules. Bon. Alors, bienvenue à cette commission, à mon tour. Bon, écoutez,
j'ai comme envie d'aller plus dans la philosophie de la chose que dans le
détail tant du mémoire que du projet de loi. Me Poitras, je pense que vous
étiez là dans la législature précédente, puis on avait regardé nous-mêmes des
choses qui vont dans... ou qui auraient été, si les projets de loi avaient été
de l'avant ou même déposés, dans le sens de 95. Je ne fais pas une profession
de foi de 95, là, ce n'est pas ça, mon idée.
Mais je veux... Je vous ai écouté tous les
deux, là, le ministre et vous, Me Poitras, et je suis toujours surpris de
voir à quel point on arrive à vouloir la même chose puis ne pas avoir le même
outil pour le faire. Et ça... Mais ça me rassure parce que la Commission
d'accès à l'information, ce n'est pas une critique, mais il y a des, des, des
années, genre à la fin des années 90, début des années 2000, ce dont on parle aujourd'hui
aurait été une impossibilité vue de l'angle de la Commission d'accès à
l'information. Là, aujourd'hui, il y a une ouverture, puis c'est comme si le
véhicule... du moins, si je comprends votre intervention, Me Poitras, le
véhicule, vous ne le trouvez pas bon.
Je comprends, là, que vous voyez aujourd'hui
une utilité d'avoir une plus grande liberté de circulation de l'information à
l'intérieur de l'État. Ça, là, est-ce qu'on peut dire ça?
Mme Poitras
(Diane) : Oui, dans certaines limites et avec un encadrement
des espèces de garde-fous adéquats. Et c'est la voie qu'a choisi l'Ontario et
c'est la voie qu'est en train de choisir aussi le gouvernement fédéral, qui,
les deux, ont modifié la loi-cadre, l'équivalent de la Loi sur l'accès. Et donc
on est convaincus que c'est possible de le faire.
Puis ce n'est pas juste une question de
dire : On veut que ça soit dans la Loi sur l'accès. Ce n'est pas ça, c'est
que c'est cette loi-là, qui est prépondérante puis qui a un statut quasi constitutionnel,
qui établit les limites et le cadre dans lequel on peut, justement, faire ces
choses-là.
M. Barrette : Mais moi, c'est
là que je ne comprends pas, là. Quand le ministre donne l'exemple du certificat
de naissance, là, pour moi, c'est une évidence. Alors, en quoi ça, ça a besoin
d'un cadre juridique...
Mme Poitras
(Diane) : ...établit les limites et le cadre dans lequel on
peut, justement, faire ces choses-là.
M. Barrette : Mais moi, c'est
là que je ne comprends pas, là. Quand le ministre donne l'exemple du certificat
de naissance, là, pour moi, c'est une évidence. Alors, en quoi ça, ça a besoin
d'un cadre juridique spécifique? Parce que quand je vous écoute,
Me Poitras, là, puis là ne pensez pas que je fais... prends la défense de
95, c'est juste que c'est le genre de chose que, moi-même, je souhaitais faire
précédemment dans mes fonctions précédentes que je ne pouvais pas parce que la
loi l'empêchait. La loi d'accès à l'information, telle qu'elle est écrite actuellement,
là, je disais à l'introduction, vous n'avez peut-être pas entendu, mais la
donnée, là, c'est un univers en soi, c'est un trésor, il est dans un
coffre-fort puis il ne veut pas aller nulle part. Alors, le certificat de
naissance, là, c'est un trésor, il est dans un coffre-fort, un coffret de
sécurité dans une banque puis le faire sortir de là parce qu'on en a de besoin
pour une attestation pour une autre affaire gouvernementale, on ne peut pas le
faire. 95 veut faire ça. Je ne le vois pas, le moyen, moi. Je ne suis pas au
fait, là, de ce que fait l'Ontario, là, mais ça ne veut pas dire que... raison,
ça ne veut pas dire que l'Ontario a raison, là. Et il doit bien y avoir moyen
de moyenner.
• (11 h 10) •
Moi, j'allais même plus loin, là. Vous
savez, sur la question des déterminants de la santé, là, l'État qui doit mettre
en place des conditions qui favorisent la santé doit, par définition, mettre en
commun des données socioéconomiques, démographiques, géographiques et de santé
à court, moyen et long terme... On peut le faire dans le cadre d'un programme
de recherche avec une demande spécifique et patati et patata, mais il y a un
frein. Alors, entre la circulation et la disponibilité entre organisme d'un
certificat de naissance et quelque chose de beaucoup plus élaboré à l'autre
extrême que sont des déterminants en santé pour... vu sous l'angle de l'État
qui veut améliorer le sort des citoyens, il est où, le chemin? Je ne l'entends
pas. Vous, vous dites, 95, vous ne voyez ce qu'il faut là-dedans pour le faire.
Moi, je vous écoute puis je ne vous fais aucun reproche, mais je ne vois pas,
moi, votre chemin. Expliquez-moi votre chemin.
Mme Poitras
(Diane) : Bon, dans la loi sur l'accès, il y a des principes
puis il y a des exceptions. Alors, les... ce qu'il faut faire, c'est bonifier
les exceptions à la loi sur l'accès qui limitent la circulation ou les
utilisations des renseignements personnels pour qu'ils reflètent ce désir
d'améliorer les services aux citoyens dans une ère numérique et d'utiliser des
renseignements à certaines occasions. Puis, effectivement, les deux exemples
que vous donnez, le certificat de naissance puis tous les renseignements de
santé, avec d'autres déterminants de santé, on comprend que le niveau de
sensibilité n'est pas le même.
Mais il y a moyen, dans cette loi-là...
elle sert à...
Mme Poitras
(Diane) : ...d'utiliser des renseignements à certaines
occasions. Puis effectivement, les deux exemples que vous donnez, le certificat
de naissance puis tous les renseignements de santé, avec d'autres déterminants
de santé, on comprend que le niveau de sensibilité n'est pas le même.
Mais il y a moyen, dans cette loi-là...
Elle sert à ça, la réforme. Les réformes en cours, actuelles, des lois qui
protègent les renseignements personnels dans le secteur public vont
pratiquement toutes dans le sens d'ouvrir pour permettre ces choses-là, mais il
faut poser des limites, et il faut que les situations soient clairement
définies par la loi. Et non qu'on prévoie une loi, à côté, qui permette des
possibilités d'exceptions très larges, et que c'est le gouvernement, par
décret, qui va fixer dans quelles situations et à quelles conditions ça va
pouvoir se réaliser.
Et pour le certificat de naissance,
actuellement, moi, je pense qu'on a ni besoin d'aucune modification à la loi
sur l'accès ou, même, à la... On n'a pas besoin du projet de loi n° 95.
On pourrait simplement dire au citoyen : Tu acceptes-tu que j'aille
vérifier ton certificat de naissance moi-même, que j'aille l'obtenir avec ton
consentement? Puis, je veux dire, ça pourrait se faire dans le respect des
règles actuelles. Ce qui n'est pas le cas, par exemple, de tous les
renseignements de santé, là, aussi à cause des cadres spécifiques qui peuvent
exister dans ce domaine-là. Bien, moi, je la vois, la voie pour y arriver, là.
M. Barrette : O.K. Alors,
est-ce que cette voie-là... Bien, vous la voyez, mais là, je ne l'ai pas vue
dans ce que vous dites. Vous dites que vous la voyez. Vous êtes juriste, là,
vous êtes à la CAI. Vous devez voir des choses qu'on ne voit pas, sans ça, il y
a un problème. Mais là vous ne voyez pas la possibilité, dans le cadre de n° 95, d'y inscrire les limitations que vous souhaitez?
Parce que n° 95,
ça va plus loin que les non-exceptions que vous y voyez, là. N° 95,
il y a toute une question de gouvernance de la sécurité, une gouvernance de la
gestion de l'information, une gouvernance qui va dans le détail de la vie de
l'information, et ça, ça a une valeur en soi, en ce qui me concerne. Vous ne
voyez pas la possibilité, à la place, d'inscrire dans n° 95
ce que vous recherchez?
Mme Poitras
(Diane) : En fait, on pourrait garder le... On ne dit pas qu'il
ne faut pas aller de l'avant avec n° 95. Ce qu'on
dit, c'est que...
M. Barrette : Je n'ai pas...
Mme Poitras
(Diane) : ...pour le volet protection des renseignements
personnels, mettez ces exceptions-là dans la loi sur l'accès, qui vont pouvoir
bénéficier du cadre général de la loi, avec tout ce que ça implique, et des
protections que ça peut impliquer. Et limitons-les un peu, parce que pour
l'instant, on les trouve beaucoup trop vastes. Puis on trouve que donner un
pouvoir discrétionnaire au gouvernement de déterminer, par décret, dans quelles
circonstances, et quelles règles vont s'appliquer, et à quels renseignements...
Il faut que ce soit... Il faut que la loi
fixe le cadre. Il faut se rappeler que ces situations-là, c'est quand même une
exception au droit fondamental à la vie privée, là. On est... Oui, on peut
permettre des exceptions légitimes, mais elles doivent être...
Mme Poitras
(Diane) : …et à quels renseignements. Il faut que la loi fixe
le cadre. Il faut se rappeler que ces situations-là, c'est quand même une
exception au droit fondamental à la vie privée, là. Oui, on peut permettre des
exceptions légitimes, mais elles doivent être précises dans la loi et
proportionnelles à l'objectif qu'on veut atteindre. Et c'est ça qu'on ne
retrouve pas dans le projet de loi n° 95 pour le volet Protection des
renseignements personnels.
M. Barrette : O.K. Et pour
vous, à la Commission d'accès à l'information, là, la vie de la donnée à
l'intérieur d'une entité qu'est le gouvernement, que ça se promène dans cette
bulle-là, là, c'est un univers dans lequel il faut proscrire une circulation
libre.
Mme Poitras
(Diane) : Je n'ai pas dit proscrire, encadrer, ce n'est pas
pareil. La loi actuelle prévoit déjà des situations où ça peut être fait et
encadre ces situations-là. Est-ce qu'elles doivent être bonifiées à la lumière
des objectifs qu'on poursuit puis de l'ère du numérique? Oui, la commission est
bien d'accord avec ça, mais on pense qu'on va beaucoup trop loin avec 95
et que ce n'est pas le véhicule approprié, ça serait très complexe,
d'interpréter.
Moi, j'essaie de me mettre dans la peau
d'un organisme public ou même nous, comme commission. Déterminer si tel
renseignement peut être utilisé par tel organisme, dans telle circonstance, il
va falloir regarder la loi sur l'accès, le projet de loi n° 95, la LGGRI,
les décrets qui sont adoptés, le secret professionnel, et s'il y a des
organismes impliqués qui ont des lois particulières, comme le domaine de la
santé ou des renseignements fiscaux, il va falloir regarder ces lois-là aussi,
et la loi sur la transformation numérique, parce qu'il y a un lien qui est fait
aussi, là. Alors, ça va être très, très, très complexe.
M. Barrette : Oui, par
définition. Parce que dans votre situation, veux veux pas, votre angle est un
angle qui freine. Dans la bulle de l'État, moi, j'insiste là-dessus, là, dans
la bulle qu'est l'État, vous amenez un frein, puis vous trouvez que 95 est
trop libre.
Mme Poitras
(Diane) : Oui, parce que le droit au respect de la vie privée
puis la protection des renseignements personnels, ce n'est pas juste la
confidentialité ou la sécurité d'information. C'est aussi, en quelque sorte,
limiter les situations où on se communique et on utilise des renseignements
entre organismes. Et c'est ce bout-là que, si on ouvre les valves puis on
dit : Bien, dans toutes les situations que le gouvernement va décider par
décret de faire, ce sera correct, on vient de vider de son sens ces principes
de la loi. On ne dit pas que ce n'est pas possible, là, on dit qu'il faut
qu'ils soient prévus dans la loi.
M. Barrette : Juste par
curiosité, parce qu'il me reste quelques secondes, vraiment, là. Quand ça a été
rédigé, ce projet de loi là, ça n'a pas été fait de façon conjointe avec vous?
Mme Poitras
(Diane) : Le projet de loi n° 95? Non. On l'a vu quand il
a été rendu public.
M. Barrette : …O.K. C'est bon.
Là, il ne me reste plus de temps, hein, M. le Président?
Le Président (M. Simard) :
Non, malheureusement, cher collègue. Alors, nous allons maintenant céder la
parole au député de Rosemont, qui dispose quant à lui de
2 min 50 s.
M. Marissal : Merci,
M. le Président. Me Poitras, Me Desmeules, merci d'être là. Je
trouvais votre mémoire particulièrement clair et…
Le Président (M. Simard) :
…non, malheureusement, cher collègue. Alors, nous allons maintenant céder la
parole au député de Rosemont qui dispose quant à lui de
2 min 50 s.
M. Marissal : Merci, M. le
Président. Me Poitras, Me Desmeules, merci d'être là. Je trouvais
votre mémoire particulièrement clair. Et la discussion que vous avez eue par la
suite avec le ministre m'a complètement embrouillé.
Je comprends qu'un cadre réglementaire
peut être malléable, mais là je pense qu'on essaie de sculpter de l'eau tellement
c'est liquide, que vous n'allez pas du tout dans la même direction ni l'un ni
l'autre, quoique vous disiez, tous les deux, vouloir vous rendre au même objectif,
vous ne me semblez pas suivre du tout la même voie, je dirais même qu'il y en a
un qui va à l'est, l'autre à l'ouest, ou nord ou sud, là, prenez ça comme vous
voulez, là, mais vous êtes assez écartelés dans la façon de le faire. J'ai du
mal à comprendre qu'on puisse arriver à ce point décalés. Puis je ne dis pas
que vous avez tort, hein, Me Poitras, je ne suis pas en train de dire ça.
Je ne suis pas en train de dire que le ministre a tort mais je suis quand même
assez perplexe devant la disparité de vos opinions, hein, parce qu'on parle ici
quand même d'un projet de loi majeur.
Ce que je crois comprendre de ce que vous
dites, par contre, c'est qu'on met la charrue devant les boeufs, parce qu'en
fait ce qu'il faudrait faire, c'est réformer complètement la loi-cadre de la
CAI. Est-ce que ça, je comprends ce bout-là correctement?
Mme Poitras
(Diane) : Et elle est en train de se faire, la réforme, et on
ne veut pas dire, là : On rebrasse les cartes, puis on efface tout, puis
on réécrit. Il y a moyen d'inclure, il y a déjà des exceptions à l'utilisation,
la communication dans la loi, il s'agit simplement de les bonifier et
d'intégrer, comme c'était prévu au départ, on prévoyait le gestionnaire de
renseignements personnels. Je comprends ici que ça serait la source de données
où on y ferait référence si on la maintient dans le projet de loi n° 95,
qui est plus large que les renseignements personnels, on comprend ça. Mais il y
a vraiment moyen de façon pas si compliquée que ça d'intégrer ce qu'on veut
faire dans la Loi sur l'accès dans le contexte de la réforme actuelle.
M. Marissal : Hum-hum. Vous avez
dit tout à l'heure que, par décret, le gouvernement pourrait utiliser des
renseignements personnels pour autre chose que le but initial. Je pense que
vous alliez donner des exemples sonnants et trébuchants tout à l'heure,
pouvez-vous nous en donner un ou deux, là, pour qu'on comprenne bien de quoi il
s'agit puisque nous devons rester dans le contexte de la collecte minimum et du
consentement?
• (11 h 20) •
Mme Poitras
(Diane) : Bien, en fait, le projet de loi n° 95
permettrait au gouvernement de décider d'utiliser des données de santé, des
données fiscales, des données de toutes… policiers, à toutes fins qu'il
déterminerait du moment que ça correspond à l'une des fins, là, qui est énuméré
dans le chapitre II.4, les fins administratives ou de services publics. Et
elles sont libellées en termes tellement larges que ça pourrait être pour
n'importe quoi. Et c'est ça, c'est on va trop loin. On comprend qu'il n'y a
possiblement aucune mauvaise intention, mais on ne peut pas accepter que le
gouvernement nous dise : Faites-nous confiance. On ne fera jamais ça.
Le Président (M. Simard) :
Très bien.
Mme Poitras
(Diane) : Il faut que ce soit établi clairement dans la loi.
M. Marissal : Merci,
Me Poitras, merci.
Le Président (M. Simard) : Je
cède maintenant la parole au député de René-Lévesque.
M. Ouellet : Merci. À mon
tour de vous saluer, Me Poitras et Me Desmeules…
Mme Poitras
(Diane) : …aucune mauvaise intention, mais on ne peut pas
accepter que le gouvernement nous dise : Faites-nous confiance. On ne fera
jamais ça.
Le Président (M. Simard) :
Très bien.
Mme Poitras
(Diane) : Il faut que ce soit établi clairement dans la loi.
M. Marissal : Merci, Me
Poitras, merci.
Le Président (M. Simard) : Je
cède maintenant la parole au député de René-Lévesque.
M. Ouellet : Merci. À mon
tour de vous saluer, Me Poitras et Me Desmeules. Quelques questions en rafale.
Est-ce que, selon vous, ce projet de loi là va mieux respecter le consentement
du citoyen ou est-ce qu'il va faire plutôt le contraire?
Mme Poitras
(Diane) : Il permet de l'écarter complètement.
M. Ouellet : Est-ce que le
projet de loi donne au gouvernement le pouvoir d'utiliser ou de communiquer des
renseignements personnels de citoyens, donc, sans leur consentement?
Mme Poitras
(Diane) : Oui.
M. Ouellet : Est-ce que ce
projet de loi peut techniquement établir des normes de protection de
renseignements administratifs plus strictes que pour des renseignements
personnels?
Mme Poitras
(Diane) : Oui, il pourrait.
M. Ouellet : Est-ce que le gouvernement
se donne le pouvoir d'exiger de la CAI, un organisme indépendant, l'adoption de
pratiques particulières quant à la gestion de ses systèmes ou de ses données
numériques?
Mme Poitras
(Diane) : On parle de règles de gouvernance, et la définition
qui en est faite est assez limitée.
M. Ouellet : D'accord. À cet
égard, est-ce qu'il devrait rendre des comptes au gouvernement ou au Parlement?
Mme Poitras
(Diane) : On parle de faire rapport de comment ça a été utilisé
à la fin, à la CAI, et, de façon transparente, je pense, de le publier, mais on
est après coup, là. C'est… on a déjà… on s'est donné le pouvoir de déterminer
d'autres utilisations et d'autres communications. On rend juste compte après de
ce qu'on a fait.
M. Ouellet : Donc, en résumé,
suite aux échanges que vous avez eus avec le ministre, je comprends bien qu'on
semble tous s'entendre sur une finalité… une mobilité, pardon, de la donnée,
mais le moyen qui est proposé dans le 95 ne vous plaît pas et devrait plutôt
être utilisé à l'intérieur du projet de loi n° 64 qui, je le rappelle, est
encore à l'étude. Donc, c'est ce que vous nous dites, comme parlementaires,
aujourd'hui : Prenez une partie de 95, allez le mettre dans 64 pour
bonifier la loi-cadre, qui va améliorer surtout la compréhension mais surtout
sa mise en application.
Mme Poitras
(Diane) : Oui. Et restreignez un peu ce qui est dans 95,
permettre… et c'est très étendu, et c'est… les situations où on peut utiliser
ou communiquer des renseignements sont beaucoup trop étendues, et les mesures
de contrôle ne sont pas suffisantes. Et on ne devrait pas permettre au
gouvernement, par décret, de décider de ces finalités-là.
M. Ouellet : D'accord. M. le
Président, je pense que j'ai terminé.
Le Président (M. Simard) : Il
vous restait 30 secondes, cher collègue.
M. Ouellet : Ah! bien,
écoutez, merci beaucoup. Je pense que le briefing technique qui vient d'être
envoyé à tous les collègues sera approprié, considérant qu'il y avait une
partie de cette loi, Mme Poitras et M. Desmeules, que je n'avais pas vue,
suite à votre mémoire. Donc, ce serait important pour nous, comme le collègue
de Rosemont, de bien comprendre la portée de tout ça et de trouver le véhicule
adéquat. Merci.
Le Président (M. Simard) :
Merci à vous, cher collègue. Alors, Mme Poitras, Mme la présidente, M. Desmeules,
de la Commission d'accès à l'information du Québec, merci pour la qualité de
votre contribution à nos travaux.
Ceci étant dit, compte tenu de l'heure,
nous allons suspendre jusqu'après les affaires courantes. Alors, à bientôt.
(Suspension de la séance à 11 h 24)
Le Président (M. Simard) : …du Québec,
merci pour la qualité de votre contribution à nos travaux.
Ceci étant dit, compte tenu de l'heure,
nous allons suspendre jusqu'après les affaires courantes. Alors, à bientôt.
(Suspension de la séance à 11 h 24)
15 h 30 (version non révisée)
s
(Reprise à 15 h 31)
Le Président (M. Simard) :
Bien. Alors, chers amis, rebienvenue à la Commission des finances publiques.
Comme vous le savez, nous sommes réunis de manière virtuelle afin de poursuivre
les consultations particulières et auditions publiques sur le projet de loi
n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des
ressources informationnelles des organismes publics et des entreprises du
gouvernement et d'autres dispositions législatives.
Alors, cet après-midi, nous entendrons la
Commission de l'éthique en science et en technologie, le Pr Sébastien
Gambs, le Pr Benoît Dupont ainsi que le Fonds de recherche du Québec. Et
nous commençons par la Commission de l'éthique en science et en technologie.
M. Bergeron, soyez le bienvenus parmi nous.
M. Bergeron (Michel) :
Merci, M. le Président.
Le Président (M. Simard) :
Pour les fins de nos travaux, auriez-vous l'amabilité de vous présenter ainsi
que de signifier, bien sûr, la présence des personnes qui vous accompagnent.
M. Bergeron (Michel) :
Certainement. Merci beaucoup. Alors, mon nom est Michel Bergeron. Je suis
consultant en éthique et en conduite responsable en recherche et aussi
président du comité de travail sur l'accès aux données de la Commission de
l'éthique en science et technologie. Alors, cet après-midi, je suis accompagné
par M. Dominic Cliche, qui est conseiller en éthique aussi à la
commission.
Le Président (M. Simard) :
Très bien. Alors, vous disposez d'une période de 10 minutes.
M. Bergeron (Michel) :
Merci. Donc, pour faire court, au lieu de parler de la Commission de l'éthique
en science et en technologie, on va... nous utiliserons l'acronyme CEST, ce qui
sera plus facile pour nous au niveau de la présentation. Donc, juste pour vous
situer un petit peu, à CEST est un organisme du gouvernement du Québec qui est
placé sous la responsabilité du ministre de l'Économie et de l'Innovation.
Alors, la commission fête cette année son 20e anniversaire d'existence.
Elle est composée de 13 membres, dont un président, tous nommés par le
gouvernement. La mission de la CEST est de conseiller le gouvernement sur toute
question relative aux enjeux éthiques liée à la science et à la technologie
ainsi que de susciter une réflexion sur des enjeux éthiques qui devraient être
intégrés dans les démarches entourant la transformation numérique de
l'administration...
M. Bergeron (Michel) : ...tous
nommés par le gouvernement.
La mission de la CEST est de conseiller le
gouvernement sur toute question relative aux enjeux éthiques liés à la science
et à la technologie, ainsi que de susciter une réflexion sur des enjeux
éthiques qui devraient être intégrés dans les démarches entourant la
transformation numérique de l'administration publique de manière à réduire les
risques de nature éthique et à maximiser les bénéfices attendus par
l'utilisation des données au sein de l'administration publique ainsi qu'à
proposer des outils pertinents.
Dominic reviendra tout à l'heure sur les questions
que se pose la CEST, entre autres en ce qui a trait aux divisions des efforts
relatifs à la révision législative et à plusieurs projets de loi distincts.
Tantôt, alors, il reviendra sur ces éléments-là.
Essentiellement, le cadre d'analyse
éthique de la CEST est centré sur l'exigence de confiance de la population
envers l'État. Donc, les principaux enjeux éthiques que nous avons considérés
sont : le respect de la vie privée, tel qu'elle s'exerce par le consentement
manifeste, libre, éclairé, donné à des fins spécifiques et en continu; le
principe démocratique et l'enjeu de la confiance, tel qu'elle s'exprime par la
transparence, en particulier lors d'initiatives d'information et de communications
axées sur l'explicabilité favorisant la compréhension des citoyens; sur le bien
commun; la responsabilité; et sur les impacts de changements de culture que de
telles modifications impliquent, ce qui générera assurément son lot de tensions
avec les repères normatifs et les pratiques actuelles.
En ce qui concerne la CEST, le projet de
loi soulève quelques questions ou quelques risques d'ordre éthique. Premièrement,
le projet de loi est en continuité directe avec la Loi favorisant la transformation
numérique de l'administration publique. Cette dernière nous est toujours
apparue comme une solution temporaire pour permettre la mise en œuvre de
projets en ressources informationnelles en l'attente de révisions à apporter
aux lois de protection des renseignements personnels. À notre avis, l'adoption
du projet de loi n° 95, ou du projet de loi n° 64, modernisant des dispositions législatives en matière
de protection des renseignements personnels, devrait entrainer l'abrogation de
la Loi favorisant la transformation numérique de l'administration publique.
Le projet de loi est très ambitieux et
annonce plusieurs travaux importants à venir. Par exemple, le régime de
patrimoine numérique gouvernemental introduit un nouveau concept et annonce un
changement de culture, dont la portée devra être analysée en lien avec ce que
l'on considère comme le bien commun.
Le projet de loi, conséquemment, énonce un
régime particulier de gestion de l'ensemble des données sur support numérique
détenues par les ministères, organismes publics et entreprises du gouvernement.
Ces données peuvent être utilisées de manière pratique, à toutes fins jugées
pertinentes par le gouvernement, qu'il y ait utilisation unique ou utilisation
secondaire de ces données. Ce concept s'écarte de l'idée que les citoyens
confient des données à l'administration publique, cette dernière en étant
fiduciaire, plutôt que propriétaire.
Nous concevons toutefois que l'État ait un
intérêt légitime dans la mobilité...
M. Bergeron (Michel) : …pour
le gouvernement, qu'il y ait utilisation unique ou utilisation secondaire de
ces données. Ce concept s'écarte de l'idée que les citoyens confient des
données à l'administration publique, cette dernière en étant fiduciaire, plutôt
que propriétaire.
Nous concevons, toutefois, que l'État ait
un intérêt légitime dans la mobilité et l'utilisation de plusieurs données,
incluant des données à caractère sensible, en passant outre le consentement,
mais cela doit se faire dans un contexte où l'encadrement est suffisant et où
les personnes concernées sont bien informées des pratiques en vigueur. Cette
relation fiduciaire place la confiance au centre de la relation entre l'administration
publique et les citoyens. Dans un contexte où la confiance du public est à la
fois essentielle et précaire, les mécanismes de responsabilisation et de
transparence doivent être, au plus tôt, renforcés. La Loi favorisant la
transformation du numérique de l'administration publique énonce d'ailleurs à
son premier article que, et je cite, «Les pouvoirs conférés par la
présente loi doivent être exercés de manière à respecter le droit à la vie
privée et le principe de transparence ainsi qu'à promouvoir la confiance du
public», fin de la citation. De tels principes interprétatifs pourraient d'ailleurs
être ajoutés au projet de loi.
Nous jugeons, par ailleurs, que le projet
de loi ne renforce pas suffisamment les mécanismes de reddition de compte et de
transparence. À titre d'exemple, une disposition devrait prévoir une
divulgation proactive des plans de transformation numérique et de tout autre
plan, stratégie, politique, pertinents dans une perspective d'accessibilité et
d'appropriation de l'information par les citoyens. Et il en va de même pour les
utilisations précises prévues des données, entre autres, qui seront déterminées
par décret et devraient être présentées de manière accessible et compréhensible
aux citoyens, par exemple sur une plateforme de divulgations, proactive en
ligne.
Nous notons les responsabilités
concentrées chez un petit nombre d'acteurs et nous recommandons que l'unité
administrative spécialisée en sécurité de l'information soit complétée par la
mise en place de ressources pour l'analyse des enjeux éthiques selon une
perspective globale. Plus précisément, nous recommandons que des ressources
éthiques soient identifiées pour compléter ce qui est prévu en sécurité de
l'information, et que certaines responsabilités, telles que celles d'établir un
modèle de classification de sécurité des données numériques gouvernementales en
fonction de leur nature, de leurs caractéristiques et de leur utilisation et
des règles qui les régissent, que ce soit intégré au niveau des dimensions
utiles.
Je céderais maintenant la parole à Dominic
pour poursuivre.
M. Cliche (Dominic) : Bonjour
à tous. Merci beaucoup. Donc, en comparaison avec, donc, la Loi favorisant la
transformation numérique de l'administration publique, là, qu'on voit comme la
précurseure du projet de loi n° 95, donc il est apprécié, de notre côté,
là, que soit proposée une définition des fins administratives et de services
publics, donc une certaine clarification des finalités qui peuvent être
poursuivies.
Cependant, la définition est excessivement
inclusive et ouvre à des utilisations potentielles très diverses. En soi, ce
n'est pas nécessairement un problème, mais ça implique quand même un
renforcement a fortiori, là, des mesures de transparence et de responsabilité.
Mais, en termes…
M. Cliche (Dominic) : …des
finalités qui peuvent être poursuivies. Cependant, la définition est excessivement
inclusive et ouvre à des utilisations potentielles très diverses. En soi, ce
n'est pas nécessairement un problème, mais ça implique quand même un
renforcement a fortiori, là, des mesures de transparence et de responsabilité.
Mais, en termes d'utilisations diverses, par exemple, le projet de loi semble
s'appliquer, donc, autant à des projets qui permettraient à un citoyen de ne
fournir qu'une seule fois certaines informations identificatoires simultanément
à plusieurs organismes, donc qui est un exemple qu'on entend souvent, mais on
sent, en tout cas, dans tout ce qui est ouvert, qu'il y a aussi la possibilité
de se rendre à des projets qui impliquent ultimement, là, des systèmes
intelligents et qui concernent l'entraînement d'algorithmes apprenant, par
exemple, à partir des données de l'administration publique. Évidemment, dans
ces cas-là, des enjeux spécifiques seraient soulevés et devraient être abordés.
• (15 h 40) •
Il est aussi apprécié que certaines
balises soient énoncées, dont l'interdiction de la vente ou de toute aliénation
des données. Dans le contexte, cependant, des balises plus substantielles et
robustes seraient nécessaires. Par exemple, le projet de loi pourrait recentrer
la définition des fins administratives et de services publics en énonçant, pour
la mobilité et la valorisation des données, certains objectifs jugés légitimes
qui seraient assez spécifiques et qui veulent être poursuivis par le gouvernement.
Ça peut être difficile de spécifier, très, très, justement, spécifiquement, les
objectifs. Donc, le projet de loi pourrait aussi, par la négative, proscrire
certaines fins ou utilisations des données qui pourraient être préjudiciables.
Mais encore, le projet de loi pourrait
énoncer certaines fins ou utilisations qui, sans les interdire, hein, seraient
considérées plus sensibles et nécessiteraient alors de prévoir des mesures
spécifiques pour réduire les risques de préjudice. On peut penser, par exemple,
que ça serait en raison de la répercussion sur les citoyens, donc, des fins, par
exemple, telles que la vérification de l'admissibilité ou l'allocation de ressources
dans certains services en éducation, santé et services sociaux, par exemple,
qui sont plus délicats.
Le projet de loi a pour effet de créer un
régime normatif distinct pour la mobilité et la valorisation des données gouvernementales.
Et pour ça, la CEST, donc, la CEST craint que le projet de loi permette en fait
aux organismes publics de se soustraire à des dispositions qui sont néanmoins
pertinentes qui seraient inclues, actuellement, donc, à la loi sur l'accès, ou
qui seront vraisemblablement inclues, là, lors de l'adoption du projet de loi n° 64. Donc, par exemple, donc, ce projet de loi qui est présentement
à l'étude par la Commission des institutions représente en fait une mise à jour
importante du cadre normatif au regard de l'avènement du numérique et de l'intelligence
artificielle. Donc, pensons notamment aux dispositions relatives à la prise de
décision fondée entièrement sur un traitement automatisé des données ou celles
relatives au profilage. Donc, il serait inquiétant, en fait, que plusieurs
projets gouvernementaux puissent se soustraire à ces mises à jour, donc, a
fortiori, dans le cadre d'un projet de ressources informationnelles qui
s'intègre justement dans cette révolution numérique là à laquelle répond
partiellement le projet de loi n° 64. Donc, un
arrimage beaucoup plus robuste serait à prévoir, là, sinon, une intégration de
certaines dispositions ou une prépondérance de certaines dispositions du projet
de loi n° 64 sur les projets qui seraient adoptés par
décret dans le cadre de la loi qui découlerait, donc, du projet de loi n° 95.
Pour conclure rapidement, si j'ai encore
juste une seconde, un exemple, peut-être, là, d'un élément où une autre question
demeure aussi, où des éléments seraient à préciser. Lorsqu'on parle de la réalisation
d'une évaluation des facteurs relatifs…
M. Cliche (Dominic) : ...par
décret dans le cadre de la loi qui découlerait donc du projet de loi n° 95.
Pour conclure rapidement, si j'ai encore
juste une seconde, un exemple peut-être, là, d'un élément où nos questions
demeurent aussi, où des éléments seraient à préciser, lorsqu'on parle de la
réalisation d'évaluation des facteurs relatifs à la vie privée, transmission à
la Commission d'accès à l'information, de cette évaluation-là lorsque des
données visées contiennent des renseignements personnels. Il y a plusieurs questions,
en fait, qui sont soulevées...
Le Président (M. Simard) : En
conclusion.
M. Cliche (Dominic) : Oui, je
conclus. Donc, il y a plusieurs questions qui demeurent, il y a plusieurs
flous, notamment la question à savoir qui détermine si les risques résiduels
sont acceptables. Comment? Est-ce qu'il y aura une grille qui permet
d'harmoniser ces pratiques-là dans l'ensemble de l'administration publique?
Donc, c'est le genre de question aussi qui suscite des inquiétudes du côté de
la commission. Merci.
Le Président (M. Simard) :
Merci beaucoup, M. Cliche. Alors, nous serions en mesure d'entreprendre la
période d'échange. Je cède la parole à M. le ministre, qui dispose de
16 min 30 s. M. le ministre, votre micro me semble fermé.
M.
Caire
: ...Ça
ne sera pas long, M. le Président. Alors, merci beaucoup à M. Bergeron.
Merci à M. Cliche. Merci de l'intervention.
Bien, d'entrée de jeu, différents éléments
que vous avez apportés que je trouve intéressants. Et, M. Bergeron, j'ai
envie de commencer par une question, parce que vous avez parlé de la
catégorisation des données du volet éthique. Qu'est-ce qui... dans le cadre que
le gouvernement utilise actuellement et qui a été rendu public sur la
catégorisation, qu'est-ce qui manque, là-dedans, selon vous, au niveau éthique?
M. Bergeron (Michel) : Bien,
au niveau éthique, quand on regarde la définition qui est dans le projet de loi
de donner un gouvernemental, cette définition est assez large. La
catégorisation en ce qui concerne les données peut toucher des éléments comme,
par exemple, la sensibilité des données, les données qui proviennent de
différentes sources, la différence entre, par exemple, donnée de base et donnée
traitée, etc. Donc, ces éléments-là ne sont pas inclus dans le projet de loi.
M.
Caire
: Non,
je comprends. Mais vous comprendrez qu'un projet de loi ne peut pas aller à ce
niveau-là de sensibilité. C'est pour ça que le gouvernement a adopté le cadre
dont je vous parle, là, qu'on a déposé à la Commission des institutions et qui
sert, justement, à faire cette catégorisation-là dans le projet actuel de
consolidation des CTI. C'était au niveau de ce cadre-là qu'on a rendu public
que je vous demandais si la commission avait eu l'occasion de se pencher là-dessus
et de faire ce commentaire-là au niveau du fait qu'il y avait peut-être des
enjeux éthiques, là, parce que vous comprendrez que la loi actuelle prévoit
respecter toutes les règles d'accès et les règles de protection, donc, puis ça
fait partie des éléments qu'on va respecter.
Puis, là-dessus, d'ailleurs, je reviendrai
sur un commentaire de M. Cliche. Mais donc je voulais voir si la
commission avait eu le temps d'analyser le cadre de catégorisation des données
qu'on a déposé en commission parlementaire et si c'est sur cette base-là que le
commentaire avait été fait.
M. Bergeron (Michel) : En ce
qui me concerne, le commentaire était fait sur la description, la définition
qu'il y a dans la loi...
M.
Caire
: …sur
un commentaire de M. Cliche, mais donc je voulais voir si la commission avait
eu le temps d'analyser le cadre de catégorisation des données qu'on a déposé en
commission parlementaire et si c'est sur cette base-là que le commentaire avait
été fait.
M. Bergeron (Michel) : En ce
qui me concerne, le commentaire a été fait sur la description… la définition qu'il
y a dans la loi. Je demanderais à M. Cliche s'il a des informations
additionnelles qu'il aimerait ajouter.
M. Cliche (Dominic) : Non, effectivement,
la position n'est pas développée à partir d'une analyse, là, du cadre en
question qu'on va consulter, cela dit, évidemment.
M.
Caire
: O.K.
M. Cliche, bien, je vais en profiter pendant que vous êtes là, vous
dites : Écoutez, ce serait… il y a un questionnement, au niveau de la commission,
sur une éventuelle utilisation des données qui pourrait être dérogatoire à la
loi, là, vous faites notamment référence au projet de loi n° 64. Or, il
est assez… bien, en tout cas, moi, je pensais que c'était suffisamment clair,
mais je veux vous entendre là-dessus, là, s'il y a des clarifications à
apporter, je vais être intéressé à vous entendre. 12.10 du chapitre II.4 de la
loi actuelle prévoit effectivement, puis c'est la discussion qu'on avait avec
Me Poitras cet avant-midi, que le projet de loi n° 95 est un projet de loi
technologique, donc qui va respecter l'ensemble des lois et lois de protection
particulière et directives de sécurité.
Son objectif n'est pas de définir sous
quelles conditions l'information doit être communiquée, puis ça, c'est 64 qui
va le faire et les régimes de protection particuliers, et 95 stipule nommément
qu'ils vont respecter ces cadres-là. Donc, 95 est plus dans l'organisation
technologique de la diffusion de l'information dans le respect du cadre légal.
Donc, là-dessus, est-ce que 12.10 répond à vos attentes?
M. Cliche (Dominic) : Je peux
prendre la balle au bond. Oui, effectivement, c'est une précision qui est
intéressante et importante. Effectivement, à ce moment-là, le fait qu'on
assure, par ce que je comprends, l'idée que dans la portion… en tenant compte
de leur nature, de leurs caractéristiques et des règles d'accès et de
protection… des registres, on s'assure, par cette disposition-là, d'une
coordination puis d'un arrimage avec les lois d'accès et de protection des
renseignements personnels. Effectivement, à ce moment-là, déjà, sur la question
de l'arrimage avec le projet de loi n° 64, ça correspond, là.
M.
Caire
: Bien,
en fait, c'est plus que 64…
M. Cliche (Dominic) : Bien,
et autres, là, mais sur notre commentaire à nous.
M.
Caire
:
…c'est 64, c'est les lois… les protections particulières en santé, il y en a au
Curateur public puis il y en a une à l'Agence du revenu, donc c'est toutes ces
lois-là auxquelles on va s'astreindre. C'est un petit peu pour ça, là, que
j'avais cette discussion-là avec Me Poitras. Puis je trouvais ça très
intéressant, votre commentaire, parce que, dans le fond, 95 ne change pas qui
peut avoir accès à quoi, 95 change comment j'accède à la donnée, et c'est un
peu l'objectif de dire que, quand je collecte une information, la première
chose que je dois faire, c'est vérifier, est-ce que je l'ai déjà dans mon actif
gouvernemental et d'où la notion…
M.
Caire
: ...qui
peut avoir accès à quoi. 95 change comment j'accède à la donnée. Et c'est un
peu l'objectif, de dire que, quand je collecte une information, la première
chose que je dois faire, c'est vérifier est-ce que je l'ai déjà dans mon...
dans mon actif gouvernemental. Et d'où la notion que la donnée est un actif gouvernemental,
ce qui empêche l'organisme de poser une question pour lesquelles il a déjà la
réponse. Et donc, l'idée générale, je dirais, là, c'est de faire en sorte que
le citoyen cesse d'être un employé de l'État, mais bien quelqu'un qui reçoit un
service de l'État. Ça fait que c'était cette dynamique-là qu'on voulait
changer. Est-ce que, selon la vision que vous avez de ça, on atteint cet objectif-là?
M. Cliche (Dominic) :
Bien, c'est sûr que ça... Ça, ça clarifie pour... Effectivement, je pense que l'objectif
de... On... Ça, c'est... Est acquis. Ça, c'est... Ce n'est pas quelque chose
que conteste d'aucune manière, là, la commission. Je pense qu'à ce moment-là, effectivement,
sur l'application des régimes de protection, c'est une réponse qui est
satisfaisante. Ensuite sur... On peut rappeler à ce moment-là d'autres commentaires
qu'on a pu faire à l'occasion, justement, de l'étude du projet de loi n° 64.
Et peut-être que ce n'était pas le moment à ce moment-là de ramener ces
considérations-là, ici.
M.
Caire
: Oui,
oui.
M. Cliche (Dominic) :
Mais, justement, en lien sur l'encadrement des usages aussi, sans être... aller
au-delà du régime très... qui distingue très, très fortement renseignements
personnels et autres renseignements, notamment pour étoffer un peu davantage
les catégorisations, pour pouvoir prendre en compte différents usages,
l'utilisation de différents outils, et 64 fait un pas là-dedans, mais encore
une fois, la commission avait des commentaires, là, supplémentaires, là, sur
peut-être le besoin d'élargir, sans élargir le niveau de protection aussi
rigide, évidemment, de l'ensemble des renseignements personnels à l'ensemble
des... des données. Mais comme le soulignait M. Bergeron, par exemple, la
notion des renseignements traités, des renseignements inférés, par exemple,
était un enjeu que nous avions soulevé, là, lors de l'étude... lors de notre
passage lors de l'étude du projet de loi n° 64. Et on pourrait
faire, finalement, le même... les mêmes remarques ici, de s'assurer que,
justement, l'encadrement réponde aussi à ce besoin-là de regarder les finalités
peut-être un peu plus en détail et d'intégrer dans la mesure où on s'entend
qu'il y a énormément de travail qui devra se faire de manière extralégislative,
là, dans tout le projet de transformation numérique, que cela soit fait
justement en incluant les bons acteurs, notamment en termes d'éthique et
d'intégrité, au Trésor, avec lesquels on peut collaborer, et en s'assurant d'un
niveau élevé, là, de transparence pour ces projets-là.
• (15 h 50) •
M.
Caire
: Bien,
justement...
M. Cliche (Dominic) : Je
pense que la notion de la transparence demeure importante et peut-être encore
une lacune à ce moment-là qui demeure du projet de loi.
M.
Caire
: C'est
un élément que je voulais aborder avec vous, là, parce que M. Bergeron
parlait de la transparence. Comment... Parce qu'on parle de sécurité des
l'information. Et en sécurité de l'information, comme dans la vie, toute vérité
n'est pas bonne à dévoiler, vous comprendrez pourquoi. Donc, comment...
M.
Caire
: …c'est
un élément que je voulais aborder avec vous, là, parce que M. Bergeron parlait
de la transparence. Comment… Parce qu'on parle de sécurité de l'information,
et, en sécurité de l'information comme dans la vie, toute vérité n'est pas
bonne à dévoiler, vous comprendrez pourquoi. Donc, comment, à travers le p.l. n° 95… Puis là, j'imagine que votre commentaire visait plus
la gestion de la donnée que les pratiques en matière de cybersécurité, donc je
prends pour acquis que cette transparence-là ne s'appliquait pas aux politiques
et aux pratiques en matière de cybersécurité, ce qui serait suicidaire, je
pense que tout le monde est d'accord là-dessus. Donc, on allait plus au niveau
de la gestion de la donnée, et là je vous amène à l'évaluation des facteurs
relatifs à la vie privée, parce qu'au fond on reprend le concept du p.l. n° 14, auquel vous faisiez référence, concept qui a été
intégré au p.l. n° 64, et donc, en toute cohérence,
95 devait reprendre ce concept-là. Donc, qu'est-ce qui, par rapport à 95, vous
semble différent de 64 ou de 14, qui intègrent déjà ces deux… ces deux projets
de loi là intègrent déjà cette obligation-là d'avoir une évaluation des
facteurs relatifs à la vie privée?
M. Cliche (Dominic) : Bien,
en fait, deux choses. Dans les différentes… Bien, comme je l'ai déjà mentionné,
là, justement, peut-être le besoin d'élargir la réflexion sur différentes
catégories de protection au-delà de la distinction entre renseignements
personnels et autres renseignements, puis ça s'applique aussi au projet de loi
actuel comme celui… 64, mais aussi… Donc, par rapport à plus spécifiquement
l'évaluation de la protection des… bien, l'évaluation des facteurs relatifs à
la vie privée, pardon, si on se rappelle, les éléments qu'on soulève ne sont
pas dans le fait de faire cette évaluation-là, au contraire, c'est une très
bonne chose, c'est une bonne mesure qui est proposée et qui est cohérente,
effectivement, avec l'encadrement par ailleurs et qui est proposé par ailleurs.
Cela dit, c'est assez… Ce qui est flou, c'est un peu… En fait, une fois qu'on a
cette évaluation-là, qu'est-ce qu'on en fait exactement? Et c'est ça. Ça, c'est
une des questions à… Là-dessus, moi, l'idée n'est pas de dire de notre côté que
c'est nécessairement problématique, mais je pense qu'il y a des éléments qui
sont à préciser justement sur la manière dont ça va être pris en compte, sur
le… Justement, on parle de risque résiduel, il y a toujours un moment où on doit
prendre une décision : Est-ce qu'on accepte ou non le risque résiduel dans
l'aspect d'une évaluation des facteurs relatifs à la vie privée? Et ça, bien,
c'est une question qui est extrêmement importante, c'est avoir peut-être une
idée un peu plus claire, que ça soit directement dans le projet de loi, mais
sinon par des…
M.
Caire
: Par
décret?
M. Cliche
(Dominic) : …par décret ou par des politiques, ou… — la
mesure exacte est loin d'être dans mon champ d'expertise, là, quelle est la
meilleure mesure à adopter là-dessus — mais d'être en mesure quand
même de s'assurer que… Bien, par exemple, le rôle de la Commission d'accès à
l'information là-dedans de recevoir l'évaluation, on peut se demander :
Est-ce qu'elle peut formuler un avis? Est-ce que cet avis-là peut être
contraignant? Est-ce que c'est le bon… nécessairement le bon organisme pour
prendre connaissance de l'ensemble de cette évaluation-là? Est-ce que cette
évaluation-là devrait s'appliquer aussi pas uniquement aux projets avec des
renseignements personnels, mais aussi à d'autres catégories de données qui
peuvent avoir…
M. Cliche (Dominic) :
…formuler un avis? Est-ce que cet avis-là peut être contraignant? Est-ce que
c'est le bon… nécessairement le bon organisme pour prendre connaissance de
l'ensemble de cette évaluation-là? Est-ce que cette évaluation-là devrait
s'appliquer aussi… pas uniquement aux projets avec des renseignements
personnels, mais aussi à d'autres catégories de données qui peuvent avoir… qui
sont dans des jeux de données plus sensibles, sans être nécessairement
identificatoires? Donc, ça, là-dessus, on n'a malheureusement pas de
dispositions à vous offrir, là, clé en main. Là, évidemment, c'est vraiment un
état de réflexion sur… qu'on peut amener, mais c'est le genre de questionnements,
quand même, qui demeurent, là, de notre côté, par rapport à l'évaluation des
facteurs relatifs à la vie privée. Mais ce n'est pas une remise en question du
principe, au contraire.
M.
Caire
: Je
comprends. Bien, vous m'ouvrez la porte, M. Cliche, M. Bergeron, puis
on parle de catégorisation de données, et j'ai eu l'occasion d'avoir cette
discussion-là aussi avec Me Poitras, tout à l'heure. On fait une
catégorisation, en fait, on faisait une catégorisation de nos données, beaucoup
en fonction de celui qui était l'utilisateur, le générateur de la donnée, et
non pas en fonction de la donnée à proprement parler. On a vécu récemment une
situation qui a mis en lumière les faiblesses de cette façon de faire là, à
savoir que des renseignements qui étaient dits personnels, et donc qui auraient
été en Santé, par exemple, protégés par les régimes de protection en
application, ont été rendus publics par le Tribunal administratif du logement
et ont permis à des individus, en toute légalité, en toute légitimité… d'être
collectés massivement, parce qu'évidemment cette façon-là date de l'époque où
on était papier, et donc où il fallait se déplacer dans les différents
districts juridiques et/ou aller au greffe pour ramasser, colliger cette
information-là, ce que l'univers numérique ne nous contraint plus à faire. Et
donc on a assisté à cet événement-là.
Donc, diriez-vous que de catégoriser la
donnée de façon transversale, c'est-à-dire en fonction de sa valeur puis de sa
sensibilité et non pas en fonction de qui en est l'utilisateur ou le détenteur,
devrait, dans un contexte éthique… devrait être la valeur fondamentale sur
laquelle on s'appuie pour catégoriser les données?
M. Cliche (Dominic) : C'est
évidemment une grande question. Je pense que c'est bien, effectivement, que
d'aller au-delà de la source du renseignement, effectivement, mais je pense
qu'on… nécessairement, dans cette évaluation-là, pour certaines données,
certains renseignements, il y aura une importance éthique de la source, là, où,
par exemple, certaines données justement sensibles et personnelles, on peut
dire qu'elle a soit un intérêt supplémentaire quand même, là, sans dire… sans
parler de la propriété nécessairement des données... ce terrain glissant là.
Mais il y a un intérêt très fort par rapport à cette information, et au
contrôle par rapport à sa circulation et à son utilisation. Et donc la source
ne pourra pas être évacuée, évidemment, là, de la réflexion, mais élargir la
catégorisation est certainement un pas dans la bonne direction.
M.
Caire
: Mais
quand vous dites : La source ne peut pas être évacuée de la réflexion, j'ai
envie de vous demander, à brûle-pourpoint, pourquoi? Qu'est-ce que la source…
M. Cliche (Dominic) :
…circulation et à son utilisation. Et donc la source ne pourra pas être
évacuée, évidemment, là, de la réflexion, mais élargir la catégorisation est
certainement un pas dans la bonne direction.
M.
Caire
: Mais
quand vous dites : La source ne peut pas être évacuée de la réflexion.
J'ai envie de vous demander, à brûle-pourpoint, pourquoi. Qu'est-ce que la
source amène, du point de vue de l'éthique, toujours, et donc de la sensibilité
de la donnée? Qu'est-ce que la source amène à la donnée que la donnée ne porte
pas en elle-même?
M. Cliche (Dominic) : C'est à
la limite une question ontologique, mais d'avoir… Qu'est-ce que la donnée
exactement? En fait, l'idée c'est… parce qu'effectivement, à la limite, on pourrait
s'entendre que c'est dans la nature de la donnée elle-même si elle est
identificatoire et par… mais donc… mais c'est indirectement, à ce moment-là,
probablement que la source devient significative ou… et/ou, par exemple, c'est
souvent lorsque le… c'est le citoyen qui en est la source, dans certains cas,
il y aura un intérêt probablement plus fort que pourra faire valoir le citoyen.
C'est plus dans ce sens-là.
M.
Caire
: Parce
que, comme je l'ai mentionné, malheureusement, une même donnée, dépendamment de
qui l'utilise, pourrait être soit très protégée, soit totalement publique, là.
Donc, je serais intéressé à avoir vos réflexions là-dessus. Là, je comprends
qu'ici et maintenant, ce n'est peut-être pas pertinent, là, mais je serai très
intéressé à avoir vos réflexions là-dessus.
Je vais revenir à M. Bergeron, très
brièvement, parce que je vois le temps qui file, au commentaire que vous avez
fait où vous dites qu'il faudrait rajouter un volet éthique compte tenu, puis
je pense, M. Cliche, que vous faisiez référence à ça, compte tenu, notamment,
là, qu'on s'en va de plus en plus vers, donc, un patrimoine gouvernemental,
donc, une donnée qui est gouvernementale, donc, une donnée qui va être
considérée dans sa globalité dans une perspective d'utilisation d'intégration
de l'intelligence artificielle. Je serais intéressé peut-être à avoir, à
brûle-pourpoint, vos commentaires des enjeux éthiques qui devraient être
considérés dans le fait qu'on dit maintenant que la donnée est un actif
gouvernemental. Donc, que c'est notion-là de donnée globale qui entre en ligne
de compte avec le p.l. 95. C'est quoi les enjeux éthiques que vous voyez à
travers cette notion-là?
M. Bergeron (Michel) : Je
pense qu'un des éléments qui est lié aux enjeux éthiques dans cette perspective,
c'est vraiment tout le lien qui peut être fait, entre autres, avec ce qui
découle des obligations de la charte sur les droits et libertés, et qui fait en
sorte que, par exemple, lorsqu'on utilise certaines données, on doit revenir à
ce qui est favorisé, ce qui est exigé.
Le Président (M. Simard) :
Très bien. Merci. Alors, ce temps… ce bloc de parole est maintenant écoulé. Et
je cède la parole…
M.
Caire
: Merci
beaucoup, messieurs. Merci infiniment.
Le Président (M. Simard) : Je
cède la parole au député de La Pinière qui dispose de 12 m 25 s.
Votre micro, cher collègue. Voilà.
• (16 heures) •
M. Barrette : Bon, c'est
parti. Bonjour, M. Bergeron…
16 h (version non révisée)
Le Président (M. Simard) :
…25 s. Votre micro, cher collègue. Voilà.
M. Barrette : Bon, voilà,
c'est parti. Bonjour, M. Bergeron, M. Cliche. C'est un plaisir de
vous recevoir aujourd'hui. Alors, bien, je vais vous poser une question, bien,
surprenante, peut-être, là. Avez-vous eu la chance de nous écouter ce matin?
M. Bergeron (Michel) :
Malheureusement, non, pour moi.
M. Cliche (Dominic) : J'ai eu
l'occasion d'entendre les remarques introductives simplement.
M. Barrette : O.K. Donc, vous
n'avez pas eu la chance d'entendre la Commission d'accès à l'information.
M. Cliche (Dominic) : Nous
avons eu la chance de consulter leur mémoire cependant.
M. Barrette : O.K. Alors, je
vais aller là-dessus, là. Parce que c'est vraiment… je vais vous avouer qu'il y
a quelque chose d'intellectuellement surprenant, dans l'exercice qu'on fait,
non pas le projet de loi comme tel, là, mais dans les positions qui sont
débattues.
Alors, vous, vous êtes des experts en
éthique dans le merveilleux monde de la technologie. La Commission d'accès à
l'information, on ne peut pas dire qu'il n'y a pas un volet Éthique là-dedans,
ça serait exagéré de dire quelque chose comme ça. On a le projet de loi
n° 95 qui, lui, fait ce qu'il souhaite faire. Et là, on a vraiment,
vraiment une collision des concepts. Vous vous situez où par rapport au mémoire
de la Commission d'accès à l'information?
Ce n'est pas une question piège,
honnêtement, là. C'est juste qu'à un moment donné, même pour nous autres, c'est
mélangeant, là, on a vraiment… Moi, j'ai mon opinion, le ministre a son opinion
puis je pense que mes collègues des deux autres partis ont leur opinion. On
tourne tous sur… on est tous sur la même patinoire, la patinoire de l'éthique
et de protection des renseignements personnels puis on n'a pas, personne, la
même opinion, ça fait que… En général, on arrive à… il y a une tendance, là,
c'est comme un peu vectoriel, il y a une résultante puis on s'en va tous vers
ça, là, on ne s'en va pas vers ça. Alors, juste me donner votre opinion, ça
m'intéresse, comme tel, là. Ce n'est pas un jugement de valeur. Je vous demande
de vous positionner par rapport à ça.
M. Bergeron (Michel) : Bien,
en ce qui me concerne…
M. Barrette : …je vais vous
poser des questions plus précises.
M. Bergeron (Michel) : En ce
qui me concerne, j'ai trouvé le mémoire de la commission très intéressant. Je
pense qu'il soulève des points qui sont pertinents en ce qui concerne
l'utilisation des données et des éléments qu'on discute déjà dans le groupe de
travail sur les données.
Le Président (M. Simard) :
M. Cliche.
M. Cliche (Dominic) : Oui. Je
peux compléter. Bien, en fait, effectivement je pense que sans… il y a
plusieurs positions, là, qui sont prises par la Commission d'accès sur
lesquelles la commission d'éthique n'a pas à s'avancer nécessairement sur…
Comme, par exemple, je mentionnais que le… quel véhicule législatif est le bon,
et là, déjà la discussion avec M. le ministre a permis de clarifier
certains éléments. Je pense qu'on avait une compréhension, là, la Commission
d'accès à l'information et nous, similaire, là, justement, sur l'impact
qu'avait ou que pouvait avoir le projet de loi n° 95 ou entrer peut-être
en conflit avec d'autres…
M. Cliche (Dominic) : ...et
là, déjà, la discussion avec M. le ministre a permis de clarifier certains
éléments. Je pense qu'on avait une compréhension, là, la Commission d'accès à
l'information et nous, similaire, là, justement, sur l'impact qu'avait ou que
pouvait avoir le projet de loi n° 95 ou entrer peut-être
en conflit avec d'autres initiatives en lien avec la protection des renseignements
personnels. Là, on comprend que cette position-là doit être beaucoup plus
nuancée. Donc, à ce moment-là, nécessairement, on aura tendance à nuancer notre
position par rapport aussi à ce que défendait la CAI, là, dans son mémoire.
Chose certaine, la commission ne s'oppose
aucunement, là, à la question... au principe, hein, à la base du projet de loi n° 95, qui est de mieux valoriser les données publiques,
donc détenues par les organismes publics, à des fins qui sont d'intérêt public.
Je pense que, de manière générale, les citoyens peuvent s'entendre qu'il y a effectivement
une amélioration de la communication entre les ministères et organismes, mais particulièrement
de l'échange de certaines données qui est une bonification claire, là, de leur
rapport avec l'administration publique, là, dans le cadre de la transformation
numérique. Mais, après ça, évidemment, je pense que là où on vient peut-être
s'accorder avec... la perspective plus lente, si on veut, ou que peut-être
certains pourront juger excessivement prudente, c'est que, lorsqu'on arrive
dans un régime ou lorsque que... on comprenait qui était vraiment un régime
très, très ouvert de partage des données, une contrepartie très importante en
matière de reddition de comptes et de transparence était nécessaire, des
garanties peut-être plus précises aussi à être données. Là, évidemment, avec la
discussion qu'on a eue, il y a des éléments à nuancer là-dedans, mais, quand
même, je pense que ces contreparties-là doivent... demeurent très importantes.
Puis il y a tout un enjeu de comment le gouvernement transmet aussi...
communique la question de la transformation numérique et intègre le citoyen
dans la réflexion et dans la... dans l'appropriation et la compréhension de ce
que ça signifie pour une administration publique, là, de faire cette
transformation numérique là et qu'on soit en mesure de voir aussi des enjeux à
moyen terme, là, en lien avec la numérisation plus grande des services publics
et l'utilisation de différents outils numériques.
Donc, je pense qu'effectivement il y a
moyen d'avoir... je pense qu'on doit être prudents. Après ça, c'est la position
qu'on... ce qu'on partage avec la Commission d'accès à l'information là-dessus.
M. Barrette : Or, la
Commission d'accès à l'information, de manière que c'est exprimé ce matin, elle
est... comment je dirais ça, ce n'est pas négatif ce que je veux dire, mais
elle est plus... son curseur dans la prudence est très, très, très loin à
droite, on va dire, ou à gauche, c'est selon, peu importe, et il reproche au
projet de loi d'avoir un curseur qui est à l'autre bout. C'est quoi votre
position là-dessus?
M. Cliche (Dominic) : Dans la
mesure où notre compréhension était celle effectivement d'un régime pour
l'ensemble des données gouvernementales considérées comme étant d'intérêt
gouvernemental sans la nuance, justement, de l'application de l'ensemble des
lois déjà et des régimes de protection, dans cette compréhension-là, notre
accord devait aller avec la Commission d'accès...
M. Cliche (Dominic) : …dans la
mesure où notre compréhension était celle effectivement d'un régime pour
l'ensemble des données gouvernementales considérées comme étant d'intérêt gouvernemental,
sans la nuance justement de l'application de l'ensemble des lois, déjà, et des
régimes de protection, dans cette compréhension-là, notre accord devait aller
avec la Commission d'accès à l'information, là. Dans la mesure où on a quand
même des garanties qui sont données, là, on a une précision qui est apportée,
le curseur peut se ramener, peut se centrer davantage, là, disons ça comme ça.
M. Barrette : Est-ce que vous
considérez que les renseignements personnels à l'intérieur de la bulle gouvernementale
devraient circuler librement dans cette bulle-là?
M. Bergeron (Michel) : Je
pense qu'à ce niveau-là c'est vraiment selon l'encadrement qui va exister, qui
va permettre de faire la réflexion, la circulation, elle est nécessaire à
certains développements, mais elle doit être encadrée de la façon qui est la
plus prudente possible.
M. Barrette : Alors, est-ce
que vous avez des suggestions particulières pour l'encadrement en question? Honnêtement,
on est restés sur notre faim, ce matin, là, parce que la Commission d'accès à
l'information émet des opinions et des principes et nous dit que c'est
faisable, mais ne nous dit pas comment le faire et ne nous fait pas de proposition,
ne serait-ce que théorique sur la façon de le faire.
M. Bergeron (Michel) : Bien,
je pense qu'à ce niveau-là on est… au niveau de la réflexion, en ce qui
concerne les données, renseignements personnels, on n'est pas rendus à ça. On a
commencé à réfléchir sur les éléments de base d'ordre éthique, sur certaines législatives,
puis, entre autres, là, l'ensemble des projets de loi sont intéressants à ce
niveau-là, mais c'est un… l'éthique étant ce qu'elle est, c'est un processus de
réflexion qui nécessite d'inclure les éléments qui sont en discussion.
M. Barrette : Mais là, pour
que je comprenne bien, là, vous, avez-vous été consultés pour… législativement,
pour la rédaction du projet de loi? Non? Vous, le projet de loi, vous en avez
pris connaissance quand il est arrivé, là, comme nous tous, là.
M. Bergeron (Michel) : C'est
ça.
M. Cliche (Dominic) : Exactement.
M. Barrette : O.K. Alors,
avez-vous des suggestions spécifiques à nous faire, des voies, des pistes, non
pas de solution, là, je ne pense pas que c'est le mot que je devrais utiliser,
là, mais la commission d'accès reproche au projet de loi de permettre au gouvernement,
par décret, de faire ce qu'il veut. Je peux comprendre la critique de la Commission
d'accès à l'information, décret gouvernemental, c'est assez vaste, on l'a vu
dans les projets de loi précédents, et ça, je dis ça pour faire sourire le ministre,
c'est assez ouvert, là. La Commission d'accès à l'information, elle,
essentiellement, reproche à ce genre de chose là l'absence de balise, ne
serait-ce que pour déterminer ce qui est un intérêt gouvernemental.
M. Cliche (Dominic) : …bien,
je peux reprendre un peu ce que je mentionnais, donc, dans… l'idée d'avoir,
dans le contexte, des balises plus substantielles et robustes, donc que ce soit
en précisant davantage des objectifs qui sont poursuivis, en formulant
certaines fins à proscrire ou, sinon, en ayant peut-être un régime plus
différencié, là, des mesures spécifiques pour certaines utilisations plus
sensibles…
M. Cliche (Dominic) : ...ce
que je mentionnais, donc, dans... l'idée d'avoir, dans le contexte, des balises
plus substantielles et robustes, donc que ce soit en précisant davantage des
objectifs qui sont poursuivis, en formulant certaines fins à proscrire ou,
sinon, en ayant peut-être un régime plus différencié, là, des mesures
spécifiques pour certaines utilisations plus sensibles.
• (16 h 10) •
Évidemment, nous, nos travaux portent... En
ce moment, le mandat, en fait, de notre comité est un mandat du Scientifique en
chef sur l'accès aux données par le secteur privé. Donc, on est dans quelque
chose qui... nos travaux ne sont pas transférables, là, au projet de loi en question,
on est dans un champ différent. On a réfléchi, depuis quelques années, à la transformation
numérique. Et là le mandat qui nous occupe principalement en ce moment est évidemment
extérieur, là, au projet de loi n° 95, ce qui fait en sorte qu'effectivement
on se présente devant vous aujourd'hui avec le temps qu'on a eu, là, pour
prendre connaissance du projet de loi, formuler quelques commentaires plus généraux.
Et il va nous faire, évidemment, le plus
grand plaisir de poursuivre cette réflexion et de vous proposer, si on est en
mesure de le faire, là, des propositions plus concrètes en prévision de l'étude
détaillée. Cela dit, au moment où on est, on est quand même dans des principes,
effectivement, on peut comprendre la position aussi de la Commission d'accès à
l'information dans cette perspective-là, j'imagine.
M. Barrette : C'est assez
intéressant, ce que vous dites, M. Cliche, parce que je vais vous prendre
à pied levé, là, vraiment, là, je vais rebondir sur ce que vous venez de faire,
là, à pied levé. Ce que vous venez de dire, là, les travaux que vous faites
actuellement, là, que vous dites extérieurs au projet de loi n° 95, si le
projet de loi n° 95 était la loi n° 95
aujourd'hui, vous n'auriez pas le choix de prendre ça en considération, là.
M. Cliche (Dominic) :
Absolument.
M. Barrette : Le feriez-vous?
M. Cliche (Dominic) : Bien
sûr. C'est notre mandat.
M. Barrette : Dites-nous
combien ça altérerait vos travaux actuellement, là. La question, elle est
intéressante. Je comprends que vous êtes extérieurs, là, mais faites comme si.
Ça vient vous altérer comment?
M. Cliche (Dominic) : Bien
là, c'est-à-dire que, là, tout d'un coup, effectivement, il faut voir, dans ce
cadre-là, qu'est-ce qui permettrait d'ouvrir, j'imagine, notamment par des
contrats de sous-traitance, là, qui permettraient... qui feraient... qui
pourraient créer un certain accès au secteur privé à des données, là, qui
constituent, donc, l'accès gouvernemental.
Et plus probablement... et là il faudrait
analyser un peu plus. Mais, dans les fins qui sont mentionnées, donc recherche
et développement, on peut aussi imaginer des partenariats dans cette perspective-là,
donc c'est probablement dans ce genre de contexte là, là, qu'on aurait évalué,
dans le cadre de projet de loi qu'on a devant les yeux ou si c'était donc la
loi adoptée, quels en seraient les conséquences, les actes, là, sur l'accès
possible par le privé. Mais ce n'est pas quelque chose, évidemment, qui est
abordé directement dans le cadre du projet de loi, puis il faudrait regarder
davantage.
M. Barrette : Sauf que, dans
un débat d'étude détaillée, ça risque de venir sur le tapis, là. Le contraire
nous surprendrait beaucoup.
M. Cliche (Dominic) :
Assurément. On espère de pouvoir formuler un rapport sur ces questions-là
rapidement.
Le Président (M. Simard) :
Conclusion...
M. Barrette : ...sauf que, dans
un débat d'étude détaillée, ça risque de revenir sur le tapis, là. Le contraire
me surprendrait beaucoup.
M. Cliche (Dominic) :
Assurément.
M. Barrette : ...
M. Cliche (Dominic) : On
espère de pouvoir formuler un rapport sur ces questions-là rapidement.
Le Président (M. Simard) :
Conclusion.
M. Barrette : Bien, écoutez,
M. le Président, en 15 secondes, là, tout au plus, je vais terminer là.
Le Président (M. Simard) :
Très bien. Alors, merci à vous. MM. Cliche et Bergeron, pour la qualité de
votre présentation. Mais avant, je vois déjà mon collègue de Rosemont, que je
ne voudrais surtout pas oublier, et qui bénéficie, bien sûr, lui aussi, d'une
partie du temps qui était imparti au Parti québécois. Alors, cher collègue, à
vous la parole pour une période de 4 min 10 s.
M. Marissal : Merci, M. le
Président. Merci, MM. Bergeron et Cliche. Prenez-le pas mal, là, mais la
conversation que vous avez eue, puis qu'on a depuis ce matin, et ça inclut
celle que je viens d'entendre, en particulier, avec le ministre, c'est une
conversation de gens très au fait de la situation, de... pas convertis, je
cherche le terme, là, mais ça va me revenir. C'est une conversation de gens qui
connaissent intimement... mais je me mets à la place des gens qui nous
écoutent, peut-être, en plus, en format virtuel, ouf! je les salue, je les
salue... mais bon, on va y arriver... d'initiés. C'est le mot que je cherchais.
Nous avons des conversations d'initiés, merci. Ça va venir, ça va venir.
Là, je veux revenir sur ce que le député
de La Pinière vient d'aborder, et vous l'avez abordé, en fait, vous-mêmes
avant que la question vous soit posée. Vous avez eu un mandat du Scientifique
en chef pour évaluer les possibilités de partage ou de partenariat visant des
données personnelles de Québécois et de Québécoises avec le privé. Moi, je
viens de l'apprendre, je ne le savais pas.
Ce que je sais, c'est que c'est une
préoccupation, pour ne pas dire une marotte, de votre ministre, qui est le
ministre de l'Économie. J'ai eu avec lui, d'ailleurs, des conversations
houleuses sur le sujet, notamment, de partage de données de la RAMQ avec les
pharmaceutiques. Le ministre nous a appris, aux crédits, qu'il avait lui-même
signé des décharges et des documents autorisant le partage d'une partie de ces
données personnelles. Je ne savais pas que c'était possible de faire une telle
chose au Québec. Et ça le regarde parfaitement, je n'ai aucun jugement à porter
sur ça. J'en ai, par contre, sur l'utilisation des données personnelles, en particulier,
dans le domaine de la santé, avec les «big pharmas».
Alors, vous ne pouvez pas dire qu'il n'y a
pas de lien, là, parce que votre ministre, le ministre de l'Économie et de
l'Innovation, nous a dit, il y a deux ou trois semaines à peine, aux crédits,
que son projet — ce n'est pas nécessairement le sien, mais il le
chérit — de partage de données de la RAMQ avec les pharmaceutiques
évolue, un peu dans l'ombre, le reconnaissait-il, mais que le projet de loi n° 95 déposé par son collègue à la Transformation numérique
allait...
M. Marissal : ...trois
semaines à peine aux crédits, que son projet — puis ce n'est pas nécessairement
le sien, mais il le chérit — de partage de données de la RAMQ avec
les pharmaceutiques évolue, un peu dans l'ombre, le reconnaissait-il, mais que
le projet de loi n° 95 déposé par son collègue à la transformation
numérique allait défricher le terrain, déneiger l'entrée de cour puis on allait
pouvoir finir par passer.
Alors, je ne sais pas, là, de quoi on
parle ici, mais comment pouvez-vous dire qu'il n'y a pas de lien, que vous êtes
dans une réflexion éthique de très, très, très haut niveau? Et ça, je n'ai
aucun doute que c'est le cas, mais dans la vraie vie, là, il y a un lien. Pour
que le monde nous comprenne bien, là, c'est de ça dont on parle aussi, là.
C'est possible, le partage de données privées, de données personnelles au
privé. C'est ce que vous avez dit.
M. Cliche (Dominic) :
Oui. En fait, l'idée n'est pas qu'il n'y a pas de lien, mais il est évidemment
plus indirect. Nous, en fait, le mandat plus spécifique est sur les données de
santé ou, du moins, de l'utilisation des données dans un contexte de santé et
de sciences de la vie à des fins de recherche. Donc, évidemment, là, ça, c'est
la finalité, là, la fin administrative de services publics, de recherche et
développement, qui pourrait être concernée, là, comme je le mentionnais plus
tôt et qui, là, pourrait être une porte d'entrée, là, pour... pour, par exemple,
par... pour effectuer... pour entrer dans le mandat qui nous concerne actuellement,
mais donc pour effecteur de la recherche en partenariat avec le privé à partir
de données gouvernementales. Mais, encore là, c'est ça, l'ensemble, là, de
l'encadrement de cette possibilité-là, on y a pensé. C'est quelque chose, évidemment,
dont... qu'on doit souligner, que... qui... je pense qu'on souligne. D'ailleurs,
là, c'est assez... Dans les fins qui sont utilisées, dans les fins qui peuvent
être permises, interdites...
Le Président (M. Simard) :
Très bien.
M. Cliche (Dominic) :
...ou qui pourraient être un peu plus encadrées, bien, c'est à réfléchir.
Le Président (M. Simard) :
En conclusion.
M. Marissal : En
conclusion. Bien, je n'ai plus de temps. Je veux simplement noter que cette
chose existe, qu'elle est là. Peut-être est-ce le proverbial éléphant dans la
pièce. Mais c'est malheureux que je n'aie pas plus de temps, messieurs. Et je
vous remercie pour votre participation. Je souhaite pouvoir avoir d'autres
conversations de ce type peut-être avec vous.
Le Président (M. Simard) :
Très bien.
M. Marissal : Bon, bien,
peut-être juste répondre très rapidement. Quand devez-vous rendre vos rapports
quant aux mandats que vous avez....
M. Cliche (Dominic) :
C'est prévu pour l'automne prochain.
M. Marissal : Merci, M.
le Président.
Le Président (M. Simard) :
Bien. Merci à vous, cher collègue. Donc, MM. Cliche et Bergeron, à nouveau
merci pour la qualité de votre présentation. Puis on espère vous recevoir à
nouveau sous peu. Au revoir.
Une voix
: Merci à
tous.
Une voix
: Merci
beaucoup, messieurs. Bonne suite des travaux.
Le Président (M. Simard) :
Sur ce, chers collègues, on va suspendre quelques instants, le temps de faire
place à nos prochains invités.
(Suspension de la séance à 16 h 18)
(Reprise à 16 h 25)
Le Président (M. Simard) :
Alors, nous sommes de retour. Nous pouvons reprendre nos échanges. Et nous
sommes en compagnie du Pr Gambs de l'UQAM, cher ami, soyez le bienvenu parmi
nous.
M. Gambs (Sébastien) : Merci
beaucoup pour l'invitation.
Le Président (M. Simard) :
Pour les fins de nos travaux, auriez-vous l'amabilité, d'abord, de vous
présente?
M. Gambs (Sébastien) : Oui.
Donc, je suis professeur en informatique à l'UQAM et je suis titulaire de
titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie
privée et éthique des données massives. Donc, essentiellement, mon expertise
est protection de la vie privée et sécurité côté informatique.
Le Président (M. Simard) :
D'accord. Donc, vous disposez de 10 minutes pour faire votre présentation.
M. Gambs (Sébastien) :
D'accord. D'abord, bien, je vous remercie pour l'invitation. Donc, en
préambule, je pense que ça a déjà été dit par quelques intervenants, mais je
pense que c'est important de discuter de ce projet de loi en lien avec les
autres projets de loi, comme le projet de loi n° 104, la stratégie
numérique du gouvernement et, j'imagine, la future infrastructure d'identité
numérique. Donc, je pense que c'est important aussi que ce débat, au-delà de
cette commission, ça inclue le plus d'acteurs possible éventuellement dans
d'autres contextes.
Donc, j'ai lu le projet de loi avec
attention et je note qu'au niveau de la sécurité il y a des points très
positifs au niveau du fait d'avoir un responsable de sécurité dans chaque ministère.
Peut-être que je suggérerais, pour être capable d'avoir une reddition de
comptes sur l'implantation de ces améliorations de la sécurité, ce serait
d'avoir une transparence aussi sur les plans de sécurisation, au niveau de
chaque ministère, qui vont être mis en place, penser à des indicateurs aussi,
comment est-ce qu'on sait, au bout de cinq ans, si on a vraiment amélioré le
niveau de sécurité globale de chaque ministère et du gouvernement. Et aussi il
y a des notions comme l'obligation de divulguer des brèches de sécurité, qui
font partie des bonnes pratiques de sécurité, que je n'ai pas vues pour
l'instant dans le document…
M. Gambs (Sébastien) :
…ministère qui vont être mis en place. Pensez à des indicateurs aussi, comment est-ce
qu'on sait, au bout de cinq ans, si on a vraiment amélioré le niveau de
sécurité globale de chaque ministère et du gouvernement, et aussi à des notions
comme l'obligation de divulguer des brèches de sécurité, qui font partie des
bonnes pratiques de sécurité, que je n'ai pas vu, pour l'instant, dans le
document.
Cela dit, étant plutôt un chercheur du
côté vie privée, ça serait intéressant, je pense, d'inclure dans ce plan de
sécurisation, aussi, une analyse des enjeux de vie privée et des enjeux
éthiques. Et quand on parle de mobilité des données, j'ai vu quelques exemples,
ces dernières années, dans d'autres gouvernements, qui amènent des questions.
Donc, juste pour vous donner un exemple, en 2014, le gouvernement belge a
voulu, avec la circulation des données, collecter des données de consommation
d'eau, de gaz et d'électricité, dans le cadre de la détection des personnes qui
fraudaient, parce qu'en fait, votre allocation sociale dépend de si vous êtes
seul ou en couple dans votre logement.
Et donc ce que le gouvernement avait voulu
faire, à l'époque, c'était de prendre des données dans un contexte, l'utiliser
dans un autre contexte, ce qui avait soulevé des enjeux éthiques importants.
Donc, on forçait les gens à… En particulier en Belgique, une loi européenne
forçait les gens à installer des compteurs électriques intelligents. On leur
disait que c'était pour le cas de… la distribution et, d'un coup, on commence à
l'utiliser pour d'autres finalités. Donc, je ne sais pas s'il faudrait
réfléchir à un organisme gouvernemental, une forme de comité d'éthique qui réfléchirait
aussi qu'on commence à faire bouger des données hors de leur finalité, collecte
de départ, qui pourrait réfléchir et conseiller le gouvernement sur ces
aspects-là.
Je note aussi qu'on parle beaucoup de
mobilité et de valorisation dans le document, ce qui peut avoir des tensions
avec la vie privée. Donc, en particulier, on attend du gouvernement qu'il ait
les standards de vie privée les plus élevés, puisqu'il est au service du
citoyen et, en général, le citoyen n'a pas le choix de lui transmettre des
données dans le cadre des missions régaliennes. Donc, je pense que ce serait
important aussi de préciser ces aspects-là. Donc, une des choses que je me suis
demandé, c'est, toutes les discussions aussi avec la valorisation des données,
avec des compagnies privées, ne fait pas partie du projet de loi, et je pense
que ce serait aussi quelque chose à inclure dans la discussion globale dont je
parlais au départ.
Donc, est-ce que le gouvernement s'engage
à ne pas le faire? Est-ce qu'il a des plans pour le faire? Je pense que ce
serait important de lui mettre sur la table. On parle en particulier des
données de santé, aussi, les données de santé… à une compagnie privée, bien, ça
peut avoir un impact sur le prix de mon assurance médicaments, ça peut avoir un
impact sur mon score de crédit, si cette information est… sur mon
employabilité, si on a des outils de recrutement prédictifs. Donc, toute la
question de comment ce projet de loi s'inscrit par rapport à la stratégie de
valorisation avec les acteurs privés, je pense que c'est important à mettre
aussi sur la table.
• (16 h 30) •
Aussi, j'ai vu, ce matin, la discussion
sur : Est-ce qu'il faut avoir les données centralisées ou en silo? Il faut
faire attention à toute centralisation de données, donc oui, le fait de
centraliser des données, ça peut permettre de mettre plus de ressources sur un
endroit pour améliorer la sécurité. Mais il y aussi beaucoup de cas où, dès
qu'on a centralisé les données, on devient une cible de choix et on arrive à
des fuites de données. Donc, en Inde, par exemple, ils ont un projet qui
s'appelle Aadhaar où ils ont, dans un but d'identité numérique et de services
en transformation numérique, centralisé beaucoup de données. Il y a eu une
fuite de données de…
16 h 30 (version non révisée)
M. Gambs (Sébastien) : …de
mettre plus de ressources sur un endroit pour améliorer la sécurité, mais il y
a aussi beaucoup de cas où, dès qu'on a centralisé les données, on devient une
cible de choix et on arrive à des fuites de données. Donc, en Inde, par
exemple, ils ont un projet qui s'appelle Aadhaar, où ils ont, dans un but
d'identités numériques et de service de transformation numérique, centralisé
beaucoup de données, et il y a eu une fuite de données de 1,1 milliard de
personnes avec les noms, les adresses, photos, numéros de téléphone, adresses
e-mail. Donc, dès qu'on centralise, on devient aussi une cible de choix, un
seul point central de sécurité. Donc, la question… je pense que la question de
la sécurité, ce n'est pas aussi simple que centraliser ou en silo, il faudrait
vraiment réfléchir à est-ce que la centralisation, c'est la meilleure chose, ou
est-ce qu'il faudrait avoir plusieurs hubs.
Et aussi je pense que le risque de
centralisation en vie privée, si on centralise toutes les données de toutes les
données de toutes les sources gouvernementales et que, dans 10 ans, on a
un gouvernement autoritaire qui est en place, on lui aura donné toutes les clés
pour être capables de tracer quels sont ses opposants potentiels, ciblés les personnes
à risque. Donc, dès qu'on centralise on fait un pas de plus aussi dans le
risque de traçage des personnes.
Donc, voilà, je finirais mon intervention là-dessus.
Je pense que ce qui a été dit aussi, c'est qu'on a l'impression que certains
aspects pourraient être précisés par décret, j'entendais l'intervention de la Commission
d'accès à l'information ce matin, en particulier, donc d'avoir un débat un peu
plus large sur comment vont être précisées ces sources de données officielles,
par exemple. Ça, je pense que ça devrait faire partie aussi de la discussion.
Voilà pour mon intervention.
Le Président (M. Simard) :
Alors, merci à vous, M. le professeur. Cela va nous donner plus de temps
pour finalement procéder à nos échanges. Et si mon calcul est bon, la partie
gouvernementale disposerait donc à ce stade-ci de 17 min 30 s.
M. le ministre.
M.
Caire
: Merci
beaucoup, M. le Président. Bonjour, Pr Gambs. Merci beaucoup de votre intervention.
Nonobstant à ceci, plusieurs de vos commentaires m'ont fait tiquer, et je vais
être intéressé à en discuter avec vous parce que vous semblez favorable à ce
que le gouvernement divulgue ses brèches de sécurité. J'ai-tu bien compris ce
que vous avez dit?
M. Gambs (Sébastien) : Oui.
S'il y a une fuite de données à un service gouvernemental...
M.
Caire
: Puis
je veux juste être sûr que je comprends, de divulguer la fuite ou de divulguer
la brèche? Parce que ce n'est pas la même chose.
M. Gambs (Sébastien) : De
divulguer la fuite.
M.
Caire
: Ah!
mais ça, c'est prévu dans 64 déjà.
M. Gamache (Stéphane) : O.K.
Bien, tant mieux. Mais, souvent, quand on divulgue…
M.
Caire
: O.K.
Donc, mais ça, vous ne l'aviez pas vu. Ce que je comprends que c'est vraiment
la fuite de données, dont vous parliez, là, pas la brèche.
M. Gamache (Stéphane) : Bien,
en général, quand la fuite est publique, la brèche est aussi colmatée, donc on
peut divulguer la brèche.
M.
Caire
: Oui,
c'est ça. Ah! je peux vous dire que dans La Place 0-5, on cherche encore par où
ils sont passés.
M. Gambs (Sébastien) : O.K.
M.
Caire
: O.K.
Donc, ça, c'est une question que j'avais. Donc, on s'entend que projet de loi
n° 64 prévoit qu'une fuite de données doit être divulguée à la Commission
d'accès à l'information, aux gens qui sont inclus ou qui sont impactés par
cette fuite-là et, éventuellement, aux gens qui peuvent apporter des correctifs
majeurs et importants à l'incident de confidentialité. Ça, c'est tout dans 64.
M. Gambs (Sébastien) : Oui,
donc moi, je veux juste pour préciser…
M.
Caire
: Donc,
ça, ça répond à votre…
M.
Caire
: ...aux
gens qui sont inclus ou qui sont impactés par cette fuite-là et, éventuellement,
aux gens qui peuvent apporter des correctifs majeurs et importants à l'incident
de confidentialité. Ça, c'est tout dans 64.
M. Gambs (Sébastien) : Oui,
donc moi, juste pour vous préciser...
M.
Caire
: Donc,
ça, ça répond à votre objection?
M. Gambs (Sébastien) : Moi,
c'était... un complément, c'est de le divulguer publiquement, parce que...
M.
Caire
: Oui,
oui.
M. Gambs (Sébastien) : ...pas
juste à la commission d'accès, mais de rendre des comptes aux citoyens directs
de chaque brèche, de chaque fuite.
M.
Caire
: Bien,
écoutez, on a eu cette discussion-là à la Commission des institutions, mais
pour vous dire que le volet divulgation d'une fuite de données est couvert par
le projet de loi n° 64.
Autre chose que vous avez dit qui m'a
surpris, mettre sur la table les éventuelles interactions avec le privé. Or, le
projet de loi ne prévoit aucune interaction avec le privé. Donc, j'aimerais
comprendre de quoi vous parlez exactement parce qu'il est clair que le projet
de loi est orienté vers les services publics et l'administration publique et
n'inclut que les services publics par l'administration publique. Donc, en quoi
le privé vient jouer là-dedans? Je n'ai pas très bien compris l'intervention.
M. Gambs (Sébastien) : Ma question,
c'est : Pourquoi est-ce que ce projet-là ne précise par, dans le cadre des
données gouvernementales, tous les types de partenariats? Donc, j'imagine que
ça sera peut-être une loi subséquente, c'est ça?
M.
Caire
: Bien,
en fait, c'est parce que l'idée, c'est de dire que dans une prestation de
service public, comment la donnée peut circuler entre deux organismes publics,
donc, il n'a pas de... il n'y a pas nécessairement... l'entreprise privée
n'intervient pas là-dedans, là.
M. Gambs (Sébastien) : Oui, en
tout cas, là, je pense, ça aurait pu être une occasion d'inclure toute la...
M.
Caire
: Parce
que la LGGRI, il faut comprendre que cette loi-là, c'est une modification à la loi
sur la gestion et la gouvernance des ressources informationnelles, et donc les
organismes à qui la loi s'applique sont précisés dans la loi, et l'entreprise
privée n'est pas impactée par la LGGRI, là.
M. Gambs (Sébastien) : Oui,
mais comme... O.K., peut-être que c'est une erreur de ma part, mais quand on
parle de mobilité de valorisation des données gouvernementales, dans mon sens,
je ne sais pas si ce projet de loi ou une loi subséquente, j'imagine, va
statuer sur ce qui va être permis ou pas. Donc, au-delà de la circulation entre
les organismes, puisqu'on parle des données gouvernementales, il y a toute la question,
comme vous l'avez dit, de la gouvernance, et une partie de la gouvernance,
c'est la mobilité de la valorisation vers l'extérieur. Donc, j'imagine, si ce
n'est pas ce projet de loi qui va en discuter, il y en aura un autre ou un
autre contexte. Et donc mon seul commentaire, c'était : Ça aurait pu être
une occasion de l'inclure dans ce projet de loi ou alors de dire quelles vont
être les interactions avec une loi future éventuellement.
M.
Caire
: Bien,
en fait, les premiers articles de la loi précisent à qui la loi s'applique, là.
Et comme le disait d'ailleurs la Commission d'accès à l'information, cette
loi-là ne s'applique qu'aux organismes publics et aux entreprises de l'État.
Sur la question de la valorisation, vous
nous avez amenés là-dessus. (Interruption) Excusez-moi, hein? C'est
l'article 12.10, paragraphe 4°, qui parle de la valorisation, qui est
«la mise en valeur d'une donnée numérique gouvernementale au sein de l'administration
publique à une fin...
M.
Caire
:
...qu'aux organismes publics et aux entreprises de l'État. Sur la question de
la valorisation, vous nous avez amenés là-dessus. (Interruption) Excusez-moi,
hein? C'est l'article 12.10, paragraphe 4°, qui parle de la
valorisation, qui est «la mise en valeur d'une donnée numérique gouvernementale
au sein de l'Administration publique à une fin administrative ou de services
publics, excluant sa vente ou toute autre forme d'aliénation». Est-ce que ça,
ça répond plus adéquatement à l'interrogation que vous aviez sur ces
questions-là, sur la valorisation de la donnée?
M. Gambs (Sébastien) : Oui et
non, dans le sens qu'il y a quand même le débat... Du coup, si cette loi n'est
pas l'occasion, il y a quand même la question d'où, dans quelle loi ça va être
discuté. Donc, oui, je comprends que ce projet de loi ne statue pas sur cet
aspect de la valorisation qui fait partie des données gouvernementales. Mais ma
question reste : Où est-ce que ça va être discuté? Et, moi, travaillant en
sécurité, je vois aussi qu'il y a beaucoup de chantiers comme l'identité
numérique, donc je me pose des questions sur quelle va être l'architecture de
cette identité et la vision globale, où on s'en va avec les interactions entre
ces lois. Donc...
M.
Caire
: O.K.,
je comprends. Mais je vous rassure, Pr Gambs, la LGGRI ne s'applique
qu'aux organismes publics et aux entreprises du gouvernement. D'ailleurs, vous
l'avez, là, dans les différentes lois, donc les organismes impactés sont
clairement identifiés. Et je dis ça pour faire sourire à mon tour mon collègue
de La Pinière, parce que nous avons eu cette discussion-là à quelques reprises
en commission parlementaire.
Bon, Pr Gambs, vous êtes un
spécialiste de la cybersécurité. Si je vous dis qu'actuellement, dans la
perspective de prestation de services publics, chaque organisme public, dans
une perspective de prestation, collecte les informations dont ils ont besoin,
si bien qu'il y a probablement, au sein du gouvernement actuellement, entre 250
et 300 versions de vous-mêmes, parce qu'il y a cette incapacité-là de
partager la donnée entre les organismes. Donc, diriez-vous que cette
surmultiplication-là de la même information dans des centaines de bases de
données, en fait, 577 sites pour être très précis, est-ce que vous diriez,
est-ce que le spécialiste de la cybersécurité en vous dirait que cette
pratique-là, elle est conforme aux bonnes pratiques en cybersécurité?
M. Gambs (Sébastien) : Donc,
encore une fois, le débat, c'est : si on centralise, on limite le nombre
de copies, mais on va créer un seul point de faille. Donc, je pense que tout le
débat va être là-dessus. Et les bonnes pratiques de...
M.
Caire
: Quand
vous parlez de centralisation, pour que je comprenne bien, vous parlez de
mettre toutes les données dans le même serveur, là.
M. Gambs (Sébastien) : C'est
ça, ou dans la même infrastructure.
M.
Caire
: O.K.
Si je vous parle... puis je m'adresse au...
Le Président (M. Simard) :
S'il vous plaît! M. le ministre. M. le ministre, à l'ordre, s'il vous plaît,
là. Pour les fins de nos travaux, il faudrait éviter de parler un par-dessus
l'autre parce que ça devient un peu cacophonique, et d'où on est, on ne
comprend plus rien. Alors, allons-y étape par étape. M. le ministre.
M.
Caire
: O.K.
Mais je voulais comprendre la notion de centralisation. Parce que vous avez
amené une notion qui était intéressante, de hub de données, puis là-dessus, je
veux vous entendre, parce que c'est exactement la vision que nous mettons en
place avec les sources...
Le Président (M. Simard) : …un
par-dessus l'autre, puis que ça devient un peu cacophonique, et d'où on est, on
ne comprend plus rien. Alors, allons-y étape par étape. M. le ministre.
M.
Caire
: O.K.
Mais je voulais comprendre la notion de centralisation. Parce que vous avez
amené une notion qui est intéressante, de hub de données, puis là-dessus, je
veux vous entendre, parce que c'est exactement la vision que nous mettons en place
avec les sources officielles de données. Donc, diriez-vous que cette
pratique-là est une bonne pratique?
M. Gambs (Sébastien) : Oui. Encore
une fois, je serais intéressé aussi de savoir ça va être quoi, la liste des
sources officielles, mais si on a des sources, la notion de sources
officielles, je la trouve intéressante, au lieu d'avoir une seule centrale,
mais d'avoir… Je serais juste curieux de savoir qui va être… et combien il va y
en avoir et…
• (16 h 40) •
M.
Caire
: Bien,
ça fera l'objet d'une analyse lorsque le projet de loi, si le projet de loi est
adopté, d'ailleurs, je vais le mettre au conditionnel par respect pour l'Assemblée
nationale et la décision qu'elle aura à prendre, mais je pense qu'on a tous en
tête, là, des sources officielles de données qui sont relativement simples à
définir, mais il y en a d'autres pour lesquelles, effectivement, ça devra faire
l'objet d'une analyse. Et je vous pose la question : Sur quels critères
pourrait-on se baser pour déterminer… puis bon, on comprend tous que Santé, Éducation,
Direction de l'état civil, Finances sont des sources de données qui peuvent quand
même être assez faciles à déterminer a priori, mais il y a peut-être d'autres
sources de données pour lesquelles le constat est moins simple à faire, donc
sur quelles bases on pourrait travailler et définir? C'est… Est-ce qu'il y
existe des modèles dans le monde sur lesquels on pourrait se baser pour définir
ces sources de données là et les faire de façon cohérente mais sécuritaire?
M. Gambs (Sébastien) : Je
pense que, souvent, les bonnes sources de données sont des organisations qui
ont l'habitude de travailler avec ces données-là, mais pour lesquelles il
faudrait le support du gouvernement pour aider à améliorer leurs infrastructures
de sécurité. Donc, plutôt que de créer une nouvelle entité qui gèrent ces
données-là, je pense qu'il faudrait réfléchir à quels sont les acteurs sur le
terrain, les organismes, qui ont l'habitude de traiter ces données, mais qui
n'ont peut-être pas le niveau de maturité de sécurité, là, c'est revenu
beaucoup dans les interventions, et d'aider par ces organismes à monter ne
maturité, donc peut-être en leur donnant des ressources ou de la formation
subséquente.
M.
Caire
: Est-ce
qu'il y existe des modèles de ça dans le monde que vous avez eu l'occasion
d'observer?
M. Gambs (Sébastien) : Des
modèles de sources… La notion de sources officielles de données, c'est la
première fois que je la vois dans une législation, donc je n'aurais pas de… il
faudrait que je réfléchisse… je vous revienne, là.
M.
Caire
: Des
concepts de hub, parce que vous avez parlé de hub. Est-ce qu'à ce moment-là ce
concept…
M. Gambs (Sébastien) : Bien,
les exemples que j'ai vus moi, c'est les exemples où il y avait un seul hub, et
ça a souvent mené à des fuites de données.
M.
Caire
: Oui,
je comprends.
M. Gambs (Sébastien) : Pour
vous venir avec des exemples de plusieurs, je pense qu'il faudrait que je vous
revienne. En France, en ce moment, il y a des discussions avec le hub de santé
où justement il y a beaucoup de tension, hein, dans les discussions
parlementaires et dans la société civile sur ce hub-là.
M.
Caire
: Parce
qu'il faut être capable aussi… les hubs, il faut être capable de les mettre en
relation, donc il faut émuler un peu un modèle de base de données
relationnelle, là, pour utiliser une image avec laquelle vous être probablement
familier. Je m'excuse pour…
M. Gambs (Sébastien) : …dans
les discussions parlementaires et dans la société civile sur ce hub-là.
M.
Caire
: Parce
qu'il faut être capable aussi… les hubs, il faut être capable de les mettre en
relation, donc il faut émuler un peu un modèle de base de données
relationnelle, là, pour utiliser l'image avec laquelle vous êtes probablement
familier. Je m'excuse pour mon collègue de l'opposition, loin de moi l'idée de
vouloir évincer du débat qui que ce soit. Mais, pour peut-être mieux imager ce
que j'ai en tête au Pr Gambs, on serait… si je vous comprends bien et si nous
nous comprenons bien, on émulerait un modèle de données de base… base de données
relationnelle, là.
M. Gambs (Sébastien) : Oui,
ou base distribuée. Mais c'est aussi pour ça que, j'imagine, ces sources vont
s'appuyer sur l'infrastructure de l'identité numérique. Et, sans avoir de
détail de cette infrastructure-là, comment les sources officielles vont
l'utiliser…
M.
Caire
: Bien,
en fait, non. C'est-à-dire que l'identité numérique, elle va devoir prendre sa
source dans certains de ces hubs-là, effectivement.
M. Gambs (Sébastien) : Et
donc il y a des technologies respectueuses de la vie privée qui peuvent avoir
des données distribuées, mais permettre d'avoir une identité sécurisée et
respectueuse de la vie privée. Donc, il y a beaucoup de façons différentes
technologiques de faire les choses, et il y a des bonnes et des mauvaises. Et
je pense que ces sources-là devraient… avant de les identifier, il faudra aussi
savoir un peu c'est quoi, l'infrastructure qui va être derrière elle.
M.
Caire
: O.K.
Je comprends. Vous avez parlé du chef gouvernemental de la sécurité de l'information.
Vous semblez saluer l'initiative, saluer aussi les chefs délégués de la
sécurité de l'information qui seront déployés dans les différents ministères.
Qu'est-ce que vous voyez de positif là-dedans? Puis, dans ce que vous avez vu,
est-ce qu'il y a des choses que vous amélioreriez?
M. Gambs (Sébastien) : Bien,
ce que je vois de positif, c'est que d'avoir une personne responsable de cet
aspect-là dans chaque organisme, à mon avis, c'est une bonne façon d'avoir une
stratégie qui est adaptée à cet organisme puis d'être sûr qu'on ait une
personne dont le rôle est à 100 %.
Les façons d'améliorer, je les ai dites au
début, je pense qu'il faut être capable de faire une reddition de comptes sur à
quel point la sécurité est améliorée et quels sont les indicateurs. Donc, je
pense qu'il faut réfléchir à des indicateurs, au fur et à mesure, de montée en
maturité de la sécurité de ces organismes, pour qu'on soit capables de mesurer.
Donc, ça peut être des tests de pénétration, ça peut être d'autres choses. Mais,
encore une fois, je serais aussi très transparent sur le plan de sécurisation,
pour qu'il puisse être audité par des experts externes. Donc, voilà. C'étaient essentiellement
mes points au début de mon intervention.
M.
Caire
: Mais
j'aime ça quand vous parlez des indicateurs, puis j'aimerais ça faire un bout
de chemin avec vous là-dedans parce que ça, c'est quelque chose qui me parle beaucoup.
On parle bien d'indicateurs de performance au niveau de la maturité des
entreprises. Comment on peut… Bien, des entreprises… des organisations. Outre,
bon, les balayages, outre les tests d'intrusion, outre les tests classiques
d'hameçonnage, est-ce qu'il y a d'autres indicateurs qui existent, qui nous
permettraient de mesurer la montée en puissance, en compétence de nos
organismes?
M. Gambs (Sébastien) : Bien,
on peut essayer de regarder déjà le niveau de formation sur la sécurité. Donc,
ça peut être… au-delà des tests d'hameçonnage, ça peut être des tests…
M.
Caire
: …les
tests classiques d'hameçonnage, est-ce qu'il y a d'autres indicateurs qui
existent, qui nous permettraient de mesurer la montée en puissance, en
compétence de nos organismes?
M. Gambs (Sébastien) : Bien,
on peut essayer de regarder déjà le niveau de formation sur la sécurité. Donc,
ça peut être… au-delà des tests d'hameçonnage, ça peut être des tests ou des
formations à l'interne avec du feed-back à la fin. Ça pourrait être aussi le
fait de rendre transparent le plan de sécurisation. Ça permet aussi de montrer
à quel point il a été spécifié par rapport aux missions de l'organisme au lieu
d'être un plan générique. Donc, je pense que regarder la façon dont il est
formulé, est-ce qu'il prend en compte les spécificités du ministère ou de
l'organisme… Donc, par exemple, les données de santé, les données d'impôts ne
sont pas forcément sécurisées de la même manière que d'autres ministères, donc…
M.
Caire
: Mais là-dessus…
Oh! je vais vous laisser compléter. Excusez-moi.
M. Gambs (Sébastien) : Non,
non, c'était tout.
M.
Caire
: Bien,
c'est parce que je trouve ça intéressant, puis c'est une question que je pose,
je vous dirais, à tous nos intervenants, parce qu'on a une catégorisation de la
donnée qui est en fonction du détenteur et non pas en fonction de la valeur ou
de la sensibilité de la donnée elle-même. Vous en pensez quoi de ça? Puis vous
pensez quoi de l'idée de dire : Bien, on ne devrait pas catégoriser une
donnée en fonction du fait qu'elle appartient à la Santé ou au Tribunal
administratif du logement mais bien par rapport à la valeur qu'elle peut avoir
pour des intentions malveillantes et pour son niveau de sensibilité? Donc, le
préjudice, évidemment, qui est conséquent à une diffusion non autorisée de
cette donnée-là, vous en pensez quoi, et donc d'harmoniser, évidemment, nos
régimes de protection en fonction de la sensibilité de la donnée et non pas en
fonction de qui en est l'utilisateur?
M. Gambs (Sébastien) : Oui,
bien, je pense que c'est une très bonne idée. En vie privée, j'ai tendance à
dire que le risque de vie privée lié à une donnée personnelle est lié à ce que
j'appelle le potentiel d'inférence, c'est à quel point on peut déduire d'autres
choses sur une personne si on a ses données ou si on la croise. Et donc, si on
prend les données de santé ou les données de mobilité, par exemple, c'est des
données avec un fort potentiel d'inférence, alors que si je prends, par exemple,
vos goûts musicaux ou vos plats préférés, c'est des données avec des faibles
potentiels. Donc, je vais totalement dans votre sens. On parle de sensibilité
en termes de ce qu'on peut déduire sur une personne à partir de cette donnée si
elle fuite ou si elle est croisée.
M.
Caire
: Donc,
une organisation devrait, au-delà, là, des régimes législatifs… mais, dans la
mise en place des systèmes de défense, une organisation devrait tenir compte de
ce potentiel-là d'inférence, du niveau de préjudice d'une utilisation
malveillante et, évidemment, de l'attractivité de la donnée, parce qu'on le
sait il y a des données qui sont attractives pour les organisations
malveillantes puis il y en a d'autres qui le sont moins. Donc, ces critères-là
vous apparaîtraient des critères assez fondamentaux pour une catégorisation
plus globale de la donnée.
M. Gambs (Sébastien) : Oui.
Juste pour vous dire, souvent, c'est ce que font les… Quand, en sécurité, on
fait une analyse de risque, c'est qu'on évalue l'impact lié à l'accès à une
information, une ressource. On intègre déjà un peu cet aspect-là. Si le
potentiel d'inférence est élevé, bien, l'impact sur les citoyens au Québec va
être plus grand en termes d'usurpation d'identité, de risque de…
M.
Caire
: …de la
donnée.
M. Gambs (Sébastien) : Oui.
Juste pour vous dire souvent, c'est ce que font… en sécurité, on fait une
analyse de risques et on évalue l'impact lié à l'accès à une information, une ressource.
On intègre déjà un peu cet aspect-là. Si le potentiel d'inférence est élevé,
bien, l'impact sur les citoyens au Québec va être plus grand, en termes
d'usurpation d'identité, de risque de profilage, que si le potentiel
d'inférence est faible. Donc, c'est pris en compte, je pense, déjà un peu dans
les réflexes des personnes qui font des analyses de sécurité, peut-être pas en
termes de la classification qui est utilisée, mais en termes de leurs
habitudes, je dirais.
M.
Caire
:
Est-ce qu'il existe des normes là-dessus, Pr Gambs, sur la catégorisation des
données? Je sais qu'au niveau des protocoles de sécurité, il en existe une puis
un autre, là, mais au niveau de la donnée comme telle? Parce que, comme vous
l'avez, sans doute, vu dans le projet de loi, il y a l'obligation pour le
gestionnaire de la donnée de faire un inventaire de la donnée, donc d'avoir
vraiment non seulement une connaissance de quelle donnée on a, mais quel profil
de donnée on a aussi. Donc, est-ce qu'il existe des modèles, dans le monde, de
ça, des normes, je devrais dire, de ça?
M. Gambs (Sébastien) : Pas
que je connaisse, non. Souvent, la législation va définir les données
sensibles, comme, mettons, les données amenant de la discrimination, mais…
Le Président (M. Simard) : En
conclusion, en conclusion, s'il vous plaît.
M. Gambs (Sébastien) : Si je
pouvais terminer juste…
Le Président (M. Simard) :
Oui, je vous en prie, monsieur.
M. Gambs (Sébastien) : …c'est
de réfléchir au croisement. Donc, quand on regarde une donnée toute seule,
travaillant dans un ministère, on va avoir une idée des risques, mais c'est le
croisement potentiel avec 10 sortes de données différentes provenant d'une
source qui est difficile, je pense, à intégrer dans cette analyse de risques et
dans cette catégorisation…
Le Président (M. Simard) :
Merci beaucoup.
M.
Caire
: Merci
infiniment, Pr Gambs. Très, très, très intéressant. Merci beaucoup.
Le Président (M. Simard) : Je
cède maintenant la parole au député de La Pinière qui dispose de
13 min 5 s. Cher collègue…
M.
Caire
: En
ouvrant le micro, ça va mieux.
Le Président (M. Simard) : …il
faudrait mettre votre son. Et puis, M. le ministre, laissez à la présidence le
soin de présider. Merci. M. le député de La Pinière.
M. Barrette : Merci de me le
rappeler. Je vais commencer… plaisir, comment prononce-t-on votre nom de
famille?
• (16 h 50) •
M. Gambs (Sébastien) : Gambs,
mais personne n'arrive à le prononcer, donc je ne me vexerai pas si…
M. Barrette : Bon. Bienvenue.
Alors, non, c'est parce que c'est toujours désagréable de se faire massacrer
son nom, je n'ai pas dit que mes collègues l'avaient fait, mais je porte toujours
une attention particulière à ça.
Écoutez, là, vous avez… je comprends, là,
que vous avez suivi nos travaux, là, depuis ce matin, heureusement, et tant
mieux. Votre expertise, elle est technologique ou elle est éthique ou les deux?
M. Gambs (Sébastien) : Je
dirais les deux, à la base, plutôt technologique, mais mon projet de recherche
s'intéresse aussi aux enjeux éthiques des données massives.
M. Barrette : O.K. Parfait.
Non, c'est important, parce que quand on lit votre titre qui a été déposé dans
notre horaire, ça avait l'air plus du côté éthique que technologique, mais je
vois que vous avez une expertise plus technologique qu'éthique, un n'empêche
pas l'autre, mais c'est juste pour comprendre d'où vous venez. Et la raison
pour laquelle je vous pose cette question-là, elle est de deux ordres, c'est
drôle parce que c'est votre dernière intervention et votre première. Dans votre
première intervention, vous avez fait référence à la situation belge où…
M. Barrette : ...technologique
qu'éthique. L'un n'empêche pas l'autre, là, mais c'est juste pour comprendre
d'où vous venez. Et la raison pour laquelle je vous pose cette question-là,
elle est de deux ordres. C'est drôle parce c'est votre dernière intervention et
votre première. Dans votre première intervention, vous avez fait référence à la
situation belge où on a croisé des données essentiellement. Et quand vous avez
commencé par ça, j'ai cru comprendre que vous étiez plus du bord éthique, j'ai
cru comprendre que vous étiez défavorable à ça. Est-ce que je comprends ça
comme il faut?
M. Gambs (Sébastien) : Oui. Essentiellement,
ce que je disais, c'est que l'analyse de sécurité devra inclure les facteurs de
vie privée, ce qui apparaît dans le projet de loi, et les enjeux éthiques
aussi.
M. Barrette : Oui, mais...
M. Gambs (Sébastien) : Et
la...
M. Barrette : Allez-y.
Excusez-moi.
M. Gambs (Sébastien) : Non,
non, excusez-moi, M. le Président, d'avoir... Pour... Ce que j'ai
essentiellement dit, c'est que cette question-là devrait être un débat de
société sur : Est-ce que ce croisement est... Donc, au-delà d'être imposé,
je pense que ça devait être discuté, soit dans une instance ou... Donc,
essentiellement, ce type d'utilisation où on change la finalité des données qui
ont été collectées, je pense qu'on peut difficilement se passer d'un débat de
société avant de valider ou non cet usage. Donc, j'imagine qu'il y des pays
dans le monde où cet usage serait considéré normal pour la culture ou le pays
et d'autres où ça ne serait pas le cas.
M. Barrette : Mais votre
lecture du projet de loi n° 95 n'est-elle pas, en essence, un projet de
loi qui vise à croiser des données?
M. Gambs (Sébastien) : En
tout cas, je vois qu'on parle de mobilité et de valorisation, donc c'est sûr
que le croisement des données fait partie, j'imagine, des choses que ce projet
de loi va permettre. La question, c'est : Parmi tous ces croisements, il y
a des croisements, je pense, qui ne causeront pas de problème de société et il
y a des croisements dans lesquels on va avoir des enjeux éthiques qui vont
émerger sur lesquels un débat de société se passera difficilement à mon avis.
M. Barrette : Alors là, vous
proposez... vous venez nous dire que vous êtes d'une opinion selon laquelle le
projet de loi n° 95 est trop tôt? Parce que, vous savez, faire un débat de
société, c'est long et il est possible que le ministre veuille que son projet
de loi passe un jour plus proche que loin, tiens.
M. Gambs (Sébastien) : Non,
non, bien, je vais essayer de repréciser. Je suis désolé si je n'ai pas été
clair. Mais, en gros, le point de vue, c'est : ce projet de loi va
faciliter le croisement des données entre les institutions gouvernementales. Il
va y avoir, sur certains de ces croisements, des changements de finalité par
rapport à la collecte des données qui a été faite et des enjeux éthiques qui
vont émerger, et donc je pense qu'il serait important pour le gouvernement de
se doter d'un organisme ou d'une façon de réfléchir à ces enjeux éthiques.
Donc, il y a la... on à la commission de l'éthique qui est passée juste avant,
mais je pense que ça serait bien d'avoir un organisme aussi ou une façon
d'avoir des débats de sociétés sur les croisements qui risquent d'être
problématiques, sous peine d'avoir une... je pense, un rejet de la population
de certains de ces croisements ou de certaines des choses qui vont être mises
en place.
M. Barrette : Donc, ce que vous
préconisez, c'est la création...
M. Gambs (Sébastien) : …ça
serait bien d'avoir un organisme aussi ou une façon d'avoir des débats de sociétés
sur les croisements qui risquent d'être problématiques sous peine d'avoir une…
je pense, un rejet de la population de certains de ces croisements ou de
certaines des choses qui vont être mises en place.
M. Barrette : Donc, ce que
vous préconisez, c'est la création d'une espèce d'arbitre du croisement à
l'intérieur du projet de loi.
M. Gambs (Sébastien) : Oui, je
ne sais pas si c'est une bonne façon de le nommer, mais oui.
M. Barrette : L'image
correspond à ce que vous pensez. C'est ça, mon point.
M. Gambs (Sébastien) : Oui,
ça serait un organisme qui peut conseiller le gouvernement et qui pourrait
aider à réfléchir aux enjeux éthiques des croisements.
M. Barrette : Attention! Moi,
là, est-ce qu'on parle ici d'un conseiller ou d'un arbitre qui fait la
décision? Et là je vais m'expliquer et je vais aller à l'autre bout de votre intervention.
À un moment donné, là, quand on prend la recherche, on fait déjà ça, là. Alors,
vous savez que, dans les gouvernements, un chercheur va venir frapper à la
porte, va avoir beaucoup de difficultés d'avoir accès à des données parce que,
technologiquement, on n'est pas bien organisés pour ça. Et là le chercheur, là,
il va monter un programme de recherche, va demander à avoir accès à différentes
bases de données parce que son projet de recherche oblige un croisement de
données. Et ça, on est habitués de faire ça et on n'en fait pas beaucoup parce
qu'on n'a pas de ressource pour le faire et on n'a pas une structure de gestion
de données, qui nous permet d'en faire beaucoup. Alors, ça, ça se fait, sauf
que là, avec le projet de loi n° 95, ça pourrait se faire couramment, donc
il faudrait à un moment donné un arbitre qui calle la shot de façon régulière.
Moi, c'est ce que j'entends un peu de la position que vous dites.
Je vais faire moi-même un croisement d'interventions
de la journée, là, je vais croiser votre intervention avec l'intervention de la
Commission d'accès à l'information. La Commission d'accès à l'information, là,
elle est malheureuse, puis je pense bien peser mes mots puis utiliser les mots,
tandis que la section II.4 qui, pour elle, est une ouverture même si II.4 sont
des éléments qui sont spécifiques, chacun… la somme d'éléments spécifiques est
trop large et même très probablement, chacun des éléments est pris indépendamment
trop large lui-même.
Alors, la Commission d'accès à l'information
se présente comme étant elle potentiellement l'arbitre de la décision du
croisement de données. Vous souhaitez, d'une certaine manière, qu'il y ait un
conseil, mais, dans la vraie vie quotidienne, il faudrait que quelqu'un puisse
prendre les décisions au fil de l'eau, là, si vous me permettez-là, sur une
base quotidienne.
M. Gambs (Sébastien) : Oui.
Alors, moi, j'ai tendance quand même à différencier les projets de recherches,
qu'il peut y avoir des exceptions avec l'exemple que je donnais, je l'avais
dit, puis ça serait quand même une décision gouvernementale qui n'arriverait
pas tous les jours, qui serait de, par exemple, de demander à Hydro-Québec
d'être une source officielle des données puis de dire : On veut croiser
les données pour détecter les fraudeurs avec le ministère des Finances. Donc,
c'est quand même deux cas différents. Dans un cas, c'est une exception pour des
chercheurs pour un projet, dans un autre cas, c'est un… Oui.
M. Barrette : Non, je sais. Je
vous interromps, M. Gambs, je vous interromps simplement parce que je
comprends que c'est un… Maintenant, prenez le cas…
M. Gambs (Sébastien) : ...on
veut croiser les données pour détecter les fraudeurs avec le ministère des
Finances. Donc, c'est quand même deux cas différents. Dans un cas, c'est une
exception pour des chercheurs pour un projet. Dans un autre cas, c'est...
M. Barrette : Je vous
interromps, M. Gambs, je vous interromps simplement parce que je comprends
que c'est... Maintenant, prenez le cas, là, prenons le cas, là, d'Hydro-Québec,
là, qui fait des croisements avec Revenu Québec. Vous êtes donc en défaveur de
ça?
M. Gambs (Sébastien) : J'ai essentiellement
dit qu'il faudrait avoir un débat de société pour trancher. Je pense que ce serait...
De mon point de vue, je pense qu'il y a des enjeux éthiques trop importants
pour ne pas avoir un organisme qui permet de débattre de cet aspect-là. C'est
ça que j'ai dit essentiellement.
M. Barrette : Bon. Alors,
mettons que votre sentiment, il est plus négatif que positif vis-à-vis la
possibilité de ça.
M. Gambs (Sébastien) : Moi,
enfin, les enjeux éthiques que je vois, ce serait très problématique pour ce
croisement-là. Mais, encore une fois, je pense que ce n'est pas à moi de
prendre la décision, ce serait... Essentiellement, ma recommandation, c'était
d'avoir un organe ou une façon de réfléchir à ces questions-là et d'en
débattre.
Je pense qu'il y a plein de croisements
des données qui ne soulèveront pas forcément des enjeux éthiques. Mais là j'ai
voulu vous donner un exemple qui avait fait beaucoup de bruit en Belgique à
l'époque.
M. Barrette : Non, je
comprends bien votre intervention. Évidemment, la mienne, je ne veux pas vous
mettre dans l'embarras, là, ce n'est pas ça du tout, du tout, mon objectif. Je
pose la question essentiellement parce qu'au bout du compte, dans l'état actuel
du projet de loi, ça peut arriver. ...problème?
M. Gambs (Sébastien) : Oui.
M. Barrette : O.K. Sur le plan
technologique, là, alors je veux aller du côté technologique. Là, vous me
surprenez beaucoup, beaucoup, beaucoup, là. Dans le monde d'aujourd'hui, c'est
la première fois que j'entends une position aussi catégorique contre un hub
centralisé de données. Honnêtement, là, c'est la première fois que je l'entends
comme ça. Vous êtes dans une forme... dans une position beaucoup plus
décentralisée, là, les satellites, là. Je suis étonné de ça, parce que, quand
on regarde les grandes organisations, là, les banques, Google, et compagnie,
là, ils sont pas mal centralisés, là.
M. Gambs (Sébastien) : Oui,
mais, quand on regarde les fuites de données qu'on a constamment, c'est souvent
parce que des données ont été centralisées, donc...
M. Barrette : ...ou parce que
les mesures de sécurité étaient mauvaises?
M. Gambs (Sébastien) : Bien,
en sécurité informatique, on sait qu'il n'y a pas de sécurité parfaite. Donc,
on peut essayer de renforcer autant qu'on peut, mais beaucoup de fuites de
données sont arrivées parce qu'il y avait des grandes masses de données
centralisées à un endroit et qu'une fois que l'accès était trouvé, même si cet
était difficile parce que le niveau de sécurité était haut, ça menait à des
grandes masses de données. Donc, de distribuer, c'est une forme de protection
contre avoir les données dans un seul endroit.
• (17 heures) •
Donc, je rejoins... Comme je dis, c'est le
débat : Est-ce qu'on veut avoir un hub centralisé et risquer de tout
fuiter mais mettre plus de ressources ou plusieurs petits hubs? Donc, il y a
plein de façons de distribuer, ça peut être...
17 h (version non révisée)
M. Gambs (Sébastien) : …c'est
une forme de protection contre avoir les données dans un seul endroit. Je
rejoins le… comme je dis, c'est le débat : est-ce qu'on veut avoir un hub
centralisé et risquer de tout fitter mais mettre plus de ressources, ou
plusieurs petits hubs? Donc, il y a plein de façons de distribuer, ça peut être
quelques hubs comme ça peut être beaucoup d'organismes. Mais comme je disais,
dans les fuites de données actuelles, on voit souvent que c'est des fuites qui
arrivent parce que les données ont été centralisées. Donc, je ne pense pas que
je suis trop à contre-courant de beaucoup d'experts de sécurité, au niveau de
ce qui arrive dans la fuite de données. Après, comment on règle cela, j'imagine
effectivement qu'il peut y avoir plusieurs avis.
M. Barrette : Bon, le ministre
me voit venir, là. Et évidemment, c'est parce que, là, vous êtes en train de
dire que ce que l'on fait actuellement, ce n'est pas bon. Dans… numérique à
laquelle on assiste au Québec actuellement, elle est plus… que satellitaire.
M. Gambs (Sébastien) : J'ai
juste… moi, mon rôle en tant que chercheur, c'est juste de soulever les
risques. Donc, je voulais juste remarquer que, de centraliser les données
pouvait amener, s'il y a une brèche de sécurité, à une fuite de données
massive. C'est juste… donc, il faut penser à : est-ce qu'on veut vraiment
des données complètement centralisées ou distribuées entre quelques hubs?
M. Barrette : O.K. Alors,
est-ce que je… Là, il ne me reste pas beaucoup de temps. Est-ce que, là, de
façon globale, vous considérez globalement, là — votre impression
globale, j'ai quasiment envie de conclure, là, je ne veux pas vous mettre des
mots dans la bouche — que le projet de loi n° 95, il est précoce
au moins?
M. Gambs (Sébastien) : Non,
ce que j'ai dit, c'est que j'aurais bien aimé voir comment il s'insère par
rapport à l'identité numérique et d'autres choses et c'est difficile de juger
séparément. Je ne dis pas qu'il est précoce mais j'imagine qu'il devra être
discuté aux vues du projet de loi n° 64, aux vues des infrastructures
d'identité numérique. Sinon, c'est difficile de se prononcer sur tous les
aspects de ce projet de loi, sans avoir la vision globale.
M. Barrette : Est-ce
que 95 est antinomique à 64?
M. Gambs (Sébastien) : Je ne
pense pas. Pas forcément.
M. Barrette : C'est… Wow! C'est…
Combien de temps, M. le Président? Je pense que j'ai terminé…
Le Président (M. Simard) :
40 secondes, cher collègue, mais vous n'êtes pas obligé de les prendre.
M. Barrette : Bon, bien,
écoutez, je vous remercie pour votre intervention, M. Gambs. En tout cas,
moi, personnellement, vous m'avez beaucoup surpris, alors ce sont des échanges
très utiles, croyez-le, croyez-moi. Merci beaucoup.
Le Président (M. Simard) :
Merci à vous. Je cède maintenant la parole au député de Rosemont qui dispose de
4 min 20 s.
M. Marissal : Merci,
M. le Président. Merci, M. Gambs, pour la présentation. Il y a
effectivement tout un pan éthique qui entre en collision avec les pans technologiques.
C'était utile d'avoir ce genre de conversation là parce que, des fois, la
technophilie débridée nous amène à penser que c'est ça, la solution, alors que
c'est juste un outil puis, des fois, on va trop vite. Bon, cela dit, je pense
que le gouvernement veut aller vite avec 95. Mais avec le ministre de la
Transformation numérique, que j'ai déjà qualifié de couteau suisse du
gouvernement parce qu'il est à…
M. Marissal : …à penser que c'est
ça, la solution, alors que c'est juste un outil, puis des fois on va trop vite.
Bon, cela dit, je pense que le gouvernement veut aller vite, avec 95. Mais avec
le ministre à la Transformation numérique, que j'ai déjà qualifié de couteau
suisse du gouvernement parce qu'il était multiusages, et c'est une qualité, un parlementaire
redoutable, en plus, il nous a habitués aux procédés des poupées gigognes. Un projet
de loi ne vient jamais seul, il en cache toujours deux, trois autres, là, et quelquefois
d'autres projets aussi connexes à ça.
Il nous dit, par contre, depuis ce matin,
dans le cas de 95 : Ce n'est que pour de la circulation de données dans la
bulle gouvernementale, donc de gouvernement… pas de gouvernement à gouvernement,
de département à département, de ministère à ministère. Vous sembliez, au début
de votre intervention, y voir peut-être autre chose, et plus vaste. Est-ce que
vous êtes encore dans cette impression ou est-ce que, selon vous, on se limite
uniquement, là, à ce qu'on dit?
M. Gambs (Sébastien) : Ce que
j'ai dit, c'est que j'aurais aimé voir la… parce qu'on parle de valorisation et
mobilité des données gouvernementales, alors je comprends que le projet de loi
ne concerne que leur mobilité dans le cadre gouvernemental, mais il y a toute
la question de la valorisation avec les entités privées que je ne vois pas dans
ce projet de loi. Et donc ma question était : Où va-t-on en discuter et
dans quel endroit? E comment ça va s'insérer avec ce projet de loi? C'était ça,
ma question.
M. Marissal : Je comprends
bien, mais les mots sont importants, puis il paraît que nous, les législateurs,
on ne parle pas pour ne rien dire. Je n'ai pas dit que ça s'applique tout le
temps à moi, là, des fois, je parle pour ne rien dire, mais dans ce cas-ci, c'est
un projet de loi, et c'est sérieux. Le mot «valorisation», là, comment on le
définit dans votre domaine?
M. Gambs (Sébastien) : En
général, la valorisation, ça va être exploitation en but d'une finalité
différente que… laquelle elle a été… Donc, on… souvent, quand on parle de
valorisation, ça va être est-ce qu'on peut revendre ou est-ce qu'on peut
refaire d'autres services. Un exemple, c'est si on anonymise les données, c'est
souvent dans un autre type de valorisation ou au-delà de la finalité pour laquelle
on les a collectées. On va vouloir près de nous le service ou les vendre à des
compagnies.
M. Marissal : Ou les donner,
les partager.
M. Gambs (Sébastien) : Ou les
partager. Ou ça pourrait être de développer de nouveaux services gouvernementaux
aussi. Donc, la valorisation peut couvrir beaucoup de choses.
M. Marissal : Je disais que
c'était intéressant, les discussions d'ordre éthique, mais je ne suis pas sûr
qu'on peut légiférer en temps réel et constant sur des questions éthiques… sont
nécessairement fuyantes et changeantes. Mais comment on évaluerait des risques
d'inférence dont vous avez parlé, tout à l'heure? Parce qu'il y a un peu une
clé, là-dedans, de ce que vous dites, là. C'est qu'une donnée en soi, ça peut
ne rien valoir, ou elle peut être la clé de sésame qui permet d'ouvrir, là,
plein d'autres portes. Alors, comment on peut l'évaluer, cette inférence?
M. Gambs (Sébastien) : Donc,
pour faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux
scientifiques qui ont fait des croisements de données ou qui utilisent les
données. Donc, c'est typiquement un travail de chercheur de ma communauté ou de
communauté d'apprentissage machine de pouvoir réfléchir…
M. Marissal : …plein d'autres
portes. Alors, comment on peut l'évaluer, cette inférence?
M. Gambs (Sébastien) : Donc,
pour faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux
scientifiques qui ont fait des croisements de données ou qui utilisent les données.
Donc, c'est typiquement un travail de chercheur de ma communauté ou de
communautés d'apprentissage machine, de pouvoir réfléchir à comment quantifier…
Donc, il y a beaucoup de littérature sur le sujet. Je n'ai malheureusement pas
de réponse facile sur… où je pourrais vous donner une source sous laquelle vous
pourriez voir si on a mobilité plus santé, bien, voilà ce qu'on peut déduire.
Je dirais que c'est disséminé dans la littérature sur le sujet, à l'heure
actuelle.
M. Marissal : Donc,
assurément, vous nous suggérez non seulement des garde-fous, mais un suivi en
tant réel, régulièrement revenir, remettre notre ouvrage sur le métier pour
nous assurer qu'on n'a pas de…
Le Président (M. Simard) : En
conclusion.
M. Gambs (Sébastien) : Oui,
en sécurité et vie privée, c'est ce qu'on fait de toute façon, tout le temps,
une analyse de risques par rapport à la sécurité d'un système. Elle doit être
faite régulièrement pour évaluer sa maturité et son évolution.
M. Marissal : Je vous
remercie, M. Gambs.
Le Président (M. Simard) :
Alors, M. Gambs, à mon tour de vous remercier pour la qualité de votre
contribution au débat public, en général et en particulier pour les travaux de
cette commission. Et au plaisir de vous retrouver parmi nous.
M. Gambs (Sébastien) : Merci
beaucoup. Je vous souhaite une belle journée. Merci pour l'invitation.
Le Président (M. Simard) : Sur
ce, nous allons suspendre momentanément.
(Suspension de la séance à 17 h 7)
(Reprise à 17 h 18)
Le Président (M. Simard) :
Alors, chers collègues, nous sommes de retour. Nous pouvons donc reprendre nos
travaux.
Nous sommes en compagnie des Prs Dupont et
Cuppens. Alors, chers collègues, bienvenue parmi nous. Vous disposez d'une
période de 10 minutes. Peut-être qu'au tout début, vous pourriez d'abord
vous présenter.
M. Dupont (Benoît) : Bonjour,
M. le Président. Merci de nous recevoir pour entendre nos réflexions sur le projet
de loi n° 95. Je me présente, je suis le Pr Benoît Dupont de
l'Université de Montréal, professeur en criminologie et titulaire de la Chaire
de recherche du Canada…
Le Président (M. Simard) :
…minutes. Peut-être qu'au tout début vous pourriez d'abord vous présenter.
M. Dupont (Benoît) : Bonjour, M.
le Président. Merci de nous recevoir pour entendre nos réflexions sur le projet
de loi n° 95. Je me présente. Je suis le professeur Benoît Dupont de
l'Université de Montréal, professeur en criminologie et titulaire de la Chaire
de recherche du Canada en cybersécurité. Et je suis accompagné du professeur
Frédéric Cuppens de l'École polytechnique de Montréal.
Alors, nous allons répartir notre intervention
en cinq minutes chacun, si vous le voulez bien. Et donc je vais peut-être
commencer par quelques éléments de contexte par rapport à ce projet de loi qui
partira du point de… du constat que les organismes gouvernementaux accumulent
et centralisent de très grandes quantités d'informations personnelles. Et donc
il est évidemment impératif qu'ils accordent une importance particulière à la
protection des données des citoyens. Au niveau fédéral, il existe une loi, la
Loi sur la protection des renseignements personnels, qui prévoit depuis 2014
que les organismes publics notifient au commissaire à la protection de la vie
privée les cas de brèches de données pouvant causer un préjudice aux individus
concernés. Et cette transparence, qui n'a malheureusement pas encore
d'équivalent au Québec, mais ça va être, je pense, réparé avec le projet de loi
n° 64, nous permet ainsi d'apprendre que pour la période de 2019 à 2020,
donc très récemment, 341 brèches de données ont été déclarées par
34 organismes fédéraux, ce qui représentait une augmentation de 120 %
sur l'année précédente. Et ces brèches de données comprennent aussi bien des
pertes de données, des accès non autorisés, des vols de données. Et de l'aveu
même du commissaire à la protection de la vie privée, les statistiques,
probablement, sont sous-estimées et ne représentent que la pointe de l'iceberg.
Globalement, dans les cas de vol et perte de données du secteur public comme du
secteur privé au Canada, dans cette année-là, c'est 30 millions de
dossiers personnels qui ont été compromis en 2019-2020. Alors, ces chiffres ont
l'air énormes, mais il n'y a aucune raison… la raison pour laquelle j'en parle,
c'est qu'il n'y aucune raison statistique de penser que la situation est très
différente au Québec et que nous sommes protégés de ce type d'incident, et que
nous sommes moins exposés, que les citoyens québécois sont moins exposés, que
nous le sommes au niveau fédéral. Et ces statistiques-là ne tiennent pas non
plus compte des cyberattaques menées par le biais des rançongiciels qui ont
proliféré au cours des trois dernières années et qui ciblent sans
discrimination les systèmes gouvernementaux et les infrastructures
essentielles.
• (17 h 20) •
Donc, ces éléments de contexte, vraiment,
pour nous aider à vraiment comprendre l'importance de ce projet de loi qui
arrive, selon nous, à point nommé pour moderniser les capacités de réponse des
organismes publics et des entreprises du gouvernement du Québec en matière de
cybersécurité, notamment, même si on comprend que ce projet de loi porte aussi
sur la transformation numérique, sur la valorisation des données, mais notre
intervention à nous, tous les deux, aujourd'hui, sera focalisée sur la notion
de cybersécurité. Et on a quatre commentaires généraux et un certain
nombre de commentaires spécifiques et de recommandations qu'on souhaitera
faire…
M. Dupont (Benoît) : ...notamment,
même si on comprend que ce projet de loi porte aussi sur la transformation
numérique et sur la valorisation des données, mais notre intervention à nous,
tous les deux, aujourd'hui, sera focalisée sur la notion de cybersécurité. Et
on a quatre commentaires généraux et un certain nombre de commentaires
spécifiques et de recommandations qu'on souhaitera faire. Je vais commencer par
deux commentaires généraux avant de passer la parole à mon collègue.
Dans le projet de loi, on remarque que le
langage qui est utilisé est plutôt celui de sécurité de l'information ou de
sécurité informatique. Et nous, on recommanderait qu'on adopte plutôt une
terminologie de cybersécurité, comme la politique de cybersécurité dont s'est
doté le gouvernement du Québec en mars 2020. Pourquoi? Parce que la notion
de sécurité englobe non seulement la sécurité des systèmes informatiques,
sécurité technique, la sécurité de l'information, c'est-à-dire les données,
mais aussi la manière dont les humains interagissent avec les systèmes
techniques et avec ces informations.
Et si on veut bien sécuriser les données
personnelles des citoyens québécois, il ne faut pas uniquement apporter des
solutions techniques, il faut aussi comprendre comment interagissent des technologies,
des informations et des humains et pour pouvoir mettre en place des mécanismes
de protection. Donc, ça, ça serait une première recommandation.
La deuxième recommandation d'ordre
générale serait d'assurer une plus grande place à la cyberrésilience qui est
mentionnée une fois dans le projet de loi. Et on pense, nous, qu'on devrait
accorder une plus grande place à la cyberrésilience et aux pratiques de
cyberrésilience qui englobent non seulement la prévention et la protection des systèmes
contre les cyberattaques mais aussi des notions de préparation, de réponse et
d'adaptation à des incidents qui sont devenus inévitables, on l'a vu récemment
dans les journaux.
Même avec toute la bonne volonté du monde,
avec toutes les ressources possibles et imaginables, il restera des attaques
qui vont être couronnées de succès, mais on doit non seulement penser comment
protéger nos systèmes, mais aussi comment se doter de moyens de réponse qui
vont minimiser et atténuer les conséquences sur les citoyens québécois en cas
d'attaques réussies. La cybersécurité ne pourra jamais être assurée à 100 %.
Il faut prévoir ce qui va se passer en cas d'incidents de sécurité et former
les intervenants, et pas seulement les spécialistes en cybersécurité, à la
réponse aux incidents, il faut intégrer de manière plus poussée selon nous les
notions de pratique... et les pratiques de cyberrésilience qui vont être
complémentaires à la cybersécurité. Alors, je vais passer la parole à mon
collègue Cuppens.
M. Cuppens (Frédéric) :
Merci. Merci, Benoît Dupont. Donc, notre réflexion qu'on a eue sur ce projet de
loi, ça concerne le déploiement et l'applicabilité de la loi. Donc, à ce sujet,
en lisant le document, on a pu remarquer que les articles imposent généralement
des obligations aux organismes publics, mais plus souvent sans préciser s'il
s'agit d'obligations de moyens ou d'obligations de résultat. Alors, s'il s'agit
d'obligations de résultat, bien, il y a plusieurs articles qui nous paraissent
difficilement applicables. S'il s'agit d'obligations de moyens, les moyens, en
général, ne sont pas ou peu précisés. Et quand ils le sont, il s'agit...
M. Cuppens (Frédéric) :
...d'obligation de moyens ou d'obligation de résultat. Alors, s'il s'agit
d'obligation de résultat, bien, il y a plusieurs articles qui nous paraissent
difficilement applicables. S'il s'agit d'obligation de moyens, les moyens en
général ne sont pas ou peu précisés. Et quand ils le sont, il s'agit le plus
souvent de moyens organisationnels et les moyens techniques à mettre en oeuvre
sont pratiquement absents. Alors, ce n'est probablement pas le but de la loi de
préciser ces moyens, mais il nous paraît néanmoins essentiel qu'il le soit par
ailleurs. Et à ce propos, je pense qu'il faut éviter de surestimer les moyens
de protection et surtout d'éviter de penser la cybersécurité comme la...
Donc, il nous semble également important
de préciser... j'ai réussi à vous faire sourire, c'est déjà bien, merci, donc
il nous semble également important de préciser les moyens qui seront mis en
oeuvre pour vérifier l'application des mesures. Alors, il s'agit ici d'audit
interne ou bien alors d'audit externe réalisé par des organismes indépendants
et accrédités. Ça, je pense aussi, c'est important de le préciser.
Un autre point, ça concerne le...
d'inclure des obligations que l'ensemble des personnes concernées soient
formées aux risques et au risque cyber, en l'occurrence.
Et, enfin, comme recommandation générale,
il y a aussi le besoin d'inclure des obligations et de définir les mesures à
prendre en cas d'incident. On l'a vu, hein, on le sait, la cybersécurité, ce
n'est pas parfait, ça ne marche pas à 100 %, et donc cela passe aussi par
des obligations de définir des plans de continuité d'activité et de reprises
d'activité. Alors, on a eu une lecture détaillée du projet de loi, donc on a
des remarques sur un certain nombre d'articles, donc on n'aura naturellement
pas le temps en 10 minutes de les présenter, mais il y a quand même un
article qui nous a interpellés, c'est l'article 12.14 paragraphe 3° qui
dit : «Lorsque de telles données — on parle donc de données à
caractère personnel — peuvent être utilisées ou communiquées sous une
forme ne permettant pas d'identifier directement la personne concernée, elles
doivent être utilisées ou communiquées sous cette forme».
Alors, il nous paraît essentiel de
préciser dans ce cas la signification du terme «identifier directement la
personne concernée», hein? On travaille sur la l'anonymisation des données,
hein, et on a eu plusieurs projets sur le risque de réidentification, et donc
il est clair que le risque de réidentification est également indirect. Et donc
on a été interpellé par ce paragraphe parce que la mauvaise application de cet
article peut avoir des conséquences graves en termes de diffusion de données à
caractère personnel. Donc, on pourra probablement revenir là-dessus dans la
suite.
Donc, pour terminer ce que je voulais
dire, avec Benoît, donc, on a fait quelques recommandations, là aussi,
générales. Je vais en citer quelques-unes, et ensuite on pourra partager nos
notes avec vous, si vous le souhaitez. La première recommandation, c'est de
s'assurer que le chef...
M. Cuppens (Frédéric) : ...la
suite.
Donc, pour terminer ce que je voulais
dire, avec Benoît, donc, on a fait quelques recommandations, là aussi,
générales. Je vais en citer quelques-unes, et ensuite on pourra partager nos
notes avec vous, si vous le souhaitez. La première recommandation, c'est de
s'assurer que le chef gouvernemental de la sécurité, auquel il est fait mention
dans le projet de loi, eh bien, a bien les moyens d'intervention
interministérielle ainsi que les moyens de communication, notamment en externe,
avec le citoyen. Ça aussi, ça paraît important. S'assurer aussi que les
responsables de la transformation numérique et de la valorisation des données
sont étroitement liés avec les standards en sécurité. Ces standards existent
probablement. C'est déjà pertinent de voir comment les appliquer.
Ensuite... Je ne vais pas tous les citer,
mais il faut également utiliser une approche systématique pour identifier les
données sensibles et caractériser la sensibilité de ces données en termes de
confidentialité, c'est prévu dans le projet de loi, mais aussi, d'intégrité et
de disponibilité, ce qui est moins mentionné dans le projet de loi.
Une autre remarque correspond, coïncide
avec le terme de valorisation des données. Il est fait mention à plusieurs
reprises dans le document, il est mentionné l'obligation, effectivement, de
travailler sur cette valorisation des données, mais sans clairement mentionner
l'obligation d'éclairer la finalité de cette valorisation. C'est essentiel
notamment pour vérifier le caractère...
Le Président (M. Simard) : M.
Cuppens, excusez-moi. Non, mais...
M. Cuppens (Frédéric) : J'ai
pratiquement terminé.
Le Président (M. Simard) :
Parce qu'on aurait pu poursuivre sur le temps du ministre, avec son
consentement.
M.
Caire
:
Consentement.
M. Cuppens (Frédéric) : C'est
exactement ce que je voulais faire.
Le Président (M. Simard) :
Alors, prenez votre temps.
M. Cuppens (Frédéric) : Donc,
la nécessité de faire appel au consentement des personnes chaque fois
qu'effectivement c'est nécessaire en cas de valorisation. C'est exactement le
mot «consentement» que je souhaitais mentionner dans ma présentation.
Et je vous laisse la parole, et...
Le Président (M. Simard) :
Non, mais vous pourriez poursuivre.
M. Cuppens (Frédéric) : ...on
sera ravi de répondre à vos questions. Merci pour votre attention.
Le Président (M. Simard) :
Bien, merci à vous, et désolé de vous avoir coupé comme ça en plein vol. Alors,
je cède maintenant la parole à M. le ministre.
M.
Caire
:
Merci, M. le Président. Merci, Pr Dupont, merci, Pr Cuppens, très belle
présentation. J'ai quelques commentaires, questions. Pr Dupont, sur la
divulgation, effectivement, n° 64 répond à cette
préoccupation-là. Puis je n'ai peut-être pas précisé tout à l'heure, avec le Pr
Gambs, qu'on le fait dans n° 64 parce que cette
obligation-là va être plus large, parce que la loi d'accès à l'information et
la loi sur les renseignements dans l'entreprise privée touchent beaucoup plus
d'organismes que la seule LGGRI. Donc, on veut rendre cette obligation-là plus
largement que si on le faisait dans la LGGRI. Mais elle sera effectivement de…
elle sera… cette préoccupation-là sera effectivement répondue.
• (17 h 30) •
Je veux revenir, Pr Dupont, sur le fait
que vous souhaitez qu'on parle plus de cybersécurité, puis je reviendrai sur la
cyberrésilience tout à l'heure...
17 h 30 (version non révisée)
M.
Caire
: …que
si on le faisait dans la LGGRI. Mais elle sera effectivement de… elle sera…
cette préoccupation-là sera effectivement répondue.
Je veux revenir, professeur Dupont, sur le
fait que vous souhaitez qu'on parle plus de cybersécurité, puis je reviendrai
sur la cyberrésilience tout à l'heure, mais vous souhaitez qu'on parle un peu
plus de cybersécurité plutôt que de la sécurité des systèmes d'information. Est-ce
que la définition dont vous parlez, c'est une définition qui est largement
répandue, qui s'adresse directement aux standards qui sont utilisés, et donc
qui au niveau légal pourrait avoir une portée plus grande? C'est-u ça que je dois
comprendre de votre intervention?
M. Dupont (Benoît) : Oui, tout
à fait, cette… La notion de cybersécurité, elle a pris son envol, y compris au
sein des organismes de standardisation internationaux, depuis le début des
années 2010. Vraiment, ça existait évidemment, ce terme, avant, mais, depuis le
début des années 2010, elle a supplanté la notion de sécurité de l'information,
parce que, comme je l'ai indiqué, elle intègre cette dimension des
comportements humains. On dit souvent que le facteur humain est le maillon
faible dans la sécurité de l'information. Très souvent, dans les incidents, ce
sont des humains. Moi, je dirais plutôt que c'est l'atout dans la manche des
intervenants en cybersécurité, c'est de former les gens à la cybersécurité pour
les amener à justement être mieux informés des risques et à mieux pouvoir y
répondre. Et, dans les pratiques traditionnelles de sécurité de l'information,
qui étaient très axées sur la dimension technique, c'est quelque chose qui
était en général considéré de façon marginale, et je pense qu'il faut qu'on ait
une réflexion beaucoup plus… en plaçant cette dimension humaine au coeur de… et
ce qui inclut le citoyen aussi, au coeur de la réflexion.
M.
Caire
: Donc,
dans le fond, ce que vous dites, c'est : la sécurité de l'information
s'entend de la cybersécurité, mais l'inverse n'est pas vrai.
M. Dupont (Benoît) : Tout à
fait.
M.
Caire
: O.K.
Bien, je prends bonne note, professeur Dupont.
La cyberrésilience... Puis, bon, je vous
ai déjà entendu sur le sujet, là. Par contre, là, on est dans des notions plus
opérationnelles, et, comme vous le savez, le gouvernement du Québec s'est doté
d'une politique de cybersécurité où il est fait mention de la cyberrésilience
et des pratiques… des bonnes pratiques à mettre en place pour atteindre cette
cyberrésilience-là. Je vous le dis parce que ces pratiques-là sont très
évolutives, les technologies changent, les pratiques changent, les normes, les
standards, tout ça évolue. Puis le mettre dans un projet de
loi — puis je voudrais vous entendre là-dessus — le mettre
dans un projet de loi, c'est cristalliser une façon de faire par rapport à… les
pratiques qui dans la ligne du temps évoluent continuellement, alors que de le
mettre dans une politique de cybersécurité, bien, c'est plus facile d'adapter
la politique que d'adapter la loi. Donc, est-ce que vous maintenez qu'on
devrait l'aborder dans la loi ou, à la lueur de ce que je vous dis, de le
mettre dans une politique de cybersécurité vous apparaît être une pratique qui
est respectueuse de l'objectif, qui est d'avoir effectivement collectivement
une meilleure cyberrésilience?
M. Dupont (Benoît) : Je vais
laisser mon collègue, là, finir la…
M.
Caire
: …est-ce
que vous maintenez qu'on devrait l'aborder dans la loi ou, à la lueur de ce que
je vous dis, de le mettre dans une politique de cybersécurité vous apparaît
être une pratique qui est respectueuse de l'objectif qui est d'avoir
effectivement collectivement une meilleure cyberrésilience?
M. Dupont (Benoît) : Je vais
laisser mon collègue finir la réponse. Mais le début de ma réponse, ce serait
que je pense que ça devrait figurer dans la loi, parce que ça confierait au
chef gouvernemental de la sécurité de l'information des responsabilités non pas
uniquement de protection, limitées à la protection, mais qui commencent aussi
par la préparation et qui finissent par l'adaptation aux nouvelles menaces. Et
donc on aurait un mandat qui serait un mandat plus large qui, à mon avis,
serait un mandat qui assurerait une meilleure protection in fine des systèmes,
de l'information et des données personnelles des Québécois.
Mais je vais laisser mon collègue Cuppens,
qui a mené des recherches sur la cyberrésilience, finir de répondre aussi.
M. Cuppens (Frédéric) :
Alors, effectivement, pour… côté cybersécurité… Effectivement, cybersécurité,
c'est plus large que sécurité de l'information, et notamment ça inclut la cyberrésilience,
ce qui n'est pas le cas de la sécurité de l'information. Et la cyberrésilience
effectivement part du principe qu'on n'intègre pas, quand on raisonne
protection ou défense, que la sécurité n'existe pas à 100 %. Et en
raisonnant cyberrésilience justement, ça oblige dans la réflexion à penser
effectivement ce qui se passe en cas effectivement de violation de la politique
de sécurité. Et ça, c'est essentiel quand on conçoit effectivement un projet de
cybersécurité de prévoir, dès le départ, et pas a posteriori quand la crise
arrive, mais de… vraiment de prévoir, dès le départ, effectivement ce qui se
passe en cas d'incident en espérant que cet incident ne va pas aboutir à une
crise et prévoir effectivement comment on va gérer l'incident. Et ça, c'est
effectivement tout à fait essentiel, parce que c'est la réalité aujourd'hui.
Malheureusement, on ne peut pas parler de cybersécurité sans effectivement voir
tous les incidents qui se passent. Alors, effectivement on peut dire que les
incidents viennent d'un défaut de sécurité. Mais dans la pratique, c'est
beaucoup plus compliqué que ça. Malheureusement, on ne sait pas tous les éviter
ces défauts de sécurité. Et c'est ça qui… Et c'est cette façon de penser qui
est intégrée dans la cyberrésilience.
M.
Caire
: Mais
ce que j'entends, c'est que les lignes directrices pourraient être incluses
dans la loi. Mais si on parle plus terre à terre des procédures
opérationnelles, bien, quelles sont les réactions à avoir? Quelles sont la
diffusion de l'information, etc.? Comment on réagit à une attaque, en amont, en
aval? Ça, c'est plus un document administratif, donc on pourrait le garder au
niveau de la politique de cybersécurité. Par contre, les responsabilités, les
prérogatives, c'est ça que vous souhaitez voir apparaître dans la loi. Est-ce
que j'ai bien compris le sens de votre intervention?
M. Cuppens (Frédéric) : Le
sens de mon intervention, c'est qu'effectivement il y a une partie de la
cyberrésilience qui est opérationnelle. Et je suis tout à fait d'accord, c'est
des mesures pratiques qu'effectivement les opérateurs qui sont en charge de la
cybersécurité vont devoir prendre. Mais il y a toute une partie de la… qui est
en amont. Nous, c'est ce qu'on appelle la cyberrésilience par conception. Et
toute cette partie-là de la cyberrésilience par conception doit être prévue…
M. Cuppens (Frédéric) : …c'est
des mesures pratiques qu'effectivement les opérateurs qui sont en charge de la
cybersécurité vont devoir prendre. Mais il y a toute une partie de la… qui est
en amont, nous, c'est ce qu'on appelle la cyberrésilience par conception. Et
toute cette partie-là de la cyberrésilience par conception doit être prévue,
anticipée, et, à mon avis, a tout à fait la place dans un projet de loi comme
ça…
M.
Caire
: Dans
la loi?
M. Cuppens (Frédéric) :
Voilà.
M.
Caire
: Mais
est-ce que vous aurez… parce que vous avez parlé d'un certain nombre de
recommandations. Est-ce que, ce que vous nous dites là, va faire partie des
recommandations que vous pourriez transmettre à la commission? Parce que, moi,
je vais être extrêmement intéressé, là, de voir comment vous jonglez avec ces
concepts-là, puis quel est le meilleur endroit pour disposer des différents
concepts, là, soit la loi, soit la politique.
M. Cuppens (Frédéric) : Tout
à fait. On peut effectivement, dans le document qu'on peut vous transmettre,
intégrer ces éléments de réflexion sur effectivement la place de la
cyberrésilience dans un tel projet de loi. Tout à fait. Oui, et ce sera avec
grand plaisir.
M.
Caire
:
Merci. Je comprends aussi, dans votre analyse du projet de loi, que le principe
d'avoir un chef gouvernemental de la cyber… bien, de la sécurité de
l'information, qu'on pourra appeler un chef gouvernemental de la cybersécurité,
si je comprends bien le propos que vous nous tenez, et donc d'avoir des chefs
délégués de la cybersécurité. Cette organisation-là qui est d'un type assez
militaire, au sens où il y a une entité centrale qui prend des indications, qui
donnent, en fait, des indications à ses sous-entités. Comment vous voyez ça?
Est-ce que vous pensez que c'est la bonne forme à mettre en place? Est-ce que
vous pensez que cette structure-là, qui est très, excusez l'anglicisme, là,
«top-down», c'est la bonne façon d'aborder la question de la cybersécurité pour
une organisation comme le gouvernement du Québec?
M. Dupont (Benoît) : Je vais
peut-être recommencer à répondre. Je pense que cette idée de centralisation me
semble louable, parce que ça évite qu'on ait une fragmentation excessive avec
des ministères ou des organismes qui ont des capacités très inégales et qu'on
ait des données qui soient beaucoup mieux protégées que d'autres selon quel est
le ministère qui les détient. Donc, pour nous… moi, je vois ça moins comme une
structure militaire qu'une structure centralisée et mieux coordonnée. Et
d'ailleurs ça… pour poursuivre une des questions ou des échanges avec
M. Gambs, je pense que ça inclut aussi tous les sous-traitants privés qui
vont conclure des contrats dans le TI avec divers ministères, parce que le chef
gouvernemental de la sécurité de l'information va pouvoir s'assurer que tous
les ministères concluent des ententes ou des contrats de sous-traitance avec
des critères en matière de sécurité qui soient uniformisés et cohérents à
l'échelle gouvernementale.
M.
Caire
: Bien,
si je peux apporter une précision là-dessus, il est important de savoir que les
entreprises de consultants qui font affaire avec le gouvernement sont tenues
aux mêmes règles que les employés du gouvernement. Donc, à ce niveau-là, ils
sont tenus aux mêmes obligations, aux mêmes règles, et donc à la même
hiérarchie.
M. Dupont (Benoît) : Mais…
M.
Caire
: ...je
peux apporter une précision là-dessus. Il est important de savoir que les entreprises
de consultants qui font affaire avec le gouvernement sont tenues aux mêmes
règles que les employés du gouvernement. Donc, à ce niveau-là, ils sont tenus
aux mêmes obligations, aux mêmes règles, et donc à la même hiérarchie.
M. Dupont (Benoît) : Mais, si
je peux poursuivre, en fait, je faisais moins allusion aux règles qu'au degré
d'expertise technique qui est requis pour la signature de certains contrats et
comprendre la sécurité. Par exemple, l'infonuagique est le gros casse-tête actuellement
de tout le monde en matière de cybersécurité, et c'est bien qu'on ait un chef gouvernemental
de la sécurité de l'information qui ait des équipes capables de soutenir des ministères
ou des organismes qui ont moins de ressource pour conclure ce type d'entente et
s'assurer que les contrats contiennent des dispositions en matière de sécurité
qui sont bien comprises, d'une façon... avec l'expertise requise.
• (17 h 40) •
M.
Caire
: Bien,
c'est M. Waterhouse, je pense, ce matin, là, qui nous a adressé ce commentaire-là.
Donc, je prends bonne note.
Et, Pr Cuppens, vous m'avez fait rire
avec la ligne Maginot, parce que, dans les faits, l'histoire ne dit pas si la
ligne Maginot était pénétrable ou impénétrable puisqu'elle a été contournée.
C'est ça qui me... Et donc essayons de faire du gouvernement du Québec une
ligne de défense qui ne pourra être contournée. Et dans ce temps-là... dans ce
sens-là, vous parliez de mesures à prendre, de règles et directives, là, qui
doivent être mises en place. Est-ce qu'il y a des normes de bonnes pratiques? Est-ce
qu'il existe des standards auxquels... Parce que je posais cette même question-là
précédemment, ça existe, au niveau... bon, il y a les normes ISO qui existent,
il y a les normes SOC qui existent en matière de stockage de données, mais en
matière de cybersécurité et de cyberdéfense, à votre connaissance, est-ce qu'il
y a des normes internationales qui existent? Est-ce qu'il y a des... L'espèce
de petit catéchisme, si vous me passez l'expression, de la cyberdéfense, est-ce
que ça, ça existe?
M. Cuppens (Frédéric) : Non.
Je ne sais pas si tu veux répondre par rapport à ça, Benoît? Mais la référence
en termes de cybersécurité aujourd'hui, c'est effectivement les normes ISO et
toute la famille des normes 27000, qui imposent effectivement tout un tas
de règlements. Donc, il y a la 27001... J'ai fait cours là-dessus, mais je vais
vous épargner un cours sur les différents standards ISO 27000. Mais
effectivement, l'un des documents, c'est effectivement la norme 27004, qui
est un référentiel de bonnes pratiques, qui est effectivement nécessaire
ensuite pour appliquer le référentiel 27005, qui parle d'analyse de
risques et qui est le référentiel international par rapport à tout ce qui est
méthodologie d'analyse de risques, tout ça pour arriver à la 27001, qui est
effectivement le référentiel en termes d'accréditation par rapport à un
organisme pour effectivement être accrédité 27000. Donc, c'est une
accréditation sur trois ans, mais avec une nécessité d'audit annuel. Et donc,
effectivement, l'organisme...
M. Cuppens (Frédéric) : …qui est
effectivement le référentiel, en termes d'accréditation par rapport à un organisme,
pourrait effectivement être accrédité 27 000. Donc, c'est une
accréditation sur trois ans, mais avec une nécessité d'audit annuel. Donc, effectivement,
l'organisme, bien qu'accrédité pour trois ans, doit prendre effectivement des
mesures d'audit tous les ans pour vérifier qu'effectivement les mesures prises
de sécurité mises en oeuvre sont toujours en conformité avec le standard
27 000. Donc, effectivement, ça, c'est un standard international qui effectivement
s'applique très bien à des organismes privés, mais aussi à des organismes
publics.
D'où ma question, effectivement, par
rapport à l'audit associé à ce genre de chose, par rapport au projet de loi, est-ce
que c'est un audit interne qui serait prévu, auquel cas la 27 000 ne
marche pas, ou c'est un audit externe, mais, à ce moment-là, il faut effectivement
identifier les organismes qui seraient amenés à faire cet audit externe pour
vérifier qu'effectivement le projet de loi n° 95 est correctement
déployé et ensuite correctement mis à jour régulièrement pour effectivement
maintenir l'accréditation initiale?
M.
Caire
: Et
vous, avez l'expertise que vous avez, Pr Cuppen, Pr Dupont, diriez-vous que le gouvernement
du Québec devrait s'astreindre à ces normes internationales là et donc aller
dans le sens de l'audit externe, nécessairement, là? Diriez-vous que cette
pratique-là, vous la recommanderiez?
M. Cuppens (Frédéric) :
Benoît, tu veux répondre?
M.
Caire
: Ne
parlez pas tous en même temps, là.
Des voix
: Ha, ha, ha!
M. Dupont (Benoît) : Le défi,
avec l'adoption de ces normes, c'est qu'on tombe très souvent dans des
catalogues interminables de mesures à mettre en place, et donc ça peut devenir
un piège si on tombe dans une espèce de conformité pour le seul objectif de
cocher des cases. Et je pense que ce sont des sources d'inspiration très
précieuses, mais qu'il y a probablement moyen d'ajuster et de s'en inspirer
d'une façon plus flexible que de s'enfermer dans des normes et des standards.
Mais ce sont certainement des points de départ. Il en existe aussi en Amérique
du Nord, à l'Institut national des standards et technologies américains, qui
sont aussi adaptés parce que ça… géographiques avec lesquelles on interagi beaucoup
plus aussi. Donc, peut-être, de s'astreindre à ce que tous les organismes
publics adoptent la norme ISO 27 000, ça, c'est une décision peut-être qui
revient au gouvernement, mais, en tout cas…
M.
Caire
: Mais
que vous ne recommanderiez pas, si je comprends bien, là.
M. Dupont (Benoît) : Pas dans
un premier temps, directement, non. Pas de façon rigide.
M.
Caire
: Mais en
même temps, Prof. Dupont, entre ces normes-là dont vous dites qu'elles sont
très rigides et une politique maison, comment on s'assure de la qualité de ce
qu'on fait? Parce que vous parlez d'audit externe, puis je vous avoue que je
suis sensible à ce commentaire-là, mais cet audit-là, il faut qu'il soit basé quand
même sur des critères objectifs.
Le Président (M. Simard) : En
conclusion.
M.
Caire
:
L'audité doit…
M.
Caire
: ...une
politique maison. Comment on s'assure de la qualité de ce qu'on fait? Parce que
vous parlez d'audit externe, puis je vous avoue que je suis sensible à ce commentaire-là,
mais cet audit-là, il faut qu'il soit basé quand même sur des critères
objectifs.
Le Président (M. Simard) : En
conclusion.
M.
Caire
: L'audité
doit savoir sur quoi on va l'auditer. Donc, comment on établit ces critères-là
objectifs pour être audité correctement?
M. Dupont (Benoît) : Une
mesure intéressante est celle qui est mise en place par le gouvernement
australien qui vise justement à procéder à des audits non...
Le Président (M. Simard) : Très
bien.
M.
Caire
: Mais
ça va se faire sur le temps de l'opposition officielle, M. le Président, là...
Le Président (M. Simard) :
Non, non, je ne crois pas que ça va marcher comme ça, malheureusement.
M.
Caire
: Merci
beaucoup, messieurs.
Le Président (M. Simard) : Je
cède la parole au député de La Pinière, qui dispose de
12 min 25 s parce que nous avons réparti le temps, bien sûr, qui
était imparti au député de René-Lévesque. M. le député de La Pinière, à
vous la parole.
M. Barrette : Merci, M. le
Président. Alors, je suis quand même intéressé à la réponse.
M. Dupont (Benoît) : Alors, la
réponse, c'était de... Je poursuis ma réponse. Donc, le gouvernement australien
procède à des audits lesquels les organismes audités ne sont pas avertis de ce
qui va leur être opposé comme type d'audit ni des tests de pénétration. Et
l'idée, ce n'est pas de les piéger, mais l'idée, c'est de reproduire ce qui se
passe dans la réalité de la part d'attaquants et de reproduire le comportement
d'attaquant réel pour voir s'ils sont réellement prêts à se confronter à la
dure vie des cyberrisques ou si, au contraire, ils sont tout à fait préparés à
se conformer aux standards, mais que ces standards-là, ayant pris du retard sur
les pratiques réelles, finalement, ça n'a plus trop, trop de sens.
Donc, je pense que c'est une source
d'inspiration qui pourrait être intéressante. Il ne s'agit pas, encore une
fois, de piéger les gens, il ne s'agit pas de les humilier, mais il s'agit
d'essayer de reproduire au maximum la réalité plutôt que des listes de critères
et de normes qui sont parfois un petit peu en retard sur les pratiques des
attaquants.
M. Barrette : Bien, moi, je
trouve ça très bien comme idée. Et, en Australie, c'est un organisme
indépendant? Comment ça fonctionne?
M. Dupont (Benoît) : C'est
l'auditeur général australien qui procède à ces tests-là, qui a des unités
spécialisées. Ce sont des autorités régulatrices. On retrouve aussi ce type de
pratique en Angleterre, en Hollande, au Danemark. Ce sont des autorités
régulatrices qui se voient confier ce type de mandat.
M. Barrette : Donc, ça veut
dire que c'est sous l'autorité du Vérificateur général, et donc le Vérificateur
général a, dans sa loi, j'imagine, cette fonction-là et, consécutivement, a les
budgets pour le faire.
M. Dupont (Benoît) :
Absolument.
M. Barrette : On est loin du
Québec. Vous faites bien de ne pas commenter. Mais il n'en reste pas moins que
c'est très intéressant. Donc, c'est la formule qui est la plus efficace, c'est
ce que vous me dites, là?
M. Dupont (Benoît) : Je pense
que c'est la formule qui permet le meilleur apprentissage à travers les
organismes, c'est la formule qui permet de rehausser de la façon la plus
efficace le niveau de tout le monde parce qu'à la fin de l'année les
résultats... Évidemment, ce n'est pas tous les organismes qui peuvent être
audités en profondeur à chaque année, donc on en sélectionne...
M. Dupont (Benoît) : …je pense
que c'est la formule qui permet le meilleur apprentissage à travers les
organismes, c'est la formule qui permet de rehausser de la façon la plus
efficace au niveau de tout le monde, parce qu'à la fin de chaque année les
résultats… Évidemment, ce n'est pas tous les organismes qui peuvent être… en
profondeur chaque année, donc on sélectionne trois ou quatre par ans. Les
résultats sont publics et ça permet à tous les autres organismes justement
d'apprendre de ces résultats-là et d'adapter leurs propres pratiques, sachant
que, dans les années à venir, ils risquent même d'être confrontés à ce type de
démarche.
M. Barrette : Il reste qu'on a
des données probantes qui indiquent que la donnée est plus sécuritaire dans ces
environnements-là, que dans les environnements classiques, je dirais.
M. Dupont (Benoît) : Ça fait seulement
deux à trois ans que cette pratique a été mise en oeuvre. Donc, pour l'instant,
ça devient difficile de… encore, c'est un peu trop tôt peut-être pour voir si…
parce que ce sont des bureaucraties, des grands ministères, des grands
organismes, là, l'adaptation prend quand même quelque temps à se mettre en
oeuvre, mais je pense que c'est prometteur, on peut dire, si ce n'est pas
probant, c'est, au moins, prometteur.
M. Barrette : Bien, ça
m'apparaît tombé sur le sens, surtout… évidemment, tout ça dépend de la
compétence et du budget de fonctionnement contre ces unités spéciales là, mais
sur le principe, là, j'ai tendance à pencher dans cette direction-là. Je pense
que vous vous vous êtes inscrit un peu en opposition aux commentaires de M.
Gambs, pour ce qui est de la centralisation, est-ce que je vous ai bien
compris?
• (17 h 50) •
M. Dupont (Benoît) : Non,
bien, je pense que M. Gambs a raison dans la mesure où un seul entrepôt de
données qui réunit l'ensemble des renseignements personnels québécois de tous
les ministères, traités par tous les ministères, me semble être un point de
défaillance assez risqué à proposer. Je pense qu'une centralisation raisonnée,
mais qui ne soit pas consolidée en un seul lac de données, comme on dit dans
certains organismes, peut être un bon compromis avec une fragmentation
accessible. Donc, je pense que quelque chose à mi-chemin pourrait être certainement
envisageable, ce qui me semble être l'esprit de la loi avec les sources de
données.
Donc, je ne pense pas que M. Gambs et moi
sommes en désaccord, je suis assez d'accord avec lui sur le fait qu'un seul
réservoir de données serait assez désastreux s'il était compromis.
M. Barrette : Oui, mais est-ce
qu'un réservoir qui fait office de redondance, vous allez dire, ça cause le même
problème pour un bris, là, j'imagine, là, mais ça pose un problème ou non, à
votre avis?
M. Dupont (Benoît) : Un
réservoir qui pourrait… qui serait une source de redondance, s'il était hors
ligne la majorité du temps, serait probablement moins risqué que s'il était la
source principale, là, des données.
M. Barrette : O.K.
M. Cuppens (Frédéric) : Il est
essentiel, par rapport à ça, c'est d'éviter ce qu'on appelle les «single points
of failure», en bon français, et, effectivement, que ce soit en termes de
gestion des données elles-mêmes ou…
Une voix
: ...des
données.
M. Barrette : O.K.
M. Cuppens (Frédéric) :
L'essentiel par rapport à ça, c'est d'éviter ce qu'on appelle les «single point
of failure», en bon français. Et effectivement, que ça soit en termes de
gestion des données elles-mêmes ou de sauvegarde pour effectivement assurer la redondance
ou préserver les données en cas d'attaque, dans les deux cas, il faut éviter
ces «single point of failure», sachant que les attaquants s'adaptent. Hein, ce
qu'il faut bien voir, c'est que les... Il faut prendre comme exemple les
premiers rançongiciels qui attaquaient directement les données pour les
chiffrer, aujourd'hui se sont adaptés.
Aujourd'hui, un rançongiciel, c'est comme
une appli très sophistiquée qui va d'abord explorer le système pour voir notamment
s'il n'y a pas des systèmes de sauvegarde. Et s'il y a des systèmes de
sauvegarde, avant de chiffrer des données, il va attaquer ces systèmes de
sauvegarde. Et effectivement, en généralement, c'est ce qu'on a vu avec Ryuk,
ça marche. Hein, Ryuk a quand même impacté plusieurs organismes et entreprises
au Canada. Ryuk, c'est exactement ça. Les entreprises s'étaient... pensaient
s'être protégé contre les attaques par rançongiciel en achetant des systèmes de
sauvegarde pour créer des redondances, mais au bout du compte les rançongiciels
attaquent aussi ces systèmes-là. Et donc, effectivement, ça, ça met le doigt
sur le fait que centraliser les données ou centraliser la redondance associée à
ces données par rapport aux cyberattaques, ça ne convient pas comme solution.
Alors, effectivement, comme le dit Benoît,
tout distribuer, ça pose des problèmes en termes de gestion, mais il faut avoir
quand même le bon compromis parce qu'à un moment donné, quand on est attaqué,
on est bien content de pouvoir revenir à la normale et redonner dans un
système... dans un système où on a retrouvé nos données. Donc...
M. Barrette : Je pense
que vous avez écouté M. Waterhouse ce matin.
M. Cuppens (Frédéric) :
Pas en ce qui me concerne, non.
M. Dupont (Benoît) : Oui,
en partie. En partie seulement.
M. Barrette : En partie.
Bien, écoutez, simplement sur l'aspect de la sphérigorisation en plusieurs
niveaux, est-ce que vous avez des commentaires à faire là-dessus.
M. Dupont (Benoît) : Je
suis moins un expert de la catégorisation que mon collègue Cuppens. Alors, je
vais le laisser répondre là-dessus.
M. Cuppens (Frédéric) :
Alors, c'est gentil de me passer la parole. Alors, j'ai effectivement noté dans
la loi qu'il était... Il y avait une obligation de définir effectivement un
modèle de classification de données. Alors, comme Benoît, je ne suis pas
spécialiste de l'existant. Et donc, ça m'a interrogé. Je me suis dit : À
quoi on fait référence par rapport à cette obligation de définir un modèle de
classification des données et surtout aussi une obligation de vérifier que ce
modèle est correctement mis en oeuvre?
Donc, j'ai essayé de voir par rapport à ce
que j'avais en tête qu'est-ce qui pourrait exister. Effectivement, des modèles
de classification, il en existe, que ça soit pour le secret de défense, ou le
secret industriel, ou le secret commercial. Alors, je me suis dit : Est-ce
que c'est à ça qu'on fait référence? Auquel cas, si c'est à ça qu'on fait
référence, pourquoi définir un nouveau modèle? Donc, ça, c'est une question que
je me suis posée. Je n'ai pas trouvé la réponse, mais effectivement le fait...
M. Cuppens (Frédéric) : …que
ça soit pour le secret de défense, le secret industriel ou le secret
commercial. Donc, je me suis dit : Est-ce que c'est à ça qu'on fait
référence? Auquel cas, si c'est à ça qu'on fait référence, pourquoi définir un
nouveau modèle? Donc, ça, c'est une question que je me suis posée, je n'ai pas
trouvé la réponse.
Mais, effectivement, le fait qu'il y ait effectivement
besoin de classer les données, de considérer qu'effectivement des données, que
ça soit pour la confidentialité, l'intégrité ou la disponibilité, n'ont pas les
mêmes besoins en termes de sécurité, ça, c'est pertinent. Savoir, effectivement,
quel modèle appliquer… Des modèles, il en existe. Donc, je pense qu'il faut
d'abord, effectivement, regarder les modèles existants, voir ceux qui s'appliquent
correctement, et, à ce moment-là, effectivement, si on s'aperçoit qu'il y a des
besoins spécifiques à explorer, je ne suis pas sûr qu'ils existent, mais, si, effectivement,
il y a des besoins explicites et spécifiques, alors, à ce moment-là, voir s'il
y a besoin d'un modèle particulier pour traiter cela.
Mais… là, je pose plus de questions, hein,
comme Benoît, je n'ai pas la réponse, mais je me suis questionné, effectivement,
sur ces deux articles qui mentionnaient ce problème de classification des
données. À creuser. Si j'ai une réponse à donner, je dirais : Pour moment,
restons prudents. Creusons le problème et voyons, effectivement, le besoin
pour, effectivement, le traiter correctement.
M. Barrette : Bien, écoutez,
je vous posais la question parce que, dans l'architecture de sécurité présentée
par M. Waterhouse, c'était le socle, essentiellement, sur lequel on bâtit tout
le système de sécurité.
Et là je vais vous poser, à ce moment-là,
une question qui est un peu une connexion entre ce qu'on vient de parler et ce
dont vous avez parlé précédemment. Moi, j'écoute tout le monde, là, aujourd'hui,
là, puis… et je vous écoute, vous. Pour avoir une sécurité appropriée, donc
maximale, il y a aussi un enjeu selon lequel tout le monde doit marcher au même
pas et tout le monde doit être tout le temps au même niveau de sécurité, peu
importe sa catégorie et peu importe l'organisme ou le ministère. Là, c'est vraiment…
Vous, vous parlez de «point of failure». Moi, j'ai l'impression qu'on pourrait
aussi simplement utiliser l'expression du talon d'Achille. Si tout le monde
n'est pas en même temps, il y aura forcément un talon d'Achille qui peut être
catastrophique.
M. Cuppens (Frédéric) : C'est
sûr, c'est sûr. Et, pour reprendre ce problème de classification et pour faire
référence au secret de défense, hein, qui n'a probablement rien à voir en
termes de classification, mais c'est juste pour donner un travers de ces
modèles de classification. Ce qui se passe dans les modèles de défense où on essaie
de classer «confidentiel défense», «secret défense», «très secret défense», au
bout du compte, ce qui se passe, c'est que les utilisateurs, ils
surclassifient. Pour se protéger, ils vont tout mettre tout en haut. Et donc
c'est souvent le travers de ce genre de modèle de classification, hein? Pour ne
pas avoir de problème, on nuit complètement à la disponibilité des données,
mais, pour se protéger contre la sécurité, on pense que c'est pertinent de tout
classer tout en haut, ce qui est complètement ridicule. Mais c'est souvent le
travers qu'on voit apparaître par rapport à ce genre de modèle de
classification. Donc, effectivement…
M. Cuppens (Frédéric) : …de
classification, hein? Pour ne pas avoir de problème, on nie complètement la
disponibilité des données, mais pour se protéger contre la sécurité, on pense
que c'est pertinent de tout classer tout en haut, ce qui est complètement
ridicule mais c'est souvent le travers qu'on voit apparaître par rapport à ce
genre de modèle de classification.
Donc, effectivement, déjà, avoir un modèle
de classification binaire, on identifie les données à risque, c'est déjà,
effectivement, je pense essentiel, donc pas besoin d'avoir plus de
deux niveaux à mon niveau. Et à partir du moment où on a effectivement
défini et identifié les données à risque, effectivement, définir les bons
moyens de sécurité pour les protéger, bien, c'est ça qu'il faut faire. Déjà, si
on arrive à ça, et éviter effectivement la référence au talon d'Achille,
effectivement, c'est la démarche qu'il faut adopter par rapport aux besoins de
sécurité à traiter par rapport à des données comme les données
gouvernementales, et les données à caractère personnel, et les données
publiques.
M. Barrette : M. le
Président, j'imagine qu'il me reste 10 secondes?
Le Président (M. Simard) : Ah!
23, pour être bien précis.
M. Barrette : C'est bien
gentil. Bien, écoutez, merci. Merci d'être venus aujourd'hui, c'était très
éclairant, merci beaucoup.
Le Président (M. Simard) :
Merci à vous. M. le député de Rosemont, vous disposez de
4 min 10 s.
M. Marissal : Merci,
M. le Président. M. Dupont, M. Cuppens, merci d'être là.
D'autant que c'est agréable, M. Dupont, je ne sais pas si on vous l'a déjà
dit, mais quand vous parlez, ça sonne comme l'accent de Francis Cabrel, alors
c'est très agréable pour finir la journée, c'est de la musique à mes oreilles.
Ce qui en est moins, par contre, ce qui
m'inquiète, puis ce n'est pas vous qui m'inquiétez, c'est l'état des lieux de
la cybersécurité au gouvernement du Québec en ce moment. Ça a été dit et redit
et redit, depuis des années, on n'est pas au somment de ce que l'on pourrait
espérer. D'abord, il y a une pénurie de main-d'oeuvre, il manque de monde et il
y a un gros roulement. Il n'y a pas de rétention. Ça commence d'ailleurs par le
directeur principal d'information qui a changé, je crois, quatre fois en
quelques années.
Vous enseignez, vous êtes dans des
institutions qui forment les gens qui pourraient venir travailler pour le
gouvernement, par exemple, où vous tournez autour de ce problème-là, qui est
récurrent au gouvernement du Québec. Quelle évaluation vous faites? Parce que
là, vous nous proposez de faire une course parfaite, là, un marathon,
42,2 km, à un rythme de 4 minutes du kilomètre, sans pouffer rire
puis on va finir sans une goutte de sueur. Moi, je pense qu'on n'est même pas
équipé pour courir un 10 km, en ce moment, au gouvernement du Québec, puis
que peut-être qu'on va finir en boîtant. Alors, pouvez-vous nous dire où est-ce
qu'on en est par rapport à ce que vous nous proposez, qui serait l'idéal, là,
qui serait probablement le meilleur qu'on pourrait souhaiter?
• (18 heures) •
M. Dupont (Benoît) : Tout
d'abord, peut-être, merci pour le compliment sur mon accent. Je chante beaucoup
moins bien que M. Cabrel.
Ce qu'on propose, ce n'est pas un marathon
sans douleur et sans sueur. La cyberrésilience, certains la définissent comme
le fait de pouvoir survivre sur un régime de fruits…
18 h (version non révisée)
M. Marissal : …le meilleur
qu'on pourrait souhaiter.
M. Dupont (Benoît) : Tout
d'abord, peut-être, merci pour le compliment sur mon accent. Je chante beaucoup
moins bien que M. Cabrel. Ce qu'on me propose, ce n'est pas un marathon
sans douleur et sans sueur. La cyberrésilience, certains la définissent comme
le fait de pouvoir survivre sur un régime de fruits et de légumes empoisonnés.
C'est quelque chose de très douloureux, c'est l'entraînement à la résistance, à
la douleur et à la capacité de continuer à offrir des fonctions
gouvernementales dans un environnement très, très hostile. Donc, on ne pense
pas qu'on vit dans un monde de bisounours ou d'ours en peluche. Mais ce que ça
va prendre, je pense, et je laisserai mon collègue terminer, ça va être une
alliance ou une collaboration beaucoup plus serrée entre les organismes
gouvernementaux, le secteur privé, les universités, ce qu'on appelle la triple
liste, c'est-à-dire trois secteurs qui ne peuvent pas se passer l'un de
l'autre pour essayer de résoudre ce problème de sécurité, qui à mon avis, avec
les changements climatiques, sont les principaux problèmes auxquels notre société
contemporaine est confrontée. Et c'est des problèmes quasiment insolubles.
Donc, rassurez-vous, le gouvernement du Québec n'est pas le seul à être en
mauvaise posture. Tous les gouvernements et toutes les entreprises, malheureusement,
découvrent avec effroi que ce qu'elles pensaient être des niveaux adéquats de
protection sont insuffisants et vont devoir être repensés radicalement.
M. Marissal : …
M. Cuppens (Frédéric) : Par
rapport à l'état des lieux, oui, je voudrais faire une remarque. La
cybersécurité, c'est un peu comme le nuage de Tchernobyl, ça ne s'arrête pas
aux frontières, d'accord?, donc par rapport à ça, bien, effectivement, il faut
faire un état des lieux, ça c'est sûr, mais ça ne doit pas être un état des
lieux, je dirais, ciblé sur, effectivement, tel domaine. Le problème de la
cybersécurité, ça ne va pas se limiter à tel ministère plutôt que tel autre. Il
faut effectivement avoir cette vision globale déjà interministérielle…
Le Président (M. Simard) :
Très bien.
M. Cuppens (Frédéric) : …ça,
c'est essentiel, mais aussi faire effectivement, comme le dit Benoît, le lien
entre les problèmes au niveau gouvernemental et aussi au niveau… entreprises
privées. Tout ça est global. Et par rapport à ça, comme l'a dit Benoît dans sa
présentation…
Le Président (M. Simard) :
Très bien.
M. Cuppens (Frédéric) : Je
dois m'arrêter. Bon, je m'arrête. Excusez-moi, je n'avais pas entendu.
Le Président (M. Simard) :
Très bien. Alors, Pr Dupont et Pr Cuppens, merci à vous deux pour la
qualité de votre présentation, en espérant vous revoir sous peu dans les
travaux de notre commission.
Nous allons suspendre quelques instants le
temps de faire place à nos prochains invités. Merci à nouveau.
Des voix
: …
(Suspension de la séance à 18 h 3)
(Reprise à 18 h 6)
Le Président (M. Simard) :
Chers collègues, nous sommes donc en mesure de reprendre nos travaux. Nous
recevons nos derniers invités, mais non pas les moindres, nous sommes en
présence de deux représentantes du Fonds de recherche du Québec. Mesdames, bienvenue
parmi nous. Auriez-vous d'abord l'amabilité de vous présenter?
Mme Jabet (Carole) : Oui.
Bonjour. Merci de nous recevoir, M. le Président. Mmes, MM. Les députés, mon
nom est Carole Jabet, je suis directrice scientifique du Fonds recherche Québec — Santé.
Emmanuelle, peut-être, peux-tu t'introduire?
Mme Lévesque (Emmanuelle) :
Oui. Bonjour. Mon nom est Emannuelle Lévesque, je suis avocate et conseillère à
l'éthique de la recherche au Fonds de recherche du Québec.
Le Président (M. Simard) :
Alors, vous disposez de 10 minutes.
Mme Jabet (Carole) : Merci. Merci
beaucoup et merci de nous entendre dans le cadre des travaux de cette commission
relatifs au projet de loi n° 95, donc, Loi modifiant
la Loi sur la gouvernance et la gestion des ressources informationnelles des
organismes publics et des entreprises du gouvernement et d'autres dispositions
législatives. Plus sérieusement, nous intervenons aujourd'hui pour les trois
fonds de recherche, donc le Fonds Santé, mais aussi le Fonds Société et culture
et le Fonds Nature et technologies.
Donc, tout d'abord, pour celles et ceux
qui ne seraient pas familiers des FRQ, nous sommes des organisations
gouvernementales qu'on nomme aussi, dans notre milieu, des agences
subventionnaires, dont le mandat est de soutenir et de développer la capacité
de recherche au Québec. Donc, nous investissons ainsi annuellement près de
230 millions de dollars dans le développement de talents, dans le soutien
aux regroupements de recherche et dans des projets à haute valeur ajoutée pour
la société québécoise qui ont la capacité également de nous faire rayonner à
l'international. Nous intervenons dans tous les secteurs d'activité. Alors, il
peut s'agir de santé, d'éducation, d'alimentation, d'agriculture, de transport,
d'énergie, de développement urbain, de numérique, de culture, bref, à peu près
tous les domaines. Tous ces domaines ont un point commun, la capacité à générer
une nouvelle connaissance. La capacité à produire de l'innovation, qu'elle soit
technologique ou qu'elle soit sociale, s'appuie sur les données. On ne peut pas
faire de recherche si nous n'avons pas les données pour la faire.
Et dans plusieurs domaines, aussi
diversifiés que ceux que j'ai mentionnés, les données qu'on doit utiliser sont
des renseignements personnels, c'est-à-dire des renseignements qui permettent
d'identifier éventuellement les individus, contrairement aux renseignements
anonymes. Alors, ce dossier, dans notre domaine de la recherche, il est quand
même bien connu, on l'appelle l'accès aux données. Il mobilise les FRQ depuis
plusieurs années, maintenant. Nous avons produit plusieurs mémoires qui
montrent l'importance d'avoir une stratégie de valorisation des données qui
inclut la démarche de recherche. Et le scientifique en chef, professeur
Quirion, a émis et appuyé plusieurs recommandations…
Mme Jabet (Carole) : ...nous
avons produit plusieurs mémoires qui montrent l'importance et... qui démontrent
l'importance d'avoir une stratégie de valorisation des données qui incluent la
démarche de recherche. Et le scientifique en chef, professeur Quirion, a émis
et appuyé plusieurs recommandations qui visent à doter le Québec de mécanismes
qui sont compétitifs, tout en étant responsable pour la valorisation de
l'information.
Comme vous le savez, il y a deux types
de... deux façons, en recherche, d'obtenir des renseignements personnels. On
peut utiliser la voie du consentement, un consentement des individus qui sont
concernés, mais quand ce n'est pas faisable, il y a une deuxième voie qui est
la voie des mécanismes légaux qui remplacent le consentement. Et c'est dans ce
cas de figure que nous intervenons aujourd'hui.
• (18 h 10) •
Également, et ça, c'est important, notre
propos concerne la recherche académique, c'est-à-dire effectuée par des
chercheurs d'organismes publics que sont les universités, les collèges, les établissements
de santé ou autres. Dans ce cadre, les FRQ reçoivent très favorablement les
efforts qui se multiplient en soutien à la stratégie de transformation
numérique et qui visent une plus grande mobilisation des données numériques gouvernementales.
Cela dit, si on veut vraiment bénéficier
de cette transformation et de ces avantages, nous devons nous assurer que le
processus d'accès pour la recherche académique est efficace et sécuritaire.
Bien sûr, l'enjeu, c'est la compétitivité de la recherche québécoise, la
compétitivité de nos équipes de chercheurs ou encore l'attraction ou le talent,
mais l'enjeu est d'abord et avant tout de s'assurer que notre démarche de
recherche, parce qu'elle a accès à de l'information qui nous est spécifique, va
apporter des réponses qui correspondent aux besoins de la population
québécoise.
Ça veut dire quoi, dans la vraie vie?
Prenons un exemple dans mon domaine qui est le domaine de la santé. Par exemple,
organiser les calendriers de rendez-vous d'un service de radio-oncologie peut
être un véritable casse-tête. Il faut alterner les nouveaux patients avec les
patients déjà en traitement qui ont des cycles de traitement qui diffèrent et
chaque minute qu'on va utiliser est importante parce que ce sont des patients
qui ont accès à des soins. L'apprentissage profond, qu'on connaît aussi
comme intelligence artificielle, peut apporter des solutions à ce casse-tête.
Pour faire ça, il faut entraîner des algorithmes, il faut entraîner des
algorithmes sur des données. Si on n'a pas accès aux données de nos
établissements, les chercheurs vont aller chercher les données ailleurs, dans
des hôpitaux en Ontario, dans des hôpitaux au Royaume-Uni, puis ils vont les
entraîner, les algorithmes et on va gagner de l'efficience. Des patients vont
bénéficier de cette efficience, mais ce seront les patients des hôpitaux en
Ontario, au Royaume-Uni, et pas les patients sur notre territoire parce qu'on n'aura
pas entraîné les algorithmes avec notre réalité d'organisation des soins et
services...
Mme Jabet (Carole) : …et on va
gagner de l'efficience. Des patients vont bénéficier de cette efficience, mais
ce seront les patients des hôpitaux en Ontario, au Royaume-Uni, et pas les
patients sur notre territoire parce qu'on n'aura pas entraîné les algorithmes
avec notre réalité d'organisation des soins et services de santé. Voilà
l'enjeu.
Dans ce cadre, il y a deux objectifs
du projet de loi n° 95 qui nous semblent pouvoir améliorer la situation de
recherche et l'accès à l‘information. D'abord, la proposition de mécanismes qui
permettent de favoriser la mobilité et la valorisation des données numériques
gouvernementales, et notamment la possibilité pour le gouvernement de désigner
des organismes publics pour agir comme sources officielles de données
numériques gouvernementales. Bon point. Le deuxième objectif qui nous paraît
aider la situation : Établir une gouvernance globale et concertée en
matière de sécurité de l'information avec une notion de surveillance des
mécanismes mis en oeuvre. Avec ces deux objectifs, on s'inscrit dans un
nouveau paradigme où les renseignements personnels détenus par les organismes
publics peuvent être valorisés par la recherche. Cette fois-ci, dans un
encadrement adéquat qui met l'accent sur le contrôle rigoureux de l'utilisation
au lieu de mettre l'accent, comme on pouvait le faire, sur la limitation voire
l'interdiction d'un accès aux données.
Cela dit, il nous semble, et c'est ce qui
est mentionné dans notre mémoire, que des points mériteraient d'être clarifiés
pour assurer une même compréhension de la portée du texte qui est amené.
D'abord, il faut clarifier que les sources officielles de données numériques
gouvernementales qui sont prévues dans le projet de loi permettront d'utiliser
les renseignements personnels qu'elles contiennent à des fins de recherche et
de développement académiques. Ce mot, selon nous, manque. Donc, pour les
chercheurs universitaires, collégiaux, dans les établissements de santé.
On pense également qu'il faut clarifier
les conditions auxquelles ces renseignements qui sont détenus par les sources
officielles vont pouvoir être utilisés à des fins de recherche. Et s'assurer
que ce sont tous les types de recherches académiques qui seront équitablement
traités. Que ça bénéficie aux services publics, aux citoyens, à la mission de
l'État ou autres.
Et finalement, le troisième point,
s'assurer que le mécanisme d'utilisation des renseignements personnels pour
fins de recherche soit harmonisé aux autres projets de loi et mécanismes,
notamment le projet de loi n° 64 actuellement à l'étude, et qui vise les
modifications de la loi sur l'accès. On ne peut pas se retrouver dans une
situation avec des mécanismes d'autorisation qui sont complexes et différents,
et dont on ne comprendrait pas quelle serait clairement la portée.
En conclusion, quel est le risque de ne
pas bonifier et clarifier le projet de loi n° 95 par rapport aux points
que nous venons de soulever? Trois risques : entretenir une certaine
confusion, créer possiblement plus de lourdeur que d'efficacité…
Mme Jabet (Carole) : …quelle
serait clairement la portée.
En conclusion, quel est le risque de ne
pas bonifier et clarifier le projet de loi n° 95 par
rapport aux points que nous venons de soulever? Trois risques : entretenir
une certaine confusion, créer possiblement plus de lourdeur que d'efficacité.
Ce risque augmente celui de la perte de talents, parce que les chercheurs, ils
se découragent. Ils utilisent les données d'ailleurs, ils vont aussi aller
travailler ailleurs. En cascade, on impacte la compétitivité du Québec en
recherche. Mais le plus grand risque n'est aucun de ces trois risques-là. Le
risque le plus grave serait de ne pas se donner les moyens d'améliorer les
services publics et les autres bénéfices pour la population et la société
québécoise. Je vous remercie de votre attention. Voici un peu le message que
l'on avait à communiquer, et nous répondrons bien sûr à vos questions avec plaisir
et au mieux de nos connaissances. Merci.
Le Président (M. Simard) :
Alors, merci à vous, Mme la directrice scientifique. Je cède maintenant la
parole à M. le ministre, qui dispose d'environ 17 minutes.
M.
Caire
: Merci
beaucoup, M. le Président. Mme Jabet, Mme Lévesque, merci beaucoup de votre
participation. À mon tour de sympathiser avec l'heure à laquelle on vous impose
cette prestation-là, mais sachez que nous sommes solidaires pour tous les
députés présents, parce que nous-mêmes nous y employons depuis ce matin.
Présentation extrêmement intéressante, et j'avoue que vous abordez un sujet qui
est préoccupant. De longue date, je dirais que le Scientifique en chef fait une
cabale pour sensibiliser les élus au fait que la donnée est plus ou moins
accessible pour les projets de recherche et qu'il était temps de s'attaquer à
ce problème-là, surtout que Québec — et là-dessus, je sais que le
député de La Pinière et moi avons une vision qui est assez semblable,
surtout que le Québec dispose non seulement d'une quantité de données
impressionnante, mais d'une qualité de données qui est extrêmement intéressante
pour les chercheurs, du fait du profil de la population québécoise et de
l'opportunité que ça offre de faire des évaluations quantitatives et qualitatives
sur une durée de temps assez longue.
Je vous dirais que je vais répondre à vos
trois préoccupations, je pense que les réponses se trouvent dans le projet de
loi. Mais d'abord, vous me permettrez un commentaire personnel, et je vous en
remercie, parce que vous avez abordé la notion du danger de ne pas améliorer
les services publics, et je dois vous dire que vous êtes… Puis je ne veux pas
méjuger, on a eu des groupes très intéressants qui ont amené des commentaires
qui étaient très intéressants qui vont faire cheminer, j'en suis convaincu…
M.
Caire
: …vous
avez abordé la notion du danger de ne pas améliorer les services publics. Et je
dois vous dire que vous êtes… puis je ne veux pas méjuger, on a eu des groupes
très intéressants qui ont amené des commentaires qui étaient très intéressants,
qui vont faire cheminer, j'en suis convaincu, le travail des parlementaires,
mais le principal objectif du projet de loi n° 95, puis je ne dirais
pas : Son objectif exclusif, parce qu'il y a un objectif de sécurité,
évidemment, mais c'est une amélioration significative des services à la
population et de l'efficience du gouvernement du Québec dans la prestation de
services à la population. Merci de l'avoir souligné, ça m'apparaît
effectivement être un danger, dans l'analyse du projet de loi n° 95,
d'occulter cet élément-là m'apparaît être un danger, parce qu'effectivement
au-delà de toutes les autres considérations dont je ne veux pas diminuer
l'importance, celle-là n'en est pas moins importante.
Sur l'utilisation de renseignements
personnels, je pense que vous l'avez bien cadré, Mme Jabet, c'est effectivement
le projet de loi n° 64 qui va adresser cette situation-là de façon
législative. Donc, vous me permettrez peut-être d'être un peu plus discret sur
ce volet-là, parce que le projet de loi n° 64, comme je le dis, je pense,
a été fait à la satisfaction ou, en tout cas, donne satisfaction au milieu de
recherche quant au qui et au pourquoi on accède à des renseignements personnels
sans le consentement des citoyens. Les articles qui traitent de ça ont été
adoptés par la Commission des institutions, donc je pense que, là-dessus, la
commission avance, et les réponses à vos questions se trouvent là.
• (18 h 20) •
Sur la notion des types de recherches,
bien, effectivement, le fait de ne pas préciser le type de recherche permet
d'inclure tous les types de recherches. Donc, est-ce que les recherches
académiques sont incluses? Absolument. Vous allez trouver votre réponse à
l'article 12.3 du projet de loi, qui va faire en sorte, effectivement, que
le gouvernement du Québec, en désignant une source de données, va être en
mesure de désigner les fonds ou les projets de recherche qui pourraient
bénéficier de la mobilité de la donnée. Et donc, comme on ne précise pas, comme
on parle de recherches, on parle de tous types de recherches, donc
nécessairement la recherche académique est incluse dans cette situation-là.
Donc, cette question-là que vous nous apportez, je pense qu'elle est adressée
de cette façon-là.
Bon, évidemment, aussi,
l'article 12.19 peut fixer les conditions par lesquelles les
renseignements qui sont détenus par une source officielle de données vont
pouvoir être transmis aux différents projets de recherche. Donc, à ce
moment-là…
M.
Caire
: ...l'article 12.19
peut fixer les conditions par lesquelles les renseignements qui sont détenus
par une source officielle de données vont pouvoir être transmis aux différents
projets de recherche. Donc, à ce moment-là, je pense que vous aurez accès, dans
le fond, à l'ensemble des informations dont vous aurez besoin, toujours évidemment
dans le respect de la loi n° 64.
Et ça, ça m'amène à votre deuxième point.
Quand vous parlez d'harmoniser les deux projets de loi, je vous dirais que 95
n'est pas harmonisé au projet de loi n° 64, il y est soumis. Et ça, c'est extrêmement
important parce que je le sais que ça a été une préoccupation qui a été
soulevée par la Commission d'accès à l'information. Il est très important de
comprendre que le projet de loi n° 95 est soumis non seulement à la loi
d'accès à l'information et la protection des renseignements personnels, mais à
toutes les lois, tous les régimes de protection particuliers.
Et donc, de ce fait, l'avantage que les
sources de données vont avoir, c'est de vous permettre d'avoir une donnée de
qualité parce qu'en ayant l'inventaire de la donnée... Vous le disiez, là, vous
êtes souvent de fois obligés d'aller chercher vos données ailleurs. Bien, en
ayant un inventaire de la donnée, ça nous permet de vous donner une donnée qui
est de qualité, qui est intègre. Évidemment... Je devrais dire : Mais
évidemment sous réserve que la loi d'accès à l'information et de la protection
des renseignements est respectée, puis, quand on parle de données de santé, que
les régimes, les différents régimes de protection particulièrement de santé
sont respectés, que la directive en matière de sécurité est respectée.
Donc, est-ce que ça va être nécessairement
plus simple? Oui. Mais est-ce que ça va être un bar ouvert? Il ne faut pas vous
attendre à ça parce que le p.l. n° 95, comme je
le dis, ne s'harmonise pas aux régimes de protection ou à la loi, il s'y
soumet. Ça, c'est... Je sais que ça, ça a été un élément qui vous a... qui
interpellait beaucoup les Fonds de recherche et pour lequel, je pense, vous
avez votre réponse.
Maintenant, justement, sur cet aspect-là,
puis vous l'avez amené, vous avez dit : Le grand danger, ce serait de ne
pas avoir accès à ces données-là. J'aimerais ça que vous nous décriviez un peu,
parce que, pour les parlementaires, c'est toujours intéressant de savoir, oui,
le projet de loi n° 95, il fait quoi. Mais ce qui est important, c'est
quelle est la situation actuelle. On part d'où exactement, Mme Jabet? Puis
en quoi 95 vient répondre à des préoccupations qui sont vraiment les vôtres,
qui, au quotidien, font en sorte que nos fonds de recherche ne peuvent pas
travailler aussi bien, aussi efficacement que si on n'avait pas... En fait, si
on n'a pas 95, c'est quoi, la situation actuelle? Puis en quoi la situation
actuelle est corrigée par...
M.
Caire
:
...puis en quoi n° 95 vient répondre à des préoccupations
qui sont vraiment les vôtres, puis qui, au quotidien, font en sorte que nos
fonds de recherche ne peuvent pas travailler aussi bien, aussi efficacement que
si on n'avait pas... En fait, si on n'a pas n° 95,
c'est quoi, la situation actuelle, puis en quoi la situation actuelle est
corrigée par n° 95? Vous m'excuserez si mes questions
sont un peu désordonnées. Je pense que, comme mes collègues, l'heure finit par
jouer sur moi aussi.
Mme Jabet (Carole) : Bien, d'abord,
merci beaucoup, M. le ministre, pour les informations que vous avez
communiquées, puis la clarification qui est signifiée ici. Je pense qu'elle est
extrêmement bien reçue. Parce que... C'est ça, c'est peut-être parfois le
défaut qu'on va avoir en recherche. Quand on n'a pas qualifié quelque chose, on
a peur que ce ne soit pas intégré, et pour nous, c'est vraiment important qu'on
ait tous la même compréhension, notamment au niveau de la recherche académique.
Je vais répondre tout de suite à votre question :
Quelle est la situation actuelle? La situation actuelle est une situation que
je décrirais de silo. Donc, il y a eu des améliorations qui ont été faites. On
a apporté le guichet d'accès aux données pour la recherche, qui permet
d'accéder à certaines données gouvernementales de façon différente. Cela dit,
là, la grande image, c'est qu'en ce moment, si on veut faire un projet de
recherche, par exemple sur la santé des enfants, qui nécessite d'accéder à des
données de santé, à des données administratives, à des données d'éducation,
bien, très probablement, on va taper à trois portes, quatre portes, cinq
portes, dépendamment de la cohorte qu'on veut gérer.
Il n'y a pas cette mécanique
d'organisation de la donnée et de mécanisme bien balisé pour accéder à la
donnée. Qu'est-ce que nous, on voit comme un avantage dans le p.l. n° 95, c'est cette capacité à créer des sources officielles
de données numériques gouvernementales, parce qu'à ce moment-là nous avons des
interlocuteurs qui connaissent le contenu des bases de données et qui
connaissent les variables, qui ont les mécanismes pour être capable de répondre
à nos projets de recherche, et avec lesquels on peut travailler.
Dans le respect des lois, ça, on va tous
être d'accord avec ça. Je pense que le milieu de la recherche a beaucoup
évolué, au cours des dernières années, pour se doter des bons mécanismes de
contrôle d'une saine utilisation des données. Mais je dirais que c'est cette
organisation de source officielle de données numériques gouvernementales qui
nous intéresse, avec la gouvernance des données à laquelle... qui y est
associée, là. Ce n'est pas juste, demain matin, je donne accès à des fichiers
Excel ou à des entrepôts. Ce n'est pas ça. C'est vraiment la gouvernance qui y
est associée, puis la valorisation de données qui y est associée.
En ce moment, parce que la question, elle
était extrêmement précise, ça peut prendre deux ans, trois ans, de réussir...
Mme Jabet (Carole) :
...qui y est associé, là. Ce n'est pas juste demain matin je donne accès à des
fichiers Excel ou à des entrepôts. Ce n'est pas ça. C'est vraiment la
gouvernance qui est associée puis la valorisation de données qui est associée.
En ce moment, parce que, la question, elle
était extrêmement précise, ça peut prendre deux ans, trois ans, de réussir à
faire un projet de recherche tel que celui que j'ai mentionné. C'est de ça
qu'on parle. Et c'est ce délai-là qu'il faut réussir à raccourcir tout en
augmentant le bassin de données qu'on peut utiliser aussi. Voilà ce qui serait
ma réponse.
M.
Caire
: Je me
permets une question, Mme Jabet par rapport... Puis je ne sais pas si vous
avez l'information, mais par rapport à vos collègues des autres provinces ou
des autres États dans le monde qui font de la recherche et qui ont besoin de
ces informations-là, on parle d'un délai de combien de temps avant d'avoir
accès aux données dont ils ont besoin pour faire avancer le projet par rapport
au Québec? Puis c'est là que vous me dites : Au Québec, la situation,
c'est deux ans. Ce peut nous paraître long, mais n'ayant pas d'étalon de
mesure, là, si vous étiez en Ontario, aux États-Unis ou en Europe, on parlerait
d'un délai de combien de temps avant de pouvoir aller de l'avant avec un projet
qui nécessite d'obtenir des renseignements comme ceux-là?
Mme Jabet (Carole) : Je
n'ai pas les délais exacts. Donc, je ne voudrais pas induire les parlementaires
en erreur. Cela dit, donc, sur le projet précis, là, de deux ans chez nous, est-ce
que c'est un an en Ontario? Je n'irais pas là, mais les mécanismes d'accès aux
données et d'utilisation de la donnée sont plus simples dans beaucoup d'autres juridictions.
On a l'habitude de citer le Royaume-Uni,
puis ça fait 15 ans qu'ils travaillent leur stratégie de valorisation des
données dans le secteur qui nous préoccupe le plus, qui est celui de la santé,
mais il y a d'autres juridictions. On va souvent parler des pays d'Europe du
Nord, Danemark, Suède, qui ont une stratégie de valorisation des données. Je
dirais que l'exemple que j'aime... Il y a deux exemples que j'aime utiliser en
ce moment. Manitoba, mais Alberta, plus sûrement, c'est une plus petite
province, mais ils mobilisent leurs données plus rapidement. Mais la France...
La France s'est dotée d'une stratégie de valorisation numérique. Et ils ont
fait des transformations rapidement. Et ils sont en train de bouger très
rapidement avec des accès aux données qui sont... qui deviennent de plus en
plus efficaces.
Alors, je n'ai pas le chiffre de vous
dire : De deux ans, on passe à un an. Mais ce que je sais, c'est que j'ai
beaucoup de chercheurs dans notre communauté qui aiment beaucoup mieux
travailler avec les entités prescrites en Ontario ou les juridictions comme la
France ou l'Angleterre plutôt que de travailler ici parce que c'est devenu
beaucoup trop long.
• (18 h 30) •
M.
Caire
: Puis,
par rapport à ce qu'on fait dans 95 et dans 64, parce qu'effectivement les deux
ont des missions...
18 h 30 (version non révisée)
Mme Jabet (Carole) : …avec les
entités prescrites en Ontario ou les juridictions comme la France ou
l'Angleterre, plutôt que de travailler ici, parce que c'est devenu beaucoup
trop long.
M.
Caire
: Puis par
rapport à ce qu'on fait dans 95 et dans 64, parce qu'effectivement les deux ont
des missions respectives qui se complètent, est-ce que vous diriez qu'on va
rejoindre ce que vous retrouvez ailleurs? Vous parlez de l'Alberta, vous parlez
de l'Ontario, vous parlez de la Grande-Bretagne. Est-ce qu'on va rejoindre ces
standards-là en termes de simplicité pour les chercheurs à recevoir les données
dont ils ont besoin pour leurs projets de recherche ou on est encore loin?
Mme Jabet (Carole) : Bien, je
pense qu'on s'en va vraiment dans une direction qui est une direction intéressante
puis une bonne direction, parce que ce qu'on fait dans 64 et dans 95, en
créant, ou des personnes qui sont vraiment responsables du traitement du renseignement
personnel et qui sont plus proches de la donnée, plus proches du terrain, ou
quand on crée des sources, encore une fois, de données numériques, des sources
officielles de données numériques, comme on le dit, ce qu'on vient faire, c'est
qu'en quelque part on décentralise un petit peu notre mécanisme d'accès aux
données. Puis ça ne veut pas dire qu'on le rend moins robuste et puis qu'on le
rend moins sécuritaire, mais, au moins, il y a plus d'individus qui sont
capables de manipuler de la donnée, qui sont capables de croiser de la donnée
dans des… encore une fois, dans des sphères qui sont bien contrôlées.
Je pense que l'autre chose sur laquelle je
mettrais l'accent, puis je l'ai dit dans la courte introduction, c'est que, si
on met vraiment en application ce qu'on lit dans ces projets de loi, on change
le paradigme. Pendant longtemps, puis c'est ça aussi, au-delà de l'accès aux ressources,
parce qu'il y a quand même des organisations qui ont manqué de ressources, puis
il faut reconnaître ça, mais on a beaucoup traité la sécurité de la donnée en
limitant l'accès à la donnée. Ce qu'on fait, avec ces projets de loi, c'est de
dire : On crée des entités, des structures où on contrôle ces utilisations
de la donnée, mais on donne accès. Donc, tu ne peux pas faire n'importe quoi
avec, mais j'autorise quand même que cette donnée-là soit mobilisée, puis ça,
c'est vraiment important, y compris avec les techniques et les démarches de
recherche qu'on a maintenant, comme l'intelligence artificielle.
M.
Caire
: Bien,
écoutez, je vois mon temps qui file, je veux vous entendre. Une dernière question,
là, je regarde le président du coin de l'oeil parce que je sens qu'il va
m'interrompre, mais ce que je comprends, c'est que non seulement le
gestionnaire de données, les sources de données vous facilitent la vie, mais ce
que vous dites, c'est que toute la sécurité, donc le chef gouvernemental de la
sécurité de l'information, est un ajout important au sens où il va s'assurer quand
même qu'on respecte des standards d'utilisation. On va utiliser, mais on va
respecter des standards d'utilisation qui vont sécuriser la donnée. Est-ce que
j'ai bien compris votre commentaire?
Mme Jabet (Carole) : Oui,
vous avez bien compris, à la condition que les standards d'utilisation
respectent…
M.
Caire
: …de l'information
est un ajout important…
Le Président (M. Simard) : En
conclusion.
M.
Caire
: …au
sens où il va s'assurer quand même qu'on respecte des standards d'utilisation.
On va utiliser, mais on va respecter des standards d'utilisation qui vont
sécuriser la donnée. Est-ce que j'ai bien compris votre commentaire?
Mme Jabet (Carole) : Oui,
vous avez bien compris, à la condition que les standards d'utilisation
respectent la recherche.
Le Président (M. Simard) :
Merci, Mme Jabet. Merci beaucoup.
M.
Caire
:
Merci.
Le Président (M. Simard) :
J'ai un rôle très ingrat, Mme Jabet, qui est celui de, comment dire,
contrôler le temps. Je cède maintenant la parole au porte-parole de l'opposition
officielle, le député de La Pinière, qui dispose de
12 min 45 s.
M. Barrette : Merci, M. le
Président. Alors, Mme Jabet, Mme Lévesque, bien, bienvenue. Alors, évidemment,
avec moi, vous êtes en terrain conquis. Et les questions que je vais vous poser
essentiellement, c'est pour avoir des réponses qui éclairent mes collègues, là,
je connais pas mal les réponses, et je vais vous poser des questions sur quelques
éléments que vous n'avez pas eu la chance d'aborder, dont le dernier que vous
n'avez pas pu élaborer sur celui, à condition que ça respecte la recherche.
Alors là, lâchez-vous lousse, vous avez l'occasion, vous n'aurez pas
deux fois.
Mme Jabet (Carole) : Bien, je
pense que, puis je demanderai après, peut-être, à Emmanuelle de compléter mon
propos, mais nous comprenons parfaitement la nécessité d'avoir des processus de
gouvernance et d'encadrement d'utilisation des données, qui soient robustes,
qui soient bien encadrés, etc., puis qui respectent la sécurité du
renseignement personnel. Je veux dire, à un moment donné, des citoyens font
aussi confiance au milieu de la recherche pour utiliser ces données-là à bon
escient.
Maintenant, les processus de gouvernance.
Si on ne veut pas se retrouver dans des impasses ou dans des délais, il faut
qu'on soit capables de les développer en collaboration. Puis c'est ça que je
voulais vraiment dire. Dans le milieu de la recherche, les personnes qui sont
spécialistes des données développent plusieurs principes qui sont les principes
FAIR en anglais de transparence, d'accessibilité, de réutilisation des données
pour le bien public. Ce sont des principes qu'on devrait probablement faire
davantage vivre dans l'ensemble des organisations et dans l'ensemble des
missions qu'on veut… auxquels on veut répondre. Puis à ce moment-là, on saura
que tout le monde respecte les mêmes règles.
Puis c'est là que je dis qu'il y a une
capacité à vraiment bonifier la façon dont on procède, y compris en
gouvernance, si on consulte et si on s'appuie sur des principes de recherche.
Emmanuelle, je ne sais pas si tu veux compléter.
Mme Lévesque (Emmanuelle) :
Oui. Bien, je préciserais que l'actuelle situation où on voit qu'il y a un
mécanisme d'accès aux données pour la recherche dans le projet de loi
n° 95 et qu'on voit qu'il y a un mécanisme d'accès aux données pour la
recherche, qui est différent dans le projet de loi n° 64, fait en sorte
que pour les chercheurs, il y a une certaine dualité qui est difficile à
opérer, aussi à comprendre, à s'adapter, à voir quels mécanismes, est-ce que…
Mme Lévesque (Emmanuelle) :
...d'accès aux données pour la recherche, dans le projet de loi n° 95,
et qu'on voit qu'il y a un mécanisme d'accès aux données pour la recherche qui
est différent dans le projet de loi n° 64, fait en
sorte que, pour les chercheurs, il y a une certaine dualité qui est difficile à
opérer, aussi à comprendre, à s'adapter, à voir quel mécanisme, est-ce que les
deux existent? Donc, quelque chose qui est bien fait pour la recherche va
éviter cette confrontation-là d'avoir des critères différents selon les mécanismes
utilisés puis va offrir vraiment une harmonisation des conditions d'accès pour
que les chercheurs et chercheuses aient toujours quelque chose d'uniforme comme
critère, peu importe à quelle porte ils vont aller cogner pour avoir les
données dont ils ont besoin.
M. Barrette : Donc, pour vous,
là, sur le plan quotidien, là, vous voyez un enjeu légal qui est causé par une
espèce de dichotomie, involontaire, j'en suis convaincu, entre 64 et 95.
Mme Jabet (Carole) : Vas-y,
Emmanuelle, c'est vraiment ton domaine.
Mme Lévesque (Emmanuelle) :
Oui, effectivement, parce que, dans le projet de loi n° 95
actuellement, on voit qu'il y a... puis c'est vraiment prévu, là, qu'on peut
utiliser les données pour la recherche et le développement, on a prévu ça. On
voit qu'il y a un mécanisme d'accès qui passe avec un décret, qui a des
conditions et, en même temps, ce qu'on comprend, c'est que, la loi sur l'accès,
elle est là, elle est au-dessus de ce projet de loi là, et la loi sur l'accès a
son propre mécanisme pour l'accès pour la recherche, les données qu'on utilise
pour la recherche qui proviennent des organismes publics. Donc, on se retrouve
devant les chercheurs si les textes ne changent pas actuellement. Il y a vraiment
une dualité, on a cohabitation de deux mécanismes puis c'est vraiment
nécessaire d'avoir une clarification pour qu'on sache qu'est-ce que le
législateur entend, qu'est-ce qu'il souhaite prioriser puis ultimement vraiment
viser une harmonisation.
Dans le projet de loi n° 64,
les représentations qui avaient été faites par le fonds de recherche... que
c'était en grande partie approprié et adéquat pour des chercheurs, donc l'idée
de revenir à un mécanisme avec ces conditions-là, c'est très, très approprié
puis ça évite aussi d'avoir, si on passe par décret, d'avoir peut-être des
conditions qui vont être moins standardisées, plus discrétionnaires à des... on
ne veut pas avoir une situation, on va viser des projets particuliers de
recherche, mais on veut une situation où on va viser vraiment des conditions
générales pour tous les chercheurs et chercheuses du Québec, comme on a dans le
projet de loi n° 64.
M. Barrette : O.K., bien,
c'est très important évidemment... c'est noté, là, ce que vous venez de dire
là. Mais je comprends bien ce que vous voulez dire. Il y a un enjeu réel, là,
effectivement. Je suis surpris, par exemple, que vous préféreriez 64, mais j'y
reviendrai dans un instant... bien, je suis surpris, attention, là, tu sais,
c'est correct, là, mais je pensais que vous alliez en demander plus encore, de
liberté de l'accès. Allez-y...
Mme Jabet (Carole) : Non,
non, mais je pense que... bien, c'est sûr qu'on veut de la liberté d'accès,
c'est dans...
M. Barrette : …mais j'y
reviendrai dans un instant… bien, je suis surpris, attention, là, c'est
correct, là, mais je pensais que vous alliez en demander plus encore de liberté
de l'accès. Allez-y…
Mme Jabet (Carole) : Non,
non, mais je pense que… bien, c'est sûr qu'on veut de la liberté d'accès, c'est
dans un monde idéal, hein? On veut un vrai monde que, quand il y a des sources
de données, hein, qu'elles soient des sources de données de recherche ou des
sources de données gouvernementales, qu'on puisse faire le maximum d'analyse et
d'exploitation avec ces données, parce que les résultats qui vont en découler
sont des résultats qui font avancer non seulement les connaissances, mais aussi
l'innovation. Donc, c'est sûr qu'on veut ça.
Et je pourrais aller dans des exemples où
on ne veut pas se retrouver dans des situations où, parce que j'utilise un type
de données d'une source de données gouvernementales, bien, c'est un organisme
et juste cet organisme-là qui peut manipuler la donnée puis, nous, chercheurs,
il faut qu'on attende après ça, ou c'est juste cet organisme-là qui fait
l'arrimage des données qu'on a besoin de faire parce qu'encore une fois on
mélange des données. Donc, on ne veut pas se retrouver dans cette situation.
C'est là qu'on a besoin d'agilité et de flexibilité. En échange de cette
agilité et cette flexibilité, ce qu'on dit, c'est : On n'a pas de problème
à se plier à des mécanismes de contrôle, à des mécanismes d'audit, à des
mécanismes qui viennent vraiment encadrer la façon dont on travaille nos
données. Donc, c'est l'idéal, pour nous, c'est l'idéal…
• (18 h 40) •
M. Barrette : Je comprends très
bien. Et toujours pour le bénéfice de tout le monde, là, vous, là, dépendamment
du FRQ, parce qu'il y a trois évidemment, il y a plein de situations où vous
avez à croiser des données quantitatives et qualitatives en grandes quantités
en différentes sources. Évidemment, aujourd'hui, quand vous arrivez à un projet
de recherche qui croise beaucoup de différentes sources, bien là, c'est un mur
pour vous, c'est vraiment compliqué, alors que là on veut le simplifier. Ça,
c'est important pour vous, c'est clair, il faut que ce soit clair pour tout le
monde que, s'il y a un gain, il y a deux gains… bien, il y en a plus que deux,
là, mais vous avez deux fins, il y a la quantité d'accès que vous pouvez avoir
qui est très limité, moi, deux ans, je pense que vous auriez pu dire trois ans
dans certains cas, et ça aurait été vrai, Et, de l'autre côté, il y a, même si
c'est court, la difficulté qui nous amène à deux ans parce qu'on croise. C'est important,
là, ça, on met le doigt sur quelque chose, là.
Mme Jabet (Carole) : Vous
avez tout à fait raison, puis on croise des données de sources différentes,
puis ça, je pense que ça aussi, c'est très, très important.
M. Barrette : Oui, c'est ce
que je…
Mme Jabet (Carole) : C'est
ça. Donc, oui, tout à fait d'accord.
M. Barrette : Et ça, ce qui
est dans 64, ça ne vous inquiète pas pour cet aspect-là, vous ne trouvez pas
que… parce que là vous regardez 95 comme étant potentiellement… pas un double
standard, là, mais…
Mme Jabet (Carole) :
...important. On peut...
M. Barrette : Oui, c'est ce
que je veux dire.
Mme Jabet (Carole) : C'est
ça, hein? Donc, oui, tout à fait d'accord.
M. Barrette : Et ça, ce qui
est dans 64, ça ne vous inquiète pas? Pour cet aspect-là, vous ne trouvez pas
que... Parce que là, vous regardez 95 comme étant potentiellement... pas un
double standard, là, mais une mécanique qui pourrait amener un frein parce que
c'est une deuxième chose, alors que 95, lui, par définition, veut le faire, le
croisement, certainement pour la recherche. On a eu plein de gens aujourd'hui
qui sont passés qui ne veulent pas faire le faire, le croisement, mais pour la
recherche, écoutez, là, si 95 ne sert pas à ça, là, ne réussit pas à régler ça,
on n'a rien fait, là.
Mme Jabet (Carole) : Puis
donc tout à fait d'accord, ce croisement est absolument essentiel pour nous
puis c'est le bénéfice qu'on y voit. La façon dont on lisait p.l. n° 64,
avec, justement, la notion d'avoir des responsables de renseignements
personnels qui soient mieux répartis auprès des différentes sources de données,
nous permettait de dire qu'on a peut-être un gain ici pour, justement, croiser
de la donnée, parce qu'à ce moment-là, on a des autorisations qui sont plus
rapides. Mais on serait certainement intéressés, puis je vais laisser
Emmanuelle compléter ma réponse, à voir quels sont... où sont les autres enjeux
qu'on pourrait avoir. Emmanuelle?
Mme Lévesque (Emmanuelle) :
Bien, sur le croisement des données, c'est certain que la science aujourd'hui a
vraiment besoin de faire ça, mais il y a des façons de le faire où on peut
protéger le plus possible les renseignements personnels. Donc, parfois, on
va... les chercheurs, maintenant, ils travaillent en équipe, hein, ce n'est
plus des chercheurs tous seuls dans leur bureau. Donc, ce sont de vases équipes
de recherche, qui ne sont pas nécessairement toutes situées dans la même
université, le même collège. Donc, les gens sont distribués un peu partout et
doivent évidemment s'échanger des informations pour faire avancer la recherche.
Donc, quand on veut faire du croisement de
données entre deux sources, mais qu'on veut protéger au maximum les individus,
on peut envoyer les données à un chercheur dans un organisme public, qui, lui,
va effectuer le croisement, va créer son nouveau jeu de données et, par la
suite, il peut rendre ça anonyme, d'une façon où il peut partager avec ses collègues
des renseignements qui maintenant sont anonymes, mais ont quand même croisé
deux banques de données puis ça peut sortir de l'organisme public avec des
mesures de protection exemplaires pour s'assurer qu'on a toujours le même
niveau de protection. On peut même penser à sortir aussi de la juridiction
québécoise. La loi prévoit qu'on doit évidemment toujours avoir une protection
suffisante.
Donc, il y a des moyens de faire ça pour
que ce soit sécuritaire aussi, mais qu'on n'empêche pas le croisement de
données. Puis c'est important que le croisement de données puisse être fait par
le chercheur lui-même, qu'on sorte la donnée de l'organisme et qu'on ne
permette pas uniquement les situations où c'est l'organisme public qui fait
lui-même le croisement et qui l'envoie, parce qu'il y a des situations où c'est
tout à fait inapproprié...
Mme Lévesque (Emmanuelle) :
…de données. Puis c'est important que le croisement de données puisse être fait
par le chercheur lui-même, qu'on sorte la donnée de l'organisme et qu'on ne
permette pas uniquement les situations où c'est l'organisme public qui fait
lui-même le croisement et qu'il l'envoie, parce qu'il y a des situations, c'est
tout à fait inapproprié. Le chercheur, par exemple, peut avoir une base de
données qu'il a bâtie depuis de nombreuses années puis il veut rajouter une
information de plus qui vient d'un organisme public. Il doit lui-même faire le
croisement des données, sinon il ne peut pas continuer d'enrichir sa banque de
données qui est très précieuse, qui suit des gens depuis longtemps, qui apporte
des réponses importantes.
Donc, c'est important que ces
mécanismes-là soient tous possibles. Et dans le projet de loi n° 64, il y
a des conditions en place pour vérifier, est-ce qu'on a vraiment besoin
d'envoyer des renseignements personnels? Est-ce qu'on a besoin de faire telle
chose avec? Donc, c'est certain qu'on met toujours le plus de protection possible.
Puis à partir du moment où on n'a plus besoin d'avoir le renseignement sous une
forme qui permet d'identifier les gens, bien, évidemment le renseignement est
transformé comme ça, puis on continue de l'utiliser.
M. Barrette : M. le Président?
Le Président (M. Simard) :
Oui?
M. Barrette : Il me reste
combien de temps?
Le Président (M. Simard) :
10 secondes, cher ami.
M. Barrette : Bien, merci
beaucoup. Puis j'espère vraiment qu'on va aller au bout de ça pour vous
permettre de fonctionner à la hauteur de ce qui se fait sur la planète. Parce
que des bons chercheurs, au Québec, il y en a, et nos bases de données sont
excellentes…
Le Président (M. Simard) :
Merci. Je cède maintenant la parole au député de Rosemont, qui dispose de
4 min 25 sec.
M. Marissal : Oui. Merci, M.
le Président. Mme Jabet, Mme Lévesque, merci d'être là. On va finir
comme ça.
On n'est pas personne, je pense, ici,
contre la recherche, là, surtout si elle sert le bien public. Mais vous
comprendrez que, moi, mon problème avec ça, là, c'est la façon dont ça a été
présenté. Peut-être que ça a été juste mal présenté, peut-être que ça cache
autre chose aussi. Je n'ai pas de… Je n'ai pas de… Je ne suis pas complotiste,
là, rassurez-vous, là, mais ça a été dit, notamment par le ministre de
l'Économie et de l'Innovation, qui est responsable aussi, là, notamment du
scientifique en chef, que c'est une mine d'or, qu'on va donner ça au «Big
Pharma» puis que ça va être extraordinaire, ça va être winner…— c'était ça
l'expression.
Bon, ça, c'est la politique entre nous et
lui, là, puis on pose des questions là-dessus. Mais vous, là, quand vous dites
qu'il manque, par exemple, le mot «académique», là, dans la loi. Moi, je suis
prêt à explorer ça, là. Ça veut dire quoi? Ça exclut quoi? Puis vous en faites
quoi de la mine d'or «winner» pour les «Big Pharma»? Parce que les gens sont en
droit de poser des questions, puis vous êtes en droit de demander d'avoir un
meilleur accès. Mais je repose la question, donc : Vous en êtes où
là-dessus, vous? Merci.
Mme Jabet (Carole) : Merci
pour la question, M. le député. Nous, notre organisme a pour fonction de
soutenir la recherche académique et la capacité de recherche académique dans
nos établissements publics…
M. Marissal : …Merci.
Mme Jabet (Carole) : Merci
pour la question, M. le député. Nous, notre organisme a pour fonction de
soutenir la recherche académique et la capacité de recherche académique dans
nos établissements publics, donc c'est vraiment ce sur quoi on se concentre. Et
ce qui nous préoccupe beaucoup, c'est tout l'échange qu'on vient d'avoir, de
s'assurer que cette recherche académique a les meilleurs outils possible pour
développer la connaissance et l'innovation.
En ce qui concerne la recherche, ou
l'accès aux données pour de la recherche faite avec l'entreprise privée,
personne n'est sans savoir que le débat est un débat qui est complexe. Alors,
il y a des choses, par contre, sur lesquelles on est assez clair, au fonds de
recherche. Une donnée ne se vend pas. C'est un vocabulaire qu'on entend
souvent. Ce n'est pas quelque chose qui est perçu de cette façon-là, utilisé de
cette façon-là, donc ça, déjà, moi, je ne voudrais rentrer dans ce débat
d'aller vendre les données, ce n'est certainement pas dans cet esprit-là qu'on
développe notre recherche.
Maintenant, est-ce qu'on peut collaborer
avec le secteur privé? On a beaucoup de recherche au Québec qui se fait en
partenariat public-privé, puis qui se fait bien, puis qui est encadrée, qui est
encadrée par des contrats, dont on connaît les tenants, les aboutissants, puis
les obligations des différentes parties.
En ce qui concerne les données, la
question est vaste, elle a des enjeux juridiques, légaux, éthiques. Devant ce
constat-là, ce qui a été fait, c'est que le Scientifique en chef a confié
mandat à la commission d'éthique, science et technologie de nous aiguiller sur
cette réponse.
• (18 h 50) •
M. Marissal : Je vous arrête
juste une seconde là-dessus, Mme Jabet, ça nous a été dit. C'est parce que
ça nous a été dit tout à l'heure. Je ne veux tellement pas être impoli, là,
puis grossier, mais je n'ai tellement pas de temps, je suis obligé quand même
de… Je voudrais juste vous spécifier que le ministre de l'Économie n'a jamais
dit «vendre» les données. Il a toujours dit «donner» les renseignements
personnels, notamment, contenus dans les fichiers de la RAMQ. Je ne suis pas
sûr que c'est beaucoup mieux, là… bon, ça enlève la valeur marchande de la
chose, mais à la fin, ça sert les pharmaceutiques ou la population?
Mme Jabet (Carole) : O.K.
Puis je ne mettais pas le mot «vendre» dans la bouche du ministre mais
davantage dans ce qu'on peut entendre dans le secteur général.
Je pense que, les données, ça doit servir
l'ensemble des gens qui développent de la connaissance et puis de l'innovation.
Puis en ce qui concerne l'accès aux
données par le secteur privé, je pense que l'ensemble des législateurs, vous,
les députés, êtes dans une position où vous allez, à un moment donné, décider
qu'est-ce qui est faisable, pas faisable, éclairés par la position que des
fonds peuvent avoir et notamment par le rapport qu'on aura de la CEST.
Encore une fois, moi, je reviendrais…
Le Président (M. Simard) :
Très bien…
Mme Jabet (Carole) : ...des
législateurs, vous, les députés, êtes dans une position où vous allez, à un
moment donné, décider qu'est-ce qui est faisable, pas faisable, éclairés par la
position que des fonds peuvent avoir et notamment par le rapport qu'on aura de
la CEST. Encore une fois, moi, je reviendrais sur le fait que c'est de ça dont
on a besoin.
Le Président (M. Simard) :
Merci beaucoup. Alors, cela met fin à notre période d'échange. Alors,
Mme Jabet, Mme Lévesque, toutes deux du Fonds de recherche du Québec,
merci de votre présence parmi nous ce soir.
Sur ce, compte tenu de l'heure, nous
allons ajourner nos travaux. Et on se donne rendez-vous demain, le mercredi 26,
après les affaires courantes. Au revoir.
(Fin de la séance à 18 h 52)