Journal des débats de la Commission des finances publiques

(Neuf heures trente minutes)

Le Président (M. Simard) : Alors, chers collègues, bienvenue à tous. Je constate que nous avons quorum. Je déclare donc la séance de la Commission des finances publiques ouverte.

Comme vous le savez, nous sommes réunis virtuellement afin de procéder aux consultations particulières et aux auditions publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives.

Mme la secrétaire, bonjour. Y aurait-il des remplacements ce matin?

La Secrétaire : ...

Remarques préliminaires

Le Président (M. Simard) : Bien. Alors, nous allons donc, comme à l'habitude, débuter par nos remarques préliminaires. Et je cède d'emblée la parole au ministre. Monsieur, nous vous écoutons. Vous disposez de six minutes.

M. Éric Caire

M. Caire : Merci, M. le Président. Écoutez, évidemment, un plaisir pour moi d'être ici. Donc, vous me permettrez, d'entrée de jeu, de saluer mes collègues de la partie ministérielle, mon collègue de La Pinière, mon collègue de Rosemont pour cette consultation particulière sur le projet de loi n° 95, M. le Président, projet de loi n° 95 qui est un projet extrêmement important pour la suite des choses parce qu'il induit un changement de culture extrêmement important. Et les consultations particulières vont être d'autant plus intéressantes qu'on va probablement avoir plusieurs points de vue de plusieurs sources différentes de notre société.

Et il faut toujours garder en tête que l'objectif du p.l. n° 95 est d'induire un changement de culture. Il nous amène vers du droit nouveau, il nous amène vers une philosophie qui ne trouve pas énormément d'écho ailleurs, à savoir qu'on veut maintenant considérer la donnée comme un actif gouvernemental. Et ça, ça répond à, je dirais, une nécessité de la transformation numérique, à savoir concilier la valorisation, l'utilisation de la donnée tout en assurant la sécurité de la donnée en question.

Et, M. le Président, nous vivons actuellement dans ce que moi, je qualifierais du pire des deux mondes, à savoir que la donnée est difficilement accessible et n'est pas valorisée, valorisée au sens d'utilisée, au sens où, très souvent, le citoyen se transforme en employé de l'État parce que deux entités gouvernementales sont incapables de se parler, et, ce faisant, on demande à nos citoyens de répondre à des questions pour lesquelles nous possédons la réponse, mais, parce que nous ne nous parlons pas, nous forçons le citoyen à nous communiquer, à de très multiples reprises, les mêmes informations. Donc, une situation où on ne valorise pas, où on n'utilise pas la donnée, et c'est le citoyen qui en fait les frais.

Parallèlement à ça, la sécurité, bien, M. le Président, je veux dire, les événements des derniers jours, voire des dernières années, se passent de commentaires. Il faut être meilleurs. Il faut rehausser notre capacité, notre expertise, notre façon de travailler. On ne peut plus aborder la cybersécurité comme nous l'avons fait dans les dernières années. Et c'est aujourd'hui une question de réseau, c'est une question d'expertise, c'est une question d'outils technologiques, c'est une question de procédures, de façons de faire qui nécessitent qu'on change de façon importante... en fait, je vous dirais, qu'on soit diamétralement opposés à ce que nous faisons actuellement dans plusieurs actions du gouvernement.

C'est très exactement ce à quoi nous amène le projet de loi n° 95, qui s'inscrit dans une logique, M. le Président, d'actions que le gouvernement a posées dans les dernières années, à savoir l'élaboration d'une politique de cybersécurité, la mise en place du Centre gouvernemental de cyberdéfense, le déploiement des centres opérationnels de cyberdéfense pour constituer le réseau gouvernemental de cyberdéfense, des ententes de collaboration qu'on a avec, notamment, le gouvernement fédéral pour être capables d'échanger l'expertise, pour être capables d'échanger de l'information, des outils technologiques, donc cette idée-là d'avoir un réseau qui est capable de réagir en amont de la menace mais aussi qui est capable de réagir à des attaques réussies, donc de contrer ces attaques-là, de limiter les dégâts lorsqu'il y en a. Alors, c'est tout ça, maintenant, qu'il faut considérer, et le projet de loi n° 95 nous fait faire un pas de plus dans cette direction-là, un pas extrêmement important, M. le Président.

Le projet de loi est un projet de loi, essentiellement, d'opérations technologiques, et c'est dans ce sens-là, M. le Président, qu'il faut l'aborder, que nous allons l'aborder, évidemment, dans une perspective d'écoute, dans une perspective de sensibilité par rapport aux commentaires qui nous seront faits, bien évidemment, M. le Président, parce que, comme n'importe quel autre projet de loi, celui-là est très certainement perfectible. Et donc je suis en mode... et je veux le dire aux collègues, en mode collaboratif, en mode informatif, en mode disponible, parce que l'objectif ultime, c'est de doter le Québec d'un État qui est capable d'assumer une transformation numérique au bénéfice des citoyens et qui est capable de rehausser sa capacité à protéger les informations, de quelque nature que ce soit, qui lui sont confiées et d'en assurer la disponibilité, la confidentialité et l'accessibilité.

Donc, M. le Président, très heureux de participer à ces consultations particulières, et je me mets, à partir de maintenant, en mode écoute, M. le Président.

Le Président (M. Simard) : Je vous remercie, M. le ministre. Je cède maintenant la parole au porte-parole de l'opposition officielle, le député de La Pinière. Cher collègue.

M. Gaétan Barrette

M. Barrette : Pour une période, M. le Président...

Le Président (M. Simard) : De quatre minutes.

M. Barrette : Merci, M. le Président. Alors, à mon tour de saluer et de vous saluer, M. le Président, en case départ, évidemment. M. le ministre, salutations à votre équipe et évidemment salutations aux collègues des oppositions, avec qui nous allons travailler sur ce projet de loi, ainsi qu'à leurs équipes.

C'est un projet de loi qui est court mais qui est de très grande envergure. Je pense qu'il y a une disproportion entre l'envergure du projet de loi et sa longueur, comme ça arrive souvent dans certaines lois. Ce n'est pas quelque chose de nouveau.

D'entrée de jeu, je pense aussi que c'est un projet de loi qui est nécessaire. Il est nécessaire, d'une part, parce qu'on est en 2021. Plus que jamais, on est à l'ère de la gestion de l'information, et, plus que jamais, il y a lieu d'en tirer le plus d'éléments possible dans l'intérêt de la société et donc des citoyennes et des citoyens qui la constituent.

Ayant dit ça, il est très probable qu'il y ait certaines oppositions dans la réflexion qu'on va tenir, parce qu'évidemment on sort d'une époque où la donnée personnelle est une donnée qui est souvent vue comme étant un trésor individuel à ne pas partager, alors que, dans bien des circonstances, c'est le partage qui est le trésor. C'est de ce partage-là, du moins dans une organisation qui est celle qu'est un gouvernement, où on peut en tirer le maximum d'éléments utiles pour la société. Donc, il va y avoir une collision de concepts, c'est sûr qu'il va y avoir cette collision de concepts là, et ce sera à nous de s'assurer que les protections soient en place.

Ayant dit ça, évidemment, je ne peux pas faire autrement, et les gens le soupçonnent en m'écoutant... ne pas faire le lien avec le projet de loi n° 64. Les deux doivent s'arrimer. Ça ne peut pas être deux projets parallèles. Ce sont deux projets qui, d'une certaine manière, de grande manière, sont connectés, dans leur finalité, même, je dirais. Alors, ils doivent non seulement coexister, mais ils doivent s'arrimer de la façon la plus précise possible, efficace possible en matière de sécurité. Et je dirais que ce sera probablement pour moi l'élément principal ou un des éléments principaux sur lesquels je vais m'attarder.

Je pense qu'il y a... Sémantiquement, dans le projet de loi et dans nos propos, il faudra bien faire attention, et je le dis d'entrée de jeu. Évidemment, pour ceux qui nous écoutent, là, valorisation, ça rime souvent avec commerce. Alors, je ne pense pas que l'État soit ici dans un mode de valorisation à l'enseigne du commerce. Je ne le pense pas, mais le ministre pourra me contredire éventuellement, un peu plus tard dans nos... Mais je pense que, de ce côté-là, il y a une prudence extrême à y avoir de façon à ce qu'on puisse, de l'autre côté de la médaille, s'assurer que ce dont j'ai parlé se réalise.

Alors, ce sont les angles, là, parce que j'ai quatre minutes, et il ne me reste que quelques secondes, ce sont les angles que je vais aborder, et en terminant, en comprenant bien que, là, il y a une opportunité tournée vers le futur qui est de tirer le maximum d'effets bénéfiques de l'utilisation de la donnée tout en évitant, évidemment, d'en faire un commerce. Alors, M. le Président, je termine là-dessus. On aura évidemment amplement de temps ultérieurement pour élargir sur ce fond-là. Merci.

• (9 h 40) •

Le Président (M. Simard) : Bien. Merci à vous, cher collègue. Et je cède maintenant la parole au député de Rosemont qui dispose d'une période d'une minute.

M. Vincent Marissal

M. Marissal : Avant de partir le chronomètre, M. le Président, je voudrais juste vous dire que mon système a lâché trois fois depuis le début de nos travaux. Je ne sais pas si je suis le seul à vivre ça. Pourtant, je suis dans l'immeuble du parlement, à mon bureau. Je veux juste vous dire que, si d'aventure un tel problème devait perdurer, ça va être assez compliqué d'écouter les témoins. Je vous le dis, là, pour que ce soit su d'entrée de jeu. Avec votre permission, je vais maintenant commencer ma minute d'intervention.

C'est un projet de loi important. Puis je salue les collègues rapidement, parce que je n'ai qu'une minute. Évidemment, on le prend d'un angle positif. Souvenez-vous des Russes, en 1972, qui étaient venus pour apprendre. Moi, je... Apparemment, ça s'applique encore aux Canadiens de Montréal, d'ailleurs, aujourd'hui, 50 ans plus tard. Moi, je suis là aussi pour apprendre, parce qu'on a beaucoup à apprendre dans ce nouveau secteur, et je suis là pour contribuer aussi.

Cela dit, je vous le dis tout de suite, un peu comme le député de La Pinière, moi, quand j'entends «actif», «valorisation», il y a des petites lumières rouges qui s'allument dans ma tête. Non, je n'entends pas des voix, mais j'ai des alertes rouges dans ma tête, qui disent : Attention! C'est un actif qui appartient aux citoyens, et le gouvernement en est le dépositaire, non pas le propriétaire. Alors, je vais lancer, moi, ma réflexion sur ce projet de loi là sur cette base-là mais avec beaucoup d'ouverture d'esprit.

On a déjà fait des projets de loi, là, n° 14, n° 64, n° 95, non, ce n'est pas les billets chanceux d'une loterie, c'est des projets de loi qui vont tous dans la même direction, depuis que le gouvernement est au pouvoir. Mais on a beaucoup de travail à faire pour s'assurer qu'on préserve cette précieuse richesse que sont nos données personnelles, mais, je le répète, là, pour que ce soit clair, j'entreprends ces travaux avec beaucoup d'ouverture d'esprit. Merci.

Auditions

Le Président (M. Simard) : Merci à vous, cher collègue. Alors, d'ici la suspension de nos travaux cet avant-midi, nous recevrons deux intervenants. Et nous commençons par M. Steve Waterhouse. Monsieur, êtes-vous bien avec nous en ce moment?

M. Steve Waterhouse

M. Waterhouse (Steve) : Oui, M. le Président.

Le Président (M. Simard) : Super! Heureux de vous accueillir. Alors, pour les fins de notre procès-verbal, auriez-vous l'amabilité de vous présenter à nouveau? Je dis «à nouveau» parce que, bien sûr, vous êtes un habitué de notre commission.

M. Waterhouse (Steve) : Certainement, monsieur. Je suis Steve Waterhouse, un ancien officier de sécurité informatique au ministère de la Défense nationale et chargé de cours au microprogramme, en maîtrise, à l'Université de Sherbrooke en protection de l'information, au volet prévention.

Le Président (M. Simard) : Merci. Alors, nous vous écoutons. Et vous savez que vous disposez de 10 minutes.

M. Waterhouse (Steve) : Merci, M. le Président. MM. les élus, merci. C'est une opportunité rêvée de partager ça avec vous alors que le présent projet de loi n° 95 est plus que nécessaire, il est primordial, comme j'entendais d'entrée de jeu. Témoins récemment de toutes ces fuites de données, collectivement, nous nous demandons à quand cesseront ces fuites, comment peut-on les prévenir.

En premier lieu, j'ai pour mon dire, c'est de réaliser qu'appliquer le principe de sécurité par l'obscurité n'a plus sa place au XXIe siècle. Comme dans tous les plans de protection et dans n'importe quel contexte, il faut connaître ce que l'on veut protéger et contre quoi. J'apporte souvent le point que les évaluations de menaces et des risques, les EMR, sont la base des prises de décision que tous les dirigeants, en fait, à n'importe quel niveau, pratiquent sur une base régulière.

Le cyberrisque, quant à lui, nécessite une attention particulière, car il en est suffisant... il en suffit de peu pour créer un événement malheureux de perte de données, qui en résulte souvent à des vols d'identité ou des demandes de rançon.

Il est reconnu, dans l'entreprise privée, qu'à bien des égards la classification d'information est réalisable en sept étapes, c'est-à-dire réaliser une évaluation des risques liés aux données sensibles, développer une politique de classification formalisée, découvrir l'emplacement de vos données, catégoriser les types de données, identifier et classer ces données, activer les contrôles de prévention et contrôler et maintenir les mesures.

Sept étapes appliquées globalement par le Conseil du trésor seraient à être reprises et travaillées à chacun des ministères, selon moi, afin qu'ils précèdent... procèdent, pardon, individuellement à leurs propres évaluations selon leurs missions. À titre d'exemple, le MAPAQ n'a pas autant de données que le ministère de la Santé et des Services sociaux à protéger et gérer, mais il doit appliquer quand même les mêmes règles de marquage d'information en sa possession.

L'administration publique s'est dotée d'une référence de base pour la classification des actifs informationnels au Québec, en 2016, appelée Guide de catégorisation de l'information ou, son sobriquet, PR-057, qui, à mon sens, n'est nullement le format et l'outil pour effectuer efficacement l'exercice de la classification à proprement dit. De procéder avec une évaluation par la disponibilité, l'intégrité et la confidentialité de base est un début mais n'est nullement pratique dans sa mise en application des quatre niveaux de... de sensibilisation, pardon, des données adoptés au PR-057, surtout dans l'identification des données sensibles selon leur évaluation.

Les provinces de l'Ontario, de la Saskatchewan, de la Colombie-Britannique, de l'Alberta, du Nouveau-Brunswick et du Yukon ont produit une politique de classification de l'information en inspiration du modèle du gouvernement fédéral, en annexe A du présent mémoire, depuis 2017. Une sorte d'uniformité dans les pratiques de classification facilite le partage des trucs et astuces entre les provinces et le fédéral. Du moins, il facilite l'implantation des cadres.

Et récemment les organisations qui utilisent la suite Microsoft Office 365 peuvent programmer les niveaux de confidentialité et étiquettes de rétention en fonction des stratégies et des politiques dédiées. L'idée est d'approcher le besoin de classifier adéquatement pour que ce soit rapide et efficace tout en appliquant une forme de prévention de diffusion non autorisée des données, par la vocation de prévention de pertes de données, en anglais, le «data loss prevention», vers l'extérieur du gouvernement du Québec.

Il est important d'apporter, dans cette politique, comment les données seront protégées, en traitement, composées ou modifiées, au repos, dans l'entreposage, en transit, donc dans la transmission de celles-ci, et de quelle manière les données physiques et électroniques seront détruites, en considération de leur niveau de classification, à la fin de leur vie utile.

À titre d'exemple, depuis plusieurs années existe un moyen de transmission des courriers électroniques sécuritaire via une infrastructure à clé publique au ministère de la Justice du Québec. Cette façon de faire pourrait servir l'ensemble du gouvernement, voire même avec le citoyen, lorsque le projet d'identité numérique sera à terme et mature. De cette façon, les informations en transit demeureraient confidentielles, un risque de fuite de moins, et adresseraient le besoin de signature numérique tel que mentionné dans les notes explicatives du présent projet de loi.

Dans ce projet de loi n° 95, il serait approprié d'adresser comment les contrats devraient exiger la cybersécurité pour tout développeur, agence qui gère les données citoyennes afin d'éviter les situations récentes comme avec le portail des garderies 0-5 ans et du portail Clic Santé. De ces situations, à qui revient la responsabilité de la posture de sécurité, voire la protection des données citoyennes de ces contractés? Les policiers pourront-ils prendre les dépositions des citoyens lorsqu'une plainte ou une divulgation pour fuite d'information leur est apportée?

Un exemple, comment c'est simple, à l'annexe B... présente une page, un tableau synthèse pour guider les contractuels, tout comme les fonctionnaires, à aller dans ce sens. La majorité des développeurs avec des projets similaires, ci-haut mentionnés, sinon pas tous, n'ont pas ou très peu de ressources en cybersécurité et documentent très peu les politiques publiques de protection des renseignements personnels et protection à la vie privée.

Merci à nouveau pour cette opportunité d'échange avec vous. Je suis maintenant disponible à répondre à vos questions.

Le Président (M. Simard) : Merci à vous, M. Waterhouse. Alors, je cède maintenant la parole au ministre, qui dispose de 16 min 30 s pour sa période d'échange.

M. Caire : Merci, M. le Président. Bien, d'abord, merci beaucoup, M. Waterhouse, de participer à cet exercice. Vous êtes un expert reconnu dans l'espace public, donc je pense qu'aujourd'hui les parlementaires vont avoir un grand bénéfice d'échanger avec vous.

D'entrée de jeu, puis ce n'est pas une question piège, là, parce que le gouvernement du Québec a sorti un schéma de catégorisation des données, justement... Parce que moi, je suis à la même enseigne que vous, je trouve qu'on doit... en fait, je suis convaincu qu'on doit cesser de catégoriser la donnée par celui qui l'utilise, parce que sinon une même donnée utilisée par la Santé devient protégée par tous les régimes de protection, mais, si elle est utilisée par le Tribunal administratif du logement, elle devient publique, et tout le monde peut s'en servir tout à fait légalement, sans contrainte. Donc, c'est un peu schizophrénique comme façon de faire. Et moi, je dis qu'on est à l'ère où on doit réfléchir et que la catégorisation de la donnée doit se faire sur la base de sa sensibilité et de sa valeur et non pas sur la base de celui qui s'en sert.

Maintenant, nous avons déposé à la Commission des institutions le modèle de catégorisation en sept niveaux, comme vous le prescrivez. Je ne sais pas si vous avez eu l'occasion de le voir. Et, si oui, j'aimerais ça avoir vos commentaires là-dessus.

• (9 h 50) •

M. Waterhouse (Steve) : M. le ministre, non, je n'ai pas eu l'occasion de voir et consulter ce document-là. Et j'ai pourtant cherché publiquement, avec les accès, donc, publics que j'ai, mais rien n'a transpiré dans ce sens, si jamais il a été publié, ce qui indique tout bonnement qu'il n'a pas été catégorisé, indexé, là, par les moteurs de recherche, évidemment.

Mais ça serait très intéressant parce que... Est-ce que c'est trop d'avoir sept niveaux de classification, alors que l'ensemble des provinces que j'ai mentionnées tout à l'heure, ils ont adopté quatre niveaux, tout simplement, pareil comme dans le PR-057, mais en relation avec le modèle du gouvernement fédéral de protégé A, B, C et public comme types de niveaux de sécurité?

M. Caire : Bien, c'est pour ça que j'aurais été intéressé à avoir vos commentaires là-dessus. Puis, ceci étant dit, cette commission parlementaire n'est pas la fin des échanges, donc je serai très heureux d'avoir vos commentaires là-dessus, effectivement.

Je vais vous amener peut-être sur un autre sujet, parce que je pense que, sur le mémoire tel que vous le déposez, je ne peux pas être plus d'accord que ça, là, puis, tu sais, on va se parler entre convertis, mais j'aimerais vous amener peut-être sur votre passé dans une organisation chargée de la cybersécurité. Le projet de loi n° 95, évidemment, va se baser sur la politique de cybersécurité du gouvernement du Québec. On tend à déployer le réseau. Donc, le vaisseau amiral est le Centre gouvernemental de cyberdéfense, mais chaque ministère se dote d'un centre opérationnel de cyberdéfense. Donc, l'idée, c'est d'avoir un réseau.

Évidemment, et on nous a fait le commentaire, puis je veux vous entendre là-dessus, la gouvernance, c'est une gouvernance de type militaire. Parce que la prétention que j'ai est à savoir que, quand on parle de cyberdéfense, bien, évidemment, on parle de procédures, on parle... les fameux SOP, là, qu'il faut avoir, on parle... qu'est-ce qu'il faut mettre en place comme mesures de protection, comment on doit réagir en amont, en aval d'une attaque, et tout ça. Le maître-mot, c'est le temps d'intervention. Plus ce temps est court, et plus l'intervention est efficace. J'aimerais vous entendre là-dessus. Est-ce que vous êtes plutôt du type : Oui, une gouvernance militaire ou vous dites : Non, je pense que... Parce que tout à l'heure vous parliez, là, de chaque ministère et organisme qui devrait catégoriser sa donnée. Êtes-vous du type plutôt... de dire : Non, il faut laisser chaque organisation s'occuper de sa sécurité? Comment vous, vous voyez ça, cette organisation-là?

M. Waterhouse (Steve) : Bien, M. le ministre, c'est de la musique à mes oreilles, de la façon que vous l'apportez, parce que je prône dans le même sens. Et, quand j'ai commencé avec la réseautique en 1994, 1995, les réseaux s'installaient au sein des différents ministères, au fédéral, et tout était à bâtir, un peu comme on est à l'étape, présentement... en discussion de cette commission.

Et je suis d'avis qu'il faut mettre en place une façon unifiée d'adresser le cyberrisque. C'est perdant... C'est perdu d'avance, je devrais dire, si tous les ministères commencent à faire une interprétation du cyberrisque à son niveau. Il faut qu'ils le fassent, oui, mais en unisson avec la politique centrale, qui, à ce moment-là, va donner les efforts qui vont tendre à la même direction. Sans quoi, ce sont tous des maillons faibles qui vont se tenir ensemble, et ce n'est qu'une question de temps avant qu'ils se fassent exploiter, comme c'est présentement la situation.

Or, oui, je suis dans le sens que ça devrait être une forme empirique, oui, pour dire : Avec des procédures, des façons de faire à la militaire, comme on dirait. Cependant, il faut qu'il y ait un changement profond de culture comme vous avez dit d'entrée de jeu. S'il n'y a pas cette culture-là de dire que la menace, elle est omniprésente 24/7, qu'on est sous attaque présentement, au moment où est-ce qu'on se parle, bien, les gens ne réaliseront pas qu'une grande fin de semaine de trois jours, bien, ce n'est pas vrai qu'il n'y aura pas d'attaque. Les belligérants, les factions en opposition le savent très bien, savent quand est-ce qu'on dort, savent quand est-ce qu'il y a des congés, et ce sont les moments d'opportunité qu'ils ont pour pouvoir, à ce moment-là, tenter de pénétrer le système et d'exploiter cette information-là.

M. Caire : Merci. Un autre objectif du projet de loi n° 95, qui est un changement de culture assez profond... Puis j'écoutais les collègues puis je suis tout à fait d'accord avec eux, de dire : La donnée appartient aux citoyens, et le gouvernement du Québec en est le dépositaire. Maintenant, ce n'est pas la réalité législative au Québec. La réalité législative au Québec, c'est : le citoyen est propriétaire de ses données, mais chaque organisme qui collecte la donnée en est le détenteur, et en a la responsabilité, et, je dirais même, n'a pas, de prime abord, la possibilité de le partager. Donc, on essaie d'induire un changement de culture qui dit : Effectivement, la donnée, elle appartient aux citoyens. Ça, je pense que, là-dessus, personne ne va avoir de longs débats.

Maintenant, quand c'est collecté par un organisme qui opère au nom du gouvernement du Québec ou à l'intérieur du gouvernement du Québec, il devient donc la responsabilité du gouvernement d'en assurer, oui, la protection mais aussi la mobilité, la valorisation, ce qui permet à un organisme de réutiliser la donnée plutôt que de la collecter et donc de surmultiplier les bases de données, et donc d'éclater complètement les centres, les sites où ces données-là sont conservées, conservées avec une expertise à géométrie variable, avec des moyens techniques et matériels à géométrie variable et donc qui augmentent significativement le risque que ces données-là fassent l'objet d'une fuite.

Donc, la philosophie qui est induite par le projet de loi n° 95 est de dire : On va instituer des sources de données, donc des organismes qui seront mandatés par le gouvernement pour collecter certains profils de données qui seront partageables dans le respect des lois. Et j'écoutais le député de La Pinière tantôt et je ne peux pas être plus d'accord avec lui que ça, il est clair que nos lois sur les protections des renseignements personnels doivent être mises au goût du jour. Ça, c'est le p.l. n° 64, là, mais, le p.l. n° 95, son rôle est de dire, que... dans le respect de ces lois-là, qui peut avoir accès à quoi et dans quelle forme aussi, parce que, quelquefois, il n'est pas nécessaire de communiquer un renseignement personnel, on peut simplement confirmer un état et sans communiquer le renseignement personnel.

Donc, c'est vraiment ça, d'avoir des sources de données officielles qui vont s'échanger des informations lorsque c'est requis par une prestation de services, dans le respect des lois actuelles, mais surtout en ayant cette capacité-là augmentée de sécuriser l'information, parce qu'il n'y aura pas surmultiplication des sites. Donc, ça, c'est la philosophie. J'aimerais ça vous entendre là-dessus, M. Waterhouse. Comment vous, vous voyez ça? Est-ce que vous voyez des lacunes à cette façon de faire là, des avantages? Comment vous abordez ça, vous?

M. Waterhouse (Steve) : Bien, M. le ministre, premièrement, je suis d'accord avec vous, il faut que ça soit dans le respect du citoyen, parce que, présentement, le citoyen est échaudé avec les multiples fuites de données internes, au gouvernement du Québec, comme à l'externe, avec un paquet de compagnies comme on en entend à chaque semaine. Et le citoyen veut tout simplement s'assurer qu'à chaque soir qu'il se couche il n'y aura pas, le lendemain matin à la une du journal, une fuite d'informations qui va, à ce moment-là, lui peser sur les épaules, encore une fois, pour les prochaines 20, 30, 40, 50 années en amont.

Devant cette possibilité-là, c'est certain que plus qu'il y a de disparités dans la façon de gérer la donnée, comme on disait tout à l'heure, avec la classification, bien, plus il y a de moyens qui ne seront pas mis en place pour protéger adéquatement la sensibilité de ces données. Prenons, par exemple, lorsqu'il y a des contrats, comme on parle... on a parlé récemment, avec les différents fournisseurs, et qu'ils doivent... du donneur d'ouvrage, exécuter une tâche x, mais qu'il n'y a pas de supervision quant à la réalisation pour effectuer des vérifications d'usage une fois le projet complété. Est-ce que ça rencontre toutes les normes et est-ce que ça respecte aussi la sécurité, l'intégrité et la disponibilité qui est attendue d'un service gouvernemental? Si ça, c'est toujours absent des contrats qui sont donnés à l'extérieur, parce que l'expertise est là, il ne faut pas se le cacher, bien, c'est certain qu'il y a nécessairement un gros potentiel de fuite de données, si ce n'est pas pour dire de mise à risque des données citoyennes, qu'il soit à l'extérieur ou à l'interne du gouvernement du Québec.

• (10 heures) •

M. Caire : Oui, bien, merci beaucoup pour cette réponse-là, mais je veux quand même vous amener peut-être un petit peu plus loin, parce qu'on est vraiment au niveau de la configuration de comment on peut s'échanger des données.

Et allons-y sur la base des contrats dont vous parlez. Est-ce que ces contrats-là nécessitent implicitement ou explicitement que des données soient collectées? Est-ce que ce n'est pas la première question qu'on devrait se poser? Parce que malheureusement, dans le modèle actuel, lorsqu'il y a prestation de services, le réflexe est de collecter une donnée que l'on possède déjà.

Prenons l'exemple de Place 0-5 ans. Il n'y avait pas d'information là-dedans qui n'était pas connue du gouvernement du Québec. Donc, est-ce que cet organisme-là avait besoin de se faire le collecteur et le dépositaire d'autant d'informations que le gouvernement possédait déjà? C'est un petit peu dans ce sens-là que je pose ma question, parce que, si on limite la collecte de données, si on limite le nombre de sites où une même donnée va se retrouver entreposée, est-ce qu'on ne limite pas du même coup les risques qui sont inhérents aux fuites de données? C'est un petit peu ça, le sens de ma question.

M. Waterhouse (Steve) : Bien, tout à fait, je réponds à la positive de votre question. Et c'est tout simplement d'établir des moyens techniques par lesquels il y a entente et collaboration entre le donneur d'ouvrage et l'exécutant. Ça va de soi. Maintenant, est-ce que les systèmes, à l'intérieur des différents ministères, qui vont à l'extérieur sont prêts à recevoir une connectivité de l'extérieur de manière sécurisée permettant justement de puiser ou échanger des données selon le type d'application?

Mais j'ai pour mon dire, M. le ministre, que toute application développée à l'externe devrait revenir à l'intérieur, sur l'infrastructure du gouvernement, pour ainsi assurer la pleine confidentialité de toutes les données qui seraient utilisées. Ça serait beaucoup plus sécuritaire, à mon sens, de le pratiquer de cette façon-là plutôt que de dépendre que l'entité vers laquelle on a demandé une tâche, une exécution ou un travail x... bien, qu'elle respecte en tous points cette façon-là. Parce qu'on a épluché plusieurs de ces fournisseurs, et très peu respectent les fondements de base de la cybersécurité. Parce qu'eux, ils produisent tout simplement un produit, un logiciel, peu importe l'outil, pour être, à ce moment-là, disséminé, puis il y en a qui le font de façon très cavalière. Alors, c'est pour ça que je réitère que ça devrait être ramené à l'intérieur du gouvernement pour que ça soit bien pris en charge, supervisé et encadré.

M. Caire : Bien, en fait, il y a deux éléments, dans votre réponse, que je voudrais discuter ou que je voudrais explorer avec vous peut-être de façon plus précise. Le premier élément, c'est l'accès à l'information. Le deuxième élément, c'est l'utilisation d'applications.

La politique de cybersécurité — puis, bon, on ne se le cachera pas, là, M. Waterhouse, là, que vous avez collaboré à l'élaboration de la politique de cybersécurité, donc je pense que vous la connaissez bien — prescrit effectivement qu'avant de déployer une application ou de mettre en ligne un site on devrait vérifier l'état de sécurité, le fameux «security by design», là, qui est prévu par la politique de cybersécurité. Je ne vous le cache pas qu'il est actuellement appliqué à géométrie variable, là. Mais ça, c'est effectivement un des rôles du Centre gouvernemental de cyberdéfense de s'assurer que ça, c'est fait.

Donc, ce que vous dites, c'est que, dans le fond, quand une entreprise signe une entente avec le gouvernement, on devrait traiter ces systèmes comme des systèmes à être déployés. Donc, il faudrait les tester, il faudrait s'assurer qu'ils sont sécuritaires, dans un premier temps. Ça, c'est ma question... si j'ai bien compris ce que vous dites.

Puis, dans un deuxième temps, ce que vous dites, ce n'est pas tellement qu'il faut négocier des paramètres de sécurité avec les entreprises mais de discuter de paramètres d'accès aux systèmes du gouvernement, qui, eux, seraient évidemment préjugés sécuritaires. Est-ce que j'ai bien compris, là, ce que vous nous dites?

M. Waterhouse (Steve) : Bien, je vais le repréciser. Dans un premier temps, les exigences du ministère devraient faire, à ce moment-là, office d'obligation que... L'exécutant devrait se conformer, parce que le gouvernement apporte, à ce moment-là, des données qui sont sensibles, sont réputées sensibles, donc plus sensibles... qu'eux travaillent des données publiques. À ce moment-là, vous serez d'accord comme moi que c'est d'appliquer toujours les mesures les plus contraignantes selon la sensibilité qui est à traiter.

Donc, dans un premier temps, ce serait peut-être d'avoir des systèmes de développement qui seraient soit parrainés par le gouvernement ou, du moins, rendus sécuritaires, aux normes du gouvernement, hébergés chez l'exécutant ou à l'intérieur du gouvernement, reste à définir, mais il reste toujours bien... que le gouvernement doive avoir son mot à dire sur où le développement, le traitement de l'information sera fait, et par la suite comment est-ce que cette information-là doit être interprétée et lue. Donc, si...

Puis, à l'annexe B, c'est pour ça que je l'apportais, ce petit résumé là qui... c'est l'agence de transport CATSA, à l'aéroport, que, eux, bien, ils répondent des normes du gouvernement fédéral et ils ont mis une façon assez simple de résumer ce qu'ils doivent respecter en termes de traitement d'information, l'acheminement, l'archivage, etc. Et, si ce genre d'annexe là est apporté, en exemple, là, vers les exécutants d'un contrat : Bien, voici les exigences que le gouvernement du Québec s'attend de vous... Et ça, il faut que ce soit imposé, il ne faut pas que ce soit suggéré, parce que, si c'est suggéré, c'est clair qu'ils vont en disposer. Ils vont aller le chemin le plus court pour accomplir la tâche, pour se faire payer rapidement mais...

M. Caire : D'où l'idée de le mettre dans les clauses contractuelles.

M. Waterhouse (Steve) : Définitivement. Puis c'est ça que j'apportais dans les notes d'entrée, parce que, si ce n'est pas présent, même s'ils le disent haut et fort : Oui, oui, oui, on est pour les bonnes vertus, on s'attend de toujours protéger la cybersécurité, on sait que c'est important, mais qu'il n'y a personne qui est impliqué, en termes de métiers de cybersécurité, dans les organisations, c'est certain que ça va passer à côté, puis on a des résultats comme on voit dans les journaux.

M. Caire : O.K. Et, dans les clauses contractuelles, au fond, ce que vous nous dites, c'est qu'il serait prescrit qu'on doit respecter les normes, les standards et les politiques du gouvernement. Donc, vous n'y allez pas de façon méta, à savoir vous devez avoir telle ou telle application. Ce que je veux dire, c'est qu'on ne serait pas à l'étape de dire : Pour faire affaire avec le gouvernement, vous devez utiliser tel ou tel type de système. On est vraiment, vous le dites, dans un sens plus large.

M. Waterhouse (Steve) : Il faut. Il faut, parce qu'à ce moment-là, comme on dit en anglais, ça va être «future-proof», ça va être à l'épreuve du temps. Et, si vous précisez, au moment précis d'aujourd'hui, une telle méthode, un tel outil, bien, dans cinq ans, six ans, si ce n'est pas vous qui êtes encore en poste, votre successeur, il aura oublié comment ça a été fait, et, à ce moment-là, ça devient une méthode ou un moyen qui est vétuste et qui n'est plus à jour. Et, à ce moment-là, ils vont respecter la norme, c'est écrit noir sur blanc, mais ils vont être en deçà des normes au moment où est-ce que ce sera utilisé. Ça fait que c'est pour ça que c'est de le mettre selon les règles en vigueur...

Le Président (M. Simard) : En conclusion.

M. Waterhouse (Steve) : ...de telle référence, le plus large possible.

M. Caire : M. le Président, est-ce que je comprends que mon temps est expiré?

Le Président (M. Simard) : Tout à fait. Et vous aviez d'ailleurs 17 min 30 s.

M. Caire : 16 minutes?

Le Président (M. Simard) : Non, vous aviez 17 min 30 s parce que M. Waterhouse n'avait pas pris tout le temps qui lui était imparti, donc nous l'avons réparti dans chacun des groupes parlementaires. Alors, vous avez écoulé votre temps.

M. Caire : Alors, permettez-moi de remercier M. Waterhouse pour cette très intéressante conversation.

Le Président (M. Simard) : Très bien. Conséquemment, puisque le député de René-Lévesque ne sera pas présent, du moins dans le cadre de la première intervention, y aurait-il consentement afin que nous puissions répartir équitablement entre les deux groupes d'opposition les 2 min 45 s qui lui étaient allouées?

M. Caire : Consentement.

Le Président (M. Simard) : Y a-t-il consentement de tous les collègues?

Des voix : Consentement.

Le Président (M. Simard) : Très bien. Ce qui ferait que, puisque vous aviez déjà un peu plus de temps que prévu également pour l'opposition, grosso modo, je calcule à vue d'oeil en regardant mon secrétariat, vous disposeriez, M. le député de La Pinière, d'environ 13 minutes.

M. Barrette : Ah! 13 minutes?

Le Président (M. Simard) : Bien oui. Vous ne pouvez pas dire qu'on n'est pas généreux avec vous ce matin.

M. Barrette : Bien, vous êtes d'une grande générosité. Je vais le prendre puis j'en suis très heureux. Alors, allons-y. Alors, bonjour, M. Waterhouse.

M. Waterhouse (Steve) : M. le député.

M. Barrette : Bien, bienvenue, évidemment, à cette commission-ci. Écoutez, je vais... pour le bénéfice de ceux qui nous écoutent, je vais quand même établir une chose. Je ne pense pas que ça ait été établi précédemment. Le ministre nous a informés que vous aviez été consulté pour la rédaction ou, du moins, la réflexion qui a mené à la rédaction du projet de loi n° 95. C'est exact?

M. Waterhouse (Steve) : Bien, au même titre que, présentement, je présente devant vous.

M. Barrette : Non, non, je comprends, mais c'est parce que c'est important pour les gens qui nous écoutent de savoir que vous avez participé à la rédaction du projet de loi. Ce qui ne me dérange pas du tout, là.

M. Waterhouse (Steve) : Bien, je n'ai pas participé à la rédaction du projet de loi, M. le député, là, seulement à la politique...

M. Caire : C'est à la politique de cybersécurité, M. le député.

Le Président (M. Simard) : M. le ministre, pour l'instant, la parole ne vous appartient pas. La parole n'appartient qu'au député de La Pinière. Monsieur, veuillez poursuivre.

M. Barrette : Ce n'est pas grave, M. Waterhouse. C'est simplement pour établir que vous avez été dans la game, si vous préférez, là. Je ne veux pas vous prêter ni d'intentions ni de responsabilité. Ça fait mon affaire que vous... Vous avez été là pendant le processus qui a mené le ministre à déposer son projet de loi. Parce que, quand je lis votre mémoire, votre mémoire est quand même critique, de façon significative, de la situation actuelle.

• (10 h 10) •

M. Waterhouse (Steve) : Oui.

M. Barrette : Bon. Vous considérez, quand je lis votre mémoire, que la situation actuelle en matière de... pas juste de cybersécurité mais en matière de sécurité au sens global du terme... qu'elle laisse à désirer. Et ce n'est pas une critique du gouvernement actuel ni des précédents. C'est l'État qui est de même. L'État est rarement contemporain dans sa gestion des données. Ça, on va dire ça comme ça. C'est ce que vous constatez à la grandeur du gouvernement. Donc, il y a lieu d'agir.

M. Waterhouse (Steve) : Oui, monsieur. C'est le constat aussi de d'autres professionnels de la cybersécurité en province aussi.

M. Barrette : C'est d'autant plus intéressant d'avoir ce bout de conversation là qu'on arrive avec un projet... on a actuellement, comme je l'ai dit dans mon introduction, deux projets de loi, là, qui traitent de sécurité des données ou de gestion de la donnée. Il y a le 64, il y a le 95. Manifestement, il était temps d'agir, parce qu'on n'est pas très, disons, à date dans nos standards de gestion de la donnée. On s'entend là-dessus.

M. Waterhouse (Steve) : Tout à fait.

M. Barrette : Bon. Un coup que j'ai dit ça, là, quand j'ai lu votre mémoire, la première réflexion qui m'est venue à l'esprit est la suivante, puis là je vous demande votre opinion, vous avez vu le gouvernement, vous avez été consulté pour une partie de la cybersécurité... je suis obligé de conclure, à la lecture de votre mémoire, que jamais, au grand jamais, la loi n° 95, même si elle est adoptée, par exemple, d'ici trois semaines, ne devrait être mise en application tant que ce que vous avez évoqué dans votre mémoire n'a pas été corrigé.

M. Waterhouse (Steve) : Bien, c'est le but de la présente discussion, je crois, M. le député, et j'espère qu'elle sera considérée, ce que j'apporte, et les autres qui me suivront apporteront aussi comme réflexions, parce que c'est important, à ce moment-ci, de bien redresser qu'est-ce qui n'est pas en place et de mettre les jalons qui sont nécessaires à tracer le chemin de demain. Parce que, présentement, oui, le gouvernement, il est 20 ans en arrière, M. le député, et, s'il y en a qui ne croient pas ça, bien, désolé, là, je vous l'apporte en réflexion, parce que le gouvernement du Québec comme d'autres aspects gouvernementaux à travers le pays n'ont pas suivi l'évolution technologique, et elle va d'une vitesse à grand V. Et, si personne ne met, justement, un chemin, des balises avec lesquelles s'aligner pour le futur, bien, c'est certain, le gouvernement du Québec sera toujours à la remorque des événements et non pas un leader en avant.

M. Barrette : Donc, je comprends votre réponse, là. Elle va dans le sens que... dans le même sens que moi, mais moi, je vais un pas plus loin, là. Le pas plus loin, c'est qu'avant de mettre des données, 95, là, ce dont on parle aujourd'hui, va mener à, mettons... on va résumer, là, on va avoir une espèce de hub où la donnée va se retrouver ou, du moins, va transiger. Ce que vous nous dites, là, et ce que je dis, là, c'est qu'avant que quoi que ce soit circule dans ce hub-là, là, il va falloir que tout au complet soit mis en place, complètement et non partiellement. Est-ce qu'avec ça vous êtes d'accord ou non?

M. Waterhouse (Steve) : Je suis d'accord, M. le député, parce que, sinon, ça va créer des maillons faibles, et ils seront un autre élément de risque et de contention.

M. Barrette : Parfait. On s'entend là-dessus. J'ai bien compris votre mémoire et votre pensée.

Maintenant, quand je lis votre mémoire, et vous en avez vous-même fait... vous y avez fait référence dans l'échange que vous venez d'avoir avec le ministre, je comprends que vous avez établi, dans votre mémoire, un maximum. Et même le fédéral n'est pas au maximum. Est-ce que j'ai bien compris?

M. Waterhouse (Steve) : M. le député, je ne comprends pas le maximum que vous référez.

M. Barrette : Bien, vous avez mis les... Dans la catégorisation, par exemple, là, vous avez mis un certain nombre de catégories. Sept, de mémoire. Vous avez constaté qu'au fédéral il y en a quatre. C'est dans ce sens-là. Est-ce que, quand vous, vous parlez d'un certain nombre de catégories, pour prendre cet exemple-là, il est absolument nécessaire... Est-ce que le fédéral, ça devient un point de référence qui est un cran en dessous de ce qu'on devrait faire, ou c'est le maximum que personne n'atteindra jamais dans le public, ou est-ce qu'à l'inverse, à l'inverse, on se contente d'un minimum?

M. Waterhouse (Steve) : Oui, je comprends votre question maintenant. Ayant évolué avec le système fédéral, puis c'est quand même un modèle mature d'une cinquantaine d'années, il y a trois niveaux qui ne sont pas d'intérêt national et trois niveaux d'intérêt national. Et ça, cette norme-là, avec laquelle les autres provinces, je mentionnais, se sont inspirées, d'avoir un minimum, puis ça, c'est dans l'industrie privée aussi, ça se passe comme ça, quatre niveaux, trois niveaux, c'est pas mal la norme qui est établie. Ça se veut, à ce moment-là, de vraiment mettre des catégories minimales pour, à ce moment-là, identifier qu'est-ce qui est critique de qu'est-ce qui l'est moins pour appliquer les bonnes mesures.

Si on en met plus pour être capable de vraiment granulariser la classification de ces données-là en importance et en sensibilité, surtout, bien, peut-être que ce sera trop onéreux d'en mettre sept versus quatre, trois ou cinq, peut-être. C'est un exercice qui est à revoir. Et, comme le ministre me le mentionnait tout à l'heure, le ministre Caire, bien, j'aimerais bien ça voir ce plan de sept catégories, qui serait intéressant à travailler, mais j'ai pour mon dire que quatre, c'est quand même, à date, une norme, appliquée par toutes les autres provinces mentionnées plus tôt, qui ferait en sorte qu'on va faire un travail de fond très intéressant.

M. Barrette : Est-ce que je dois comprendre que, dans votre esprit, le niveau de sécurité est équivalent selon le... pour chacun des niveaux et que c'est la granularisation qui change en passant de quatre à sept?

M. Waterhouse (Steve) : Fort probablement. Il faudrait que je voie en détail les sept classifications qui sont énumérées ici, mais, définitivement, il faut qu'il y ait rattaché, à ce moment-là, importance de la donnée versus niveau 4, versus niveau 5, 6 et 7, etc., plus quelles sont les mesures à appliquer pour la protéger, cette donnée-là, en transit, en repos, en destruction. C'est tout ça qui vient faire en sorte... Plus qu'il y a de niveaux, plus ça devient complexe à gérer dans le temps. En mettre quatre, niveaux, à date, c'est très simple à respecter, mais, quand on parle de sept, bien, à ce moment-là, il va falloir s'équiper pour travailler plus longuement.

M. Barrette : Donc, vous, vous liez, et ça, ça a un impact dans toute décision gouvernementale... vous liez un coût aux niveaux en question. Et plus...

M. Waterhouse (Steve) : Définitivement.

M. Barrette : Bon. Et puis là je ne sais pas dans quel ordre, là, vous les mettez, là. Le plus coûteux, ça doit être 1, j'imagine, ou 7, je ne le sais pas, là.

M. Waterhouse (Steve) : Bien, le plus sensible... En fait, l'élément le plus sensible, admettons, les stratégies du cabinet du premier ministre, bien, il faut-tu qu'elles soient... présentement, devraient-elles être classifiées au même titre que le rapport d'impôt d'un citoyen? La réponse est non. Donc, comment est-ce qu'on protège les secrets cabinet, si on peut juste interpréter ça comme ça pour l'instant, pour l'exemple, et quel moyen de cryptographie on va appliquer? Quel moyen pour transporter l'information entre deux personnes? Est-ce qu'un courrier électronique normal est suffisant? La réponse, c'est non. Bon, bien, avec quels moyens qu'on protège cette transmission? Et, après coup, c'est quoi, la durée de vie d'une donnée secret cabinet? Est-ce qu'elle doit être archivée? Si oui, comment, combien de temps, etc. Il y a toutes des politiques comme ça. Les sous-politiques doivent être dérivées pour, à ce moment-là, compléter la désignation de ce niveau de sécurité. Et, comme vous dites, peut-être, niveau 7, ce serait le plus important.

Et après ça, quand on arrive à la donnée publique, bien, la donnée publique, c'est qu'est-ce qu'on retrouve sur Internet pour tout le monde, mais la donnée collectée par un ministère au gouvernement, confiée à ce gouvernement-là, ne devrait certainement pas être de l'information publique. Donc, de cette perspective, c'est d'identifier comment est-ce que le gouvernement, le ministère protège l'information citoyenne, de quel niveau, etc. Ça, c'est qu'est-ce qui devrait être relié étroitement à cette classification.

M. Barrette : Bien là, je vais vous faire rire, là, mais, pour le citoyen moyen, là, je pense que sa donnée est plus importante que la stratégie du premier ministre. Avec tout le respect que je dois au premier ministre, là, je pense que le dommage de la fuite de la donnée du premier ministre va toucher le premier ministre, alors que la banque de données, elle, de citoyens, au pluriel, ça m'apparaît plus dommageable. Je ne pense pas que la donnée stratégique du premier ministre va permettre de voler son identité et de faire un emprunt, de contracter une hypothèque à son nom, là, alors que dans d'autres...

M. Waterhouse (Steve) : Non, mais la perte de stratégie provinciale envers, exemple, des transactions hydroélectriques interprovinciales pourrait endommager les relations gouvernementales. Ça, pour moi, c'est important.

M. Barrette : Non, c'est vrai. Je ne vous dis pas que ça n'a pas de valeur, là. Je vous dis que, pour le citoyen lui-même, là, le citoyen lambda, là, lui, là, il se considère 7, lui, là, si le 7 est le maximum.

M. Waterhouse (Steve) : Tout est relatif du point de vue qu'on le regarde, effectivement.

M. Barrette : O.K. Alors, vous, là, je n'ai pas vu... ou peut-être que j'ai mal lu votre mémoire, je n'ai pas vu de priorisation dans les niveaux. Est-ce que j'ai mal lu?

M. Waterhouse (Steve) : Bien, tout est à définir, M. le ministre, parce que... Moi, je préconise le niveau... le modèle fédéral qui... Il y a trois niveaux de base d'intérêt non national, A, B et C, C étant le plus grave, A étant le moins grave dans son importance, comme d'autres provinces l'ont appliqué de cette manière-là, alors que le PR-057, bien, lui, il le réfère à niveau 1 à 4, 4 étant le plus grave.

M. Barrette : O.K. Bien là, vous préférez lequel dans les deux, là?

M. Waterhouse (Steve) : Je préférerais un modèle aligné sur le modèle fédéral, sachant sa simplicité et son efficacité, qui a été prouvée à travers le temps. Mais, à ce moment-là, ça reste à définir et de le mesurer, de le jauger, là, dans le temps. Mais il faut nécessairement qu'il y en ait une, façon de catégoriser, de classifier cette information-là, dès que possible.

M. Barrette : O.K. Quand vous regardez la situation, parce que vous avez quand même fait un survol de la situation, quand vous regardez l'ensemble de la... je suis-tu obligé de conclure, puis vous me confirmerez ou non, qu'au bout, à la clé, là, il y a du personnel en quantité significative, là?

M. Waterhouse (Steve) : Vous avez été entrecoupé. Pourriez-vous répéter, s'il vous plaît?

M. Barrette : J'ai dit : Quand j'écoute... quand je lis votre mémoire et que j'écoute vos commentaires, je suis obligé de conclure qu'en bout de ligne, pour se rendre au bon niveau, on a de l'embauche à faire.

• (10 h 20) •

M. Waterhouse (Steve) : Pas autant de l'embauche, M. le ministre, que de former de manière qualitative les gens soit en place ou à venir à l'intérieur des enceintes du gouvernement, parce que, nécessairement, ce n'est pas... c'est une nouvelle science, c'est une nouvelle façon de travailler, et qu'est-ce qui a été appris voilà 25 ans n'est pas nécessairement à jour pour qu'est-ce que... le travail est à faire aujourd'hui.

La classification d'information, la gestion d'information, oui, c'est intemporel, d'une certaine façon, mais, la façon de le faire moderne, bien, il faut que les gens soient à jour pour être capables d'apporter les meilleures solutions possible.

M. Barrette : M. le Président, il me reste combien de temps?

Le Président (M. Simard) : 40.

M. Barrette : 40 secondes. O.K. Vous estimez, pour faire cette transition-là, que ça prendrait combien de temps?

M. Waterhouse (Steve) : Bonne question. Le moins de temps possible, c'est certain. Mais il faut qu'ils soient concentrés, les efforts, dès maintenant pour être capable de développer, justement, une méthodologie qui soit applicable dans les plus brefs délais. C'est la meilleure réponse que je peux vous générer à ce moment-ci.

M. Barrette : Oui, mais «ballpark», là. Vous avez été dans des grandes organisations, vous là, là. Pour arriver, là... «Ballpark», là. Je ne vous demande pas à la seconde, au jour, au mois près, là, à la limite, même pas à l'année près. C'est une transition qui prend combien de temps avant d'être fonctionnelle avant de partager les données, là?

M. Waterhouse (Steve) : Est-ce qu'on parle d'une transition en partant de zéro et créée à partir de rien ou convertir qu'est-ce qui est en place?

M. Barrette : Non. À partir de ce que vous avez vu à date, là.

M. Waterhouse (Steve) : Bien, c'est de convertir qu'est-ce qui est déjà en place. Et, je vous dirais, il faut prendre le temps qu'il faut. Et est-ce qu'un an... Je pourrais dire... prescrire un an, c'est certain, mais il faut le faire le plus rapidement possible. J'aimerais ça que ce soit fait le mois prochain.

Le Président (M. Simard) : Très bien. Alors, cher collègue, malheureusement, nous devons arrêter ici.

M. Barrette : Merci, M. Waterhouse.

M. Waterhouse (Steve) : Bienvenue, monsieur.

Le Président (M. Simard) : Merci à vous également, cher collègue. Je cède maintenant la parole au député de Rosemont, qui dispose d'environ 4 min 10 s.

M. Marissal : Merci, M. le Président. Merci au PQ de m'avoir donné ces quelques secondes. Je vais franchir le cap des quatre minutes. M. Waterhouse, je vais commencer là où a commencé mon collègue de La Pinière mais avec une question beaucoup plus pointue. Avez-vous été rémunéré pour avoir participé à l'élaboration de la politique de cybersécurité du gouvernement?

M. Waterhouse (Steve) : Aucunement. Même pas le stationnement de payé, aucun café.

M. Marissal : O.K. Très bien. Vous comprenez la question. Si c'est bon pour vous, c'est bon pour nous de le savoir, parce que, de la façon dont ça avait été dit, on aurait pu penser que vous aviez été mis à contribution, ce qui, évidemment, changerait votre rôle ici. Alors, je suis heureux de l'entendre. Et merci de votre contribution bénévole.

Quand on regarde la liste des témoins, vous en êtes le premier, et c'est bien, je pense que vous deviez figurer pas mal au top de la liste, au-dessus de la liste, devrais-je dire, de tous les partis ici représentés. On reconnaît votre expertise. Mais moi, je m'étonne, en regardant la liste, de un, de voir qu'elle est plutôt courte. On a neuf ou 10 groupes à ce jour, alors que le ministre, paradoxalement, parle de droit nouveau, de territoire à défricher, de révolution, puis là on va «wraper» ça, on va fermer ça en quelques jours, deux jours, là, de témoins. Je trouve ça paradoxal. J'aimerais ça vous entendre là-dessus.

Et ce que je trouve particulièrement paradoxal, c'est qu'il n'y a pas de collecteur de données de l'État dans la liste qui a été retenue par le gouvernement. Je pense, par exemple, à la RAMQ, là, qui est probablement... et Revenu Québec, qui sont les deux plus gros collecteurs de données. Serait-il utile de les entendre?

M. Waterhouse (Steve) : Bien, les entendre pour... Eux, ce sont des exécutants dans l'accumulation des données, puis ils vont dire : Bien, nous, on regarde vers le haut, on attend que les politiques descendent pour être capables d'exécuter leur mission. Je ne sais pas qu'est-ce qu'ils auraient apporté de plus, à part d'élaborer ou d'énumérer un constat d'où ils en sont et où ils veulent aller, peut-être. Ça, c'est comme ça que j'entends qu'ils auraient pu contribuer et donner un état de la situation dans laquelle ils baignent, manquant de ressources, manquant peut-être de stratégie. Ça, c'est la façon que j'aurais pu voir leurs apports.

Mais, les autres professionnels qui sont manquants à l'appel, c'est peut-être parce qu'ils sont justement submergés de travail, tellement qu'il y en a à faire. Ils n'ont peut-être pas entendu l'appel au moment opportun. Il y a plein de facteurs comme ça qui expliquent mal pourquoi qu'il n'y a pas plus d'appelés ici aujourd'hui.

M. Marissal : Mais on est d'accord pour dire que ces deux entités-là, là, que je nomme, par exemple, là, RAMQ, puis c'est à dessein que je le fais, là, il y a eu des débats là-dessus déjà, et Revenu Québec, vont devoir, au premier chef, participer, là, à ce qu'on est en train de faire là.

M. Waterhouse (Steve) : Bien, moi, je les vois juste comme des exécutants. Une fois que la politique sera dessinée et la stratégie sera adoptée et descendue, ça ne doit pas devenir un débat mais bien une exécution en partance de la stratégie globale, et qu'ils puissent à ce moment-là arrimer leurs procédures en fonction de cette stratégie-là, sans quoi ça va devenir une boucle sans fin, et, comme le député de Lotbinière le mentionnait tout à l'heure, l'échéancier ne sera jamais atteint parce que ce sera toujours en termes de poursuite de discussions et de remises en question de tout ce qui devrait être fait.

Alors, j'ai pour mon dire, M. le député, il faut que ce soit, à un moment donné, avec des décisions. Et, comme disait le ministre Caire tout à l'heure, oui, il faut que ce soit à la militaire, à un moment donné, il faut que ce soit directif, sans quoi ça va toujours être à recommencer.

M. Marissal : Je crois que vous vouliez dire le député de La Pinière, si je ne m'abuse.

M. Waterhouse (Steve) : La Pinière. J'ai dit... La Pinière, excusez.

M. Marissal : La Pinière. Ce n'est pas grave. On se confond souvent. Il y en a 125, puis ça se ressemble parfois un peu, dans l'orthographe à tout le moins.

Vous avez dit tout à l'heure, puis je pense que votre constat est partagé, là : Le gouvernement du Québec est 20 ans en arrière. Moi, je suis un gars prudent dans la vie, là, puis je ne hais pas ça, faire ça par étapes, puis je me dis : Ne serait-il pas préférable de rattraper le retard, du moins en grande partie, avant de se relancer dans une nouvelle révolution où on parle de valorisation de données, où on ouvre toutes sortes de nouvelles avenues?

M. Waterhouse (Steve) : Tout dépend, M. le ministre... M. le député, pardon, de quelle façon on le voit, parce que moi, j'ai... De la façon que le projet de loi n° 95 va apporter, c'est vraiment d'actualiser qu'est-ce qui a été fait par le passé puis de le mettre au goût moderne. Moi, c'est de la façon que je l'ai compris. C'est comme faire faillite puis de repartir. Donc, qu'est-ce qui a été fait par le passé, aussi chambranlant que c'est, comme je le décris, pour dire que le gouvernement est en retard de 20 ans...

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : ...en sorte que ça va...

Le Président (M. Simard) : Très bien.

M. Marissal : Merci, M. Waterhouse.

M. Waterhouse (Steve) : Merci.

Le Président (M. Simard) : Alors, merci. Merci beaucoup, M. le député de Rosemont. M. Waterhouse, merci pour votre intervention et votre contribution à nos travaux.

Sur ce, nous allons suspendre quelques instants, le temps de faire place à nos prochains invités.

(Suspension de la séance à 10 h 27)

(Reprise à 10 h 39)

Le Président (M. Simard) : Donc, chers collègues, nous sommes en mesure de reprendre nos travaux. Et nous sommes en compagnie des représentants de la Commission d'accès à l'information du Québec. Madame, monsieur, soyez les bienvenus. Pour les fins de nos procès-verbaux, auriez-vous l'amabilité de vous présenter, s'il vous plaît?

Commission d'accès à l'information (CAI)

Mme Poitras (Diane) : Alors, bonjour. Je suis Diane Poitras. Je suis présidente de la Commission d'accès à l'information. Et je suis accompagnée de Me Jean-Sébastien Desmeules, secrétaire général et directeur des affaires juridiques à la commission.

Le Président (M. Simard) : Bienvenue. Vous savez que vous disposez de 10 minutes pour votre présentation.

• (10 h 40) •

Mme Poitras (Diane) : Merci, M. le Président. Alors, d'abord, bonjour à tous et merci pour cette invitation à prendre part aux présentes consultations particulières au sujet du projet de loi n° 95.

C'est un projet de loi qui vise plusieurs objectifs, et il s'inscrit dans la foulée de plusieurs autres initiatives et doit donc être analysé en tenant du compte de celles-ci, et je parle entre autres, évidemment, du projet de loi n° 64, qui propose une réforme des lois sur la protection des renseignements personnels. La commission ne commentera que les dispositions du projet de loi qui ont un impact sur la protection des renseignements personnels compte tenu, notamment, du temps qui lui est imparti et des conséquences importantes de ce qui est proposé sur les renseignements personnels et la vie privée des citoyens et citoyennes du Québec.

Avant d'aborder ces conséquences, la commission tient à souligner que la transformation numérique de l'administration publique peut et doit s'effectuer dans le respect des principes de protection des renseignements personnels — la Stratégie de transformation numérique gouvernementale insistait d'ailleurs sur le respect de ces principes — et, de l'avis de la commission, le projet de loi s'écarte de cet engagement. En effet, le très vaste régime d'exception qui est proposé par le chapitre II.4 du projet de loi aurait pour effet de remplacer, à toutes fins pratiques, le régime général de la Loi sur l'accès pour les renseignements personnels numériques. Et je m'explique.        

Pour bien comprendre les conséquences du projet de loi, il est utile de rappeler brièvement ce qu'est la protection des renseignements personnels puis de prendre la mesure de la portée des modifications proposées à la Loi sur la gouvernance et la gestion des ressources informationnelles.

Alors, commençons par la protection des renseignements personnels. À titre de composante du droit à la vie privée, qui est protégé par la charte, la protection des renseignements personnels, ça comprend un ensemble de principes qui visent à donner au citoyen le contrôle sur ses informations, principalement par le biais du consentement. Ces principes vont bien au-delà des seuls enjeux relatifs à la confidentialité ou à la sécurité de l'information. En résumé, ils prévoient qu'il faut limiter la collecte, l'utilisation, la communication et la conservation des renseignements personnels à ce qui est nécessaire. Ce sont à ces principes et au principe du consentement que certaines dispositions du projet de loi dérogent ou permettent au gouvernement de déroger par simple décret en prévoyant des exceptions qui ne sont pas suffisamment circonscrites, à notre avis, ni encadrées par des mesures suffisamment robustes.

La portée de la LGGRI, maintenant, bien, il faut se rappeler que c'est une loi qui s'applique à un très grand nombre d'organismes publics : les ministères, les organismes gouvernementaux, les organismes scolaires et établissements d'enseignement supérieur, de santé et de services sociaux. En fait, les municipalités et, pour certaines obligations, les entreprises de l'État sont pratiquement les seuls organismes publics à en être exclus. Quant aux renseignements qui sont visés par le projet de loi, ce serait toute donnée numérique gouvernementale détenue par ces organismes. Ça inclut les renseignements personnels de toute nature comme les renseignements d'identité, de santé, financiers, fiscaux, scolaires, sociaux, policiers, pour ne donner que ces exemples.

Enfin, tel que libellé dans le projet de loi, les fins administratives ou de services publics, là, qui conditionnent les principes de mobilité et de valorisation de ces données, que nous verrons dans quelques instants, englobent la presque totalité des activités d'un organisme public. Il est difficile d'identifier quelles activités ne feraient pas partie de l'une ou l'autre des fins décrites au projet de loi.

Alors, ces précisions permettent de bien saisir toute la portée du projet de loi. Ce qui est proposé est susceptible, à notre avis, de s'appliquer dans la très grande majorité des situations impliquant des renseignements personnels numériques détenus par la plupart des organismes publics assujettis à la Loi sur l'accès. C'est pourquoi la commission croit que ce régime d'exception au principe de protection des renseignements personnels deviendrait vraisemblablement la norme. Voyons maintenant quelles exceptions sont proposées par le projet de loi.

D'abord, il pose comme principe que toutes les données numériques détenues par les organismes publics sont un actif informationnel stratégique du patrimoine numérique gouvernemental et dont la mobilité, la valorisation à des fins administratives et de services publics sont d'intérêt gouvernemental. L'application de ce principe aux renseignements personnels se concilie difficilement avec le fait que les citoyens confient leurs renseignements aux organismes publics dans un contexte et à une fin spécifiques. Ils ne renoncent pas pour autant à la propriété de leurs renseignements ni à exercer tout contrôle sur ceux-ci, surtout que, souvent, ils n'ont pas le choix de les transmettre aux organismes publics.

Cet élément central du projet de loi va donc à l'encontre d'un des principes fondamentaux de la protection des renseignements personnels, soit celui de permettre à l'individu d'exercer le contrôle sur ses renseignements. Or, le projet de loi permettrait au gouvernement d'utiliser ou de communiquer des renseignements personnels numériques à des fins auxquelles les citoyens n'ont pas consenti et dont ils n'ont pas été informés. Ces exceptions seraient déterminées par cinq décrets du gouvernement.

Deuxièmement, lorsqu'elles impliquent des renseignements personnels, la mobilité et la valorisation des données numériques sont évidemment susceptibles d'aller à l'encontre des principes de limitation de la collecte, d'utilisation et de la communication des renseignements personnels. Plus précisément, le projet de loi permettrait au gouvernement, par décret, d'autoriser la collecte, la communication et l'utilisation de renseignements personnels pour une finalité différente de celle à laquelle les citoyens ont consenti, et sans tenir suffisamment compte du respect de leur vie privée. Il permettrait aussi de concentrer au sein d'un même organisme public des renseignements personnels parfois très sensibles, avec les risques que cela comporte, comme l'actualité tend malheureusement à le démontrer.

La commission comprend très bien que l'un des objectifs du projet de loi est d'instaurer un nouveau cadre de gestion des données numériques gouvernementales qui réduirait les silos entre les organismes publics, et ce, afin de favoriser l'efficacité de l'administration publique et la prestation de services des citoyens. Toutefois, elle considère que ces objectifs peuvent être atteints sans porter atteinte de façon aussi importante aux principes fondamentaux visant à protéger les renseignements personnels.

La commission croit aussi que l'adoption de ce volet du projet de loi minerait certains efforts actuels pour rehausser la protection des renseignements personnels dans le cadre de la réforme qui est prévue par le projet de loi n° 64. C'est pourquoi la commission recommande de revoir l'approche proposée par le projet de loi n° 95, du moins pour les renseignements personnels.

La modification du régime général de la Loi sur l'accès permettrait d'intégrer les objectifs poursuivis tout en s'assurant de la cohérence de ces modifications avec la réforme en cours et du respect des principes de protection des renseignements personnels. Cette avenue permettrait aussi d'éviter de créer un régime législatif distinct du régime général de protection des renseignements personnels et de multiplier les lois qui prescrivent des exceptions au régime général.

L'application simultanée de plusieurs lois et de nombreux décrets occasionnerait, à notre avis, d'importantes difficultés d'interprétation, pour les organismes publics, qui peuvent être évitées. Il en serait de même pour les citoyens, qui sont les premiers concernés par les impacts du projet de loi et les risques de ne plus être en mesure de connaître à quelles fins leurs renseignements personnels pourront ultimement être utilisés ou communiqués.

La commission convient que des modifications législatives sont requises pour adapter le cadre juridique actuel au nouvel environnement numérique. Toutefois, ces modifications et d'éventuelles exceptions au régime général et prépondérant prévu par la Loi sur l'accès doivent se trouver dans cette loi, qui a un statut quasi constitutionnel, soulignons-le ou rappelons-le. Aussi, ces exceptions doivent être spécifiques et limitées à ce qui est légitime et nécessaire. Elles doivent aussi être encadrées par des mesures de contrôle adéquates.

L'étude du projet de loi n° 64 est justement l'occasion d'effectuer ces changements. Dans son mémoire, la commission formule des recommandations visant à guider cet exercice. Elle est disponible pour y collaborer afin de prévoir comment faciliter l'innovation, l'efficacité gouvernementale et l'amélioration des services aux citoyens mais dans le respect des principes de protection des renseignements personnels.

L'innovation et la transformation numérique peuvent aussi être une occasion d'améliorer le contrôle des citoyens sur leurs renseignements. Elles ont permis le développement de plusieurs techniques permettant l'utilisation de renseignements personnels sans qu'il soit possible d'identifier les personnes qu'ils concernent. Ces développements devraient aussi être pris en compte dans l'évaluation de la nécessité de prévoir des exceptions aussi étendues.

Je vous remercie de votre attention. Il me fera plaisir d'échanger avec vous au cours des prochaines minutes.

Le Président (M. Simard) : Merci à vous, Mme la présidente. Et je cède maintenant la parole à M. le ministre.

M. Caire : Merci, M. le Président. Bonjour, Me Poitras. Comment allez-vous?

Mme Poitras (Diane) : Ça va bien, merci. Et vous?

M. Caire : Bien oui! Merci, merci. Bien, d'abord, merci d'avoir pris le temps de regarder le projet de loi. Merci de vos commentaires. Je suis convaincu que ça va alimenter notre réflexion.

Vous avez amené, par contre, des éléments sur lesquels je souhaite peut-être revenir. Vous parlez d'un régime d'exception. Or, la loi n° 95 ne prévoit aucune exception, prévoit le respect intégral de toutes les règles, lois et directives qui existent. Donc, comment vous en arrivez à la conclusion que 95 présente un régime d'exception?

• (10 h 50) •

Mme Poitras (Diane) : Merci pour cette question. En fait, peut-être qu'il faut nuancer. Elle ne prévoit pas de dérogation. Elle ne dit pas : Ça s'applique malgré la Loi sur l'accès, mais, en prévoyant des possibilités d'utiliser, de communiquer ou de recueillir des renseignements dans des situations autres que celles qui sont prévues dans la Loi sur l'accès, et sans le consentement de la personne concernée, on prévoit un régime d'exception au principe de limitation de la collecte, de l'utilisation et de la communication des renseignements personnels.

M. Caire : Mais il y a des lois qui prévoient ça. En fait, ça m'étonne, parce que même 64 prévoit qu'on peut communiquer un renseignement personnel sans le consentement si les fins sont compatibles, si c'est manifestement dans l'intérêt de la personne. Et on arrive avec 95, qui dit : Nous allons intégralement respecter ces dispositions-là.

Les décrets vont venir préciser. Puis, vous l'avez mentionné, là, un décret ne peut pas être plus permissif qu'une loi. Il doit nécessairement être plus sévère. Donc, encore là, je vous avoue, puis je ne suis pas tout seul, là, j'ai de la difficulté à suivre comment vous en arrivez à la conclusion que ça, c'est un régime d'exception, s'il y a obligation du respect du cadre législatif et réglementaire intégral. Je ne comprends pas, là.

Mme Poitras (Diane) : Je vais prendre un exemple concret. Il n'y a rien comme un exemple concret pour essayer de comprendre. Comme vous le soulignez, dans la Loi sur l'accès, on limite les situations. Le principe de base, pour l'utilisation, on va prendre un exemple en utilisation de renseignements, la loi dit : Comme organisme public, tu peux utiliser les renseignements que toi, tu as recueillis aux fins pour lesquelles tu les as recueillis puis que tu as déclarées au citoyen quand tu les as recueillis. On dit... Il y a une exception, dans la Loi sur l'accès, qui dit : On peut l'utiliser à des fins compatibles. Vous l'avez souligné. La loi n° 95 vient de donner toute une autre série d'exceptions, qui sont prévues au chapitre II.4, qui sont les fins administratives ou de services publics. Tout ça, ce sont des nouvelles exceptions qui permettent et à l'organisme qui a recueilli et qui détient les renseignements de les utiliser, et à tout autre organisme public de les utiliser à ces fins-là dans la mesure où c'est prévu dans un décret.

M. Caire : Mais... Parce que, là, je me fais le porte-parole d'une vingtaine de juristes, là, qui ont collaboré à ce... dont le SAIRID, et qui ne voient pas ce régime d'exception là non plus, parce qu'il est clair que soit on respecte la loi, soit on demande le consentement dans la prestation de services.

Mais à mon tour peut-être de donner un exemple où on va demander à un citoyen qui inscrit son fils à l'école d'aller chercher un certificat de naissance qu'on va amener à l'école, que l'école va valider, que l'école va retourner au Directeur de l'état civil pour faire valider si le certificat de naissance qui a été présenté est le bon. Bien, ce que la loi dit, c'est : Bon, bien, écoutez, parlez-vous, là, puis laissez le citoyen en dehors de ça. C'est un peu ça qui est la finalité de... Est-ce que vous voyez là un régime d'exception?

C'est un peu ça, dans le fond, l'idée du projet de loi, c'est de dire que, si j'ai déjà la réponse, je valide auprès de l'organisme détenteur si la loi me permet d'avoir accès à cette information-là, parce que la loi prévoit que j'ai... Puis vous l'avez dit, hein, souvent, les organismes vont collecter auprès du citoyen, parce que, dans la Loi d'accès actuelle, il est prévu que, si je collecte une information personnelle dans le cadre d'une mission qui m'est donnée par la loi, j'y ai accès, donc on respecte intégralement cette façon de faire là, et, si vous n'y avez pas accès, bien, vous devrez obtenir le consentement du citoyen. C'est un peu ce que 12.10 dit. Donc, encore là, j'ai un peu de difficulté à voir en quoi c'est une exception par rapport à ce qu'on fait déjà.

Mme Poitras (Diane) : En fait, le consentement ne se retrouve nulle part dans le projet de loi n° 95. Toutes les communications, les utilisations qui sont prévues, c'est indiqué qu'elles peuvent se faire sans le consentement du citoyen.

Si l'intention était de dire... Dans l'exemple pratique que vous donnez, c'est très simple, lors du premier contact avec le citoyen, dire : Acceptez-vous, là? On va s'occuper de valider tout ça plutôt que de vous retourner puis vous faire faire les démarches à notre place. Il n'y a aucun problème. Ça, ce serait correct. Mais, si on respecte, si vous me dites : Les principes... on a l'intention de respecter les principes de la loi, pourquoi alors prévoir le chapitre II.4 du projet de loi n° 95? Parce qu'il permet de faire des choses que la Loi sur l'accès ne permet pas. Sinon, on n'a pas besoin du chapitre II.4 et de toute la section sur les renseignements personnels.

Nous, ce qu'on vous dit, c'est : C'est clair qu'il y a des situations où on peut faciliter la vie du citoyen, etc., limiter les démarches que lui a à faire, alors qu'on a déjà l'information. La commission n'est pas contre ça, pas du tout. Ce qu'elle dit, c'est : Prenons le chemin de la Loi sur l'accès. On est en train de la réformer. C'est le temps de briser les silos que vous voulez faire pour atteindre les objectifs que vous poursuivez par 95. Mais le chemin qui est choisi, c'est des exceptions beaucoup trop larges, pas suffisamment circonscrites et pas suffisamment encadrées.

M. Caire : O.K. Puis en même temps... Bien, en fait, écoutez, je respecte hautement votre opinion. Ceci étant, nous n'y voyons pas d'exception, dans le sens où il y a un engagement et une obligation, 12.10, de respecter les lois, les directives et les règlements intégralement.

Mais tout à l'heure vous disiez : De toute façon, les organismes vont aller collecter l'information auprès du citoyen. Ça, c'est l'état actuel des choses. C'est pour ça, tout à l'heure, M. Waterhouse nous a dit que cette multiplication-là des sites où on conservait des données, des renseignements personnels multipliait dans les mêmes proportions les risques. Vous semblez dire le contraire, à savoir que, si on y va du côté des sources de données, c'est ça qui multiplie les risques. Comment vous conciliez votre interprétation de la sécurité des renseignements, qui est assez contradictoire avec celle que M. Waterhouse vient de nous donner, qui lui dit plutôt : Non, au contraire, allez-y vers les sources de données parce que c'est ça qui va vous offrir une meilleure sécurité de l'information?

Mme Poitras (Diane) : Si on... Peut-être qu'on s'est mal compris. On n'est pas contre le fait, notamment, d'instaurer des... Si une des façons d'atteindre l'objectif est d'instaurer des sources officielles de données — je m'excuse, je ne me souviens pas exactement du terme, là, mais vous savez sûrement à quoi je réfère...

M. Caire : Oui, c'était ça.

Mme Poitras (Diane) : ...c'est ça — et que cette source pourra être la source qui alimente certains autres organismes dans certaines circonstances, qui seraient définies dans la loi, par contre, ou avec le consentement du citoyen, ce n'est pas une... on dit juste : Attention, est-ce que cette source doit nécessairement concentrer un grand nombre de renseignements de santé, fiscaux, sociaux, policiers, etc.? Il n'y a pas de balise à cette possibilité de concentration là dans la loi actuelle.

Alors, on n'est pas contre le principe. Ce qu'on vous dit, c'est que ça devrait être dans la Loi sur l'accès puis ça devrait être davantage balisé que ce que propose le projet de loi n° 95.

M. Caire : Oui, sauf que là... Puis, comme j'ai les deux chapeaux, la Loi d'accès se veut technologiquement neutre, donc je ne suis pas convaincu que je vous suis là-dessus, puis la loi n° 95, elle, est une loi essentiellement technologique. Donc, vous ne pensez pas que ces deux lois-là doivent effectivement être en concordance.

Moi, je vous suis sur le fait qu'effectivement 95 doit s'appuyer sur les... ce que la Loi d'accès... ou la loi sur la protection des renseignements personnels prescrit, mais elle doit, la Loi d'accès, rester technologiquement neutre, alors que le projet de loi n° 95, lui, est essentiellement, pour ne pas dire exclusivement, un projet de loi technologique, là. J'essaie de vous suivre dans le raisonnement. Aidez-moi.

Mme Poitras (Diane) : Il y a moyen que les principes qu'on veut intégrer... La Loi sur l'accès, c'est une loi de principes, avec des exceptions. Je suis convaincue qu'il y a moyen d'intégrer ces principes-là de façon neutre, technologiquement, dans la Loi sur l'accès.

Puis, comme je disais, ça va nous faire plaisir de s'asseoir avec vos juristes puis ça va me faire plaisir aussi de s'asseoir avec les juristes pour voir comment ça se fait qu'eux arrivent à la conclusion que ce n'est pas une exception aux principes de la Loi sur l'accès. Moi, j'aimerais bien comprendre comment ils arrivent à ce raisonnement-là parce que...

Pour revenir sur ce point-là, tu sais, dans la Loi sur l'accès, on dit : Une des exceptions, c'est, si la loi prévoit autrement qu'on peut utiliser ou communiquer des renseignements, c'est correct, puis là, bien, c'est dans la loi n° 95 que vous venez d'établir un paquet d'exceptions. Ça fait que c'est sûr que vous respectez la Loi sur l'accès, vous ne lui dérogez pas, mais vous créez des exceptions au principe de limitation de la collecte, d'utilisation et de communication des renseignements, par contre.

• (11 heures) •

M. Caire : Écoutez, je suis convaincu que vous allez avoir des heures de plaisir de discussion avec les gens du SAIRID, Me Poitras. Je vais vous laisser billeveser entre juristes. Le modeste informaticien que je suis va se limiter aux technologies.

Bien, le principe de 95, puis je suis content qu'on aborde cet aspect-là, Me Poitras, le principe de 95, le principe d'une source de données, c'est, au contraire, de concentrer une donnée spécifique. On s'entend que le réseau de la santé collecte beaucoup trop d'informations par rapport à ce qui est propre à la Santé, versus ce que l'État civil possède, versus ce que l'Éducation possède, versus ce que Revenu possède.

L'idée de la source de données est d'avoir des sources de données qui sont spécifiques à la mission de la source et de s'assurer d'avoir une intégrité dans l'information. Parce qu'actuellement, au gouvernement du Québec, il y a probablement entre 250 et 300 versions différentes de Diane Poitras, ce qui est, du point de vue de l'intégrité de l'information, ingérable. La multiplication des sources de données rend notre organisation vulnérable aux fuites. Et, bon, on a fait référence aux événements récents. Alors, l'idée de la source de données, elle est... Ça, et d'avoir un gestionnaire de données au centre de ça, c'est de dire que, si un organisme a besoin d'une information, il doit vérifier à l'interne si cette information-là, elle est accessible, un; deux, le gestionnaire doit vérifier si, aux termes de la loi, l'organisme en a besoin dans l'exécution de sa mission; et, trois, il doit lui communiquer, dans la version la plus humble possible, qui ne permet pas d'identifier la personne, si tant est que c'est nécessaire.

Puis je vous ai... j'ai vu, dans votre mémoire, vous parliez de dépersonnalisation, puis je veux être très clair, parce que la loi n° 95 n'aborde pas cette situation-là sous l'angle de la dépersonnalisation mais bien sous l'angle du plus petit dénominateur commun. Je vous donne un exemple. Si un gouvernement met en place un nouveau programme qui a un critère d'âge dans l'admissibilité, bien, l'organisme qui administre le programme pourrait, à l'État civil, s'assurer que le critère d'admissibilité est rencontré, ce qui ne veut pas dire que je vais vous transférer ou vous donner accès à la date de naissance. Je vais simplement vous confirmer que le critère d'âge est rencontré.

Donc, pour moi, cette façon de faire là, au contraire, là, de ce que j'entends de votre part, limite la transmission d'informations et de renseignements personnels au plus petit dénominateur commun, et donc en assure, à mon avis, puis je veux vous entendre là-dessus, là, en assure une plus grande confidentialité. Parce que vous parlez de donner accès à des renseignements personnels sans le consentement, et moi, je dis : Au contraire, un, on respecte les lois et, deux, on a l'obligation d'aller au plus petit dénominateur commun, donc d'en transférer le moins possible. Donc, est-ce que... je ne sais pas, est-ce que ce que je vous dis là vous amène dans une zone différente par rapport à 95 ou il y a quelque chose que moi, je n'ai pas vu?

Mme Poitras (Diane) : En fait, je vous dirais, pour le dire simplement, quand je vous écoute, puis que vous me dites : Bien, ce qu'on veut faire, c'est ça, avec ces limites-là, puis ça va bien protéger les renseignements, ce n'est pas ce que je retrouve et ce que nous retrouvons dans le projet de loi. Ces limites que vous donnez...

Puis l'exemple que vous venez de donner, ce n'est pas dans le projet de loi. Ce que le projet de loi permettrait, c'est que l'État civil communique tout ce qu'il peut avec le réseau de la santé, que le réseau de la santé pourrait communiquer tous les renseignements au réseau scolaire, que Revenu Québec pourrait communiquer tous les renseignements puis qu'on pourrait, avec ça, les utiliser à toutes fins et les communiquer dans toutes situations que le gouvernement déciderait par décret. Et c'est cette étendue du régime, de possibles exceptions, qu'on ne trouve pas nécessaire pour atteindre vos finalités.

Bien, quand je vous entends, puis je vous écoute, puis vous me donnez des situations précises, moi, je ne retrouve pas ces balises-là dans le projet de loi n° 95. Et, si c'est ça, l'intention, c'est pour ça que je vous dis : Ça va nous faire plaisir de s'asseoir avec votre équipe pour essayer de les mettre dans la Loi sur l'accès, plutôt que le projet de loi n° 95, pour atteindre les objectifs dans la protection de la vie privée en respectant la vie privée des citoyens.

M. Caire : Bien, encore là, je... comme ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, j'ai aussi une préoccupation de garder le projet de loi n° 64 technologiquement neutre, mais je vous entends, Me Poitras, là, sachez que je vous entends.

Mais en fait... Bien, en fait, ce que je vous explique, il est dans la loi, là. Je vous avoue qu'en même temps que je vous écoute j'essaie de retrouver l'article qui l'adresse spécifiquement, puis vous comprendrez que ma condition ne me permet pas de faire deux choses en même temps. En fait, c'est 12.14 qui dit : «Lorsque de telles données peuvent être utilisées ou communiquées sous une forme ne permettant pas d'identifier directement la personne concernée, elles doivent être utilisées ou communiquées sous cette forme.»

Et c'est à dessein qu'on n'utilise pas l'expression de «dépersonnalisation», parce que la dépersonnalisation, dans l'univers technologique, amène une définition qui est claire de ce qui doit être fait versus l'anonymisation. Donc, c'est pour cette raison-là qu'on parle d'identifier la personne, et parce qu'on est dans un principe où on fait une obligation technologique d'aller au plus petit dénominateur commun. Mais je vous rappelle, respectueusement, que le projet de loi n° 95 est un projet de loi essentiellement technologique.

Donc, c'est sûr que ces concepts-là sont peut-être plus, comment je... On sait qu'on s'en va vers du droit nouveau, on sait qu'on s'en va vers des concepts qui sont nouveaux, mais l'idée est vraiment, de ce que je vous dis, là, de dire que... Autant pour le Service québécois d'identité numérique, d'ailleurs, ou avec le portefeuille d'identité numérique, on souhaite cesser de fournir beaucoup trop d'informations par rapport à ce qui est requis, souvent. Bien, c'est le même principe.

Le Président (M. Simard) : Merci, M. le ministre.

M. Caire : Déjà?

Le Président (M. Simard) : Bien oui, déjà.

M. Caire : Bien, on va se reparler, Me Poitras, de toute façon. On va se reparler.

Le Président (M. Simard) : Bien oui. Alors, je cède maintenant la parole au député de La Pinière.

M. Caire : Aïe! Merci beaucoup, Me Poitras. Sincèrement, merci beaucoup.

Le Président (M. Simard) : Alors, je cède la parole au député de La Pinière pour 11 min 20 s.

M. Barrette : Ah! 11 min 20 s. C'est bon. Alors, bonjour, Me Poitras, M. Desmeules. Est-ce que c'est Me Desmeules ou c'est M. Desmeules?

M. Desmeules (Jean-Sébastien) : C'est Me Desmeules, oui.

M. Barrette : Me Desmeules. Bon, alors, bienvenue à cette commission, à mon tour. Bon, écoutez, j'ai comme envie d'y aller plus dans la philosophie de la chose que dans le détail, tant du mémoire que du projet de loi.

Me Poitras, je pense que vous étiez là dans la législature précédente, puis on avait regardé nous-mêmes des choses qui vont dans... ou qui auraient été, si les projets de loi avaient été de l'avant ou même déposés, dans le sens de 95. Je ne fais pas une profession de foi de 95, là, ce n'est pas ça, mon idée, mais je veux...

Je vous ai écoutés, tous les deux, là, le ministre et vous, Me Poitras, et je suis toujours surpris de voir à quel point on arrive à vouloir la même chose puis ne pas avoir le même outil pour le faire, et ça... Mais ça me rassure, parce que, la Commission d'accès à l'information, ce n'est pas une critique, mais, il y a des, des, des années, là, genre à la fin des années 90, début des années 2000, ce dont on parle aujourd'hui aurait été une impossibilité, vu de l'angle de la Commission d'accès à l'information.

Là, aujourd'hui, il y a une ouverture, puis c'est comme si, le véhicule, du moins, si je comprends, là, votre intervention, Me Poitras, le véhicule, vous ne le trouvez pas bon. Mais je comprends, là, que vous voyez aujourd'hui une utilité d'avoir une plus grande liberté de circulation de l'information à l'intérieur de l'État. Ça, là, est-ce qu'on peut dire ça?

Mme Poitras (Diane) : Oui, dans certaines limites et avec un encadrement, des espèces de garde-fous adéquats. Et c'est la voie qu'a choisie l'Ontario et c'est la voie qu'est en train de choisir aussi le gouvernement fédéral, qui, les deux, ont modifié la loi-cadre, l'équivalent de la Loi sur l'accès. Et donc on est convaincus que c'est possible de le faire.

Puis ce n'est pas juste une question de dire : On veut que ce soit dans la Loi sur l'accès, ce n'est pas ça, c'est que c'est cette loi-là, qui est prépondérante puis qui a un statut quasi constitutionnel, qui établit les limites et le cadre dans lequel on peut justement faire ces choses-là.

• (11 h 10) •

M. Barrette : Mais, moi, c'est là que je ne comprends pas, là. Quand le ministre donne l'exemple du certificat de naissance, là, pour moi, c'est une évidence. Alors, en quoi ça, ça a besoin d'un cadre juridique spécifique? Parce que, quand je vous écoute, Me Poitras, là... Puis là ne pensez pas que je fais... prends la défense de 95, c'est juste que c'est le genre de chose que moi-même, je souhaitais faire précédemment, dans mes fonctions précédentes, que je ne pouvais pas parce que la loi l'empêchait. La loi d'accès à l'information, telle qu'elle est écrite actuellement, là...

Je le disais en introduction, vous n'avez peut-être pas entendu, mais la donnée, là, c'est un univers en soi. C'est un trésor, il est dans un coffre-fort puis il ne peut pas aller nulle part. Alors, le certificat de naissance, là, c'est un trésor, il est dans un coffre-fort, un coffret de sécurité dans une banque, puis, le faire sortir de là parce qu'on en a de besoin pour une attestation, pour une autre affaire gouvernementale, on ne peut pas le faire. 95 veut faire ça.

Je ne le vois pas, le moyen, moi. Je ne suis pas au fait, là, de ce que fait l'Ontario, là, mais ça ne veut pas dire que... (panne de son) ...qui a raison, ça ne veut pas dire que l'Ontario a raison, là. Il doit bien y avoir moyen de moyenner.

Moi, j'allais même plus loin, là. Vous savez, sur la question des déterminants de la santé, là, l'État, qui doit mettre en place des conditions qui favorisent la santé, doit, par définition, mettre en commun des données socioéconomiques, démographiques, géographiques et de santé à court, moyen et long terme. Il ne peut pas le faire. Il peut le faire dans le cadre d'un programme de recherche avec une demande spécifique, et patati, et patata, mais il y a un frein.

Alors, entre la circulation et la disponibilité, entre organismes, d'un certificat de naissance, il y a quelque chose de beaucoup plus élaboré, à l'autre extrême que sont les déterminants de santé, pour... Vu sous l'angle de l'État qui veut améliorer le sort des citoyens, il est où, le chemin? Je ne l'entends pas. Vous, vous dites... 95, vous ne voyez pas ce qu'il faut là-dedans pour le faire. Moi, je vous écoute, puis je ne vous fais aucun reproche, mais je ne vois pas, moi, votre chemin. Expliquez-moi votre chemin.

Mme Poitras (Diane) : Bon, dans la Loi sur l'accès, il y a des principes puis il y a des exceptions. Alors, les... ce qu'il faut faire, c'est bonifier les exceptions à la Loi sur l'accès qui limitent la circulation ou les utilisations des renseignements personnels pour qu'ils reflètent ce désir d'améliorer les services aux citoyens dans une ère numérique et d'utiliser des renseignements à certaines occasions. Puis effectivement, les deux exemples que vous donnez, le certificat de naissance puis tous les renseignements de santé, avec d'autres déterminants de santé, on comprend que le niveau de sensibilité n'est pas le même. Mais il y a moyen, dans cette loi-là... Elle sert à ça, la réforme.

Les réformes en cours, actuelles des lois qui protègent les renseignements personnels dans le secteur public vont pratiquement toutes dans le sens d'ouvrir pour permettre ces choses-là, mais il faut poser des limites et il faut que les situations soient clairement définies par la loi, et non qu'on prévoie une loi, à côté, qui permette des possibilités d'exceptions très larges, et que c'est le gouvernement, par décret, qui va fixer dans quelles situations et à quelles conditions ça va pouvoir se réaliser.

Et, pour le certificat de naissance, actuellement, moi, je pense qu'on n'a ni besoin d'aucune modification à la Loi sur l'accès ou à... même, à la... On n'a pas besoin du projet de loi n° 95. On pourrait simplement dire au citoyen : Tu acceptes-tu que j'aille vérifier ton certificat de naissance moi-même, que j'aille l'obtenir avec ton consentement? Puis, je veux dire, ça pourrait se faire dans le respect des règles actuelles, ce qui n'est pas le cas, par exemple, de tous les renseignements de santé, là, aussi à cause des cadres spécifiques qui peuvent exister dans ce domaine-là. Bien, moi, je le vois, la voie pour y arriver, là.

M. Barrette : O.K. Alors, est-ce que cette voie-là... Bien, vous la voyez, mais là je ne l'ai pas vue dans ce que vous dites. Vous dites que vous la voyez. Vous êtes juriste, là. Vous êtes à la CAI. Vous devez voir des choses qu'on ne voit pas. Sans ça, il y a un problème. Mais là vous ne voyez pas la possibilité, dans le cadre de 95, d'y inscrire les limitations que vous souhaitez. Parce que 95, ça va plus loin que les non-exceptions que vous y voyez, là. 95, il y a toute une question de gouvernance de la sécurité, une gouvernance de la gestion de l'information, une gouvernance qui va dans le détail de la vie de l'information, et ça, ça a une valeur en soi, en ce qui me concerne. Vous ne voyez pas la possibilité, à la place, d'inscrire dans 95 ce que vous recherchez.

Mme Poitras (Diane) : En fait, on pourrait garder le... On ne dit pas qu'il ne faut pas aller de l'avant avec 95...

M. Barrette : Je n'ai pas compris ça.

Mme Poitras (Diane) : Ce qu'on dit, c'est que, pour le volet protection des renseignements personnels, mettez ces exceptions-là dans la Loi sur l'accès, qui vont pouvoir bénéficier du cadre général de la loi, avec tout ce que ça implique et des protections que ça peut impliquer, et limitons-les un peu, parce que, pour l'instant, on les trouve beaucoup trop vastes.

Puis on trouve que donner un pouvoir discrétionnaire au gouvernement de déterminer par décret dans quelles circonstances, et quelles règles vont s'appliquer, et à quels renseignements... Il faut que ce soit... Il faut que la loi fixe le cadre. Il faut se rappeler que ces situations-là, c'est quand même une exception au droit fondamental à la vie privée, là. On est... Oui, on peut permettre des exceptions légitimes, mais elles doivent être précises dans la loi et proportionnelles à l'objectif qu'on veut atteindre. Et c'est ça qu'on ne retrouve pas dans le projet de loi n° 95 pour le volet protection des renseignements personnels.

M. Barrette : O.K. Et, pour vous, à la Commission d'accès à l'information, là, la vie de la donnée à l'intérieur d'une entité qu'est le gouvernement, que ça se promène dans cette bulle-là, là, c'est un univers dans lequel il faut proscrire une circulation libre.

Mme Poitras (Diane) : Je n'ai pas dit «proscrire». Encadrer. Ce n'est pas pareil. La loi actuelle prévoit déjà des situations où ça peut être fait et encadre ces situations-là. Est-ce qu'elles doivent être bonifiées à la lumière des objectifs qu'on poursuit puis de l'ère du numérique? Oui, la commission est bien d'accord avec ça, mais on pense qu'on va beaucoup trop loin avec 95 et que ce n'est pas le véhicule approprié.

Ça serait très complexe d'interpréter. Moi, j'essaie de me mettre dans la peau d'un organisme public ou même nous, comme commission, déterminer si tel renseignement peut être utilisé par tel organisme, dans telle circonstance. Il va falloir regarder la Loi sur l'accès, le projet de loi n° 95, la LGGRI, les décrets qui sont adoptés, le secret professionnel et, s'il y a des organismes impliqués qu'il y a des lois particulières, comme le domaine de la santé ou des renseignements fiscaux, il va falloir regarder ces lois-là aussi et la loi sur la transformation numérique parce qu'il y a un lien qui est fait aussi, là. Alors, ça va être très, très, très complexe.

M. Barrette : Oui, par définition, parce que, dans votre situation, veux veux pas, votre angle est un angle qui freine. Dans la bulle de l'État, moi, j'insiste là-dessus, là, dans la bulle qu'est l'État, vous amenez un frein puis vous trouvez que 95 est trop libre.

Mme Poitras (Diane) : Oui, parce que le droit au respect de la vie privée puis la protection des renseignements personnels, ce n'est pas juste la confidentialité ou la sécurité de l'information, c'est aussi, en quelque sorte, limiter les situations où on se communique et on utilise des renseignements entre organismes. Et c'est ce bout-là que, si on ouvre les valves puis on dit : Bien, dans toutes les situations que le gouvernement va décider, par décret, de faire, ce sera correct, on vient de vider de son sens ces principes de la loi. On ne dit pas que ce n'est pas possible. On dit qu'il faut qu'ils soient prévus dans la loi.

M. Barrette : Juste par curiosité, parce qu'il me reste quelques secondes, vraiment, là, quand ça a été rédigé, ce projet de loi là, ça n'a pas été fait de façon conjointe avec vous?

Mme Poitras (Diane) : Le projet de loi n° 95? Non. On l'a vu quand il a été rendu public.

M. Barrette : ...O.K. C'est bon. Là, il ne me reste plus de temps, hein, M. le Président?

Le Président (M. Simard) : Non, malheureusement, cher collègue. Alors, nous allons maintenant céder la parole au député de Rosemont, qui dispose, quant à lui, de 2 min 50 s.

M. Marissal : Merci, M. le Président. Me Poitras, Me Desmeules, merci d'être là. Je trouvais votre mémoire particulièrement clair, et la discussion que vous avez eue par la suite avec le ministre m'a complètement embrouillé.

Je comprends qu'un cadre réglementaire peut être malléable, là, mais là je pense qu'on essaie de sculpter de l'eau, tellement c'est liquide, que vous n'allez pas du tout dans la même direction ni l'un ni l'autre. Quoique vous disiez tous les deux vouloir vous rendre au même objectif, vous ne me semblez pas suivre du tout la même voie. Je dirais même qu'il y en a un qui va à l'est, l'autre à l'ouest... ou nord ou sud, là, prenez ça comme vous voulez, là, mais vous êtes assez écartelés dans la façon de le faire. J'ai du mal à comprendre qu'on puisse arriver à ce point décalés. Puis je ne dis pas que vous avez tort, hein, Mme Poitras... Me Poitras, je ne suis pas en train de dire ça, je ne suis pas en train de dire que le ministre a tort, mais je suis quand même assez perplexe devant la disparité de vos opinions, puisqu'on parle ici, quand même, d'un projet de loi majeur.

Ce que je crois comprendre de ce que vous dites, par contre, c'est qu'on met la charrue devant les boeufs, parce qu'en fait ce qu'il faudrait faire, c'est réformer complètement la loi-cadre de la CAI. Est-ce que, ça, je comprends ce bout-là correctement?

Mme Poitras (Diane) : Et elle est en train de se faire, la réforme. Et on ne veut pas dire, là : On rebrasse les cartes, puis on efface tout, puis on réécrit. Il y a moyen d'inclure. Il y a déjà des exceptions à l'utilisation, à la communication dans la loi. Il s'agit simplement de les bonifier et d'intégrer, comme c'était prévu au départ.

On prévoyait le gestionnaire de renseignements personnels, je comprends ici que ce serait la source de données, ou on y ferait référence si on la maintient dans le projet de loi n° 95, qui est plus large que les renseignements personnels, on comprend ça, mais il y a vraiment moyen, de façon pas si compliquée que ça, d'intégrer ce qu'on veut faire dans la Loi sur l'accès, dans le contexte de la réforme actuelle.

M. Marissal : Vous avez dit tout à l'heure que, par décret, le gouvernement pourrait utiliser des renseignements personnels pour autre chose que le but initial. Je pense que vous alliez donner des exemples sonnants et trébuchants tout à l'heure. Pouvez-vous nous en donner un ou deux, là, pour qu'on comprenne bien de quoi il s'agit? Puisque nous devons rester dans le contexte de la collecte minimum et du consentement.

• (11 h 20) •

Mme Poitras (Diane) : Bien, en fait, le projet de loi n° 95 permettrait au gouvernement de décider d'utiliser des données de santé, des données fiscales, des données de toutes... policières, à toutes fins qu'il déterminerait, du moment que ça correspond à l'une des fins, là, qui est énumérée dans le chapitre II.4, les fins administratives ou de services publics. Et elles sont libellées en termes tellement larges que ça pourrait être pour n'importe quoi. Et c'est ça, c'est... On va trop loin. On comprend qu'il n'y a possiblement aucune mauvaise intention, mais on ne peut pas accepter que le gouvernement nous dise : Faites-nous confiance, on ne fera jamais ça.

Le Président (M. Simard) : Très bien.

Mme Poitras (Diane) : Il faut que ce soit établi clairement dans la loi.

M. Marissal : Je vous remercie, Me Poitras. Merci.

Le Président (M. Simard) : Je cède maintenant la parole au député de René-Lévesque.

M. Ouellet : Merci. À mon tour de vous saluer, Me Poitras et Me Desmeules. Quelques questions en rafale. Est-ce que, selon vous, ce projet de loi là va mieux respecter le consentement du citoyen ou est-ce qu'il va faire plutôt le contraire?

Mme Poitras (Diane) : Il permet de l'écarter complètement.

M. Ouellet : Est-ce que le projet de loi donne au gouvernement le pouvoir d'utiliser ou de communiquer des renseignements personnels de citoyens, donc, sans leur consentement?

Mme Poitras (Diane) : Oui.

M. Ouellet : Est-ce que ce projet de loi peut techniquement établir des normes de protection de renseignements administratifs plus strictes que pour des renseignements personnels?

Mme Poitras (Diane) : Oui, il pourrait.

M. Ouellet : Est-ce que le gouvernement se donne le pouvoir d'exiger de la CAI, un organisme indépendant, l'adoption de pratiques particulières quant à la gestion de ses systèmes ou de ses données numériques?

Mme Poitras (Diane) : On parle de règles de gouvernance, et la définition qui en est faite est assez limitée.

M. Ouellet : D'accord. À cet égard, est-ce qu'il devrait rendre des comptes au gouvernement ou au Parlement?

Mme Poitras (Diane) : On parle de faire rapport de comment ça a été utilisé à la fin, à la CAI, et, de façon transparente, je pense, de le publier, mais on est après coup, là. C'est... On a déjà... On s'est donné le pouvoir de déterminer d'autres utilisations et d'autres communications. On rend juste compte après de ce qu'on a fait.

M. Ouellet : Donc, en résumé, suite aux échanges que vous avez eus avec le ministre, je comprends bien qu'on semble tous s'entendre sur une finalité, une mobilité de la donnée, mais le moyen qui est proposé dans le 95 ne vous plaît pas et devrait plutôt être utilisé à l'intérieur du projet de loi n° 64, qui, je le rappelle, est encore à l'étude. Donc, c'est ce que vous nous dites : Comme parlementaires, aujourd'hui, prenez une partie de 95, allez le mettre dans 64 pour bonifier la loi-cadre, qui va améliorer surtout la compréhension mais surtout sa mise en application.

Mme Poitras (Diane) : Oui, et restreignez un peu ce qui est dans 95, permettre... Et c'est très étendu et c'est... Les situations où on peut utiliser ou communiquer des renseignements sont beaucoup trop étendues, et les mesures de contrôle ne sont pas suffisantes. Et on ne devrait pas permettre au gouvernement, par décret, de décider de ces finalités-là.

M. Ouellet : D'accord. M. le Président, je pense que j'ai terminé.

Le Président (M. Simard) : Il vous restait 30 secondes, cher collègue.

M. Ouellet : Ah! bien, écoutez, merci beaucoup. Je pense que le briefing technique qui vient d'être envoyé à tous les collègues sera approprié, considérant qu'il y avait une partie de cette loi, Mme Poitras et M. Desmeules, que je n'avais pas vue, suite à votre mémoire. Donc, ce serait important pour nous, comme le collègue de Rosemont, de bien comprendre la portée de tout ça et de trouver le véhicule adéquat. Merci.

Le Président (M. Simard) : Merci à vous, cher collègue.

Alors, Mme Poitras, Mme la présidente, M. Desmeules, de la Commission d'accès à l'information du Québec, merci pour la qualité de votre contribution à nos travaux.

Ceci étant dit, compte tenu de l'heure, nous allons suspendre jusqu'après les affaires courantes. Alors, à bientôt.

(Suspension de la séance à 11 h 24)

(Reprise à 15 h 31)

Le Président (M. Simard) : Bien. Alors, chers amis, rebienvenue à la Commission des finances publiques. Comme vous le savez, nous sommes réunis de manière virtuelle afin de poursuivre les consultations particulières et auditions publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives.

Alors, cet après-midi, nous entendrons la Commission de l'éthique en science et en technologie, le Pr Sébastien Gambs, le Pr Benoît Dupont ainsi que le Fonds de recherche du Québec. Et nous commençons par la Commission de l'éthique en science et en technologie. M. Bergeron, soyez le bienvenu parmi nous.

Commission de l'éthique en science et en technologie (CEST) 

M. Bergeron (Michel) : Merci, M. le Président.

Le Président (M. Simard) : Pour les fins de nos travaux, auriez-vous l'amabilité de vous présenter ainsi que de signifier, bien sûr, la présence des personnes qui vous accompagnent?

M. Bergeron (Michel) : Certainement. Merci beaucoup. Alors, mon nom est Michel Bergeron. Je suis consultant en éthique et en conduite responsable en recherche et aussi président du comité de travail sur l'accès aux données de la Commission de l'éthique en science et technologie. Alors, cet après-midi, je suis accompagné par M. Dominic Cliche, qui est conseiller en éthique aussi à la commission.

Le Président (M. Simard) : Très bien. Alors, vous disposez d'une période de 10 minutes.

M. Bergeron (Michel) : Merci. Donc, pour faire court, au lieu de parler de la Commission de l'éthique en science et en technologie, nous utiliserons l'acronyme CEST, ce qui sera plus facile pour nous au niveau de la présentation.

Donc, juste pour vous situer un petit peu, la CEST est un organisme du gouvernement du Québec qui est placé sous la responsabilité du ministre de l'Économie et de l'Innovation.

Alors, la commission fête cette année son 20e anniversaire d'existence. Elle est composée de 13 membres, dont un président, tous nommés par le gouvernement.

La mission de la CEST est de conseiller le gouvernement sur toute question relative aux enjeux éthiques liés à la science et à la technologie ainsi que de susciter une réflexion sur des enjeux éthiques qui devraient être intégrés dans les démarches entourant la transformation numérique de l'administration publique de manière à réduire les risques de nature éthique et à maximiser les bénéfices attendus par l'utilisation des données au sein de l'administration publique ainsi qu'à proposer des outils pertinents. Dominic reviendra tout à l'heure sur les questions que se pose la CEST, entre autres en ce qui a trait aux divisions des efforts relatifs à la révision législative et à plusieurs projets de loi distincts. Tantôt... Alors, il reviendra sur ces éléments-là.

Essentiellement, le cadre d'analyse éthique de la CEST est centré sur l'exigence de confiance de la population envers l'État. Donc, les principaux enjeux éthiques que nous avons considérés sont le respect de la vie privée, telle qu'elle s'exerce par le consentement manifeste, libre, éclairé, donné à des fins spécifiques et en continu, le principe démocratique et l'enjeu de la confiance, tels qu'ils s'expriment par la transparence, en particulier lors d'initiatives d'information et de communication axées sur l'explicabilité favorisant la compréhension des citoyens, sur le bien commun, la responsabilité et sur les impacts de changements de culture que de telles modifications impliquent, ce qui générera assurément son lot de tensions avec les repères normatifs et les pratiques actuelles.

En ce qui concerne la CEST, le projet de loi soulève quelques questions ou quelques risques d'ordre éthique. Premièrement, le projet de loi est en continuité directe avec la Loi favorisant la transformation numérique de l'administration publique. Cette dernière nous est toujours apparue comme une solution temporaire pour permettre la mise en oeuvre de projets en ressources informationnelles en attente de révisions à apporter aux lois la protection des renseignements personnels. À notre avis, l'adoption du projet de loi n° 95 ou du projet de loi n° 64, modernisant des dispositions législatives en matière de protection des renseignements personnels, devrait entraîner l'abrogation de la Loi favorisant la transformation numérique de l'administration publique.

Le projet de loi est très ambitieux et annonce plusieurs travaux importants à venir. Par exemple, le régime de patrimoine numérique gouvernemental introduit un nouveau concept et annonce un changement de culture dont la portée devra être analysée en lien avec ce que l'on considère comme le bien commun.

Le projet de loi, conséquemment, énonce un régime particulier de gestion de l'ensemble des données, sur support numérique, détenues par les ministères, organismes publics et entreprises du gouvernement. Ces données peuvent être utilisées, de manière pratique, à toute fin jugée pertinente par le gouvernement, qu'il y ait utilisation unique ou utilisation secondaire de ces données. Ce concept s'écarte de l'idée que les citoyens confient des données à l'administration publique, cette dernière en étant fiduciaire plutôt que propriétaire.

Nous concevons toutefois que l'État ait un intérêt légitime dans la mobilité et l'utilisation de plusieurs données, incluant des données à caractère sensible, en passant outre le consentement, mais cela doit se faire dans un contexte où l'encadrement est suffisant et où les personnes concernées sont bien informées des pratiques en vigueur. Cette relation fiduciaire place la confiance au centre de la relation entre l'administration publique et les citoyens.

Dans un contexte où la confiance du public est à la fois essentielle et précaire, les mécanismes de responsabilisation et de transparence doivent être au plus tôt renforcés. La Loi favorisant la transformation numérique de l'administration publique énonce d'ailleurs à son premier article que, et je cite, «les pouvoirs conférés par la présente loi doivent être exercés de manière à respecter le droit à la vie privée et le principe de transparence ainsi qu'à promouvoir la confiance du public». Fin de la citation. De tels principes interprétatifs pourraient d'ailleurs être ajoutés au projet de loi.

Nous jugeons par ailleurs que le projet de loi ne renforce pas suffisamment les mécanismes de reddition de comptes et de transparence. À titre d'exemple, une disposition devrait prévoir la divulgation proactive des plans de transformation numérique et de tout autre plan, stratégie, politique pertinent dans une perspective d'accessibilité et d'appropriation de l'information par les citoyens, et il en va de même pour les utilisations précises prévues des données, entre autres, qui seront déterminées par décret et devraient être présentées de manière accessible et compréhensible aux citoyens, par exemple sur une plateforme de divulgation proactive en ligne.

Nous notons les responsabilités concentrées chez un petit nombre d'acteurs et nous recommandons que l'unité administrative spécialisée en sécurité de l'information soit complétée par la mise en place de ressources pour l'analyse des enjeux éthiques selon une perspective globale.

Plus précisément, nous recommandons que des ressources éthiques soient identifiées pour compléter ce qui est prévu en sécurité de l'information et que certaines responsabilités, telles que celle d'établir un modèle de classification de sécurité des données numériques gouvernementales en fonction de leur nature, de leurs caractéristiques et de leur utilisation et des règles qui les régissent... que ce soit intégré au niveau des dimensions éthiques.

Je céderais maintenant la parole à Dominic pour poursuivre.

• (15 h 40) •

M. Cliche (Dominic) : Bonjour à tous. Merci beaucoup. Donc, en comparaison avec, donc, la Loi favorisant la transformation numérique de l'administration publique, là, qu'on voit comme la précurseure du projet de loi n° 95, donc, il est apprécié, de notre côté, là, que soit proposée une définition des fins administratives et de services publics, donc une certaine clarification des finalités qui peuvent être poursuivies.

Cependant, la définition est excessivement inclusive et ouvre à des utilisations potentielles très diverses. En soi, ce n'est pas nécessairement un problème, mais ça implique quand même un renforcement, a fortiori, là, des mesures de transparence et de responsabilité.

Mais, en termes d'utilisations diverses, par exemple, le projet de loi semble s'appliquer, donc, autant à des projets qui permettraient à un citoyen de ne fournir qu'une seule fois certaines informations identificatoires simultanément à plusieurs organismes, donc qui est un exemple qu'on entend souvent, mais on sent, en tout cas, dans tout ce qui est ouvert, qu'il y a aussi la possibilité de se rendre à des projets qui impliquent, ultimement, là, des systèmes intelligents et qui concernent l'entraînement d'algorithmes apprenant, par exemple, à partir des données de l'administration publique. Évidemment, dans ces cas-là, des enjeux spécifiques seraient soulevés et devraient être abordés.

Il est aussi apprécié que certaines balises soient énoncées, dont l'interdiction de la vente ou de toute aliénation des données. Dans le contexte, cependant, des balises plus substantielles et robustes seraient nécessaires. Par exemple, le projet de loi pourrait recentrer la définition des fins administratives et de services publics en énonçant, pour la mobilité et la valorisation des données, certains objectifs jugés légitimes qui seraient assez spécifiques et qui veulent être poursuivis par le gouvernement.

Ça peut être difficile de spécifier très, très justement, spécifiquement les objectifs. Donc, le projet de loi pourrait aussi, par la négative, proscrire certaines fins ou utilisations des données qui pourraient être préjudiciables. Mais encore, le projet de loi pourrait énoncer certaines fins ou utilisations qui, sans les interdire, hein, seraient considérées plus sensibles et nécessiteraient alors de prévoir des mesures spécifiques pour réduire les risques de préjudice. On peut penser, par exemple, que ce serait en raison de la répercussion sur les citoyens, donc des fins, par exemple, telles que la vérification de l'admissibilité ou l'allocation de ressources dans certains services en éducation, santé et services sociaux, par exemple, qui sont plus délicats.

Le projet de loi a pour effet de créer un régime normatif distinct pour la mobilité et la valorisation des données gouvernementales, et, pour ça, la CEST... Donc, la CEST craint que le projet de loi permette en fait aux organismes publics de se soustraire à des dispositions, qui sont néanmoins pertinentes, qui seraient incluses, actuellement, donc, à la Loi sur l'accès ou qui seront vraisemblablement incluses, là, lors de l'adoption du projet de loi n° 64.

Donc, par exemple, donc, ce projet de loi, qui est présentement à l'étude par la Commission des institutions, représente, en fait, une mise à jour importante du cadre normatif au regard de l'avènement du numérique et de l'intelligence artificielle. Donc, pensons notamment aux dispositions relatives à la prise de décision fondée entièrement sur un traitement automatisé des données ou celles relatives au profilage.

Donc, il serait inquiétant, en fait, que plusieurs projets gouvernementaux puissent se soustraire à ces mises à jour, donc, a fortiori dans le cadre d'un projet de ressources informationnelles qui s'intègre justement dans cette révolution numérique là à laquelle répond partiellement le projet de loi n° 64.

Donc, un arrimage beaucoup plus robuste serait à prévoir, là, sinon une intégration de certaines dispositions ou une prépondérance de certaines dispositions du projet de loi n° 64 sur les projets qui seraient adoptés par décret dans le cadre de la loi qui découlerait, donc, du projet de loi n° 95.

Pour conclure rapidement, si j'ai encore juste une seconde, un exemple, peut-être, là, d'un élément où une autre question demeure aussi, où des éléments seraient à préciser. Lorsqu'on parle de la réalisation d'une évaluation des facteurs relatifs à la vie privée, transmission à la Commission d'accès à l'information de cette évaluation-là, lorsque des données visées contiennent des renseignements personnels, il y a plusieurs questions, en fait, qui sont soulevées...

Le Président (M. Simard) : En conclusion.

M. Cliche (Dominic) : Oui, je conclus. Donc, il y a plusieurs questions qui demeurent, il y a plusieurs flous, notamment la question à savoir qui détermine si les risques résiduels sont acceptables, comment, est-ce qu'il y aura une grille qui permet d'harmoniser ces pratiques-là dans l'ensemble de l'administration publique. Donc, c'est le genre de questions aussi qui suscitent des inquiétudes du côté de la commission. Merci.

Le Président (M. Simard) : Merci beaucoup, M. Cliche. Alors, nous serions en mesure d'entreprendre la période d'échange. Je cède la parole à M. le ministre, qui dispose de 16 min 30 s. M. le ministre, votre micro me semble fermé.

M. Caire : Ça ne sera pas long, M. le Président. Alors, merci beaucoup à M. Bergeron, merci à M. Cliche. Merci de l'intervention.

Bien, d'entrée de jeu, différents éléments que vous avez apportés que je trouve intéressants. Et, M. Bergeron, j'ai envie de commencer par une question, parce que vous avez parlé de la catégorisation des données du volet éthique. Qu'est-ce qui... Dans le cadre que le gouvernement utilise actuellement et qui a été rendu public, sur la catégorisation des données, qu'est-ce qu'il manque là-dedans, selon vous, au niveau éthique?

M. Bergeron (Michel) : Bien, au niveau éthique, quand on regarde la définition qui est dans le projet de loi, de «données gouvernementales», cette définition est assez large. La catégorisation, en ce qui concerne les données, peut toucher des éléments comme, par exemple, la sensibilité des données, les données qui proviennent de différentes sources, la différence entre, par exemple, donnée de base et donnée traitée, etc. Donc, ces éléments-là ne sont pas inclus dans le projet de loi.

M. Caire : Non, je comprends, mais vous comprendrez qu'un projet de loi ne peut pas aller à ce niveau-là de sensibilité. C'est pour ça que le gouvernement a adopté le cadre dont je vous parle, là, qu'on a déposé à la Commission des institutions et qui sert justement à faire cette catégorisation-là dans le projet actuel de consolidation des CTI.

C'était au niveau de ce cadre-là, qu'on a rendu public, que je vous demandais si la commission avait eu l'occasion de se pencher là-dessus et de faire ce commentaire-là, au niveau du fait qu'il y avait peut-être des enjeux éthiques, là. Parce que vous comprendrez que la loi actuelle prévoit respecter toutes les règles d'accès et les règles de protection. Donc, ça fait partie des éléments qu'on va respecter. Puis là-dessus, d'ailleurs, je reviendrai sur un commentaire de M. Cliche. Mais donc je voulais voir si la commission avait eu le temps d'analyser le cadre de catégorisation des données qu'on a déposé en commission parlementaire et si c'est sur cette base-là que le commentaire avait été fait.

M. Bergeron (Michel) : En ce qui me concerne, le commentaire a été fait sur la description, la définition qu'il y a dans la loi. Je demanderais à M. Cliche s'il a des informations additionnelles qu'il aimerait ajouter.

M. Cliche (Dominic) : Non, effectivement, la position n'est pas développée à partir d'une analyse, là, du cadre en question, qu'on va consulter, cela dit, évidemment.

M. Caire : O.K. M. Cliche, bien, je vais en profiter pendant que vous êtes là. Vous dites : Écoutez, ce serait... il y a un questionnement, au niveau de la commission, sur une éventuelle utilisation des données qui pourrait être dérogatoire à la loi, là. Vous faites notamment référence au projet de loi n° 64. Or, il est assez... bien, en tout cas, moi, je pensais que c'était suffisamment clair, mais je veux vous entendre là-dessus, là. S'il y a des clarifications à apporter, je vais être intéressé à vous entendre.

12.10 du chapitre II.4 de la loi actuelle prévoit effectivement, puis c'est la discussion qu'on avait avec Me Poitras cet avant-midi, que... Le projet de loi n° 95 est un projet de loi technologique, donc qui va respecter l'ensemble des lois et... lois de protection particulière et directives de sécurité. Son objectif n'est pas de définir sous quelles conditions l'information doit être communiquée. Ça, c'est 64 qui va le faire et les régimes de protection particuliers. Et 95 stipule nommément qu'ils vont respecter ces cadres-là.

Donc, 95 est plus dans l'organisation technologique de la diffusion de l'information, dans le respect du cadre légal. Donc, là-dessus, est-ce que 12.10 répond à vos attentes?

M. Cliche (Dominic) : Je peux prendre la balle au bond, oui. Effectivement, c'est une précision qui est intéressante et importante. Effectivement, à ce moment-là, le fait qu'on assure par... si je comprends, donc, l'idée, que, dans la portion... En tenant compte de leur nature, de leurs caractéristiques et des règles d'accès et de protection... des registres, on s'assure, par cette disposition-là, d'une coordination puis d'un arrimage avec les lois d'accès et de protection des renseignements personnels. Effectivement, à ce moment-là, déjà, sur la question de l'arrimage avec le projet de loi n° 64, ça correspond, là...

M. Caire : Bien, en fait, c'est plus que 64, donc...

M. Cliche (Dominic) : Bien, et autres, là. Mais, sur notre commentaire à nous...

M. Caire : C'est 64, c'est les lois... les protections particulières en santé. Il y en a au Curateur public, il y en a une à l'Agence du revenu. Donc, c'est toutes ces lois-là auxquelles on va s'astreindre. C'est un petit peu pour ça, là, que j'avais cette discussion-là avec Me Poitras.

Puis je trouvais ça très intéressant, votre commentaire, parce que, dans le fond, 95 ne change pas qui peut avoir accès à quoi. 95 change comment j'accède à la donnée.

Et c'est un peu l'objectif, de dire que, quand je collecte une information, la première chose que je dois faire, c'est vérifier. Est-ce que je l'ai déjà dans mon actif gouvernemental? Et d'où la notion que la donnée est un actif gouvernemental, ce qui empêche l'organisme de poser une question pour laquelle il a déjà la réponse.

Et donc l'idée générale, je dirais, là, c'est de faire en sorte que le citoyen cesse d'être un employé de l'État, mais bien quelqu'un qui reçoit un service de l'État. Ça fait que c'était cette dynamique-là qu'on voulait changer. Est-ce que, selon la vision que vous avez de ça, on atteint cet objectif-là?

M. Cliche (Dominic) : Bien, c'est sûr que ça, ça clarifie pour... Effectivement, je pense que, l'objectif, on... ça, c'est acquis. Ça, ce n'est pas quelque chose que conteste, d'aucune manière, là, la commission. Je pense qu'à ce moment-là, effectivement, sur l'application des régimes de protection, c'est une réponse qui est satisfaisante.

Ensuite, sur... On peut rappeler, à ce moment-là, d'autres commentaires qu'on a pu faire à l'occasion justement de l'étude du projet de loi n° 64. Et peut-être que... Ce n'est peut-être pas le moment, à ce moment-là, de ramener ces considérations-là ici, mais, justement, en lien...

M. Caire : Oui, oui, oui, tout à fait.

M. Cliche (Dominic) : ...sur l'encadrement des usages, aussi, sans être... aller au-delà du régime très... qui distingue très, très fortement renseignements personnels et autres renseignements, notamment pour étoffer un peu davantage, là, les catégorisations, pour pouvoir prendre en compte différents usages, l'utilisation de différents outils, et 64 fait un pas là-dedans...

Mais, encore une fois, la commission avait des commentaires, là, supplémentaires, là, sur peut-être le besoin d'élargir, sans élargir le niveau de protection, aussi rigide, évidemment, de l'ensemble des renseignements personnels à l'ensemble des données. Mais, comme le soulignait M. Bergeron, par exemple, la notion des renseignements traités, des renseignements inférés, par exemple, était un enjeu que nous avions soulevé, là, lors de l'étude... lors de notre passage lors de l'étude du projet de loi n° 64.

Et on pourrait faire, finalement, les mêmes remarques ici, de s'assurer que, justement, l'encadrement réponde aussi à ce besoin-là de regarder les finalités peut-être un peu plus en détail et d'intégrer, dans la mesure où on s'entend qu'il y a énormément de travail qui devra se faire de manière extralégislative, là, dans tout le projet de transformation numérique... que cela soit fait justement en incluant les bons acteurs, notamment en termes d'éthique et d'intégrité, au Trésor, avec lesquels on peut collaborer, et en s'assurant d'un niveau élevé, là, de transparence pour ces projets-là.

• (15 h 50) •

M. Caire : Bien, justement...

M. Cliche (Dominic) : Je pense que la notion de la transparence demeure importante, et peut-être encore une lacune, à ce moment-là, qui demeure, du projet de loi.

M. Caire : C'est un élément que je voulais aborder avec vous, là, parce que M. Bergeron parlait de la transparence. Comment... Parce qu'on parle de sécurité de l'information, et, en sécurité de l'information, comme dans la vie, toute vérité n'est pas bonne à dévoiler. Vous comprendrez pourquoi.

Donc, comment, à travers le p.l. n° 95... Puis là j'imagine que votre commentaire visait plus la gestion de la donnée que les pratiques en matière de cybersécurité. Donc, je prends pour acquis que cette transparence-là ne s'appliquait pas aux politiques et aux pratiques en matière de cybersécurité, ce qui serait suicidaire. Je pense que tout le monde est d'accord là-dessus. Donc, on allait plus au niveau de la gestion de la donnée.

Et là je vous amène à l'évaluation des facteurs relatifs à la vie privée. Parce qu'au fond on reprend le concept du p.l. n° 14, auquel vous faisiez référence, concept qui a été intégré au p.l. n° 64. Et donc, en toute cohérence, 95 devait reprendre ce concept-là. Donc, qu'est-ce qui, par rapport à 95, vous semble différent de 64 ou de 14, qui intègrent déjà ces deux... Ces deux projets de loi là intègrent déjà cette obligation-là d'avoir une évaluation des facteurs relatifs à la vie privée.

M. Cliche (Dominic) : Bien, en fait, deux choses. Dans les différentes... Bien, comme je l'ai déjà mentionné, là, justement, peut-être le besoin d'élargir la réflexion sur différentes catégories de protection, au-delà de la distinction entre renseignements personnels et autres renseignements. Puis ça s'applique aussi au projet de loi actuel comme celui... 64.

Mais aussi, donc, par rapport à la... plus spécifiquement, à l'évaluation de la protection des... l'évaluation des facteurs relatifs à la vie privée, pardon, donc, en fait, les éléments qu'on soulève ne sont pas dans le fait de faire cette évaluation-là. Au contraire, c'est une très bonne chose. C'est une bonne mesure qui est proposée et qui est cohérente, effectivement, avec l'encadrement, par ailleurs, qui est proposé, par ailleurs.

Cela dit, c'est assez... ce qui est flou, c'est un peu, en fait, une fois qu'on a cette évaluation-là, qu'est-ce qu'on en fait exactement. Et c'est sur... c'est des questions là-dessus... Moi, l'idée n'est pas de dire, de notre côté, que c'est nécessairement problématique, mais je pense qu'il y a des éléments qui sont à préciser, justement, sur la manière dont ça va être pris en compte, sur le...

Justement, on parle de risque résiduel. Il y a toujours un moment où on doit prendre une décision. Est-ce qu'on accepte ou non le risque résiduel à la suite d'une évaluation des facteurs relatifs à la vie privée? Et ça, bien, c'est une question qui est extrêmement importante, et avoir peut-être une idée un peu plus claire, que ce soit directement dans le projet de loi ou, sinon, par des...

M. Caire : Par décret?

M. Cliche (Dominic) : Par décret, ou par des politiques, ou... La mesure exacte est loin d'être dans mon champ d'expertise, là, quelle est la meilleure mesure à adopter là-dessus, mais d'être en mesure quand même de s'assurer que, bien...

Par exemple, le rôle de la Commission d'accès à l'information là-dedans, de recevoir l'évaluation, on peut se demander : Est-ce qu'elle peut formuler un avis? Est-ce que cet avis-là peut être contraignant? Est-ce que c'est nécessairement le bon organisme pour prendre connaissance de l'ensemble de cette évaluation-là? Est-ce que cette évaluation-là devrait s'appliquer, aussi, pas uniquement aux projets avec des renseignements personnels, mais aussi à d'autres catégories de données qui peuvent avoir... qui sont dans des jeux de données plus sensibles sans être nécessairement identificatoires?

Donc, ça, là-dessus, on n'a malheureusement pas de disposition à vous offrir, là, clé en main, mais évidemment c'est vraiment un état de réflexion qu'on peut amener. Mais c'est le genre de questionnement, quand même, qui demeure, là, de notre côté, par rapport à l'évaluation des facteurs relatifs à la vie privée. Mais ce n'est pas une remise en question du principe, au contraire.

M. Caire : Je comprends. Bien, vous m'ouvrez la porte, M. Cliche, M. Bergeron. Puis on parle de catégorisation de données, et j'ai eu l'occasion d'avoir cette discussion-là aussi avec Me Poitras tout à l'heure, on fait une catégorisation... En fait, on faisait une catégorisation de nos données beaucoup en fonction de celui qui était l'utilisateur, le générateur de la donnée, et non pas en fonction de la donnée à proprement parler.

On a vécu récemment une situation qui a mis en lumière les faiblesses de cette façon de faire là, à savoir que des renseignements qui étaient dits personnels, et donc qui auraient été, en santé, par exemple, protégés par les régimes de protection en application, ont été rendus publics par le Tribunal administratif du logement et ont permis à des individus, en toute légalité, en toute légitimité, d'être collectés massivement. Parce qu'évidemment cette façon-là date de l'époque où on était papier, et donc où il fallait se déplacer dans les différents districts juridiques et/ou aller au greffe pour ramasser, colliger cette information-là, ce que l'univers numérique ne nous contraint plus à faire. Et donc on a assisté à cet événement-là.

Donc, diriez-vous que de catégoriser la donnée de façon transversale, c'est-à-dire en fonction de sa valeur puis de sa sensibilité, et non pas en fonction de qui en est l'utilisateur ou le détenteur, devrait, dans un contexte éthique... devrait être la valeur fondamentale sur laquelle on s'appuie pour catégoriser les données?

M. Cliche (Dominic) : C'est évidemment une grande question. Je pense que c'est bien, effectivement, que... d'aller au-delà de la source du renseignement, effectivement.

Mais je pense que, nécessairement, dans cette évaluation-là, pour certaines données, certains renseignements, il y aura une importance éthique de la source, là, où... Par exemple, certaines données, justement, sensibles et personnelles, on peut dire que le citoyen a un intérêt supplémentaire quand même, là, sans dire nécessairement qu'il demeure... sans parler de la propriété, nécessairement, des données au sens... s'en aller dans ce terrain glissant là, mais il a un intérêt très fort par rapport à cette information et au contrôle par rapport à sa circulation et à son utilisation.

Et donc la source ne pourra pas être évacuée, évidemment, là, de la réflexion, mais élargir la catégorisation est certainement un pas dans la bonne direction.

M. Caire : Mais, quand vous dites : La source ne peut pas être évacuée de la réflexion, j'ai envie de vous demander, à brûle-pourpoint, pourquoi. Qu'est-ce que la source amène, du point de vue de l'éthique, toujours, et donc de la sensibilité de la donnée? Qu'est-ce que la source amène à la donnée que la donnée ne porte pas en elle-même?

M. Cliche (Dominic) : C'est, à la limite, une question ontologique de savoir... Qu'est-ce que la donnée, exactement? En fait, l'idée... C'est parce qu'effectivement, à la limite, on pourrait s'entendre que c'est dans la nature de la donnée elle-même si elle est identificatoire, et par... Mais donc...

Mais c'est indirectement, à ce moment-là, probablement, que la source devient significative et où, par exemple... C'est souvent lorsque c'est le citoyen qui en est la source. Dans certains cas, il y aura un intérêt probablement plus fort que pourrait faire valoir le citoyen. C'est plus dans ce sens-là.

M. Caire : Parce que, comme je l'ai mentionné, malheureusement, une même donnée, dépendamment de qui l'utilise, pourrait être soit très protégée, soit totalement publique, là. Donc, je serai intéressé à avoir vos réflexions là-dessus. Là, je comprends qu'ici et maintenant ce n'est peut-être pas pertinent, là, mais je serai très intéressé à avoir vos réflexions là-dessus.

Je vais revenir à M. Bergeron, très brièvement parce que je vois le temps qui file, au commentaire que vous avez fait, où vous dites qu'il faudrait rajouter un volet éthique compte tenu... — puis je pense, M. Cliche, que vous faisiez référence à ça — compte tenu, notamment, là, qu'on s'en va de plus en plus vers, donc, un patrimoine gouvernemental, donc une donnée qui est gouvernementale, donc une donnée qui va être considérée dans sa globalité, dans une perspective d'utilisation d'intégration de l'intelligence artificielle.

Je serais intéressé peut-être à avoir, à brûle-pourpoint, vos commentaires des enjeux éthiques qui devraient être considérés dans le fait qu'on dit maintenant que la donnée est un actif gouvernemental, donc que cette notion-là de donnée globale qui entre en ligne de compte avec le p.l. n° 95... C'est quoi, les enjeux éthiques que vous voyez à travers cette notion-là?

M. Bergeron (Michel) : Je pense qu'un des éléments qui est lié aux enjeux éthiques dans cette perspective, c'est vraiment tout le lien qui peut être fait, entre autres, avec ce qui découle des obligations de la charte sur les droits et libertés et qui fait en sorte que, par exemple, lorsqu'on utilise certaines données, on doit revenir à ce qui est favorisé, ce qui est exigé.

Le Président (M. Simard) : Très bien. Merci. Alors, ce temps... ce bloc de parole est maintenant écoulé. Et je cède la parole...

M. Caire : Merci beaucoup, messieurs. Merci infiniment.

Le Président (M. Simard) : Je cède la parole au député de La Pinière, qui dispose de 12 min 25 s.

Votre micro, cher collègue. Voilà.

• (16 heures) •

M. Barrette : Bon. Voilà, c'est parti. Bonjour, M. Bergeron, M. Cliche. C'est un plaisir de vous recevoir aujourd'hui. Alors, bien, je vais vous poser une question, bien, surprenante, peut-être, là. Avez-vous eu la chance de nous écouter ce matin?

M. Bergeron (Michel) : Malheureusement non, pour moi.

M. Barrette : Et M. Cliche?

M. Cliche (Dominic) : J'ai eu l'occasion d'entendre les remarques introductives, simplement.

M. Barrette : O.K. Donc, vous n'avez pas eu la chance d'entendre la Commission d'accès à l'information.

M. Cliche (Dominic) : Nous avons eu la chance de consulter leur mémoire, cependant.

M. Barrette : O.K. Alors, je vais aller là-dessus, là, parce que c'est vraiment... Je vais vous avouer qu'il y a quelque chose d'intellectuellement surprenant dans l'exercice qu'on fait, non pas le projet de loi comme tel mais dans les positions qui sont débattues.

Alors, vous, vous êtes des experts en éthique dans le merveilleux monde de la technologie. La Commission d'accès à l'information, on ne peut pas dire qu'il n'y a pas un volet éthique là-dedans. Ça serait exagéré de dire quelque chose comme ça. On a le projet de loi n° 95 qui, lui, fait ce qu'il souhaite faire, et là on a vraiment, vraiment une collision des concepts. Vous vous situez où par rapport au mémoire de la Commission d'accès à l'information?

Ce n'est pas une question piège, honnêtement, là. C'est juste qu'à un moment donné, même pour nous autres, c'est mélangeant, là. On a vraiment... Moi, j'ai mon opinion, le ministre a son opinion, puis je pense que mes collègues des deux autres partis ont leur opinion. On tourne tous sur... On est tous sur la même patinoire, la patinoire de l'éthique et de protection des renseignements personnels, puis on n'a pas, personne, la même opinion, ça fait que...

En général, on arrive à... il y a une tendance, là, c'est comme un peu vectoriel, il y a une résultante, puis on s'en va tous vers ça. Là, on ne s'en va pas vers ça. Alors, juste me donner votre opinion. Ça m'intéresse comme tel, là. Ce n'est pas un jugement de valeur. Je vous demande de vous positionner par rapport à ça.

M. Bergeron (Michel) : Bien, en ce qui me concerne...

M. Barrette : ...je vais vous poser des questions plus précises.

M. Bergeron (Michel) : En ce qui me concerne, j'ai trouvé le mémoire de la commission très intéressant. Je pense qu'il soulève des points qui sont pertinents en ce qui concerne l'utilisation des données et des éléments qu'on discute déjà dans le groupe de travail sur les données.

Une voix : M. Cliche.

M. Cliche (Dominic) : Oui, je peux compléter. Bien, en fait, effectivement, je pense que, sans... Il y a plusieurs positions, là, qui sont prises par la Commission d'accès, sur lesquelles la Commission de l'éthique n'a pas à s'avancer nécessairement, sur... comme par exemple, je mentionnais que le... quel véhicule législatif est le bon. Et là, déjà, la discussion avec M. le ministre a permis de clarifier certains éléments.

Je pense qu'on avait une compréhension, là, la Commission d'accès à l'information et nous, similaire, là, justement, sur l'impact qu'avait ou que pouvait avoir le projet de loi n° 95... ou entrer peut-être en conflit avec d'autres initiatives en lien avec la protection des renseignements personnels. Là, on comprend que cette position-là doit être beaucoup plus nuancée. Donc, à ce moment-là, nécessairement, on aura tendance à nuancer notre position par rapport aussi à ce que défendait la CAI, là, dans son mémoire.

Chose certaine, la commission ne s'oppose aucunement, là, à la question, au principe à la base du projet de loi n° 95, qui est de mieux valoriser les données publiques, donc détenues par les organismes publics, à des fins qui sont d'intérêt public. Je pense que, de manière générale, les citoyens peuvent s'entendre qu'il y a effectivement une amélioration de la communication, là, entre les ministères et organismes, et particulièrement de l'échange de certaines données, qui est une bonification claire, là, de leur rapport avec l'administration publique, là, dans le cadre de la transformation numérique.

Mais après ça, évidemment, je pense que, là où on vient peut-être s'accorder avec... davantage dans la perspective plus prudente, si on veut, que peut-être certains pourront juger excessivement prudente, c'est que, lorsqu'on arrive dans un régime ou lorsque... qu'on comprenait qu'il était vraiment un régime très, très ouvert de partage des données, une contrepartie très importante en matière de reddition de comptes et de transparence était nécessaire, des garanties peut-être plus précises aussi à être données. Là, évidemment, avec la discussion qu'on a eue, il y a des éléments à nuancer là-dedans, mais, quand même, je pense que ces contreparties-là doivent... demeurent très importantes.

Puis il y a tout un enjeu de comment le gouvernement transmet aussi... communique la question de la transformation numérique et intègre le citoyen dans la réflexion et dans la... juste dans l'appropriation et la compréhension de ce que ça signifie pour l'administration publique, là, de faire cette transformation numérique là, et qu'on soit en mesure de voir aussi les enjeux à moyen terme, là, qui vient avec la numérisation plus grande des services publics et l'utilisation de différents outils numériques.

Donc, je pense qu'effectivement il y a moyen d'avoir... Je pense qu'on doit être prudents. Après ça... C'est la position fondamentale pour ce qu'on partage avec la Commission d'accès à l'information là-dessus.

M. Barrette : Or, la Commission d'accès à l'information, de la manière qu'elle s'est exprimée ce matin, elle est... Comment je dirais ça? Ce n'est pas négatif, ce que je veux dire, mais elle est plus... son curseur dans la prudence est très, très, très loin à droite, on va dire, ou à gauche, c'est selon, peu importe, et elle reproche au projet de loi d'avoir un curseur qui est à l'autre bout. C'est quoi, votre position là-dessus?

M. Cliche (Dominic) : Dans la mesure où notre compréhension était celle, effectivement, d'un régime pour l'ensemble des données gouvernementales considérées comme étant d'intérêt gouvernemental, sans la nuance, justement, de l'application de l'ensemble des lois, déjà, et des régimes de protection, dans cette compréhension-là, on était... notre accord devait aller avec la Commission d'accès à l'information, là. Dans la mesure où on a quand même des garanties qui sont données, là, on a une précision qui est apportée, le curseur peut se ramener, peut se centrer davantage, là. Disons ça comme ça.

M. Barrette : Est-ce que vous considérez que les renseignements personnels à l'intérieur de la bulle gouvernementale devraient circuler librement dans cette bulle-là?

M. Bergeron (Michel) : Je pense qu'à ce niveau-là c'est vraiment selon l'encadrement qui va exister, qui va permettre de faire la réflexion. La circulation, elle est nécessaire à certains développements, mais elle doit être encadrée de la façon qui est la plus prudente possible.

M. Barrette : Alors, est-ce que vous avez des suggestions particulières pour l'encadrement en question? Honnêtement, on est restés sur notre faim ce matin, là, parce que la Commission d'accès à l'information émet des opinions et des principes, elle nous dit que c'est faisable mais ne nous dit pas comment le faire et ne nous fait pas de proposition, ne serait-ce que théorique, sur la façon de le faire.

M. Bergeron (Michel) : Bien, je pense qu'à ce niveau-là on est... au niveau de la réflexion, en ce qui concerne les données, renseignements personnels, on n'est pas rendus à ça.

On a commencé à réfléchir sur les éléments de base d'ordre éthique, sur certaines législatives puis, entre autres, là... L'ensemble des projets de loi sont intéressants à ce niveau-là, mais c'est un... l'éthique étant ce qu'elle est, c'est un processus de réflexion qui nécessite d'inclure les éléments qui sont en discussion.

M. Barrette : Mais là, pour que je comprenne bien, là, vous, avez-vous été consultés pour... législativement, pour la rédaction du projet de loi?

M. Bergeron (Michel) : Non.

M. Barrette : Vous, le projet de loi, vous en avez pris connaissance, là, quand il est arrivé, là, comme nous autres, là.

M. Bergeron (Michel) : C'est ça.

M. Cliche (Dominic) : Exactement.

M. Barrette : O.K. Alors, avez-vous des suggestions spécifiques à nous faire, des voies, des pistes, non pas de solution, là, je ne pense pas que c'est le mot que je devrais utiliser, là, mais...

La Commission d'accès reproche au projet de loi de permettre au gouvernement, par décret, de faire ce qu'il veut. Je peux comprendre la critique de la Commission d'accès à l'information. Un décret gouvernemental, c'est assez vaste, on l'a vu dans les projets de loi précédents. Et ça, je dis ça pour faire sourire le ministre. C'est assez ouvert, là. La Commission d'accès à l'information, essentiellement, reproche à ce genre de chose là l'absence de balise, ne serait-ce que pour déterminer ce qui est un intérêt gouvernemental.

• (16 h 10) •

M. Cliche (Dominic) : Effectivement. Bien, je peux reprendre un peu ce que je mentionnais, donc, dans... l'idée d'avoir, dans le contexte, quand même des balises plus substantielles et robustes, donc que ce soit en précisant davantage des objectifs qui sont poursuivis, en formulant certaines fins à proscrire ou, sinon, en ayant peut-être un régime plus différencié, là, des mesures spécifiques pour certaines utilisations plus sensibles.

Évidemment, nous, nos travaux portent... En ce moment, le mandat, en fait, de notre comité est un mandat du Scientifique en chef sur l'accès aux données par le secteur privé. Donc, on est dans quelque chose qui est... Nos travaux ne sont pas transférables, là, au projet de loi en question. On est dans un champ différent.

On a réfléchi, depuis quelques années, à la transformation numérique. Et là le mandat qui nous occupe principalement en ce moment est évidemment extérieur, là, au projet de loi n° 95, ce qui fait en sorte qu'effectivement on se présente devant vous aujourd'hui, avec le temps qu'on a eu, là, pour prendre connaissance du projet de loi... formuler quelques commentaires plus généraux. Et il va nous faire, évidemment, le plus grand plaisir de poursuivre cette réflexion-là et de vous proposer, si on est en mesure de le faire, là, des propositions plus concrètes en prévision de l'étude détaillée.

Cela dit, au moment où on en est, on est quand même dans des principes, effectivement. On peut comprendre la position aussi de la Commission d'accès à l'information dans cette perspective-là, j'imagine.

M. Barrette : C'est assez intéressant, ce que vous dites, M. Cliche, parce que... Je vais vous prendre à pied levé, là, vraiment, là. Je vais vous faire... Je vais rebondir sur ce que vous venez de faire, là, à pied levé. Ce que vous venez de dire, là, les travaux que vous faites actuellement, là, que vous dites extérieurs au projet de loi n° 95, si le projet de loi n° 95 était la loi n° 95 aujourd'hui, vous n'auriez pas le choix de prendre ça en considération, là.

M. Cliche (Dominic) : Absolument.

M. Barrette : Le feriez-vous?

M. Cliche (Dominic) : Bien sûr. C'est notre mandat.

M. Barrette : Dites-nous combien ça altérerait vos travaux actuellement, là. La question est intéressante. Je comprends que vous êtes extérieurs, là, mais faites comme si. Ça vient vous altérer comment?

M. Cliche (Dominic) : Bien, c'est-à-dire que, là, tout d'un coup, effectivement, il faut voir dans ce cadre-là qu'est-ce qui permettrait d'ouvrir, j'imagine, notamment par des contrats de sous-traitance, là, qui permettrait... qui ferait... qui pourrait créer un certain accès au secteur privé à des données, là, qui constitue, donc, l'accès gouvernemental. Et, plus probablement, et là il faudrait analyser un peu plus... mais, dans les fins qui sont mentionnées, donc recherche et développement, on peut aussi imaginer des partenariats dans cette perspective-là.

Donc, c'est probablement dans ce genre de contexte là, là, qu'on aurait évalué, dans le cadre de la loi qui est... du projet de loi qu'on a devant les yeux ou si c'était, donc, la loi adoptée, quelles en seraient les conséquences, les actes, là, sur l'accès possible, là, par le privé. Mais ce n'est pas quelque chose, évidemment, qui est abordé directement dans le cadre du projet de loi, puis il faudrait gratter davantage.

M. Barrette : Sauf que, dans un débat d'étude détaillée, ça risque de venir sur le tapis, là. Le contraire nous surprendrait beaucoup.

M. Cliche (Dominic) : Assurément. On espère de pouvoir formuler un rapport sur ces questions-là rapidement.

Le Président (M. Simard) : Conclusion.

M. Barrette : Bien, écoutez, M. le Président, en 15 secondes, là, tout au plus, là... Je vais terminer là, là.

Le Président (M. Simard) : Très bien. Alors, merci à vous, MM. Cliche et Bergeron, pour la qualité de votre présentation. Mais, avant...

Je vois déjà mon collègue de Rosemont, que je ne voudrais surtout pas oublier et qui bénéficie bien sûr, lui aussi, d'une partie du temps qui était imparti au Parti québécois. Alors, cher collègue, à vous la parole pour une période de 4 min 10 s.

M. Marissal : Merci, M. le Président. Merci, MM. Bergeron et Cliche. Prenez-le pas mal, là, mais la conversation que vous avez eue puis qu'on a depuis ce matin, mais ça inclut celle que je viens d'entendre, en particulier avec le ministre, c'est une conversation de gens très au fait de la situation, de... pas convertis, là, je cherche le terme, là, mais ça va me revenir, c'est une conversation de gens qui connaissent intimement... Bien, je me mets à la place des gens qui nous écoutent peut-être, en plus en format virtuel... Ouf! Je les salue. Je les salue. Mais, bon, on va y arriver. D'initiés, c'est le mot que je cherchais. Nous avons des conversations d'initiés. Merci. Ça va venir, ça va venir.

Là, je veux revenir sur ce que le député de La Pinière vient d'aborder. Et vous l'avez abordé, en fait, vous-mêmes avant que la question vous soit posée, vous avez eu un mandat du Scientifique en chef pour évaluer les possibilités de partage ou de partenariat visant des données personnelles de Québécois et de Québécoises avec le privé. Moi, je l'apprends. Je ne le savais pas.

Ce que je sais, c'est que c'est une préoccupation, pour ne pas dire une marotte, de votre ministre, qui est le ministre de l'Économie. J'ai eu avec lui, d'ailleurs, des conversations houleuses sur le sujet, notamment, de partage de données de la RAMQ avec les pharmaceutiques. Le ministre nous a appris, aux crédits, qu'il avait lui-même signé des décharges et des documents autorisant le partage d'une partie de ses données personnelles. Je ne savais même pas que c'était possible de faire une telle chose au Québec. Et ça le regarde parfaitement. Je n'ai aucun jugement à porter sur ça. J'en ai, par contre, sur l'utilisation des données personnelles, en particulier dans le domaine de la santé avec les Big Pharma.

Alors, vous ne pouvez pas dire qu'il n'y a pas de lien, là, parce que votre ministre, le ministre de l'Économie et de l'Innovation, nous a dit, il y a deux ou trois semaines à peine, aux crédits, que son projet — ce n'est pas nécessairement le sien, mais il le chérit — de partage de données de la RAMQ avec les pharmaceutiques évolue, un peu dans l'ombre, le reconnaissait-il... mais que le projet de loi n° 95 déposé par son collègue à la Transformation numérique allait défricher le terrain, déneiger l'entrée de cour, puis on allait pouvoir finir par passer.

Alors, je ne sais pas, là, de quoi on parle ici, mais comment pouvez-vous dire qu'il n'y a pas de lien, que vous êtes dans une réflexion éthique de très, très, très haut niveau? Et ça, je n'ai aucun doute que c'est le cas, mais, dans la vraie vie, là, il y a un lien. Pour que le monde nous comprenne bien, là, c'est de ça dont on parle aussi, là. C'est possible, le partage de données privées, de données personnelles au privé. C'est ce que vous avez dit.

M. Cliche (Dominic) : Oui. En fait, l'idée n'est pas qu'il n'y a pas de lien, mais il est évidemment plus indirect.

Nous, en fait, le mandat plus spécifique est sur les données de santé ou, du moins, de... l'utilisation des données dans un contexte de santé et de sciences de la vie à des fins de recherche.

Donc, évidemment, là, ça, c'est la finalité, là, la fin administrative de services publics, de recherche et développement, qui pourrait être concernée, là, comme je le mentionnais plus tôt, et qui là pourrait être une porte d'entrée, là, pour, par exemple... pour effectuer... pour entrer dans le mandat qui nous concerne, finalement, là, donc pour effectuer de la recherche en partenariat avec le privé à partir de données gouvernementales.

Mais, encore là, c'est ça, l'ensemble, là, de l'encadrement de cette possibilité-là, on n'y a pas accès, et c'est quelque chose, évidemment, dont... qu'on doit souligner, que je pense qu'on souligne, d'ailleurs, là. C'est assez... Dans les fins qui sont utilisées, dans les fins qui peuvent être permises, interdites...

Le Président (M. Simard) : Très bien.

M. Cliche (Dominic) : ...ou qui pourraient être un peu plus encadrées, bien, c'est à réfléchir.

Le Président (M. Simard) : En conclusion.

M. Marissal : En conclusion, bien, je n'ai plus de temps. Je veux simplement noter que cette chose existe, qu'elle est là. Peut-être est-ce le proverbial éléphant dans la pièce? Mais c'est malheureux que je n'aie pas plus de temps, messieurs. Et je vous remercie pour votre participation. Je souhaite pouvoir avoir d'autres conversations de ce type, peut-être, avec vous dans les...

Le Président (M. Simard) : Très bien.

M. Marissal : Peut-être juste me répondre très rapidement. Quand devez-vous rendre vos rapports quant au mandat que vous avez reçu?

Le Président (M. Simard) : Très rapidement, s'il vous plaît.

M. Marissal : Merci, M. le Président.

M. Cliche (Dominic) : C'est prévu pour l'automne prochain.

M. Marissal : Merci. Merci, M. le Président.

Le Président (M. Simard) : Bien. Merci à vous, cher collègue. Donc, MM. Cliche et Bergeron, à nouveau, merci pour la qualité de votre présentation. Puis on espère vous recevoir à nouveau sous peu. Au revoir.

M. Cliche (Dominic) : Merci à tous.

M. Caire : Merci beaucoup, messieurs.

Une voix : Bonne suite des travaux.

Le Président (M. Simard) : Sur ce, chers collègues, on va suspendre quelques instants, le temps de faire place à nos prochains invités.

(Suspension de la séance à 16 h 18)

(Reprise à 16 h 25)

Le Président (M. Simard) : Alors, nous sommes de retour. Nous pouvons reprendre nos échanges. Et nous sommes en compagnie du Pr Gambs, de l'UQAM. Cher ami, soyez le bienvenu parmi nous.

M. Sébastien Gambs

M. Gambs (Sébastien) : Merci beaucoup pour l'invitation.

Le Président (M. Simard) : Pour les fins de nos travaux, auriez-vous l'amabilité, d'abord, de vous présenter?

M. Gambs (Sébastien) : Oui. Donc, je suis professeur en informatique à l'UQAM et je suis titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives. Donc, essentiellement, mon expertise est protection de la vie privée et sécurité, côté informatique.

Le Président (M. Simard) : D'accord. Donc, vous disposez de 10 minutes pour faire votre présentation.

M. Gambs (Sébastien) : D'accord. D'abord, bien, je vous remercie pour l'invitation. Donc, en préambule, je pense que ça a déjà été dit par quelques intervenants, mais je pense que c'est important de discuter de ce projet de loi en lien avec les autres projets de loi, comme le projet de loi n° 64, la stratégie numérique du gouvernement, et, j'imagine, la future infrastructure d'identité numérique. Donc, je pense que c'est important aussi que ce débat, au-delà de cette commission, ça inclue le plus d'acteurs possible, éventuellement, dans d'autres contextes.

Donc, j'ai lu le projet de loi avec attention et je note qu'au niveau de la sécurité il y a des points très positifs au niveau du fait d'avoir un responsable de sécurité dans chaque ministère. Peut-être que je suggérerais, pour être capable d'avoir une reddition de comptes sur l'implantation de ces améliorations de la sécurité... ce serait d'avoir une transparence aussi sur les plans de sécurisation, au niveau de chaque ministère, qui vont être mis en place, penser à des indicateurs aussi, comment est-ce qu'on sait, au bout de cinq ans, si on a vraiment amélioré le niveau de sécurité globale de chaque ministère et du gouvernement.

Et aussi il y a des notions, comme l'obligation de divulguer les brèches de sécurité, qui font partie des bonnes pratiques de sécurité, que je n'ai pas vues pour l'instant dans le document.

Cela dit, étant plutôt un chercheur du côté vie privée, ce serait intéressant, je pense, d'inclure, dans ce plan de sécurisation, aussi une analyse des enjeux de vie privée et des enjeux éthiques.

Et, quand on parle de mobilité des données, j'ai vu quelques exemples ces dernières années, dans d'autres gouvernements, qui amènent des questions. Donc, juste pour vous donner un exemple, en 2014, le gouvernement belge a voulu, avec la circulation des données, collecter des données de consommation d'eau, de gaz et d'électricité dans le cadre de la détection des personnes qui fraudaient, parce qu'en fait votre allocation sociale dépend de si vous êtes seul ou en couple dans votre logement. Et donc ce que le gouvernement avait voulu faire à l'époque, c'était de prendre des données dans un contexte, l'utiliser dans un autre contexte, ce qui avait soulevé des enjeux éthiques importants. Donc, on forçait les gens à... En particulier en Belgique, une loi européenne forçait les gens à installer des compteurs électriques intelligents. On leur disait que c'était pour le cas de l'optimisation et la distribution, et, d'un coup, on commence à l'utiliser pour d'autres finalités.

Donc, je ne sais pas s'il faudrait réfléchir à un organisme gouvernemental, une forme de comité d'éthique qui réfléchirait aussi quand on commence à faire bouger des données hors de leur finalité, collecte de départ, qui pourrait réfléchir et conseiller le gouvernement sur ces aspects-là.

Je note aussi qu'on parle beaucoup de mobilité et de valorisation dans le document, ce qui peut avoir des tensions avec la vie privée. Donc, en particulier, on attend du gouvernement qu'il ait les standards de vie privée les plus élevés, puisqu'il est au service du citoyen. Et, en général, le citoyen n'a pas le choix de lui transmettre des données dans le cadre des missions régaliennes. Donc, je pense que ce serait important aussi de préciser ces aspects-là.

Donc, une des choses que je me suis demandées, c'est... Toutes les discussions aussi avec la valorisation des données, avec des compagnies privées ne font pas partie du projet de loi, et je pense que ce serait aussi quelque chose à inclure dans la discussion globale dont je parlais au départ. Donc, est-ce que le gouvernement s'engage à ne pas le faire? Est-ce qu'il a des plans pour le faire? Je pense que ce serait important de les mettre sur la table.

On parle en particulier des données de santé. Aussi, les données de santé sont... vendues à une compagnie privée, bien, ça peut avoir un impact sur le prix de mon assurance médicaments, ça peut avoir un impact sur mon score de crédit si cette information est... sur mon employabilité si on a des outils de recrutement prédictifs.

Donc, toute la question de comment ce projet de loi s'inscrit par rapport à la stratégie de valorisation avec les acteurs privés, je pense que ce serait important à mettre aussi sur la table.

• (16 h 30) •

Aussi, j'ai vu ce matin la discussion sur est-ce qu'il faut avoir les données centralisées ou en silos. Il faut faire attention à toute centralisation de données. Donc, oui, le fait de centraliser des données, ça peut permettre de mettre plus de ressources sur un endroit pour améliorer la sécurité, mais il y a aussi beaucoup de cas où, dès qu'on a centralisé les données, on devient une cible de choix et on arrive à des fuites de données.

Donc, en Inde, par exemple, ils ont un projet qui s'appelle Aadhaar, où ils ont, dans un but d'identité numérique et de services de transformation numérique, centralisé beaucoup de données, et il y a eu une fuite de données de 1,1 milliard de personnes avec les noms, les adresses, photos, numéros de téléphone, adresses e-mail. Donc, dès qu'on centralise, on devient aussi une cible de choix, un seul point central de sécurité.

Donc, la question... Je pense que la question de la sécurité, ce n'est pas aussi simple que centraliser ou en silo. Il faudrait vraiment réfléchir à est-ce que la centralisation, c'est la meilleure chose ou est-ce qu'il faudrait avoir plusieurs hubs.

Et aussi je pense que... de centralisation en vie privée... Si on centralise toutes les données de toutes les sources gouvernementales et que, dans 10 ans, on a un gouvernement autoritaire qui est en place, on lui aura donné toutes les clés pour être capable de tracer quels sont ses opposants potentiels, cibler les personnes à risque. Donc, dès qu'on centralise, on fait un pas de plus aussi dans les risques de traçage des personnes. Donc, voilà, je finirais mon intervention là-dessus.

Je pense que ce qui a été dit aussi, c'est qu'on a l'impression que certains aspects pourraient être précisés par décret. J'entendais l'intervention de la Commission d'accès ce matin, en particulier. Donc, d'avoir un débat un peu plus large sur comment vont être précisées ces sources de données officielles, par exemple, ça, je pense que ça devrait faire partie aussi de la discussion. Voilà pour mon intervention.

Le Président (M. Simard) : Alors, merci à vous, M. le professeur. Cela va nous donner plus de temps pour finalement procéder à nos échanges. Et, si mon calcul est bon, la partie gouvernementale disposerait donc, à ce stade-ci, de 17 min 30 s. M. le ministre.

M. Caire : Merci beaucoup, M. le Président. Bonjour, Pr Gambs. Merci beaucoup de votre intervention. Nonobstant à ceci, plusieurs de vos commentaires m'ont fait tiquer, et je vais être intéressé à en discuter avec vous, parce que vous semblez favorable à ce que le gouvernement divulgue ses brèches de sécurité. J'ai-tu bien compris ce que vous avez dit?

M. Gambs (Sébastien) : Oui. S'il y a une fuite de données à un service gouvernemental...

M. Caire : Mais, je veux juste être sûr que je comprends, de divulguer la fuite ou de divulguer la brèche? Parce que ce n'est pas la même chose.

M. Gambs (Sébastien) : De divulguer la fuite.

M. Caire : Ah! mais ça, c'est prévu dans 64 déjà.

M. Gambs (Sébastien) : O.K. Bien, tant mieux. Mais souvent, quand on divulgue...

M. Caire : O.K. Donc, ça... Mais, ça, vous ne l'aviez pas vu. Je comprends que c'est vraiment la fuite de données dont vous parliez, là, pas la brèche.

M. Gambs (Sébastien) : Bien, en général, quand la fuite est publique, la brèche est aussi colmatée. Donc, on peut divulguer la brèche.

M. Caire : Oui, c'est ça. Ah! je peux vous dire que, dans La Place 0-5, on cherche encore par où ils sont passés.

O.K. Donc, ça, c'est une question que j'avais. Donc, on s'entend que projet de loi n° 64 prévoit qu'une fuite de données doit être divulguée à la Commission d'accès à l'information, aux gens qui sont inclus ou qui sont impactés par cette fuite-là et éventuellement aux gens qui peuvent apporter des correctifs majeurs et importants à l'incident de confidentialité. Ça, c'est tout dans 64.

M. Gambs (Sébastien) : Oui. Donc, moi, je veux juste, pour préciser...

M. Caire : Donc, ça, ça répond à votre objection?

M. Gambs (Sébastien) : Moi, c'était un cran plus loin. C'est de le divulguer publiquement parce que...

M. Caire : Oui, oui.

M. Gambs (Sébastien) : ...pas juste à la Commission d'accès, mais de rendre des comptes, aux citoyens directs, de chaque brèche, de chaque fuite.

M. Caire : Bien, écoutez, on a eu cette discussion-là à la Commission des institutions. Mais pour vous dire que le volet divulgation d'une fuite de données est couvert par le projet de loi n° 64.

Autre chose que vous avez dite qui m'a surpris : Mettre sur la table les éventuelles interactions avec le privé. Or, le projet de loi ne prévoit aucune interaction avec le privé. Donc, j'aimerais comprendre de quoi vous parlez exactement, parce qu'il est clair que le projet de loi est orienté vers les services publics et l'administration publique et n'inclut que les services publics par l'administration publique. Donc, en quoi le privé vient jouer là-dedans? Je n'ai pas très bien compris l'intervention.

M. Gambs (Sébastien) : Donc, ma question, c'est : Pourquoi est-ce que ce projet-là ne précise pas, dans le cadre des données gouvernementales, tous les types de partenariat? Donc, j'imagine que ce sera peut-être une loi subséquente, c'est ça?

M. Caire : Bien, en fait, c'est parce que l'idée, c'est de dire que, dans une prestation de services publics... comment la donnée peut circuler entre deux organismes publics. Donc, il n'y a pas de... il n'y a pas nécessairement... L'entreprise privée n'intervient pas là-dedans, là.

M. Gambs (Sébastien) : Oui. En tout cas, là, je pense, ça aurait pu être une occasion d'inclure toute la...

M. Caire : Parce que, la LGGRI, il faut comprendre que cette loi-là, c'est une modification à la loi sur la gestion et la gouvernance des ressources informationnelles. Et donc les organismes à qui la loi s'applique sont précisés dans la loi, et l'entreprise privée n'est pas impactée par la LGGRI, là.

M. Gambs (Sébastien) : Oui, mais comme... O.K. Peut-être que c'est une erreur de ma part, mais, quand on parle de mobilité et de valorisation des données gouvernementales, dans mon sens... Je ne sais pas si ce projet de loi ou une loi subséquente, j'imagine, va statuer sur ce qui va être permis ou pas.

Donc, au-delà de la circulation entre les organismes, puisqu'on parle des données gouvernementales, il y a toute la question, comme vous l'avez dit, de la gouvernance, et une partie de la gouvernance, c'est la mobilité et la valorisation vers l'extérieur. Donc, j'imagine, si ce n'est pas ce projet de loi qui va en discuter, il y en aura un autre ou un autre contexte. Et donc mon seul commentaire, c'était : Ça aurait pu être une occasion de l'inclure dans ce projet de loi ou alors de dire quelles vont être les interactions avec une loi future, éventuellement.

M. Caire : Bien, en fait, les premiers articles de la loi précisent à qui la loi s'applique, là. Et, comme le disait d'ailleurs la Commission d'accès à l'information, cette loi-là ne s'applique qu'aux organismes publics et aux entreprises de l'État.

Sur la question de la valorisation, vous nous avez amenés là-dessus... (Interruption) Excusez-moi, hein? C'est l'article 12.10, paragraphe 4°, qui parle de la valorisation, qui est «la mise en valeur d'une donnée numérique gouvernementale au sein de l'administration publique à une fin administrative ou de services publics, excluant sa vente ou toute autre forme d'aliénation». Est-ce que ça, ça répond plus adéquatement à l'interrogation que vous aviez sur ces questions-là, sur la valorisation de la donnée?

M. Gambs (Sébastien) : Oui et non, dans le sens qu'il y a quand même le débat... Du coup, si cette loi n'est pas l'occasion, il y a quand même la question d'où... dans quelle loi ça va être discuté.

Donc, oui, je comprends que ce projet de loi ne statue pas sur cet aspect de la valorisation qui fait partie des données gouvernementales, mais ma question reste : Où est-ce que ça va être discuté?

Moi, en travaillant en sécurité, je vois aussi qu'il y a beaucoup de chantiers, comme l'identité numérique. Donc, je me pose des questions sur quelle va être l'architecture de cette identité et la vision globale, où on s'en va avec les interactions entre ces lois. Donc...

M. Caire : O.K. Je comprends. Mais je vous rassure, Pr Gambs, la LGGRI ne s'applique qu'aux organismes publics et aux entreprises du gouvernement. D'ailleurs, vous l'avez, là, dans les différentes lois. Donc, les organismes impactés sont clairement identifiés. Et je dis ça pour faire sourire à mon tour mon collègue de La Pinière, parce que nous avons eu cette discussion-là à quelques reprises en commission parlementaire.

Bon, Pr Gambs, vous êtes un spécialiste de la cybersécurité. Si je vous dis qu'actuellement, dans la perspective de prestation de services publics, chaque organisme public, dans une perspective de prestation, collecte les informations dont ils ont besoin, si bien qu'il y a probablement au sein du gouvernement, actuellement, entre 250 et 300 versions de vous-même parce qu'il y a cette incapacité-là de partager la donnée entre les organismes, donc, diriez-vous que cette surmultiplication-là d'une même information dans des centaines de bases de données, en fait, 577 sites, pour être très précis... est-ce que vous diriez... Est-ce que le spécialiste de la cybersécurité en vous dirait que cette pratique-là, elle est conforme aux bonnes pratiques en cybersécurité?

M. Gambs (Sébastien) : Donc, encore une fois, le débat, c'est... Si on centralise, on limite le nombre de copies, mais on va créer un seul point de faille. Donc, je pense que tout le débat va être là-dessus. Et les bonnes pratiques de...

M. Caire : Quand vous parlez de centralisation, pour que je comprenne bien, vous parlez de mettre toutes les données dans le même serveur, là.

M. Gambs (Sébastien) : C'est ça, ou dans la même infrastructure...

M. Caire : O.K. Si je vous parle... puis je m'adresse au...

Le Président (M. Simard) : S'il vous plaît! M. le ministre...

M. Caire : Juste pour...

Le Président (M. Simard) : M. le ministre, à l'ordre, s'il vous plaît! Là, pour les fins de nos travaux, il faudrait éviter de parler un par-dessus l'autre, parce que ça devient un peu cacophonique, et, d'où on est, on ne comprend plus rien. Alors, allons-y étape par étape. M. le ministre.

M. Caire : Bien, je voulais comprendre la notion de centralisation. Parce que vous avez amené une notion qui était intéressante, de hub de données. Puis là-dessus je veux vous entendre, parce que c'est exactement la vision que nous mettons en place avec les sources officielles de données. Donc, diriez-vous que cette pratique-là est une bonne pratique?

M. Gambs (Sébastien) : Oui. Encore une fois, je serais intéressé aussi de savoir ça va être quoi, la liste des sources officielles. Mais, si on a des sources... La notion de sources officielles, je la trouve intéressante. Au lieu d'avoir un seul site central, bien, d'avoir... Je serais juste curieux de savoir ce qu'il va être, et combien il va y en avoir, et...

• (16 h 40) •

M. Caire : Bien, ça fera l'objet d'une analyse lorsque le projet de loi... si le projet de loi est adopté, d'ailleurs. Je vais le mettre au conditionnel par respect pour l'Assemblée nationale et la décision qu'elle aura à prendre. Mais je pense qu'on a tous en tête, là, des sources officielles de données qui sont relativement simples à définir, mais il y en a d'autres pour lesquelles, effectivement, ça devra faire l'objet d'une analyse.

Et je vous pose la question : Sur quels critères pourrait-on se baser pour déterminer... Puis, bon, on comprend tous que Santé, Éducation, Direction de l'état civil, Finances sont des sources de données qui peuvent quand même être assez faciles à déterminer a priori, mais il y a peut-être d'autres sources de données pour lesquelles le constat est moins simple à faire. Donc, sur quelles bases on pourrait travailler et définir? C'est... Est-ce qu'il existe des modèles dans le monde sur lesquels on pourrait se baser pour définir ces sources de données là, et les faire de façon cohérente mais sécuritaire?

M. Gambs (Sébastien) : Je pense que, souvent, les bonnes sources de données sont des gens qui ont... des organismes qui ont l'habitude de travailler avec ces données-là, mais pour lesquels il faudrait le support du gouvernement pour aider à améliorer leurs infrastructures de sécurité.

Donc, plutôt que de créer une nouvelle entité qui gère ces données-là, je pense qu'il faudrait réfléchir à quels sont les acteurs sur le terrain et les organismes qui ont l'habitude de traiter de ces données mais qui n'ont peut-être pas le niveau de maturité de sécurité, là, c'est revenu beaucoup dans les interventions... et d'aider par... ces organismes à monter en maturité, donc, peut-être en leur donnant des ressources ou de la formation subséquente.

M. Caire : Est-ce qu'il existe des modèles de ça dans le monde, que vous avez eu l'occasion d'observer?

M. Gambs (Sébastien) : Des modèles de sources... La notion de sources officielles de données, c'est la première fois que je la vois dans une législation. Donc, je n'aurais pas de... Il faudrait que je réfléchisse et que je vous revienne, là.

M. Caire : Des concepts de hubs, est-ce que... Vous avez parlé de hubs. Est-ce qu'à ce moment-là ce concept...

M. Gambs (Sébastien) : Bien, les exemples que j'ai vus, moi, c'est les exemples où il y avait un seul hub, et ça a souvent mené à des fuites de données.

M. Caire : Oui, je comprends.

M. Gambs (Sébastien) : Pour venir avec des exemples de plusieurs hubs, je pense qu'il faudrait que je vous revienne.

En France, en ce moment, il y a des discussions avec le hub de santé, où justement il y a beaucoup de tension, hein, dans les discussions parlementaires et dans la société civile sur ce hub-là.

M. Caire : Parce qu'il faut être capable, aussi... Les hubs, il faut être capable de les mettre en relation. Donc, il faut émuler un peu un modèle de base de données relationnelle, là, pour utiliser une image avec laquelle vous êtes probablement familier. Je m'excuse pour mon collègue de...

Une voix : ...

M. Caire : Loin de moi l'idée de vouloir évincer du débat qui que ce soit, mais, pour peut-être mieux imager ce que j'ai en tête au Pr Gambs, on serait... Si je vous comprends bien, et si nous nous comprenons bien, on émulerait un modèle de données de base... base de données relationnelle, là.

M. Gambs (Sébastien) : Oui, ou base distribuée. Bien, c'est aussi pour ça que, j'imagine, ces sources vont s'appuyer sur l'infrastructure de l'identité numérique. Et, sans avoir de détails de cette infrastructure-là, comment les sources officielles vont l'utiliser...

M. Caire : Bien, en fait, non. C'est-à-dire que l'identité numérique, elle, va devoir prendre sa source dans certains de ces hubs-là, effectivement.

M. Gambs (Sébastien) : Il y a donc... Il y a des technologies respectueuses de la vie privée qui peuvent avoir des données distribuées mais permettre d'avoir une identité sécurisée et respectueuse de la vie privée. Donc, il y a beaucoup de façons différentes, technologiques, de faire les choses et il y a des bonnes et des mauvaises. Et je pense que ces sources-là devraient... avant de les identifier, il faudra aussi savoir un peu c'est quoi, l'infrastructure qui va être derrière elles.

M. Caire : O.K. Je comprends.

Vous avez parlé du chef gouvernemental de la sécurité de l'information. Vous semblez saluer l'initiative, saluer aussi les chefs délégués de la sécurité de l'information, qui seront déployés dans les différents ministères. Qu'est-ce que vous voyez de positif là-dedans? Puis, dans ce que vous avez vu, est-ce qu'il y a des choses que vous amélioreriez?

M. Gambs (Sébastien) : Bien, ce que je vois de positif, c'est que d'avoir une personne responsable de cet aspect-là dans chaque organisme, à mon avis, c'est une bonne façon d'avoir une stratégie qui est adaptée à cet organisme puis d'être sûr qu'on ait une personne dont le rôle est à 100 %.

Les façons d'améliorer, je les ai dites au début. Je pense qu'il faut être capable de faire une reddition de comptes sur à quel point la sécurité est améliorée et quels sont les indicateurs. Donc, je pense qu'il faut réfléchir à des indicateurs, au fur et à mesure de monter en maturité, de la sécurité de ces organismes pour qu'on soit capable de mesurer. Donc, ça peut être des tests de pénétration, ça peut être d'autre chose, mais... Encore une fois, je serais aussi très transparent sur le plan de sécurisation pour qu'il puisse être audité par des experts externes. Donc, voilà, c'étaient essentiellement mes points au début de mon intervention.

M. Caire : Mais j'aime ça quand vous parlez des indicateurs puis j'aimerais ça faire un bout de chemin avec vous là-dedans parce que ça, c'est quelque chose qui me parle beaucoup. On parle bien d'indicateurs de performance au niveau de la maturité des entreprises. Comment on peut... Bien, des entreprises... des organisations. Outre, bon, les balayages, outre les tests d'intrusion, outre les tests classiques d'hameçonnage, est-ce qu'il y a d'autres indicateurs qui existent qui nous permettraient de mesurer la montée en puissance, en compétence de nos organismes?

M. Gambs (Sébastien) : Bien, on peut essayer de regarder, déjà, le niveau de formation sur la sécurité. Donc, ça peut être... Au-delà des tests d'hameçonnage, ça peut être des tests ou des formations à l'interne avec du feed-back à la fin.

Ça pourrait être aussi le fait de rendre transparent le plan de sécurisation. Ça permet aussi de montrer à quel point il a été spécifié par rapport aux missions de l'organisme au lieu d'être un plan générique. Donc, je pense que regarder la façon dont il est formulé, est-ce qu'il prend en compte les spécificités du ministère ou de l'organisme...

Donc, par exemple, les données de santé et les données d'impôt ne sont pas forcément sécurisées de la même manière que d'autres ministères. Donc...

M. Caire : Là-dessus... Oh! je vais vous laisser compléter. Excusez-moi.

M. Gambs (Sébastien) : Non, non, c'était tout.

M. Caire : Bien, c'est parce que je trouve ça intéressant. Puis c'est une question que je pose, je vous dirais, à tous nos intervenants, parce qu'on a une catégorisation de la donnée qui est en fonction du détenteur et non pas en fonction de la valeur ou de la sensibilité de la donnée elle-même. Vous en pensez quoi, de ça?

Puis vous pensez quoi de l'idée de dire : Bien, on ne devrait pas catégoriser une donnée en fonction du fait qu'elle appartient à la santé ou au Tribunal administratif du logement mais bien par rapport à la valeur qu'elle peut avoir pour des intentions malveillantes et pour son niveau de sensibilité? Donc, le préjudice, évidemment, qui est conséquent à une diffusion non autorisée de cette donnée-là, vous en pensez quoi, et donc d'harmoniser, évidemment, nos régimes de protection en fonction de la sensibilité de la donnée et non pas en fonction de qui en est l'utilisateur?

M. Gambs (Sébastien) : Oui. Moi, je pense que c'est une très bonne idée. En vie privée, j'ai tendance à dire que... Le risque de vie privée lié à une donnée personnelle est lié à ce que j'appelle le potentiel d'inférence — c'est à quel point on peut déduire d'autres choses sur une personne si on a cette donnée ou si on la croise. Et donc, si on prend les données de santé ou les données de mobilité, par exemple, c'est des données avec un fort potentiel d'inférence, alors que, si je prends, par exemple, vos goûts musicaux ou vos plats préférés, c'est des données avec des faibles potentiels.

Donc, je vais totalement dans votre sens. On parle de sensibilité en termes de ce qu'on peut déduire sur une personne à partir de cette donnée si elle fuite ou si elle est croisée.

M. Caire : O.K. Donc, une organisation devrait, au-delà, là, des régimes législatifs mais... Dans la mise en place des systèmes de défense, une organisation devrait tenir compte de ce potentiel-là d'inférence, du niveau de préjudice d'une utilisation malveillante et, évidemment, de l'attractivité de la donnée. Parce qu'on le sait, il y a des données qui sont attractives pour les organisations malveillantes puis il y en a d'autres qui le sont moins. Donc, ces critères-là vous apparaîtraient des critères assez fondamentaux pour une catégorisation plus globale de la donnée.

M. Gambs (Sébastien) : Oui. Juste pour vous dire, souvent, c'est ce que font les... Quand, en sécurité, on fait une analyse de risques, c'est qu'on évalue l'impact lié à l'accès à une information ou une ressource. On intègre déjà un peu cet aspect-là. Si le potentiel d'inférence est élevé, bien, l'impact sur les citoyens au Québec va être plus grand en termes d'usurpation de l'identité, de risque de profilage que si le potentiel d'inférence est faible. Donc, c'est pris en compte, je pense, déjà un peu dans les réflexes des personnes qui font des analyses de sécurité, peut-être pas en termes de la classification qui est utilisée mais en termes de leurs habitudes, je dirais.

M. Caire : Est-ce qu'il existe des normes là-dessus, Pr Gambs, sur la catégorisation des données? Je sais qu'au niveau des protocoles de sécurité il en existe une puis une autre, là, mais au niveau de la donnée comme telle... Parce que, comme vous l'avez sans doute vu dans le projet de loi, il y a l'obligation pour le gestionnaire de la donnée de faire un inventaire de la donnée, donc d'avoir vraiment non seulement une connaissance de quelle donnée on a, mais quel profil de donnée on a aussi. Donc, est-ce qu'il existe des modèles, dans le monde, de ça... des normes, je devrais dire, dans le monde, de ça?

M. Gambs (Sébastien) : Pas que je connaisse, non. Souvent, la législation va définir les données sensibles comme étant les données amenant la discrimination, mais...

Le Président (M. Simard) : En conclusion. En conclusion, s'il vous plaît.

M. Gambs (Sébastien) : Oui. Si je pouvais terminer, juste...

Le Président (M. Simard) : Oui, je vous en prie, monsieur.

M. Gambs (Sébastien) : Une des difficultés, c'est de réfléchir au croisement. Donc, quand on regarde une donnée toute seule, travaillant dans un ministère, on va avoir une idée des risques, mais c'est le croisement potentiel avec 10 sortes de données différentes provenant d'autres sources qui est difficile, je pense, à intégrer dans cette analyse de risques et dans cette catégorisation et inventaire.

Le Président (M. Simard) : Merci beaucoup.

M. Caire : Merci infiniment, Pr Gambs. Très, très, très intéressant. Merci beaucoup.

Le Président (M. Simard) : Je cède maintenant la parole au député de La Pinière, qui dispose de 13 min 5 s.

M. Barrette : ...

Le Président (M. Simard) : Cher collègue...

M. Caire : En ouvrant le micro, ça va mieux.

Le Président (M. Simard) : ...il faudrait mettre votre son. Et puis, M. le ministre, laissez à la présidence le soin de présider. Merci. M. le député de La Pinière.

M. Barrette : Merci de me le rappeler. Je vais commencer par me faire plaisir. Comment prononce-t-on votre nom de famille?

• (16 h 50) •

M. Gambs (Sébastien) : Gambs, mais personne n'arrive à le prononcer, donc je ne me vexerai pas si...

M. Barrette : Bon. Gambs. Bon, bienvenue. Alors... Non, mais c'est parce que c'est toujours désagréable de se faire massacrer son nom. Je n'ai pas dit que mes collègues l'avaient fait, mais je porte toujours une attention particulière à ça.

Écoutez, là, vous avez... Je comprends, là, que vous avez suivi nos travaux, là, depuis ce matin, heureusement, et tant mieux. Votre expertise, elle est technologique, ou elle est éthique, ou les deux?

M. Gambs (Sébastien) : Je dirais les deux, à la base, plutôt technologique, mais mon projet de recherche s'intéresse aussi aux enjeux éthiques des données massives. Donc...

M. Barrette : O.K. Parfait. Non, c'est important, parce que, quand on lit votre titre, qui a été déposé dans notre horaire, ça avait l'air plus du côté éthique que technologique. Mais je vois que vous avez une expertise plus technologique qu'éthique. L'un n'empêche pas l'autre, mais c'est juste pour comprendre d'où vous venez.

Et la raison pour laquelle je vous pose cette question-là, elle est de deux ordres. C'est drôle, parce que c'est votre dernière intervention et votre première. Dans votre première intervention, vous avez fait référence à la situation belge, où on a croisé des données, essentiellement, et, quand vous avez commencé par ça, j'ai cru comprendre que vous étiez plus du bord éthique, j'ai cru comprendre que vous étiez défavorable à ça. Est-ce que je comprends ça comme il faut?

M. Gambs (Sébastien) : Oui. Essentiellement, ce que je disais, c'est que l'analyse de sécurité devra inclure les facteurs de vie privée, ce qui apparaît dans le projet de loi, et les enjeux éthiques aussi. Et la...

M. Barrette : Oui, mais...

M. Gambs (Sébastien) : ...

M. Barrette : Allez-y. Excusez-moi.

M. Gambs (Sébastien) : Non, excusez-moi, M. le Président, d'avoir... Pour... Ce que j'ai essentiellement dit, c'est que cette question-là devrait être un débat de société sur est-ce que ce croisement est... Donc, au-delà d'être imposé, je pense que ça devrait être discuté, soit dans une instance ou... Donc, essentiellement, ce type d'utilisation, où on change la finalité des données qui ont été collectées, je pense qu'on peut difficilement se passer d'un débat de société avant de valider ou non cet usage.

Donc, j'imagine qu'il y a des pays dans le monde où cet usage serait considéré normal pour la culture ou le pays et d'autres où ça ne serait pas le cas.

M. Barrette : Mais votre lecture du projet de loi n° 95 n'est-elle pas, en essence, un projet de loi qui vise à croiser des données?

M. Gambs (Sébastien) : En tout cas, je vois qu'on parle de mobilité et de valorisation, donc c'est sûr que le croisement des données fait partie, j'imagine, des choses que ce projet de loi va permettre. La question, c'est... Parmi tous ces croisements, il y a des croisements, je pense, qui ne poseront pas de problème de société et il y a des croisements dans lesquels on va avoir des enjeux éthiques qui vont émerger, sur lesquels un débat de société se passera difficilement, à mon avis.

M. Barrette : Alors là, vous proposez... Vous venez nous dire que vous êtes d'une opinion selon laquelle le projet de loi n° 95 est trop tôt? Parce que, vous savez, faire un débat de société, c'est long, et il est possible que le ministre veuille que son projet de loi passe, un jour plus proche que loin, tiens.

M. Gambs (Sébastien) : Non, non. Bien, je vais essayer de repréciser. Je suis désolé si je n'ai pas été clair. Mais, en gros, le point de vue, c'est : Ce projet de loi va faciliter le croisement des données entre les institutions gouvernementales. Il va y avoir, sur certains de ces croisements, des changements de finalité par rapport à la collecte des données qui a été faite et des enjeux éthiques qui vont émerger, et donc je pense qu'il serait important pour le gouvernement de se doter d'un organisme ou d'une façon de réfléchir à ces enjeux éthiques. Donc, il y a la... on a la Commission de l'éthique, qui est passée juste avant, mais je pense que ça serait bien d'avoir un organisme aussi ou une façon d'avoir des débats de société sur les croisements qui risquent d'être problématiques, sous peine d'avoir une... je pense, un rejet de la population de certains de ces croisements ou de certaines des choses qui vont être mises en place.

M. Barrette : Donc, ce que vous préconisez, c'est la création d'une espèce d'arbitre du croisement à l'intérieur du projet de loi.

M. Gambs (Sébastien) : Oui. Je ne sais pas si c'est une bonne façon de le nommer, mais oui.

M. Barrette : L'image correspond à ce que vous pensez. C'est ça, mon point.

M. Gambs (Sébastien) : Oui, ce serait un organisme qui peut conseiller le gouvernement et qui pourrait aider à réfléchir aux enjeux éthiques des croisements.

M. Barrette : Attention! Moi, là... Est-ce qu'on parle ici d'un conseiller ou d'un arbitre qui fait la décision? Et là je vais m'expliquer et je vais aller à l'autre bout de votre intervention.

À un moment donné, là, quand on prend la recherche, on fait déjà ça, là. Alors, vous savez que, dans les gouvernements, un chercheur va venir frapper à la porte, va avoir beaucoup de difficultés d'avoir accès à des données parce que, technologiquement, on n'est pas bien organisés pour ça. Et là le chercheur, là, il va monter un programme de recherche, va demander à avoir accès à différentes bases de données parce que son projet de recherche oblige un croisement de données. Et, ça, on est habitués de faire ça, et on n'en fait pas beaucoup parce qu'on n'a pas de ressource pour le faire, et on n'a pas une structure de gestion de données qui nous permet d'en faire beaucoup. Alors, ça, ça se fait. Sauf que là, avec le projet de loi n° 95, ça pourrait se faire couramment. Donc, il faudrait, à un moment donné, un arbitre qui calle la shot de façon régulière. Moi, c'est ce que j'entends un peu de la position que vous dites.

Je vais faire moi-même un croisement d'interventions de la journée, là, je vais croiser votre intervention avec l'intervention de la Commission d'accès à l'information. La Commission d'accès à l'information, là, elle est malheureuse, puis je pense bien peser mes mots puis utiliser les bons mots, parce que, la section II.4, qui, pour elle, est une ouverture, même si II.4 sont des éléments qui sont spécifiques, chacun... la somme des éléments spécifiques est trop large, et, même, très probablement, chacun des éléments est, pris indépendamment, trop large lui-même. Alors, la Commission d'accès à l'information se présente comme étant, elle, potentiellement l'arbitre de la décision du croisement de données.

Vous souhaitez, d'une certaine manière, qu'il y ait un conseil, mais, dans la vraie vie quotidienne, il faudrait que quelqu'un puisse prendre les décisions au fil de l'eau, là, si vous me permettez, là, sur une base quotidienne.

M. Gambs (Sébastien) : Oui. Alors, moi, j'ai tendance quand même à différencier les projets de recherche, qu'il peut y avoir des exceptions avec... L'exemple que je donnais, je l'avais dit, que ça serait quand même une décision gouvernementale qui n'arriverait pas tous les jours, qui serait de... par exemple, de demander à Hydro-Québec d'être une source officielle des données puis de dire : On veut croiser les données pour détecter les fraudeurs, avec le ministère des Finances. Donc, c'est quand même deux cas différents. Dans un cas, c'est une exception pour des chercheurs pour un projet. Dans un autre cas, c'est un...

M. Barrette : Non, je sais. Je vous interromps, M. Gambs. Je vous interromps, simplement parce que je comprends que c'est un...

Maintenant, prenez le cas, là, prenons le cas, là, d'Hydro-Québec, là, qui fait des croisements avec Revenu Québec. Vous êtes, donc, en défaveur de ça.

M. Gambs (Sébastien) : J'ai essentiellement dit qu'il faudrait avoir un débat de société pour trancher. Je pense que ce serait... De mon point de vue, je pense qu'il y a des enjeux éthiques trop importants pour ne pas avoir un organisme qui permet de débattre de cet aspect-là. C'est ça que j'ai dit, essentiellement.

M. Barrette : Bon. Alors, mettons que votre sentiment est plus négatif que positif vis-à-vis la possibilité de ça.

M. Gambs (Sébastien) : Moi, enfin, les enjeux éthiques que je vois, ce serait très problématique pour ce croisement-là.

Mais, encore une fois, je pense que ce n'est pas à moi de prendre la décision. Ce serait... Essentiellement, ma recommandation, c'était d'avoir un organe ou une façon de réfléchir à ces questions-là et d'en débattre.

Mais je pense qu'il y a plein de croisements des données qui ne soulèveront pas forcément des enjeux éthiques, mais là j'ai voulu vous donner un exemple, et qui avait fait beaucoup de bruit en Belgique à l'époque.

M. Barrette : Non, bien, je comprends bien votre intervention. Évidemment, la mienne... Je ne veux pas vous mettre dans l'embarras, là. Ce n'est pas ça du tout, du tout, mon objectif. Je pose la question, essentiellement, parce qu'au bout du compte, dans l'état actuel du projet de loi, ça peut arriver... un problème.

M. Gambs (Sébastien) : Oui.

M. Barrette : O.K. Sur le plan technologique, là — là, je veux aller du côté technologique — là, vous me surprenez beaucoup, beaucoup, beaucoup, là. Dans le monde d'aujourd'hui, c'est la première fois que j'entends une position aussi catégorique contre un hub centralisé de données. Honnêtement, là, c'est la première fois que je l'entends comme ça. Vous êtes dans une forme... dans une position beaucoup plus décentralisée, dans des satellites, là. Je suis étonné de ça.

M. Gambs (Sébastien) : Bien, il y a...

M. Barrette : Parce que, quand on regarde les grandes organisations, là, les banques, Google et compagnie, là, ils sont pas mal centralisés, là.

M. Gambs (Sébastien) : Oui, mais, quand on regarde les fuites de données qu'on a constamment, c'est souvent parce que des données ont été centralisées, donc...

M. Barrette : Bien, est-ce que c'est...

M. Gambs (Sébastien) : Est-ce que...

M. Barrette : ...centralisé ou parce que les mesures de sécurité étaient mauvaises?

• (17 heures) •

M. Gambs (Sébastien) : Bien, en sécurité informatique, on sait qu'il n'y a pas de sécurité parfaite. Donc, on peut essayer de renforcer autant qu'on peut, mais beaucoup de fuites de données sont arrivées parce qu'il y avait des grandes masses de données centralisées à un endroit et qu'une fois que l'accès était trouvé, même si cet accès était difficile parce que le niveau de sécurité était haut, ça menait à des grandes masses de données. Donc, de distribuer, c'est une forme de protection contre avoir les données dans un seul endroit.

Donc, je rejoins le... Comme je dis, c'est le débat : Est-ce qu'on veut avoir un hub centralisé et risquer de tout fuiter mais mettre plus de ressources ou plusieurs petits hubs? Donc, il y a plein de façons de distribuer. Ça peut être quelques hubs comme ça peut être beaucoup d'organismes.

Mais, comme je disais, dans les fuites de données actuelles, on voit souvent que c'est des fuites qui arrivent parce que les données ont été centralisées. Donc, je ne pense pas que je suis trop à contre-courant de beaucoup d'experts de sécurité au niveau de ce qui arrive dans la fuite de données. Après, comment on règle cela, j'imagine, effectivement, qu'il peut y avoir plusieurs avis.

M. Barrette : Bon, le ministre me voit venir, là, et évidemment... C'est parce que là vous êtes en train de dire que ce que l'on fait actuellement, ce n'est pas bon. La transformation numérique à laquelle on assiste au Québec actuellement, elle est plus hubienne que satellitaire.

M. Gambs (Sébastien) : J'ai juste... Moi, mon rôle en tant que chercheur, c'est juste de soulever les risques. Donc, je voulais juste remarquer que de centraliser les données pouvait amener, s'il y a une brèche de sécurité, à une fuite de données massive. C'est juste... Donc, il faut penser à est-ce qu'on veut vraiment des données complètement centralisées ou distribuées entre quelques hubs.

M. Barrette : O.K. Alors, est-ce que je... Là, il ne me reste pas beaucoup de temps. Est-ce que là, de façon globale, vous considérez, globalement, là, votre impression globale — j'ai quasiment envie de conclure, là, je ne veux pas vous mettre des mots dans la bouche — que le projet de loi n° 95, il est précoce, au moins?

M. Gambs (Sébastien) : Non. Ce que j'ai dit, c'est que j'aurais bien aimé voir comment il s'insère par rapport à l'identité numérique. Il y a d'autres choses... Et c'est difficile de juger séparément.

Je ne dis pas qu'il est précoce, mais j'imagine qu'il devra être discuté au vu du projet de loi n° 64, au vu des infrastructures d'identité numérique. Sinon, c'est difficile de se prononcer sur tous les aspects de ce projet de loi sans avoir la vision globale.

M. Barrette : Est-ce que 95 est antinomique à 64?

M. Gambs (Sébastien) : Je ne pense pas. Pas forcément.

M. Barrette : C'est... Wow! C'est... Combien de temps, M. le Président? Je pense que j'ai terminé.

Le Président (M. Simard) : 40 secondes, cher collègue, mais vous n'êtes pas obligé de les prendre.

M. Barrette : Bon, bien, écoutez, je vais vous remercier pour votre intervention, M. Gambs. En tout cas, moi, personnellement, vous m'avez beaucoup surpris. Alors, ce sont des échanges très utiles, croyez-le, croyez-moi. Merci beaucoup.

Le Président (M. Simard) : Merci à vous. Je cède maintenant la parole au député de Rosemont, qui dispose de 4 min 20 s.

M. Marissal : Merci, M. le Président. Merci, M. Gambs, pour la présentation. Il y a effectivement tout un pan éthique qui entre en collision avec les pans technologiques. C'est utile d'avoir ce genre de conversation là, parce que, des fois, la technophilie débridée nous amène à penser que c'est ça, la solution, alors que c'est juste un outil. Puis des fois on va trop vite.

Bon, cela dit, je pense que le gouvernement veut aller vite avec 95, mais c'est... Avec le ministre de la Transformation numérique, que j'ai déjà qualifié de couteau suisse du gouvernement parce qu'il est à multiusage, et c'est une qualité, un parlementaire redoutable, en plus... il nous a habitués au procédé des poupées gigognes. Un projet de loi ne vient jamais seul. Il en cache toujours deux, trois autres, là, et quelquefois d'autres projets aussi, connexes à ça.

Il nous dit, par contre, depuis ce matin, dans le cas de 95 : Ce n'est que pour de la circulation de données dans la bulle gouvernementale, donc de gouvernement... pas de gouvernement à gouvernement, de département à département, de ministère à ministère. Vous sembliez, au début de votre intervention, y voir peut-être autre chose, et plus vaste. Est-ce que vous êtes encore dans cette impression ou est-ce que, selon vous, on se limite uniquement, là, à ce qu'on dit?

M. Gambs (Sébastien) : Ce que j'ai dit, c'est que j'aurais aimé voir la... Parce qu'on parle de valorisation et de mobilité des données gouvernementales. Alors, je comprends que le projet de loi ne concerne que leur mobilité dans le cadre gouvernemental, mais il y a toute la question de la valorisation avec les entités privées que je ne vois pas dans ce projet de loi. Et donc ma question était : Où va-t-on en discuter et dans quel endroit? Et comment ça va s'insérer avec ce projet de loi? C'était ça, ma question.

M. Marissal : Je comprends bien, mais les mots sont importants, puis il paraît que nous, les législateurs, on ne parle pas pour ne rien dire. Je n'ai pas dit que ça s'applique tout le temps à moi, là. Des fois, je parle pour ne rien dire, mais, dans ce cas-ci, c'est un projet de loi et c'est sérieux. Le mot «valorisation», là, comment on le définit dans votre domaine?

M. Gambs (Sébastien) : En général, la valorisation, ça va être exploitation en vue d'une finalité différente de laquelle elle a été... Donc, en vie privée, souvent, quand on parle de valorisation, ça va être : Est-ce qu'on peut revendre ou est-ce qu'on peut refaire d'autres services? Un exemple, c'est si on anonymise les données. C'est souvent dans un autre type de valorisation ou au-delà de la finalité pour laquelle on les a collectées. On va vouloir créer de nouveaux services ou les vendre à des compagnies.

M. Marissal : Ou les donner, les partager.

M. Gambs (Sébastien) : Ou les partager. Ou ça pourrait être de développer de nouveaux services gouvernementaux aussi. Donc, la valorisation peut couvrir beaucoup de choses.

M. Marissal : Je disais que c'était intéressant, les discussions d'ordre éthique, mais je ne suis pas sûr qu'on peut légiférer en temps réel et constant sur des questions éthiques, donc nécessairement fuyantes et changeantes.

Mais comment on évaluerait les risques d'inférence, dont vous avez parlé tout à l'heure? Parce qu'il y a un peu une clé là-dedans, de ce que vous dites, là. C'est qu'une donnée en soi, ça peut ne rien valoir ou elle peut être la clé de sésame qui permet d'ouvrir, là, plein d'autres portes. Alors, comment on peut l'évaluer, cette inférence?

M. Gambs (Sébastien) : Donc, pour faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux scientifiques qui ont fait des croisements de données ou qui utilisent les données. Donc, c'est typiquement un travail de chercheur de ma communauté ou de communauté d'apprentissage machine de pouvoir réfléchir à comment on quantifie et définit cette potentielle inférence.

Donc, il y a beaucoup de littérature sur le sujet. Je n'ai malheureusement pas de réponse facile sur... ou je pourrais vous donner une source sous laquelle vous pourriez voir, si on a mobilité plus santé, bien, voilà, ce qu'on peut déduire, c'est... Je dirais que c'est disséminé dans la littérature sur le sujet à l'heure actuelle.

M. Marissal : Donc, assurément, vous nous suggérez non seulement des garde-fous, mais un suivi en temps réel, régulièrement revenir, remettre notre ouvrage sur le métier pour nous assurer qu'on n'a pas de...

Le Président (M. Simard) : En conclusion.

M. Gambs (Sébastien) : Oui. En sécurité et vie privée, c'est ce qu'on fait, de toute façon, tout le temps. Une analyse de risques par rapport à la sécurité d'un système, elle doit être faite régulièrement pour évaluer sa maturité et son évolution.

M. Marissal : Je vous remercie, M. Gambs.

Le Président (M. Simard) : Alors, M. Gambs, à mon tour de vous remercier pour la qualité de votre contribution au débat public en général et en particulier pour les travaux de cette commission. Et au plaisir de vous retrouver parmi nous.

M. Gambs (Sébastien) : Merci beaucoup. Je vous souhaite une belle journée. Merci pour l'invitation.

Des voix : ...

M. Gambs (Sébastien) : Bonne journée.

Le Président (M. Simard) : Sur ce, nous allons suspendre momentanément.

(Suspension de la séance à 17 h 07)

(Reprise à 17 h 18)

Le Président (M. Simard) : Alors, chers collègues, nous sommes de retour. Nous pouvons donc reprendre nos travaux.

Nous sommes en compagnie des Prs Dupont et Cuppens. Alors, chers collègues, bienvenue parmi nous. Vous disposez d'une période de 10 minutes. Peut-être qu'au tout début vous pourriez d'abord vous présenter.

MM. Benoît Dupont et Frédéric Cuppens

M. Dupont (Benoît) : Bonjour, M. le Président. Merci de nous recevoir pour entendre nos réflexions sur le projet de loi n° 95. Je me présente, je suis le Pr Benoît Dupont, de l'Université de Montréal, professeur en criminologie et titulaire de la Chaire de recherche du Canada en cybersécurité. Et je suis accompagné du Pr Frédéric Cuppens, de l'École polytechnique de Montréal. Alors, nous allons répartir notre intervention en cinq minutes chacun, si vous le voulez bien.

Et donc je vais peut-être commencer par quelques éléments de contexte par rapport à ce projet de loi, qui partira du point de... du constat que les organismes gouvernementaux accumulent et centralisent de très grandes quantités d'informations personnelles. Et donc il est évidemment impératif qu'ils accordent une importance particulière à la protection des données des citoyens.

Au niveau fédéral, il existe une loi, la Loi sur la protection des renseignements personnels, qui prévoit, depuis 2014, que les organismes publics notifient au commissaire à la protection de la vie privée les cas de brèches de données pouvant causer un préjudice aux individus concernés. Et cette transparence, qui n'a malheureusement pas encore d'équivalent au Québec, mais ça va être, je pense, réparé avec le projet de loi n° 64, nous permet ainsi d'apprendre que, pour la période de 2019 à 2020, donc très récemment, 341 brèches de données ont été déclarées par 34 organismes fédéraux, ce qui représentait une augmentation de 120 % sur l'année précédente. Et ces brèches de données comprennent aussi bien des pertes de données, des accès non autorisés, des vols de données. Et, de l'aveu même du commissaire à la protection de la vie privée, les statistiques, probablement, sont sous-estimées et ne représentent que la pointe de l'iceberg.

Globalement, dans les cas de vols et pertes de données du secteur public comme du secteur privé au Canada, dans cette année-là, c'est 30 millions de dossiers personnels qui ont été compromis en 2019-2020. Alors, ces chiffres ont l'air énormes, mais il n'y a aucune raison... La raison pour laquelle j'en parle, c'est qu'il n'y aucune raison statistique de penser que la situation est très différente au Québec, et que nous sommes protégés de ce type d'incident, et que nous sommes moins exposés, que les citoyens québécois sont moins exposés que nous le sommes au niveau fédéral. Et ces statistiques-là ne tiennent pas non plus compte des cyberattaques menées par le biais des rançongiciels, qui ont proliféré au cours des trois dernières années et qui ciblent sans discrimination les systèmes gouvernementaux et les infrastructures essentielles.

• (17 h 20) •

Donc, ces éléments de contexte, vraiment, pour nous aider à vraiment comprendre l'importance de ce projet de loi, qui arrive, selon nous, à point nommé pour moderniser les capacités de réponse des organismes publics et des entreprises du gouvernement du Québec en matière de cybersécurité notamment, même si on comprend que ce projet de loi porte aussi sur la transformation numérique, sur la valorisation des données.

Mais notre intervention à nous, tous les deux, aujourd'hui, sera focalisée sur la notion de cybersécurité, et on a quatre commentaires généraux et un certain nombre de commentaires spécifiques et de recommandations qu'on souhaitera faire. Je vais commencer par deux commentaires généraux avant de passer la parole à mon collègue.

Dans le projet de loi, on remarque que le langage qui est utilisé est plutôt celui de sécurité de l'information ou de sécurité informatique. Et nous, on recommanderait qu'on adopte plutôt une terminologie de cybersécurité, comme la politique de cybersécurité dont s'est doté le gouvernement du Québec en mars 2020.

Pourquoi? Parce que la notion de sécurité englobe non seulement la sécurité des systèmes informatiques, sécurité technique, la sécurité de l'information, c'est-à-dire les données, mais aussi la manière dont les humains interagissent avec ces systèmes techniques et avec ces informations. Et, si on veut bien sécuriser les données personnelles des citoyens québécois, il ne faut pas uniquement apporter des solutions techniques, il faut aussi comprendre comment interagissent des technologies, des informations et des humains, et pour pouvoir mettre en place des mécanismes de protection. Donc, ça, ce serait une première recommandation.

La deuxième recommandation d'ordre général serait d'assurer une plus grande place à la cyberrésilience, qui est mentionnée une fois dans le projet de loi. Et on pense, nous, qu'on devrait accorder une plus grande place à la cyberrésilience et aux pratiques de cyberrésilience, qui englobent non seulement la prévention et la protection des systèmes contre les cyberattaques, mais aussi des notions de préparation, de réponse et d'adaptation à des incidents qui sont devenus inévitables, on l'a vu récemment dans les journaux. Même avec toute la bonne volonté du monde, avec toutes les ressources possibles et imaginables, il restera des attaques qui vont être couronnées de succès. Et on doit non seulement penser comment protéger nos systèmes, mais aussi comment se doter de moyens de réponse qui vont minimiser et atténuer les conséquences sur les citoyens québécois en cas d'attaque réussie.

La cybersécurité ne pourra jamais être assurée à 100 %. Il faut prévoir ce qui va se passer en cas d'incident de sécurité et former les intervenants, et pas seulement les spécialistes en cybersécurité, à la réponse aux incidents. Il faut intégrer de manière plus poussée, selon nous, les notions de pratiques... les pratiques de cyberrésilience, qui vont être complémentaires à la cybersécurité. Alors, je vais passer la parole à mon collègue Cuppens.

M. Cuppens (Frédéric) : Merci. Merci, Benoît Dupont. Donc, notre réflexion qu'on a eue sur ce projet de loi, ça concerne le déploiement et l'applicabilité de la loi. Donc, à ce sujet, en lisant le document, on a pu remarquer que les articles imposent généralement des obligations aux organismes publics mais, plus souvent, sans préciser s'il s'agit d'obligations de moyens ou d'obligations de résultat.

Alors, s'il s'agit d'obligations de résultat, bien, il y a plusieurs articles qui nous paraissent difficilement applicables. S'il s'agit d'obligations de moyens, les moyens, en général, ne sont pas ou peu précisés, et, quand ils le sont, il s'agit le plus souvent de moyens organisationnels, et les moyens techniques à mettre en oeuvre sont pratiquement absents.

Alors, ce n'est probablement pas le but de la loi de préciser ces moyens, mais il nous paraît néanmoins essentiel qu'ils le soient par ailleurs. Et, à ce propos, je pense qu'il faut éviter de surestimer les moyens de protection et, surtout.. d'éviter de penser la cybersécurité comme la ligne Maginot.

Donc, il nous semble également important de préciser... J'ai réussi à vous faire sourire, c'est déjà bien. Merci. Donc, il nous semble également important de préciser les moyens qui seront mis en oeuvre pour vérifier l'application des mesures. Alors, s'agit-il d'audits internes ou bien alors d'audits externes réalisés par des organismes indépendants et accrédités? Ça, je pense aussi que c'est important de le préciser.

Un autre point, ça concerne le... d'inclure des obligations que l'ensemble des personnels concernés soient formés aux risques, et au risque cyber, en l'occurrence.

Et enfin, comme recommandation générale, il y a aussi le besoin d'inclure des obligations de définir les mesures à prendre en cas d'incident. On l'a vu, hein, on le sait, la cybersécurité, ce n'est pas parfait, ça ne marche pas à 100 %. Et donc cela passe aussi par des obligations de définir des plans de continuité d'activités et de reprise d'activités.

Alors, on a eu une lecture détaillée du projet de loi, donc on a des remarques sur un certain nombre d'articles. Donc, on n'aura naturellement pas le temps, en 10 minutes, de les présenter, mais il y a quand même un article qui nous a interpelés. C'est l'article 12.14, paragraphe 3, qui dit : «Lorsque de telles données — on parle, donc, de données à caractère personnel — peuvent être utilisées ou communiquées sous une forme ne permettant pas d'identifier directement la personne concernée, elles doivent être utilisées ou communiquées sous cette forme.»

Alors, il nous paraît essentiel de préciser, dans ce cas, la signification du terme «identifier directement la personne concernée», hein? On travaille sur l'anonymisation des données, hein, et on a eu plusieurs projets sur le risque de réidentification. Et donc il est clair que le risque de réidentification est également indirect.

Et donc on a été interpelés par ce paragraphe, parce que la mauvaise application de cet article peut avoir des conséquences graves en termes de diffusion de données à caractère personnel. Donc, on pourra probablement revenir là-dessus dans la suite.

Donc, pour terminer, ce que je voulais dire, avec Benoît, donc, on a fait quelques recommandations, là aussi générales. Je vais en citer quelques-unes, et ensuite on pourra partager nos notes avec vous, si vous le souhaitez.

La première recommandation, c'est de s'assurer que le chef gouvernemental de la sécurité auquel il est fait mention dans le projet de loi, eh bien, a bien les moyens d'intervention interministérielle ainsi que les moyens de communication, notamment en externe, avec le citoyen. Ça aussi, ça paraît important.

S'assurer aussi que les responsables de la transformation numérique et de la valorisation des données sont étroitement alignés avec les standards en sécurité. Ces standards existent probablement. C'est déjà pertinent de voir comment les appliquer.

Ensuite... Je ne vais pas tous les citer, mais il faut également utiliser une approche systématique pour identifier les données sensibles et caractériser la sensibilité de ces données en termes de confidentialité, c'est prévu dans le projet de loi, mais aussi d'intégrité et de disponibilité, ce qui est moins mentionné dans le projet de loi.

Une autre remarque correspond... coïncide avec le terme de «valorisation des données». Il est fait mention... À plusieurs reprises dans le document, il est mentionné l'obligation, effectivement, de travailler sur cette valorisation des données, mais sans clairement mentionner l'obligation d'éclairer la finalité de cette valorisation. C'est essentiel...

Le Président (M. Simard) : M. Cuppens...

M. Cuppens (Frédéric) : ...notamment pour vérifier le caractère...

Le Président (M. Simard) : M. Cuppens, excusez-moi...

M. Cuppens (Frédéric) : J'ai pratiquement terminé.

Le Président (M. Simard) : Non, mais... Parce qu'on aurait pu poursuivre sur le temps du ministre, avec son consentement.

M. Caire : Consentement.

M. Cuppens (Frédéric) : C'est exactement ce que je voulais faire.

Le Président (M. Simard) : Alors, prenez votre temps.

M. Cuppens (Frédéric) : Donc, la nécessité de faire appel au consentement des personnes chaque fois qu'effectivement c'est nécessaire en cas de valorisation. C'est exactement le mot «consentement» que je souhaitais mentionner dans ma présentation. Et je vous laisse la parole...

Le Président (M. Simard) : Non, mais vous pourriez poursuivre.

M. Cuppens (Frédéric) : ...et on sera ravis de répondre à vos questions. Merci pour votre attention.

Le Président (M. Simard) : Bien. Merci à vous. Et désolé de vous avoir coupé comme ça, en plein vol. Alors, je cède maintenant la parole à M. le ministre.

M. Caire : Merci, M. le Président. Merci, Pr Dupont, merci, Pr Cuppens. Très belle présentation. J'ai quelques commentaires, questions, Pr Dupont, sur la divulgation. Effectivement, 64 répond à cette préoccupation-là.

Puis je n'ai peut-être pas précisé tout à l'heure, avec le Pr Gambs, qu'on le fait dans 64 parce que cette obligation-là va être plus large, parce que la loi d'accès à l'information et la loi sur les renseignements dans l'entreprise privée touchent beaucoup plus d'organismes que la seule LGGRI. Donc, on veut rendre cette obligation-là plus largement que si on le faisait dans la LGGRI. Mais elle sera effectivement de... elle sera... Cette préoccupation-là sera effectivement répondue.

Je veux revenir, Pr Dupont, sur le fait que vous souhaitez qu'on parle plus de cybersécurité puis je reviendrai sur la cyberrésilience tout à l'heure. Mais vous souhaitez qu'on parle un peu plus de cybersécurité plutôt que de la sécurité des systèmes d'information. Est-ce que la définition dont vous parlez, c'est une définition qui est largement répandue, qui s'adresse directement aux standards qui sont utilisés, et donc qui, au niveau légal, pourrait avoir une portée plus grande? C'est-tu ça que je dois comprendre de votre intervention?

• (17 h 30) •

M. Dupont (Benoît) : Oui, tout à fait. La notion de cybersécurité, elle a pris son envol, y compris au sein des organismes de standardisation internationaux, depuis le début des années 2010, vraiment. Ça existait évidemment, ce terme, avant, mais, depuis le début des années 2010, elle a supplanté la notion de sécurité de l'information parce que, comme je l'ai indiqué, elle intègre cette dimension des comportements humains.

On dit souvent que le facteur humain est le maillon faible dans la sécurité de l'information. Très souvent, dans les incidents, ce sont des humains. Moi, je dirais plutôt que c'est l'atout dans la manche des intervenants en cybersécurité. C'est de former les gens à la cybersécurité pour les amener à justement être mieux informés des risques et à mieux pouvoir y répondre. Et, dans les pratiques traditionnelles de sécurité de l'information, qui étaient très axées sur la dimension technique, c'est quelque chose qui était en général considéré de façon marginale, et je pense qu'il faut qu'on ait une réflexion beaucoup plus... en plaçant cette dimension humaine au coeur de... ce qui inclut le citoyen aussi, au coeur de la réflexion.

M. Caire : Donc, dans le fond, ce que vous dites, c'est que la sécurité de l'information s'entend de la cybersécurité, mais l'inverse n'est pas vrai.

M. Dupont (Benoît) : Tout à fait.

M. Caire : O.K. Bien, je prends bonne note, Pr Dupont.

La cyberrésilience, puis, bon, je vous ai déjà entendu sur le sujet, là, par contre, là, on est dans des notions plus opérationnelles. Et, comme vous le savez, le gouvernement du Québec s'est doté d'une politique de cybersécurité où il est fait mention de la cyberrésilience et des pratiques, des bonnes pratiques à mettre en place pour atteindre cette cyberrésilience-là. Je vous le dis, parce que ces pratiques-là sont très évolutives. Les technologies changent, les pratiques changent, les normes, les standards, tout ça évolue. Puis le mettre dans un projet de loi... puis je voudrais vous entendre là-dessus, le mettre dans un projet de loi, c'est cristalliser une façon de faire par rapport à des pratiques qui, dans la ligne du temps, évoluent continuellement, alors que de le mettre dans une politique de cybersécurité, bien... C'est plus facile d'adapter la politique que d'adapter la loi.

Donc, est-ce que vous maintenez qu'on devrait l'aborder dans la loi ou, à la lueur de ce que je vous dis, de le mettre dans une politique de cybersécurité vous apparaît être une pratique qui est respectueuse de l'objectif qui est d'avoir, effectivement, collectivement, une meilleure cyberrésilience?

M. Dupont (Benoît) : Je vais laisser mon collègue finir la réponse, mais le début de ma réponse, ce serait que je pense que ça devrait figurer dans la loi, parce que ça confierait au chef gouvernemental de la sécurité de l'information des responsabilités non pas uniquement de protection, limitées à la protection, mais qui commencent aussi par la préparation et qui finissent par l'adaptation aux nouvelles menaces. Et donc on aurait un mandat qui serait un mandat plus large qui, à mon avis, serait un mandat qui assurerait une meilleure protection in fine des systèmes, de l'information et des données personnelles des Québécois.

Mais je vais laisser mon collègue Cuppens, qui a mené des recherches sur la cyberrésilience, finir de répondre aussi.

M. Cuppens (Frédéric) : Alors, effectivement, côté cybersécurité, effectivement, cybersécurité, c'est plus large que sécurité de l'information, et notamment ça inclut la cyberrésilience, ce qui n'est pas le cas de la sécurité de l'information.

Et la cyberrésilience, effectivement, part du principe, qu'on n'intègre pas quand on raisonne protection ou défense, que la sécurité n'existe pas à 100 %. Et, en raisonnant en cyberrésilience, justement, ça oblige, dans la réflexion, à penser, effectivement, ce qui se passe en cas, effectivement, de violation de la politique de sécurité. Et ça, c'est essentiel, quand on conçoit, effectivement, un projet de cybersécurité, de prévoir dès le départ et pas a posteriori, quand la crise arrive, mais vraiment de prévoir dès le départ, effectivement, ce qui se passe en cas d'incident, en espérant que cet incident ne va pas aboutir à une crise, et prévoir, effectivement, comment on va gérer l'incident. Et ça, c'est effectivement tout à fait essentiel parce que c'est la réalité aujourd'hui.

Malheureusement, on ne peut pas parler de cybersécurité sans, effectivement, voir tous les incidents qui se passent. Alors, effectivement, on peut dire que les incidents viennent d'un défaut de sécurité, mais, dans la pratique, c'est beaucoup plus compliqué que ça. Malheureusement, on ne sait pas tous les éviter, ces défauts de sécurité. Et, c'est ça, c'est cette façon de penser qui est intégrée dans la cyberrésilience.

M. Caire : Mais ce que j'entends, c'est que les lignes directrices pourraient être incluses dans la loi. Mais, si on parle, plus terre à terre, des procédures opérationnelles, bien, quelles sont les réactions à avoir, quelles sont... la diffusion de l'information, etc., là, comment on réagit à une attaque, en amont, en aval?

Ça, c'est plus un document administratif, donc on pourrait le garder au niveau de la politique de cybersécurité. Par contre, les responsabilités, les prérogatives, c'est ça que vous souhaitez voir apparaître dans la loi. Est-ce que j'ai bien compris le sens de votre intervention?

M. Cuppens (Frédéric) : Le sens de mon intervention, c'est qu'effectivement il y a une partie de la cyberrésilience qui est opérationnelle. Et, je suis tout à fait d'accord, c'est des mesures pratiques qu'effectivement les opérateurs qui sont en charge de la cybersécurité vont devoir prendre.

Mais il y a toute une partie de la... qui est en amont. Nous, c'est ce qu'on appelle la cyberrésilience par conception. Et toute cette partie-là de la cyberrésilience par conception doit être prévue, anticipée et, à mon avis, a tout à fait la place dans un projet de loi comme celui-ci.

M. Caire : Dans la loi.

M. Cuppens (Frédéric) : Voilà.

M. Caire : Est-ce que vous aurez... Parce que vous avez parlé d'un certain nombre de recommandations. Est-ce que ce que vous nous dites là va faire partie des recommandations que vous pourriez transmettre à la commission? Parce que moi, je vais être extrêmement intéressé, là, de voir comment vous jonglez avec ces concepts-là puis quel est le meilleur endroit pour disposer des différents concepts, là, soit la loi, soit la politique.

M. Cuppens (Frédéric) : Tout à fait. On peut effectivement, dans le document qu'on peut vous transmettre, intégrer ces éléments de réflexion sur, effectivement, la place de la cyberrésilience dans un tel projet de loi. Tout à fait, oui, et ce sera avec grand plaisir.

M. Caire : Merci. Je comprends aussi, dans votre analyse du projet de loi, que le principe d'avoir un chef gouvernemental de la... bien, de la sécurité de l'information, qu'on pourra appeler un chef gouvernemental de la cybersécurité, si je comprends bien le propos que vous nous tenez, et donc d'avoir des chefs délégués de la cybersécurité... Cette organisation-là qui est d'un type assez militaire, au sens où il y a une entité centrale qui prend des indications... qui donne, bien, en fait, des indications à ses sous-entités, comment vous voyez ça? Est-ce que vous pensez que c'est la bonne forme à mettre en place? Est-ce que vous pensez que cette structure-là qui est très... excusez l'anglicisme, là, mais «top-down», c'est la bonne façon d'aborder la question de la cybersécurité pour une organisation comme le gouvernement du Québec?

M. Dupont (Benoît) : Je vais peut-être commencer à répondre. Je pense que cette idée de centralisation me semble louable parce que ça évite qu'on ait une fragmentation excessive, avec des ministères ou des organismes qui ont des capacités très inégales... et qu'on ait des données qui soient beaucoup mieux protégées que d'autres selon quel est le ministère qui les détient. Donc, pour nous... Moi, je vois ça moins comme une structure militaire qu'une structure centralisée et mieux coordonnée.

Et d'ailleurs, pour poursuivre, une des questions ou des échanges avec M. Gambs, je pense que ça inclut aussi tous les sous-traitants privés qui vont conclure des contrats en TI avec divers ministères, parce que le chef gouvernemental de la sécurité de l'information va pouvoir s'assurer que tous les ministères concluent des ententes ou des contrats de sous-traitance avec des critères en matière de sécurité qui soient uniformisés et cohérents à l'échelle gouvernementale.

M. Caire : Bien, si je peux apporter une précision là-dessus, il est important de savoir que les entreprises de consultants qui font affaire avec le gouvernement sont tenues aux mêmes règles que les employés du gouvernement. Donc, à ce niveau-là, ils sont tenus aux mêmes obligations, aux mêmes règles, et donc à la même hiérarchie.

M. Dupont (Benoît) : Mais, si je peux poursuivre, en fait, je faisais moins allusion aux règles qu'au degré d'expertise technique qui est requis pour la signature de certains contrats... et comprendre la sécurité.

Par exemple, l'infonuagique est le gros casse-tête, actuellement, de tout le monde en matière de cybersécurité. Et c'est bien qu'on ait un chef gouvernemental de la sécurité de l'information qui ait des équipes capables de soutenir des ministères ou des organismes qui ont moins de ressources pour conclure ce type d'entente et s'assurer que les contrats contiennent des dispositions en matière de sécurité qui sont bien comprises, d'une façon... avec l'expertise requise.

• (17 h 40) •

M. Caire : Bien, c'est M. Waterhouse, je pense, ce matin, là, qui nous a adressé ce commentaire-là. Donc, je prends bonne note.

Et, Pr Cuppens, vous m'avez fait rire avec la ligne Maginot parce que, dans les faits, l'histoire ne dit pas si la ligne Maginot était pénétrable ou impénétrable puisqu'elle a été contournée. C'est ça qui me...Et donc essayons de faire du gouvernement du Québec une ligne de défense qui ne pourra être contournée.

Et, dans ce sens-là, vous parliez de mesures à prendre, de règles et de directives, là, qui doivent être mises en place. Est-ce qu'il y a des normes de bonnes pratiques? Est-ce qu'il existe des standards auxquels... Parce que je posais cette même question-là précédemment. Ça existe au niveau... Bon, il y a les normes ISO qui existent, il y a les normes SOC qui existent en matière de stockage de données, mais, en matière de cybersécurité et de cyberdéfense, à votre connaissance, est-ce qu'il y a des normes internationales qui existent? Est-ce qu'il y a des... L'espèce de petit catéchisme, si vous me passez l'expression, de la cyberdéfense, est-ce que ça, ça existe?

M. Cuppens (Frédéric) : Non. Je ne sais pas si tu veux répondre par rapport à ça, Benoît...

Bien, la référence en termes de cybersécurité aujourd'hui, c'est effectivement les normes ISO et toute la famille des normes 27000, qui imposent effectivement tout un tas de règlements.

Donc, il y a la 27001... Je fais court là-dessus, mais... je vais vous épargner un cours sur les différents standards ISO 27000, mais effectivement l'un des documents, c'est effectivement la norme 27004, qui est un référentiel de bonnes pratiques qui est effectivement nécessaire, ensuite, pour appliquer le référentiel 27005, qui parle d'analyse de risques et qui est le référentiel international par rapport à tout ce qui est méthodologie d'analyse de risques. Tout ça pour arriver à la 27001, qui est effectivement le référentiel en termes d'accréditation par rapport à un organisme pour effectivement être accrédité 27000. Donc, c'est une accréditation sur trois ans, mais avec une nécessité d'audit annuel. Et donc, effectivement, l'organisme, bien qu'accrédité pour trois ans, doit prendre, effectivement, des mesures d'audit tous les ans pour vérifier qu'effectivement les mesures de sécurité mises en oeuvre sont toujours en conformité avec le standard 27000. Donc, effectivement, ça, c'est un standard. C'est un standard international qui, effectivement, s'applique très bien à des organismes privés mais aussi à des organismes publics.

D'où ma question, effectivement, par rapport à l'audit associé à ce genre de chose, par rapport au projet de loi : Est-ce que c'est un audit interne qui serait prévu, auquel cas la 27000 ne marche pas, ou c'est un audit externe, mais, à ce moment-là, il faut effectivement identifier les organismes qui seraient amenés à faire cet audit externe pour vérifier qu'effectivement le projet de loi n° 95 est correctement déployé et ensuite correctement mis à jour, régulièrement, pour effectivement maintenir l'accréditation initiale?

M. Caire : Et vous, avec l'expertise que vous avez, Pr Cuppens, Pr Dupont, diriez-vous que le gouvernement du Québec devrait s'astreindre à ces normes internationales là, et donc aller dans le sens de l'audit externe, nécessairement, là? Diriez-vous que, cette pratique-là, vous la recommanderiez?

M. Cuppens (Frédéric) : Benoît, tu aimerais répondre?

M. Caire : ...pas tous en même temps, là.

M. Dupont (Benoît) : Le défi, avec l'adoption de ces normes, c'est qu'on tombe très souvent dans des catalogues interminables de mesures à mettre en place, et donc ça peut devenir un piège si on tombe dans une espèce de conformité pour le seul objectif de cocher des cases. Et je pense que ce sont des sources d'inspiration très précieuses, mais qu'il y a probablement moyen d'ajuster et de s'en inspirer d'une façon plus flexible que de s'enfermer dans des normes et des standards. Mais ce sont certainement des points de départ.

Il en existe aussi en Amérique du Nord, à l'institut national des standards et des technologies américain, qui sont aussi adaptés, parce que ça... ils viennent d'une aire géographique avec laquelle on interagit beaucoup plus aussi.

Donc, peut-être, de s'astreindre à ce que tous les organismes publics adoptent la norme ISO 27000, ça, c'est une décision peut-être qui revient au gouvernement, mais, en tout cas...

M. Caire : Mais que vous ne recommanderiez pas, si je comprends bien, là.

M. Dupont (Benoît) : Pas dans un premier temps, directement, non. Pas de façon rigide.

M. Caire : Mais, en même temps, Pr Dupont, entre ces normes-là, dont vous dites qu'elles sont très rigides, et une politique maison, comment on s'assure de la qualité de ce qu'on fait? Parce que vous parlez d'audit externe, puis je vous avoue que je suis sensible à ce commentaire-là, mais, cet audit-là, il faut qu'il soit basé quand même sur des critères objectifs.

Le Président (M. Simard) : En conclusion.

M. Caire : L'audité doit savoir sur quoi on va l'auditer. Donc, comment on établit ces critères-là, objectifs, pour être audité correctement?

M. Dupont (Benoît) : Une mesure intéressante est celle qui est mise en place par le gouvernement australien, qui vise justement à procéder à des audits non...

Le Président (M. Simard) : Très bien.

M. Caire : Mais ça va se faire sur le temps de l'opposition officielle, M. le Président, là.

Le Président (M. Simard) : Non, non, je ne crois pas que ça va marcher comme ça, malheureusement.

M. Caire : Bien. Merci beaucoup, messieurs.

Le Président (M. Simard) : Je cède la parole au député de La Pinière, qui dispose de 12 min 25 s parce que nous avons réparti le temps, bien sûr, qui était imparti au député de René-Lévesque. M. le député de La Pinière, à vous la parole.

M. Barrette : Merci, M. le Président. Alors, je suis quand même intéressé à la réponse.

M. Dupont (Benoît) : Alors, la réponse, c'était de... Je poursuis ma réponse. Donc, le gouvernement australien procède à des audits dans lesquels les organismes audités ne sont pas avertis de ce qui va leur être opposé comme type d'audit ni des tests de pénétration. Et l'idée, ce n'est pas de les piéger, mais l'idée, c'est de reproduire ce qui se passe dans la réalité, de la part d'attaquants, et de reproduire le comportement d'attaquants réels pour voir s'ils sont réellement prêts à se confronter à la dure vie des cyberrisques ou si, au contraire, ils sont tout à fait préparés à se conformer aux standards, mais que, ces standards-là ayant pris du retard sur les pratiques réelles, finalement, ça n'a plus trop, trop de sens.

Donc, je pense que c'est une source d'inspiration qui pourrait être intéressante. Il ne s'agit pas, encore une fois, de piéger les gens, il ne s'agit pas de les humilier, mais il s'agit d'essayer de reproduire au maximum la réalité plutôt que des listes de critères et de normes qui sont parfois un petit peu en retard sur les pratiques des attaquants.

M. Barrette : Bien, moi, je trouve ça très bien, comme idée. Et, en Australie, c'est un organisme indépendant? Comment ça fonctionne?

M. Dupont (Benoît) : C'est l'auditeur général australien qui procède à ces tests-là, qui a des unités spécialisées. Ce sont des autorités régulatrices. On retrouve aussi ce type de pratique en Angleterre, en Hollande, au Danemark. Ce sont des autorités régulatrices qui se voient confier ce type de mandat.

M. Barrette : Donc, ça veut dire que c'est sous l'autorité du Vérificateur général. Et donc le Vérificateur général a, dans sa loi, j'imagine, cette fonction-là et, consécutivement, a les budgets pour le faire.

M. Dupont (Benoît) : Absolument.

M. Barrette : On est loin du Québec.

Vous faites bien de ne pas commenter. Mais il n'en reste pas moins que c'est très intéressant. Donc, c'est la formule qui est la plus efficace. C'est ce que vous nous dites, là.

M. Dupont (Benoît) : Je pense que c'est la formule qui permet le meilleur apprentissage. À travers les organismes, c'est la formule qui permet de rehausser de la façon la plus efficace le niveau de tout le monde, parce qu'à la fin de l'année les résultats...

Évidemment, ce n'est pas tous les organismes qui peuvent être audités en profondeur à chaque année, donc on en sélectionne trois ou quatre par ans. Les résultats sont publics, et ça permet à tous les autres organismes, justement, d'apprendre de ces résultats-là et d'adapter leurs propres pratiques, sachant que, dans les années à venir, ils risquent eux-mêmes d'être confrontés à ce type de démarche.

M. Barrette : Et est-ce qu'on a des données probantes qui indiquent que la donnée est plus sécuritaire dans ces environnements-là que dans les environnements classiques, je dirais, là?

M. Dupont (Benoît) : Ça fait seulement deux à trois ans que cette pratique a été mise en oeuvre, donc, pour l'instant, ça devient difficile de... encore, c'est un peu trop tôt, peut-être, pour voir si... Parce que ce sont des bureaucraties, des grands ministères, des grands organismes, là. L'adaptation prend quand même quelque temps à se mettre en oeuvre, mais je pense que c'est prometteur, on peut dire. Si ce n'est pas probant, c'est au moins prometteur.

M. Barrette : Bien, ça m'apparaît tomber sous le sens, surtout... Évidemment, tout ça dépend de la compétence et du budget de fonctionnement qu'ont ces unités spéciales là, mais, sur le principe, là, j'ai tendance à pencher dans cette direction-là.

Je pense que vous vous êtes inscrit un peu en opposition aux commentaires de M. Gambs pour ce qui est de la centralisation. Est-ce que je vous ai bien compris?

• (17 h 50) •

M. Dupont (Benoît) : Non, bien, je pense que M. Gambs a raison, dans la mesure où un seul entrepôt de données qui réunit l'ensemble des renseignements personnels québécois de tous les ministères, traités par tous les ministères, me semble être un point de défaillance assez risqué à proposer.

Je pense qu'une centralisation raisonnée, mais qui ne soit pas consolidée en un seul lac de données, comme on dit dans certains organismes, peut être un bon compromis, avec une fragmentation accessible. Donc, je pense que quelque chose à mi-chemin pourrait être certainement envisageable, ce qui me semble être l'esprit de la loi, avec les sources de données.

Donc, je ne pense pas que M. Gambs et moi sommes en désaccord. Je suis assez d'accord avec lui sur le fait qu'un seul réservoir de données serait assez désastreux s'il était compromis.

M. Barrette : Oui, mais est-ce qu'un réservoir qui fait office de redondance... vous allez dire : Ça cause le même problème pour un bris, là, j'imagine, là, mais ça pose un problème ou non, à votre avis?

M. Dupont (Benoît) : Un réservoir qui pourrait... qui serait une source de redondance, s'il était hors ligne la majorité du temps, serait probablement moins risqué que s'il était la source principale, là, des données.

M. Barrette : O.K.

M. Cuppens (Frédéric) : Il est essentiel... Par rapport à ça, c'est d'éviter ce qu'on appelle les «single points of failure», en bon français, et, effectivement, que ce soit en termes de gestion des données elles-mêmes ou de sauvegarde, pour effectivement assurer la redondance, pour préserver les données en cas d'attaque. Dans les deux cas, il faut éviter ces «single points of failure», sachant que les attaquants s'adaptent, hein?

Ce qu'il faut bien voir, c'est que les... Pour prendre comme exemple, les premiers rançongiciels qui attaquaient directement les données pour les chiffrer, aujourd'hui, se sont adaptés. Aujourd'hui, un rançongiciel, c'est comme une APT sophistiquée qui va d'abord explorer le système pour voir notamment s'il n'y a pas des systèmes de sauvegarde, et, s'il y a des systèmes de sauvegarde, avant de chiffrer des données, il va attaquer ces systèmes de sauvegarde. Et effectivement, en général...

C'est ce qu'on a vu avec Ryuk. Ça marche, hein? Ryuk a quand même impacté plusieurs organismes et entreprises au Canada. Ryuk, c'est exactement ça. Les entreprises s'étaient... pensaient s'être protégées contre les attaques par rançongiciel en achetant des systèmes de sauvegarde pour créer des redondances, mais, au bout du compte, les rançongiciels attaquent aussi ces systèmes-là. Et donc effectivement ça, ça met le doigt sur le fait que centraliser les données ou centraliser la redondance associée à ces données, par rapport aux cyberattaques, ça ne convient pas comme solution.

Alors, effectivement, comme le dit Benoît, tout distribuer, ça pose des problèmes en termes de gestion, mais il faut avoir quand même le bon compromis, parce qu'à un moment donné, quand on est attaqué, on est bien content de pouvoir revenir à la normale et redonner... dans un système où on a retrouvé nos données, donc.

M. Barrette : Je pense que vous avez écouté M. Waterhouse ce matin...

M. Cuppens (Frédéric) : Pas en ce qui me concerne, non.

M. Dupont (Benoît) : Oui, en partie. En partie seulement.

M. Barrette : En partie. Bien, écoutez, simplement, sur l'aspect de la catégorisation en plusieurs niveaux, est-ce que vous avez des commentaires à faire là-dessus?

M. Dupont (Benoît) : Je suis moins un expert de la catégorisation que mon collègue Cuppens, alors je vais le laisser répondre là-dessus.

M. Cuppens (Frédéric) : Alors, c'est gentil de me passer la parole. Alors, j'ai effectivement noté dans la loi qu'il y avait une obligation de définir, effectivement, un modèle de classification de données. Alors, comme Benoît, je ne suis pas spécialiste de l'existant, et donc ça m'a interrogé. Je me suis dit : À quoi on fait référence par rapport à cette obligation de définir un modèle de classification des données et surtout aussi une obligation de vérifier que ce modèle est correctement mis en oeuvre?

Donc, j'ai essayé de voir, par rapport à ce que j'avais en tête, qu'est-ce qui pourrait exister. Effectivement, des modèles de classification, il en existe, que ce soit pour le secret défense, le secret industriel ou le secret commercial. Donc, je me suis dit : Est-ce que c'est à ça qu'on fait référence? Auquel cas, si c'est à ça qu'on fait référence, pourquoi définir un nouveau modèle? Donc, ça, c'est une question que je me suis posée. Je n'ai pas trouvé la réponse.

Mais effectivement le fait qu'il y ait effectivement besoin de classer les données, de considérer qu'effectivement des données, que ce soit pour la confidentialité, l'intégrité ou la disponibilité, n'ont pas les mêmes besoins en termes de sécurité, ça, c'est pertinent, savoir, effectivement, quel modèle appliquer.

Des modèles, il en existe, donc je pense qu'il faut d'abord, effectivement, regarder les modèles existants, voir ceux qui s'appliquent correctement. Et, à ce moment-là, effectivement, si on s'aperçoit qu'il y a des besoins spécifiques à explorer... je ne suis pas sûr qu'ils existent, mais, si, effectivement, il y a des besoins explicites et spécifiques, alors, à ce moment-là, voir s'il y a besoin d'un modèle particulier pour traiter cela.

Mais là je pose plus de questions, hein? Comme Benoît, je n'ai pas la réponse, mais je me suis questionné, effectivement, sur ces deux articles qui mentionnaient ce problème de classification des données. À creuser. Si j'ai une réponse à donner, je dirais : Pour le moment, restons prudents, creusons le problème et voyons effectivement le besoin pour, effectivement, le traiter correctement.

M. Barrette : Bien, écoutez, je vous posais la question, parce que, dans l'architecture de sécurité présentée par M. Waterhouse, c'était le socle, essentiellement, sur lequel on bâtit tout le système de sécurité.

Et là je vais vous poser, à ce moment-là, une question qui est un peu une connexion entre ce qu'on vient de parler et ce dont vous avez parlé précédemment. Moi, j'écoute tout le monde, là, aujourd'hui, là, et je vous écoute, vous.

Pour avoir une sécurité appropriée, donc maximale, il y a aussi un enjeu selon lequel tout le monde doit marcher au même pas et tout le monde doit être tout le temps au même niveau de sécurité, peu importe sa catégorie et peu importe l'organisme ou le ministère. Là, c'est vraiment... Vous, vous parlez de «point of failure». Moi, j'ai l'impression qu'on pourrait aussi simplement utiliser l'expression du «talon d'Achille». Si tout le monde n'est pas en même temps, il y aura forcément un talon d'Achille qui peut être catastrophique.

M. Cuppens (Frédéric) : C'est sûr, c'est sûr. Et, pour reprendre ce problème de classification... Et puis, pour faire référence au secret défense, hein, qui n'a probablement rien à voir en termes de classification, mais c'est juste pour donner un travers de ces modèles de classification, ce qui se passe dans les modèles de défense où on essaie de classer confidentiel défense, secret défense, très secret défense, au bout du compte, ce qui se passe, c'est que les utilisateurs, ils surclassifient. Pour se protéger, ils vont tout mettre tout en haut.

Et donc c'est souvent le travers de ce genre de modèle de classification, hein? Pour ne pas avoir de problèmes, on nuit complètement à la disponibilité des données, mais, pour se protéger contre la sécurité, on pense que c'est pertinent de tout classer tout en haut, ce qui est complètement ridicule. Mais c'est souvent le travers qu'on voit apparaître par rapport à ce genre de modèle de classification.

Donc, effectivement, déjà, avoir un modèle de classification binaire où on identifie les données à risque, c'est déjà, effectivement, je pense, essentiel. Donc, pas besoin d'avoir plus de deux niveaux, à mon avis.

Et, à partir du moment où on a, effectivement, défini et identifié les données à risque, effectivement, définir les bons moyens de sécurité pour les protéger, bien, c'est ça qu'il faut faire. Déjà, si on arrive à ça... et éviter, effectivement, la référence au talon d'Achille, effectivement. C'est la démarche qu'il faut adopter par rapport aux besoins de sécurité à traiter par rapport à des données comme les données gouvernementales, et les données à caractère personnel, et les données publiques.

M. Barrette : M. le Président, j'imagine qu'il me reste 10 secondes?

Le Président (M. Simard) : Ah! 23, pour être bien précis.

M. Barrette : C'est bien gentil. Bien, écoutez, merci. Merci d'être venus aujourd'hui. C'était très éclairant. Merci beaucoup.

Le Président (M. Simard) : Merci à vous. M. le député de Rosemont, vous disposez de 4 min 10 s.

M. Marissal : Merci, M. le Président. M. Dupont, M. Cuppens, merci d'être là, d'autant que c'est agréable. M. Dupont, je ne sais pas si on vous l'a déjà dit, mais, quand vous parlez, ça sonne comme l'accent de Francis Cabrel. Alors, c'est très agréable pour finir la journée. C'est de la musique à mes oreilles.

Ce qui en est moins, par contre, puis qui m'inquiète, puis ce n'est pas vous qui m'inquiétez, c'est l'état des lieux de la cybersécurité au gouvernement du Québec en ce moment. Ça a été dit, et redit, et redit depuis des années : On n'est pas au sommet de ce que l'on pourrait espérer.

D'abord, il y a une pénurie de main-d'oeuvre. Il manque de monde puis il y a un gros roulement, il n'y a pas de rétention. Ça commence d'ailleurs par le directeur principal de l'information, qui a changé, je crois, quatre fois en quelques années.

• (18 heures) •

Vous enseignez. Vous êtes dans des institutions qui forment des gens qui pourraient venir travailler pour le gouvernement, par exemple, ou vous tournez autour de ce problème-là qui est récurrent au gouvernement du Québec. Quelle évaluation vous faites?

Parce que là vous nous proposez de faire une course parfaite, là, un marathon, 42,2 kilomètres, à un rythme de 4 minutes du kilomètre sans coup férir, puis on va finir sans une goutte de sueur. Moi, je pense qu'on n'est même pas équipé pour courir un 10 kilomètres, en ce moment, au gouvernement du Québec, puis que peut-être qu'on va finir en boitant.

Alors, pouvez-vous nous dire où est-ce qu'on en est, par rapport à ce que vous nous proposez, qui serait l'idéal, là, qui serait probablement le meilleur qu'on pourrait souhaiter?

M. Dupont (Benoît) : Tout d'abord, peut-être, merci pour le compliment sur mon accent. Je chante beaucoup moins bien que M. Cabrel.

Ce qu'on propose, ce n'est pas un marathon sans douleur et sans sueur. La cyberrésilience, certains la définissent comme le fait de pouvoir survivre sur un régime de fruits et de légumes empoisonnés. C'est quelque chose de très douloureux. C'est l'entraînement à la résistance, à la douleur et à la capacité de continuer à offrir des fonctions gouvernementales dans un environnement très, très hostile. Donc, on ne pense pas qu'on vit dans un monde de bisounours ou d'ours en peluche.

Mais ce que ça va prendre, je pense, et je laisserai mon collègue terminer, ça va être une alliance ou une collaboration beaucoup plus serrée entre les organismes gouvernementaux, le secteur privé, les universités, ce qu'on appelle la triple liste, c'est-à-dire trois secteurs qui ne peuvent pas se passer l'un de l'autre, pour essayer de résoudre ce problème de sécurité qui, à mon avis, avec les changements climatiques... sont les principaux problèmes auxquels nos sociétés contemporaines sont confrontées. Et c'est des problèmes quasiment insolubles, là.

Donc, rassurez-vous, le gouvernement du Québec n'est pas le seul à être en mauvaise posture. Tous les gouvernements et toutes les entreprises, malheureusement, découvrent avec effroi que ce qu'elles pensaient être des niveaux adéquats de protection sont insuffisants et vont devoir être repensés radicalement. Frédéric, si tu veux...

M. Marissal : ...

M. Cuppens (Frédéric) : Par rapport à l'état des lieux, oui, je voudrais faire une remarque. La cybersécurité, c'est un peu comme le nuage de Tchernobyl, ça ne s'arrête pas aux frontières, d'accord? Donc, par rapport à ça, bien, effectivement, il faut faire un état des lieux, ça, c'est sûr, mais ça ne doit pas être un état des lieux, je dirais, ciblé sur, effectivement, tel domaine. Le problème de la cybersécurité, ça ne va pas se limiter à tel ministère plutôt que tel autre. Il faut, effectivement, avoir cette vision globale déjà interministérielle...

Le Président (M. Simard) : Très bien.

M. Cuppens (Frédéric) : ...ça, c'est essentiel, mais aussi faire, effectivement, comme le dit Benoît, le lien entre les problèmes au niveau gouvernemental et aussi au niveau entreprise privée. Tout ça est global. Et, par rapport à ça, comme l'a dit Benoît dans sa ...

Le Président (M. Simard) : Très bien.

M. Cuppens (Frédéric) : Je dois m'arrêter? Bon, je m'arrête. Excusez-moi, je n'avais pas entendu.

Le Président (M. Simard) : Très bien. Alors, Pr Dupont, Pr Cuppens, merci à vous deux pour la qualité de votre présentation, en espérant vous revoir sous peu dans les travaux de notre commission.

Nous allons suspendre quelques instants, le temps de faire place à nos prochains invités. Merci à nouveau.

(Suspension de la séance à 18 h 03)

(Reprise à 18 h 06)

Le Président (M. Simard) : Chers collègues, nous sommes donc en mesure de reprendre nos travaux. Nous recevons nos derniers invités mais non pas les moindres. Nous sommes en présence de deux représentantes du Fonds de recherche du Québec. Mesdames, bienvenue parmi nous. Auriez-vous d'abord l'amabilité de vous présenter?

Fonds de recherche du Québec (FRQ)

Mme Jabet (Carole) : Oui. Bonjour. Merci de nous recevoir, M. le Président, Mmes, MM. les députés. Mon nom est Carole Jabet, je suis directrice scientifique du Fonds de recherche Québec — Santé. Emmanuelle, peut-être peux-tu t'introduire?

Mme Lévesque (Emmanuelle) : Oui. Bonjour. Mon nom est Emannuelle Lévesque, je suis avocate et conseillère à l'éthique de la recherche au Fonds de recherche du Québec.

Le Président (M. Simard) : Alors, vous disposez de 10 minutes.

Mme Jabet (Carole) : Merci. Merci beaucoup et merci de nous entendre dans le cadre des travaux de cette commission relatifs au projet de loi n° 95, donc, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives. Plus sérieusement, nous intervenons aujourd'hui pour les trois fonds de recherche, donc le fonds Santé mais aussi le fonds Société et culture et le fonds Nature et technologies.

Donc, tout d'abord, pour celles et ceux qui ne seraient pas familiers des FRQ, nous sommes des organisations gouvernementales, qu'on nomme aussi, dans notre milieu, des agences subventionnaires, dont le mandat est de soutenir et de développer la capacité de recherche au Québec. Donc, nous investissons ainsi annuellement près de 230 millions de dollars dans le développement de talents, dans le soutien aux regroupements de recherche et dans des projets à haute valeur ajoutée pour la société québécoise qui ont la capacité également de nous faire rayonner à l'international.

Nous intervenons dans tous les secteurs d'activité. Alors, il peut s'agir de santé, d'éducation, d'alimentation, d'agriculture, de transport, d'énergie, de développement urbain, de numérique, de culture. Bref, à peu près tous les domaines. Tous ces domaines ont un point commun : la capacité à générer une nouvelle connaissance.

La capacité à produire de l'innovation, qu'elle soit technologique ou qu'elle soit sociale, s'appuie sur les données. On ne peut pas faire de recherche si nous n'avons pas les données pour la faire, et, dans plusieurs domaines aussi diversifiés que tous ceux que j'ai mentionnés, les données qu'on doit utiliser sont des renseignements personnels, c'est-à-dire des renseignements qui permettent d'identifier éventuellement les individus, contrairement aux renseignements anonymes.

Alors, ce dossier, dans notre domaine de la recherche, il est quand même bien connu. On l'appelle l'accès aux données. Il mobilise les FRQ depuis plusieurs années maintenant. Nous avons produit plusieurs mémoires qui montrent l'importance... qui démontrent l'importance d'avoir une stratégie de valorisation des données qui inclut la démarche de recherche. Et le Scientifique en chef, Pr Quirion, a émis et appuyé plusieurs recommandations qui visent à doter le Québec de mécanismes qui sont compétitifs tout en étant responsables pour la valorisation de l'information.

Comme vous le savez, il y a deux types de... deux façons, en recherche, d'obtenir des renseignements personnels. On peut utiliser la voie du consentement, un consentement des individus qui sont concernés, mais, quand ce n'est pas faisable, il y a une deuxième voie qui est la voie des mécanismes légaux qui remplacent le consentement, et c'est dans ce cas de figure que nous intervenons aujourd'hui.

• (18 h 10) •

Également, et ça, c'est important, notre propos concerne la recherche académique, c'est-à-dire effectuée par des chercheurs d'organismes publics que sont les universités, les collèges, les établissements de santé ou autres. Dans ce cadre, les FRQ reçoivent très favorablement les efforts qui se multiplient en soutien à la Stratégie de transformation numérique et qui visent une plus grande mobilisation des données numériques gouvernementales. Cela dit, si on veut vraiment bénéficier de cette transformation et de ses avantages, nous devons nous assurer que les processus d'accès pour la recherche académique sont efficaces et sécuritaires.

Bien sûr, l'enjeu, c'est la compétitivité de la recherche québécoise, la compétitivité de nos équipes de chercheurs ou encore l'attraction de talents, mais l'enjeu est d'abord et avant tout de s'assurer que notre démarche de recherche, parce qu'elle a accès à de l'information qui nous est spécifique, va apporter des réponses qui correspondent aux besoins de la population québécoise.

Ça veut dire quoi dans la vraie vie? Prenons un exemple dans mon domaine, qui est le domaine de la santé. Par exemple, organiser les calendriers de rendez-vous d'un service de radio-oncologie peut être un véritable casse-tête. Il faut alterner les nouveaux patients avec les patients déjà en traitement, qui ont des cycles de traitement qui diffèrent. Et chaque minute qu'on va utiliser est importante, parce que ce sont des patients qui ont accès à des soins.

L'apprentissage profond, qu'on connaît aussi comme intelligence artificielle, peut apporter des solutions à ce casse-tête. Pour faire ça, il faut entraîner des algorithmes, il faut entraîner des algorithmes sur des données. Si on n'a pas accès aux données de nos établissements, les chercheurs vont aller chercher les données ailleurs, dans des hôpitaux en Ontario, dans des hôpitaux au Royaume-Uni, puis ils vont les entraîner, les algorithmes, et on va gagner de l'efficience. Des patients vont bénéficier de cette efficience, mais ce seront les patients des hôpitaux en Ontario, au Royaume-Uni, et pas les patients sur notre territoire, parce qu'on n'aura pas entraîné les algorithmes avec notre réalité d'organisation des soins et services de santé. Voilà l'enjeu.

Dans ce cadre, il y a deux objectifs du projet de loi n° 95 qui nous semblent pouvoir améliorer la situation de recherche et l'accès à l'information. D'abord, la proposition de mécanismes qui permettent de favoriser la mobilité et la valorisation des données numériques gouvernementales et, notamment, la possibilité pour le gouvernement de désigner des organismes publics pour agir comme sources officielles de données numériques gouvernementales. Bon point.

Le deuxième objectif qui nous paraît aider la situation : établir une gouvernance globale et concertée en matière de sécurité de l'information avec une notion de surveillance des mécanismes mis en oeuvre.

Avec ces deux objectifs, on s'inscrit dans un nouveau paradigme où les renseignements personnels détenus par les organismes publics peuvent être valorisés par la recherche, cette fois-ci dans un encadrement adéquat qui met l'accent sur le contrôle rigoureux de l'utilisation au lieu de mettre l'accent, comme on pouvait le faire, sur la limitation, voire l'interdiction d'un accès aux données.

Cela dit, il nous semble, et c'est ce qui est mentionné dans notre mémoire, que des points mériteraient d'être clarifiés pour assurer une même compréhension de la... du texte qui est amené. D'abord, il faut clarifier que les sources officielles de données numériques gouvernementales qui sont prévues dans le projet de loi permettront d'utiliser les renseignements personnels qu'elles contiennent à des fins de recherche et de développement académique — ce mot, selon nous, manque — donc, pour les chercheurs universitaires, collégiaux dans les établissements de santé.

On pense également qu'il faut clarifier les conditions auxquelles ces renseignements qui sont détenus par les sources officielles vont pouvoir être utilisés à des fins de recherche et s'assurer que ce sont tous les types de recherche académique qui seront équitablement traités, que ça bénéficie aux services publics, aux citoyens, à la mission de l'État ou autres.

Et finalement, le troisième point, s'assurer que le mécanisme d'utilisation des renseignements personnels pour fins de recherche soit harmonisé aux autres projets de loi et mécanismes, notamment le projet de loi n° 64, actuellement à l'étude et qui vise les modifications de la Loi sur l'accès. On ne peut pas se retrouver dans une situation avec des mécanismes d'autorisation qui sont complexes et différents, et dont on ne comprendrait pas quelle serait clairement la portée.

En conclusion, quel est le risque de ne pas bonifier et clarifier le projet de loi n° 95 par rapport aux points que nous venons de soulever? Trois risques : entretenir une certaine confusion, créer possiblement plus de lourdeur que d'efficacité... Ce risque augmente celui de la perte de talents parce que les chercheurs, ils se découragent. Ils utilisent les données d'ailleurs, ils vont aussi aller travailler ailleurs. En cascade, on impacte la compétitivité du Québec en recherche. Mais le plus grand risque n'est aucun de ces trois risques-là. Le risque le plus grave serait de ne pas se donner les moyens d'améliorer les services publics et les autres bénéfices pour la population et la société québécoise.

Je vous remercie de votre attention. Voici un peu le message que l'on avait à communiquer. Et nous répondrons, bien sûr, à vos questions avec plaisir et au mieux de nos connaissances. Merci.

Le Président (M. Simard) : Alors, merci à vous, Mme la directrice scientifique. Je cède maintenant la parole à M. le ministre, qui dispose d'environ 17 minutes.

M. Caire : Merci beaucoup, M. le Président. Mme Jabet, Mme Lévesque, merci beaucoup de votre participation. À mon tour de sympathiser avec l'heure à laquelle on vous impose cette prestation-là, mais sachez que nous sommes solidaires, tous les députés présents, parce que nous-mêmes nous y employons depuis ce matin.

Présentation extrêmement intéressante, et j'avoue que vous abordez un sujet qui est préoccupant. De longue date, je dirais que le Scientifique en chef fait une cabale pour sensibiliser les élus au fait que la donnée est plus ou moins accessible pour les projets de recherche et qu'il était temps de s'attaquer à ce problème-là, surtout que le Québec... Et là-dessus je sais que le député de La Pinière et moi avons une vision qui est assez semblable, surtout que le Québec dispose non seulement d'une quantité de données impressionnante, mais d'une qualité de données qui est extrêmement intéressante pour les chercheurs, du fait du profil de la population québécoise et de l'opportunité que ça offre de faire des évaluations quantitatives et qualitatives sur une durée de temps assez longue.

Je vous dirais que je vais répondre à vos trois préoccupations. Je pense que les réponses se trouvent dans le projet de loi. Mais, d'abord, vous me permettrez un commentaire personnel. Et je vous en remercie, parce que vous avez abordé la notion du danger de ne pas améliorer les services publics, et je dois vous dire que vous êtes... Puis je ne veux pas méjuger, on a eu des groupes très intéressants qui ont amené des commentaires qui étaient très intéressants, qui vont faire cheminer, j'en suis convaincu, le travail des parlementaires, mais le principal objectif du projet de loi n° 95, puis je ne dirais pas : Son objectif exclusif parce qu'il y a un objectif de sécurité, évidemment... mais c'est une amélioration significative des services à la population et de l'efficience du gouvernement du Québec dans la prestation de services à la population. Merci de l'avoir souligné, ça m'apparaît effectivement être un danger, dans l'analyse du projet de loi n° 95... D'occulter cet élément-là m'apparaît être un danger parce qu'effectivement, au-delà de toutes les autres considérations dont je ne veux pas diminuer l'importance, celle-là n'en est pas moins importante.

Sur l'utilisation de renseignements personnels, je pense que vous l'avez bien cadré, Mme Jabet, c'est effectivement le projet de loi n° 64 qui va adresser cette situation-là de façon législative. Donc, vous me permettrez peut-être d'être un peu plus discret sur ce volet-là, parce que le projet de loi n° 64, comme je le dis, je pense, a été fait à la satisfaction... ou, en tout cas, donne satisfaction aux milieux de recherche quant au qui et au pourquoi on accède à des renseignements personnels sans le consentement des citoyens. Les articles qui traitent de ça ont été adoptés par la Commission des institutions. Donc, je pense que, là-dessus, la commission avance, et les réponses à vos questions se trouvent là.

• (18 h 20) •

Sur la notion des types de recherche, bien, effectivement, le fait de ne pas préciser le type de recherche permet d'inclure tous les types de recherche. Donc, est-ce que les recherches académiques sont incluses? Absolument. Vous allez trouver votre réponse à l'article 12.3 du projet de loi, qui va faire en sorte, effectivement, que le gouvernement du Québec, en désignant une source de données, va être en mesure de désigner les fonds ou les projets de recherche qui pourraient bénéficier de la mobilité de la donnée. Et donc, comme on ne précise pas, comme on parle de recherche, on parle de tout type de recherche. Donc, nécessairement, la recherche académique est incluse dans cette situation-là. Donc, cette question-là que vous nous apportez, je pense qu'elle est adressée de cette façon-là.

Bon, évidemment, aussi, l'article 12.19 peut fixer les conditions par lesquelles les renseignements qui sont détenus par une source officielle de données vont pouvoir être transmis aux différents projets de recherche. Donc, à ce moment-là, je pense que vous aurez accès, dans le fond, à l'ensemble des informations dont vous aurez besoin, toujours, évidemment, dans le respect de la loi n° 64.

Et ça, ça m'amène à votre deuxième point. Quand vous parlez d'harmoniser les deux projets de loi, je vous dirais que 95 n'est pas harmonisé au projet de loi n° 64, il y est soumis. Et ça, c'est extrêmement important, parce que je le sais que ça a été une préoccupation qui a été soulevée par la Commission d'accès à l'information. Il est très important de comprendre que le projet de loi n° 95 est soumis non seulement à la loi d'accès à l'information et la protection des renseignements personnels, mais à toutes les lois, tous les régimes de protection particuliers.

Et donc, de ce fait, l'avantage que les sources de données vont avoir, c'est de vous permettre d'avoir une donnée de qualité, parce qu'en ayant l'inventaire de la donnée... Vous le disiez, là, vous êtes souventefois obligés d'aller chercher vos données ailleurs. Bien, en ayant un inventaire de la donnée, ça nous permet de vous donner une donnée qui est de qualité, qui est intègre, évidemment, mais, je devrais dire... mais évidemment sous réserve que la loi d'accès à l'information et de la protection des renseignements est respectée puis, quand on parle de données de santé, que les régimes, les différents régimes de protection, particulièrement de santé, sont respectés, que la directive en matière de sécurité est respectée.

Donc, est-ce que ça va être nécessairement plus simple? Oui. Mais est-ce que ça va être un bar ouvert? Il ne faut pas vous attendre à ça, parce que le p.l. n° 95, comme je le dis, ne s'harmonise pas aux régimes de protection ou à la loi, il s'y soumet. Ça, c'est... Je sais que ça, ça a été un élément qui vous a... qui interpelait beaucoup les Fonds de recherche et pour lequel, je pense, vous avez votre réponse.

Maintenant, justement, sur cet aspect-là, puis vous l'avez amené, vous avez dit : Le grand danger, ce serait de ne pas avoir accès à ces données-là, j'aimerais ça que vous nous décriviez un peu... Parce que, pour les parlementaires, c'est toujours intéressant de savoir, oui, le projet de loi n° 95, il fait quoi, mais ce qui est important, c'est quelle est la situation actuelle. On part d'où exactement, Mme Jabet? Puis en quoi 95 vient répondre à des préoccupations qui sont vraiment les vôtres, qui, au quotidien, font en sorte que nos Fonds de recherche ne peuvent pas travailler aussi bien, aussi efficacement que si on n'avait pas... En fait, si on n'a pas 95, c'est quoi, la situation actuelle, puis en quoi la situation actuelle est corrigée par 95? Vous m'excuserez si mes questions sont un peu désordonnées. Je pense que, comme mes collègues, l'heure finit par jouer sur moi aussi.

Mme Jabet (Carole) : Bien, d'abord, merci beaucoup, M. le ministre, pour les informations que vous avez communiquées puis la clarification qui est signifiée ici. Je pense qu'elle est extrêmement bien reçue. Parce que, c'est ça, c'est peut-être parfois le défaut qu'on va avoir en recherche : quand on n'a pas qualifié quelque chose, on a peur que ce ne soit pas intégré. Et, pour nous, c'est vraiment important qu'on ait tous la même compréhension, notamment au niveau de la recherche académique.

Je vais répondre tout de suite à votre question, quelle est la situation actuelle. La situation actuelle est une situation que je décrirais de silos. Donc, il y a eu des améliorations qui ont été faites. On a apporté le guichet d'accès aux données pour la recherche, qui permet d'accéder à certaines données gouvernementales de façon différente. Cela dit, là, la grande image, c'est qu'en ce moment, si on veut faire un projet de recherche, par exemple sur la santé des enfants, qui nécessite d'accéder à des données de santé, à des données administratives, à des données d'éducation, bien, très probablement, on va taper à trois portes, quatre portes, cinq portes, dépendamment de la cohorte qu'on veut gérer. Il n'y a pas cette mécanique d'organisation de la donnée et de mécanisme bien balisé pour accéder à la donnée.

Ce que nous, on voit comme un avantage, dans le p.l. n° 95, c'est cette capacité à créer des sources officielles de données numériques gouvernementales, parce qu'à ce moment-là nous avons des interlocuteurs qui connaissent le contenu des bases de données et qui connaissent les variables, qui ont les mécanismes pour être capables de répondre à notre projet de recherche et avec lesquels on peut travailler, dans le respect des lois, ça, on va tous être d'accord avec ça.

Je pense que le milieu de la recherche a beaucoup évolué, au cours des dernières années, pour se doter des bons mécanismes de contrôle d'une saine utilisation des données. Mais je dirais que c'est cette organisation de sources officielles de données numériques gouvernementales qui nous intéresse, avec la gouvernance des données à laquelle... qui y est associée, là. Ce n'est pas juste : Demain matin, je donne accès à des fichiers Excel ou à des entrepôts. Ce n'est pas ça. C'est vraiment la gouvernance qui y est associée puis la valorisation de données qui y est associée.

En ce moment, parce que la question, elle était extrêmement précise, ça peut prendre deux ans, trois ans, de réussir à faire un projet de recherche tel que celui que j'ai mentionné. C'est de ça qu'on parle. Et c'est ce délai-là qu'il faut réussir à raccourcir, tout en augmentant le bassin de données qu'on peut utiliser aussi. Voilà ce qui serait ma réponse.

M. Caire : Je me permets une question, Mme Jabet, par rapport... puis je ne sais pas si vous avez l'information, mais par rapport à vos collègues des autres provinces ou des autres États dans le monde qui font de la recherche et qui ont besoin de ces informations-là. On parle d'un délai de combien de temps avant d'avoir accès aux données dont ils ont besoin pour faire avancer le projet, par rapport au Québec? Puisque, là, vous me dites : Au Québec, la situation, c'est deux ans. Ça peut nous paraître long, mais, n'ayant pas d'étalon de mesure, là... Si vous étiez en Ontario, ou aux États-Unis, ou en Europe, on parlerait d'un délai de combien de temps avant de pouvoir aller de l'avant avec un projet qui nécessite d'obtenir des renseignements comme ceux-là?

Mme Jabet (Carole) : Je n'ai pas les délais exacts, donc je ne voudrais pas induire les parlementaires en erreur. Cela dit, donc, sur le projet précis, là, de deux ans chez nous, est-ce que c'est un an en Ontario? Je n'irais pas là, mais les mécanismes d'accès aux données et d'utilisation de la donnée sont plus simples dans beaucoup d'autres juridictions.

On a l'habitude de citer le Royaume-Uni, puis ça fait 15 ans qu'ils travaillent leur stratégie de valorisation des données dans le secteur qui nous préoccupe le plus, qui est celui de la santé, mais il y a d'autres juridictions. On va souvent parler des pays d'Europe du Nord, Danemark, Suède, qui ont une stratégie de valorisation des données. Je dirais que l'exemple que j'aime... Il y a deux exemples que j'aime utiliser en ce moment : Manitoba, mais Alberta, plus sûrement, c'est une plus petite province, mais ils mobilisent leurs données plus rapidement, mais la France. La France s'est dotée d'une stratégie de valorisation numérique, et ils ont fait des transformations rapidement, et ils sont en train de bouger très rapidement avec des accès aux données qui sont... qui deviennent de plus en plus efficaces.

Alors, je n'ai pas le chiffre, de vous dire : De deux ans, on passe à un an, mais ce que je sais, c'est que j'ai beaucoup de chercheurs dans notre communauté qui aiment beaucoup mieux travailler avec les entités prescrites en Ontario ou les juridictions comme la France ou l'Angleterre plutôt que de travailler ici parce que c'est devenu beaucoup trop long.

• (18 h 30) •

M. Caire : Puis, par rapport à ce qu'on fait dans 95 et dans 64, parce qu'effectivement les deux ont des missions respectives qui se complètent, est-ce que vous diriez qu'on va rejoindre ce que vous retrouvez ailleurs? Vous parlez de l'Alberta, vous parlez de l'Ontario, vous parlez de la Grande-Bretagne. Est-ce qu'on va rejoindre ces standards-là en termes de simplicité, pour les chercheurs, à recevoir les données dont ils ont besoin pour leurs projets de recherche ou on est encore loin?

Mme Jabet (Carole) : Bien, je pense qu'on s'en va vraiment dans une direction qui est une direction intéressante puis une bonne direction, parce que ce qu'on fait dans 64 et dans 95 en créant... où des personnes qui sont vraiment responsables du traitement du renseignement personnel et qui sont plus proches de la donnée, plus proches du terrain, où, quand on crée des sources, encore une fois, de données numériques, des sources officielles de données numériques, comme on le dit, ce qu'on vient faire, c'est qu'en quelque part on décentralise un petit peu notre mécanisme d'accès aux données. Puis ça ne veut pas dire qu'on le rend moins robuste et puis qu'on le rend moins sécuritaire, mais, au moins, il y a plus d'individus qui sont capables de manipuler de la donnée, qui sont capables de croiser de la donnée dans des... encore une fois, dans des sphères qui sont bien contrôlées.

Je pense que l'autre chose sur laquelle je mettrais l'accent, puis je l'ai dit dans la courte introduction, c'est que, si on met vraiment en application ce qu'on lit dans ces projets de loi, on change le paradigme. Pendant longtemps... Puis c'est ça aussi. Au-delà de l'accès aux ressources, parce qu'il y a quand même des organisations qui ont manqué de ressources, puis il faut reconnaître ça... Mais on a beaucoup traité la sécurité de la donnée en limitant l'accès à la donnée. Ce qu'on fait avec ces projets de loi, c'est de dire : On crée des entités, des structures où on contrôle l'utilisation de la donnée, mais on donne accès. Donc, tu ne peux pas faire n'importe quoi avec, mais j'autorise quand même que cette donnée-là soit mobilisée. Puis ça, c'est vraiment important, y compris avec les techniques et les démarches de recherche qu'on a maintenant, comme l'intelligence artificielle.

M. Caire : Bien, écoutez, je vois mon temps qui file. Je veux vous entendre. Une dernière question. Là, je regarde le président du coin de l'oeil parce que je sens qu'il va m'interrompre. Mais ce que je comprends, c'est que non seulement le gestionnaire de données, les sources de données vous facilitent la vie, mais ce que vous dites, c'est que toute la sécurité, donc le chef gouvernemental de la sécurité de l'information, est un ajout important...

Le Président (M. Simard) : En conclusion.

M. Caire : ...au sens où il va s'assurer, quand même, qu'on respecte des standards d'utilisation. On va utiliser, mais on va respecter des standards d'utilisation qui vont sécuriser la donnée. Est-ce que j'ai bien compris votre commentaire?

Mme Jabet (Carole) : Oui, vous avez bien compris. À la condition que les standards d'utilisation respectent la recherche.

Le Président (M. Simard) : Merci, Mme Jabet. Merci beaucoup.

M. Caire : Merci.

Le Président (M. Simard) : J'ai un rôle très ingrat, Mme Jabet, qui est celui de, comment dire, contrôler le temps. Je cède maintenant la parole au porte-parole de l'opposition officielle, le député de La Pinière, qui dispose de 12 min 45 s.

M. Barrette : Merci, M. le Président. Alors, Mme Jabet, Mme Lévesque, bien, bienvenue. Alors, évidemment, avec moi, vous êtes en terrain conquis, et les questions que je vais vous poser, essentiellement, c'est pour avoir des réponses qui éclairent mes collègues, là. Je connais pas mal les réponses. Et je vais vous poser des questions sur quelques éléments que vous n'avez pas eu la chance d'aborder, dont le dernier, que vous n'avez pas pu élaborer, sur celui... à condition que ça respecte la recherche. Alors là, lâchez-vous lousse. Vous avez une occasion que vous n'aurez pas deux fois.

Mme Jabet (Carole) : Bien, je pense que... puis je demanderai après, peut-être, à Emmanuelle de compléter mon propos, mais nous comprenons parfaitement la nécessité d'avoir des processus de gouvernance et d'encadrement d'utilisation des données qui soient robustes, qui soient bien encadrés, etc., puis qui respectent la sécurité du renseignement personnel. Je veux dire, à un moment donné, des citoyens font aussi confiance au milieu de la recherche pour utiliser ces données-là à bon escient.

Maintenant, les processus de gouvernance. Si on ne veut pas se retrouver dans des impasses ou dans des délais, il faut qu'on soit capable de les développer en collaboration. Puis c'est ça que je voulais vraiment dire. Dans le milieu de la recherche, les personnes qui sont spécialistes des données développent plusieurs principes, qui sont les principes FAIR, en anglais, de transparence, d'accessibilité, de réutilisation des données, pour le bien public. Ce sont des principes qu'on devrait probablement faire davantage vivre dans l'ensemble des organisations et dans l'ensemble des missions qu'on veut... auxquelles on veut répondre, puis à ce moment-là on saura que tout le monde respecte les mêmes règles.

Puis c'est là que je dis qu'il y a une capacité à vraiment bonifier la façon dont on procède, y compris en gouvernance, si on consulte et si on s'appuie sur des principes de recherche. Emmanuelle, je ne sais pas si tu veux compléter.

Mme Lévesque (Emmanuelle) : Oui, bien, je préciserais que l'actuelle situation où on voit qu'il y a un mécanisme d'accès aux données pour la recherche dans le projet de loi n° 95... et qu'on voit qu'il y a un mécanisme d'accès aux données pour la recherche qui est différent dans le projet de loi n° 64 fait en sorte que, pour les chercheurs, il y a une certaine dualité qui est difficile à opérer, aussi, à comprendre, à s'adapter, à voir quels mécanismes, est-ce que les deux existent.

Donc, quelque chose qui est bien fait pour la recherche va éviter cette confrontation-là d'avoir des critères différents selon les mécanismes utilisés puis va offrir vraiment une harmonisation des conditions d'accès pour que les chercheurs et chercheuses aient toujours quelque chose d'uniforme comme critères, peu importe à quelle porte ils vont aller cogner pour avoir les données dont ils ont besoin.

M. Barrette : Donc, pour vous, là, sur le plan quotidien, là, vous voyez un enjeu légal qui est causé par une espèce de dichotomie, involontaire, j'en suis convaincu, entre 64 et 95.

Mme Jabet (Carole) : Vas-y, Emmanuelle, c'est vraiment ton domaine.

Mme Lévesque (Emmanuelle) : Oui, effectivement, parce que, dans le projet de loi n° 95, actuellement, on voit qu'il y a... puis c'est vraiment prévu, là, qu'on peut utiliser les données pour la recherche et le développement, on a prévu ça, on voit qu'il y a un mécanisme d'accès qui passe avec un décret, qu'il y a des conditions, et, en même temps, ce qu'on comprend, c'est que la Loi sur l'accès, elle est là, elle est au-dessus de ce projet de loi là, et la Loi sur l'accès a son propre mécanisme pour l'accès pour la recherche, les données qu'on utilise pour la recherche qui proviennent des organismes publics. Donc, on se retrouve pour... Devant les chercheurs... Si les textes ne changent pas, actuellement, il y a vraiment une dualité, on a cohabitation de deux mécanismes, puis c'est vraiment nécessaire d'avoir une clarification pour qu'on sache qu'est-ce que le législateur entend, qu'est-ce qu'il souhaite prioriser, puis, ultimement, vraiment viser une harmonisation.

Dans le projet de loi n° 64, les représentations qui avaient été faites par le Fonds de recherche, c'était que c'était en grande partie approprié et adéquat pour les chercheurs. Donc, l'idée de revenir à un mécanisme avec ces conditions-là, c'est très, très approprié. Puis ça évite aussi d'avoir... si on passe par décret, d'avoir peut-être des conditions qui vont être moins standardisées, plus discrétionnaires, à des... On ne veut pas avoir une situation où on va viser des projets particuliers de recherche, mais on veut une situation où on va viser vraiment des conditions générales pour tous les chercheurs et chercheuses du Québec, comme on a dans le projet de loi n° 64.

M. Barrette : O.K. Bien, c'est très important, évidemment. C'est noté, là, ce que vous venez de dire là. Mais je comprends bien ce que vous voulez dire. Il y a un enjeu réel, là, effectivement.

Je suis surpris, par exemple, que vous préfériez 64, mais j'y reviendrai dans un instant. Bien, je suis surpris... Attention, là, tu sais, c'est correct, là, mais je pensais que vous alliez en demander plus encore, de liberté de l'accès. Allez-y...

Mme Jabet (Carole) : Je pense que... Non, non, mais je pense que... Bien, c'est sûr qu'on veut de la liberté d'accès. C'est... Dans un monde idéal, hein, on veut vraiment que, quand il y a des sources de données, qu'elles soient des sources de données de recherche ou des sources de données gouvernementales... qu'on puisse faire le maximum d'analyse et d'exploitation avec ces données parce que les résultats qui vont en découler sont des résultats qui font avancer non seulement les connaissances, mais aussi l'innovation. Donc, c'est sûr qu'on veut ça.

Et je pourrais aller dans des exemples où on ne veut pas se retrouver dans des situations où, parce que j'utilise un type de données d'une source de données gouvernementales, bien, c'est un organisme et juste cet organisme-là qui peut manipuler la donnée, puis, nous, chercheurs, il faut qu'on attende après ça ou c'est juste cet organisme-là qui fait l'arrimage des données qu'on a besoin de faire, parce qu'encore une fois on mélange des données. Donc, on ne veut pas se retrouver dans cette situation.

C'est là qu'on a besoin d'agilité et de flexibilité. En échange de cette agilité et cette flexibilité, ce qu'on dit, c'est : On n'a pas de problème à se plier à des mécanismes de contrôle, à des mécanismes d'audit, à des mécanismes qui viennent vraiment encadrer la façon dont on travaille nos données. Donc, c'est l'idéal, pour nous. C'est l'idéal...

• (18 h 40) •

M. Barrette : Non, non, je comprends très bien. Et, toujours pour le bénéfice de tout le monde, là, vous, là, dépendamment du FRQ, parce qu'il y en a trois, évidemment, il y a plein de situations où vous avez à croiser des données quantitatives et qualitatives en grande quantité entre différentes sources. Et évidemment, là...

Mme Jabet (Carole) : Bien...

M. Barrette : Oui?

Mme Jabet (Carole) : ...

M. Barrette : Et évidemment, aujourd'hui, là, quand vous arrivez à un projet de recherche qui croise beaucoup de différentes sources, bien là, c'est un mur pour vous, là, c'est vraiment compliqué, alors que, là, on veut le simplifier, là. Ça, c'est important pour vous, là. C'est clair. Il faut que ce soit clair pour tout le monde que... S'il y a un gain, il y a deux gains... bien, il y en a plus que deux, là, mais vous avez deux fins. Il y a la quantité d'accès que vous pouvez avoir, qui, là, est très limitée — moi, deux ans... je pense que vous auriez pu dire trois ans dans certains cas, et ça aurait été vrai — et, de l'autre côté, il y a, même si c'est court, la difficulté qui nous amène à deux ans parce qu'on croise. Alors, c'est important, là, ça, là. On met le doigt sur quelque chose, là.

Mme Jabet (Carole) : Vous avez tout à fait raison. Puis on croise des données de sources différentes, puis, ça, je pense que ça aussi, c'est très, très important. On peut...

M. Barrette : Oui, c'est ce que je...

Mme Jabet (Carole) : C'est ça, hein? Donc, oui, tout à fait d'accord.

M. Barrette : Et ça, ce qui est dans 64, ça ne vous inquiète pas? Pour cet aspect-là, vous ne trouvez pas que... Parce que, là, vous regardez 95 comme étant potentiellement un... pas un double standard, là, mais une mécanique qui pourrait amener un frein parce que c'est une deuxième chose, alors que 95, lui, par définition, veut le faire, le croisement, certainement pour la recherche. On a eu plein de gens aujourd'hui qui sont passés et qui ne veulent pas le faire, le croisement. Mais, pour la recherche, écoutez, là, si 95 ne sert pas à ça, là, ne réussit pas à régler ça, on n'a rien fait, là.

Mme Jabet (Carole) : Puis donc tout à fait d'accord, ce croisement est absolument essentiel pour nous, puis c'est le bénéfice qu'on y voit. La façon dont on lisait p.l. n° 64, avec justement la notion d'avoir des responsables de renseignements personnels qui soient mieux répartis auprès des différentes sources de données, nous permettait de dire qu'on a peut-être un gain ici, pour justement croiser de la donnée, parce qu'à ce moment-là on a des autorisations qui sont plus rapides.

Mais on serait certainement intéressés, puis je vais laisser Emmanuelle compléter ma réponse, à voir quels sont... où sont les autres enjeux qu'on pourrait avoir. Emmanuelle?

Mme Lévesque (Emmanuelle) : Bien, sur le croisement des données, c'est certain que la science, aujourd'hui, a vraiment besoin de faire ça, mais il y a des façons de le faire où on peut protéger le plus possible les renseignements personnels. Donc, parfois, on va...

Les chercheurs, maintenant, ils travaillent en équipe, hein? Ce n'est plus des chercheurs tout seuls dans leur bureau. Donc, ce sont de vastes équipes de recherche qui ne sont pas nécessairement toutes situées dans la même université, le même collège. Donc, les gens sont distribués un peu partout et doivent évidemment s'échanger des informations pour avancer la recherche.

Donc, quand on veut faire du croisement de données entre deux sources, mais qu'on veut protéger au maximum les individus, on peut envoyer les données à un chercheur, dans un organisme public, qui, lui, va effectuer le croisement, va créer son nouveau jeu de données, et, par la suite, il peut rendre ça anonyme, d'une façon où il peut partager avec ses collègues des renseignements qui, maintenant, sont anonymes mais ont quand même croisé deux banques de données. Puis ça peut sortir de l'organisme public avec des mesures de protection exemplaires pour s'assurer qu'on a toujours le même niveau de protection. On peut même penser à sortir aussi de la juridiction québécoise. La loi prévoit qu'on doit évidemment toujours avoir une protection suffisante.

Donc, il y a des moyens de faire ça pour que ce soit sécuritaire aussi, mais qu'on n'empêche pas le croisement de données. Puis c'est important que le croisement de données puisse être fait par le chercheur lui-même, qu'on sorte la donnée de l'organisme et qu'on ne permette pas uniquement les situations où c'est l'organisme public qui fait lui-même le croisement et qui l'envoie parce qu'il y a des situations où c'est tout à fait inapproprié.

Le chercheur, par exemple, peut avoir une base de données qu'il a bâtie depuis de nombreuses années puis il veut rajouter une information de plus qui vient d'un organisme public. Il doit lui-même faire le croisement des données, sinon il ne peut pas continuer d'enrichir sa banque de données, qui est très précieuse, qui suit des gens depuis longtemps, qui apporte des réponses importantes. Donc, c'est important que ces mécanismes-là soient tous possibles.

Et, dans le projet de loi n° 64, il y a des conditions en place pour vérifier : Est-ce qu'on a vraiment besoin d'envoyer des renseignements personnels? Est-ce qu'on a besoin de faire telle chose avec? Donc, c'est certain qu'on met toujours le plus de protection possible. Puis, à partir du moment où on n'a plus besoin d'avoir le renseignement sous une forme qui permet d'identifier les gens, bien, évidemment, le renseignement est transformé comme ça, puis on continue de l'utiliser.

M. Barrette : M. le Président?

Le Président (M. Simard) : Oui?

M. Barrette : Il me reste combien de temps?

Le Président (M. Simard) : 10 secondes, cher ami.

M. Barrette : Bien, merci beaucoup. Puis j'espère vraiment qu'on va aller au bout de ça pour vous permettre de fonctionner à la hauteur de ce qui se fait sur la planète, parce que, des bons chercheurs, au Québec, il y en a, et nos bases de données sont excellentes mais mal utilisées.

Le Président (M. Simard) : Merci. Je cède maintenant la parole au député de Rosemont, qui dispose de 4 min 25 sec.

M. Marissal : Oui. Merci, M. le Président. Mme Jabet, Mme Lévesque, merci d'être là. On va finir comme ça. On n'est pas personne, je pense, ici, contre la recherche, là, surtout si elle sert le bien public, mais vous comprendrez que, moi, mon problème avec ça, là, c'est de la façon dont ça a été présenté. C'est peut-être que ça a été juste mal présenté. Peut-être que ça cache autre chose aussi. Je n'ai pas de... Je n'ai pas de... Je ne suis pas complotiste, là, rassurez-vous, là, mais ça a été dit notamment par le ministre de l'Économie et de l'Innovation, qui est responsable aussi, là, notamment, du Scientifique en chef, que c'est une mine d'or, qu'on va donner ça aux Big Pharma puis que ça va être extraordinaire. Ça va être «winner», même. C'était ça, l'expression. Bon, ça, c'est la politique entre nous et lui, là, puis on pose des questions là-dessus.

Mais, vous, là, quand vous dites qu'il manque, par exemple, le mot «académique», là, dans la loi — moi, je suis prêt à explorer ça, là — ça veut dire quoi? Ça exclut quoi? Puis vous en faites quoi de la mine d'or «winner» pour les Big Pharma? Parce que les gens sont en droit de poser des questions, puis vous êtes en droit de demander d'avoir un meilleur accès. Mais je repose la question, donc : Vous en êtes où là-dessus, vous? Merci.

Mme Jabet (Carole) : Merci pour la question, M. le député. Nous, notre organisme a pour fonction de soutenir la recherche académique et la capacité de recherche académique dans nos établissements publics. Donc, c'est vraiment ce sur quoi on se concentre. Et ce qui nous préoccupe beaucoup, c'est tout l'échange qu'on vient d'avoir, de s'assurer que cette recherche académique a les meilleurs outils possible pour développer la connaissance et l'innovation.

En ce qui concerne la recherche... ou l'accès aux données pour de la recherche faite avec l'entreprise privée, personne n'est sans savoir que le débat est un débat qui est complexe. Alors, il y a des choses, par contre, sur lesquelles on est assez clairs, au Fonds de recherche. Une donnée ne se vend pas. C'est un vocabulaire qu'on entend souvent. Ce n'est pas quelque chose qui est perçu de cette façon-là, utilisé de cette façon-là. Donc, ça, déjà, moi, je ne voudrais pas rentrer dans ce débat d'aller vendre les données. Ce n'est certainement pas dans cet esprit-là qu'on développe notre recherche.

Maintenant, est-ce qu'on peut collaborer avec le secteur privé? On a beaucoup de recherche au Québec qui se fait en partenariat public-privé, puis qui se fait bien, puis qui est encadrée, qui est encadrée par des contrats dont on connaît les tenants, les aboutissants puis les obligations des différentes parties.

En ce qui concerne les données, la question est vaste. Elle a des enjeux juridiques, légaux, éthiques. Devant ce constat-là, ce qui a été fait, c'est que le Scientifique en chef a confié mandat à la commission d'éthique, science et technologie de nous aiguiller sur cette réponse.

• (18 h 50) •

M. Marissal : Je vous arrête juste une seconde là-dessus, Mme Jabet. Ça nous a été dit. C'est parce que ça nous a été dit tout à l'heure. Je ne veux tellement pas être impoli, là...

Mme Jabet (Carole) : O.K., O.K. Pas de problème.

M. Marissal : ...puis grossier, mais je n'ai tellement pas de temps. Je suis obligé quand même de... Je voudrais juste vous spécifier que le ministre de l'Économie n'a jamais dit : Vendre les données. Il a toujours dit : Donner les renseignements personnels notamment contenus dans les fichiers de la RAMQ. Je ne suis pas sûr que c'est beaucoup mieux, là. Bon, ça enlève la valeur marchande de la chose, mais, à la fin, ça sert les pharmaceutiques ou la population?

Mme Jabet (Carole) : O.K. Puis je ne mettais pas le mot «vendre» dans la bouche du ministre mais davantage dans ce qu'on peut entendre dans le secteur général.

Je pense que les données, ça doit servir l'ensemble des gens qui développent de la connaissance et puis de l'innovation.

Puis, en ce qui concerne l'accès aux données par le secteur privé, je pense que, l'ensemble des législateurs, vous, les députés, êtes dans une position où vous allez, à un moment donné, décider qu'est-ce qui est faisable, pas faisable, éclairés par la position que des fonds peuvent avoir et notamment par le rapport qu'on aura de la CEST.

Encore une fois, moi, je reviendrais...

Le Président (M. Simard) : Très bien.

Mme Jabet (Carole) : ...sur le fait que c'est ça dont on a besoin.

Le Président (M. Simard) : Merci beaucoup.

M. Marissal : Merci.

Le Président (M. Simard) : Alors, cela met fin à notre période d'échange. Alors, Mme Jabet, Mme Lévesque, toutes deux du Fonds de recherche du Québec, merci de votre présence parmi nous ce soir.

Sur ce, compte tenu de l'heure, nous allons ajourner nos travaux. Et on se donne rendez-vous demain, le mercredi 26, après les affaires courantes. Au revoir.

(Fin de la séance à 18 h 52)