Journal des débats de la Commission des finances publiques

(Onze heures trente-trois minutes)

Le Président (M. Simard) : ...collègues, à l'ordre, s'il vous plaît! Nous allons entreprendre nos travaux. Je constate que nous avons quorum. Conséquemment, la Commission des finances publiques peut poursuivre l'étude détaillée du projet de loi n° 82, Loi portant sur l'identité numérique nationale.

Au moment de suspendre nos... D'abord, M. le secrétaire, bonjour. Y aurait-il des remplacements ce matin?

Le Secrétaire : Oui, M. le Président. M. Bélanger (Orford) est remplacé par Mme Gendron (Châteauguay); M. Lemay (Masson), par Mme Boivin Roy (Anjou—Louis-Riel); M. Beauchemin (Marguerite-Bourgeoys), par Mme Setlakwe (Mont-Royal—Outremont); M. Morin (Acadie), par Mme Caron (La Pinière).

Le Président (M. Simard) : Très bien. Donc, au moment d'ajourner nos travaux hier soir, nous en étions rendus à l'étude de l'article 10.4, pour lequel la députée de La Pinière avait soumis un amendement. Donc, nous étions dans ce débat sur l'amendement. Et, au moment de clore, Me Drolet avait la parole. Je crois comprendre qu'elle avait donné une réponse satisfaisante aux yeux des collègues. Alors, je vous laisse la parole, Mme la députée de La Pinière, si vous souhaitez poursuivre concernant votre amendement.

Mme Caron : Oui, M. le Président, merci. Alors, juste pour se remettre dedans, là, c'est ça, l'amendement sur l'article 10.4, c'est... constituait à ajouter, après le paragraphe numéro 2, «mettre en place des processus pour vérifier la cohérence et...

Mme Caron : ...de ces renseignements, les renseignements étant ceux énoncés au paragraphe numéro 1.

Alors, ce qui était proposé dans l'amendement, c'était au paragraphe numéro 3, de mettre en place un mécanisme permettant au citoyen de rectifier ses données, puis en 4, de mettre en place un mécanisme permettant au soutien... au citoyen de consulter la journalisation des accès à son dossier. Et je crois que, si je ne m'abuse, là, mais je ne veux pas mettre de mots dans la bouche du ministre, que le ministre considérait que c'était inclus en 10.7, mais que, moi, je trouvais que c'était... effectivement, c'est... c'est... c'est large, en 10.7. Et je n'étais pas tout à fait rassurée sur le fait que l'accès aux données signifiait qu'il allait effectivement y avoir un mécanisme qui allait permettre au citoyen de rectifier ses données, oui, de les lire, de les consulter, mais de les rectifier ou de demander d'en retirer certaines. Alors, on s'était... on s'était laissés sur ce point-là. Mais en même temps, 10.7, on pourra faire le débat sur 10.7 quand on y sera arrivés. Si on précisait 10.7, c'est sûr que ça me satisferait, plutôt que de laisser trop... trop la généralité. C'est une... C'est une inquiétude que j'ai, mais qui nous a été... qui nous a été énoncée par des groupes en consultations. On veut s'assurer qu'une fois qu'on commence à utiliser l'identité numérique nationale, que, du point de vue citoyen, on ne met pas le doigt dans un engrenage où il y a des données qu'on ne peut plus corriger ou qu'il faut faire toute une démarche pour le faire, que ce n'est pas... que ce ne serait pas nécessairement facilement accessible.

Puis, une fois que... une fois qu'on a commencé, est-ce qu'on peut fermer son compte ou on a dit qu'on pouvait avoir... qu'il y aurait une fermeture de compte? Par exemple, on a eu la discussion sur le cas où une personne décède. Bien, c'est sûr que le compte sera... sera fermé, les données ne vont pas toujours rester là. Mais, est-ce que... est-ce que quelqu'un peut décider : Bien, moi, je ne me servirai plus de cela, je vais retourner au moyen d'identité traditionnel et recevoir les services de façon traditionnelle?

Ce qui nous a amenés aussi dans le débat de... pas nécessairement dans le libellé de cet article-là, mais du précédent, je crois, où on a... on a un certain souci quant à la disponibilité des... et à l'accessibilité des services traditionnels dans le mode traditionnel. On ne veut pas que les cibles qui pourraient être... non seulement qui pourraient, mais qui seront fixées pour utiliser les services, là, c'est... c'est dans un autre article où on parle de cibles, que ça ne vienne pas à faire en sorte que, dans l'appareil public, on facilite tellement le service qui requiert l'identité numérique qu'on délaisse le service traditionnel et qu'une grande partie des citoyens soient laissés de côté parce qu'ils ne peuvent pas ou ne veulent pas utiliser l'identité numérique. Alors, ça, ça demeure... ça demeure vraiment une préoccupation qu'on n'a pas... sur laquelle on n'a pas été rassurés jusqu'ici. Donc, c'est inquiétant et préoccupant, M. le... M. le Président.

Alors, ça fait le tour de ce que je voulais dire sur cet amendement puis cet article. Merci.

Le Président (M. Simard) : Très bien. M. le ministre, souhaitez-vous réagir, à ce stade-ci?

M. Caire : Non, je pense que c'est un bon résumé d'où est-ce qu'on en était, M. le Président.

Le Président (M. Simard) : Y aurait-il d'autres remarques sur l'amendement déposé par la députée de la Pinière? Sans quoi, nous allons mettre cet amendement aux voix.

Une voix : ...

Le Président (M. Simard) : Par appel nominal, sans aucun problème, chère collègue. M. le secrétaire, veuillez procéder, je vous prie.

Le Secrétaire : Pour, contre, abstention. Mme Caron (La Pinière)?

Mme Caron : Pour.

Le Secrétaire : Mme Setlakwe (Mont-Royal—Outremont)?

Mme Setlakwe : Pour.

Le Secrétaire : M. Caire (La Peltrie)?

M. Caire : Contre.

Le Secrétaire : Mme Abou-Khalil (Fabre)?

Mme Abou-Khalil : Contre.

Le Secrétaire : Mme Gendron (Châteauguay)?

Mme Gendron : Contre.

Le Secrétaire : M. Poulin (Beauce-Sud)?

M. Poulin : Contre.

Le Secrétaire : M. Simard (Montmorency)?

Le Président (M. Simard) : Abstention. Conséquemment, cet amendement est rejeté. Et nous revenons à l'étude de l'article 10.4, à moins que vous ne souhaitiez passer à 10 .5?

Mme Setlakwe : ...j'aimerais... j'aimerais prendre la parole.

Le Président (M. Simard) : Je vous en prie. Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Merci, M. le Président. Bon matin, tout le monde.

Le Président (M. Simard) : Bon matin.

Mme Setlakwe : Donc, écoutez, j'aimerais entendre...

Mme Setlakwe : ...le ministre, j'aimerais entendre sa réaction par rapport au rapport de la Vérificatrice générale qui a été dévoilé ce matin. Plus spécifiquement, je me demande : Est-ce qu'il y a, selon lui, des leçons à tirer de ce rapport en lien avec les travaux, nos travaux qui concernent l'identité numérique nationale et le projet de loi n° 82?

• (11 h 40) •

Le Président (M. Simard) : M. le ministre.

M. Caire : Bien, écoutez, si le président juge que la question est pertinente au projet de loi n° 82, je vais y répondre. J'aurais espéré que la collègue se lève à période de questions puis me pose cette question-là, mais, bon, ce n'est pas arrivé.

Est-ce qu'il y a des leçons à retenir? Bien, écoutez, le leader de l'opposition vient de déposer une motion de violation de droits ou de privilèges contre la SAAQ alléguant que la SAAQ a menti à la commission. Alors, est-ce qu'il y a des leçons à retenir? Je pense que ma collègue... puis je pense que le ministre de la Sécurité publique aujourd'hui a bien répondu. Je pense qu'il faut qu'on soit très solidaire face à une situation qui est exceptionnelle, où, de toute évidence, un projet qui... de longue date, hein? Parce que moi, j'ai... Le rapport fait état de problématiques qu'à partir de 2015, là, puis même de 2014. Il faut bien prendre ça en compte. On parle, en 2015, d'un appel d'offres où le fournisseur de services a rédigé l'appel d'offres, à toutes fins utiles, ça, c'est arrivé en 2015, il faut le comprendre, et donc s'est vu octroyé le contrat. On parle d'une procédure bâclée sur l'appel d'offres. En 2017, on parle d'une mauvaise évaluation des besoins qui a amené à beaucoup de personnalisation.

Puis ça, ça me permet d'expliquer quand... puis parce que c'est quelque chose... pour répondre plus précisément à la collègue, SAGIR avait les mêmes problèmes. Le dérapage de SAGIR, il est bien connu, vient du fait qu'il y avait eu une très mauvaise planification et qu'il y avait beaucoup de personnalisation. Puis on est en lien avec le courtier informatique quand on va... quand on installe un PGI. Alors, CASA, c'est SAP, SAGIR, c'est Oracle. Normalement, on l'implante et, s'il y a des spécificités, on va faire...

Mme Setlakwe : ...juste préciser, je ne veux pas vous interrompre, je suis désolée. Vous aviez mentionné que vous avez parlé d'un progiciel, vous aviez mentionné deux termes techniques, juste les répétez, s'il vous plaît.

M. Caire : Un PGI, progiciel de gestion intégré, ça, c'est ce qu'on a vu au courtier...

Mme Setlakwe : Oui. Oui, oui, oui, c'est prévu dans le projet de loi.

M. Caire : C'est ça.

Mme Setlakwe : Mais vous avez dit qu'il y en avait deux, je n'ai... donc, il y avait...

M. Caire : Il y a Oracle. Oracle.

Mme Setlakwe : Oui, c'est ça.

M. Caire : En fait, SAGIR, c'est le produit d'Oracle et CASA, c'est le produit de SAP.

Mme Setlakwe : Merci. C'est juste que je voulais… c'est juste que...

M. Caire : Non, non, non, c'est correct, je… Puis n'hésitez pas à m'interrompre si vous avez besoin de précisions, Mme la députée, ça va me faire plaisir. Donc, quand on… Ça, c'est la façon usuelle de faire, c'est qu'on ne va pas jouer, à moins que ce soit absolument inévitable, on ne va pas jouer dans le PGI, on ne va pas changer le code, ce qu'on appelle des personnalisations. Ça peut arriver. Pour vous donner une idée, dans SAGIR, il y en avait deux mille. Quand je suis arrivé, j'ai dit : Non, non, là, vous sortez ça de là. C'est ça qui rend la solution instable, c'est ça qui fait qu'on n'est pas capable de faire évoluer la solution parce que... Par exemple, vous avez la version 11 Oracle, vous avez personnalisé ça, deux mille personnalisations. Vous allez chercher la version 12, vous écrasez l'ancienne version, vous écrasez vos personnalisations par la même occasion, donc vous êtes obligé de tout recommencer. Ça, c'est sans compter, comme je disais, le danger de déstabiliser la solution, parce que vous allez jouer dans le code, ça se peut que ça arrive. Donc, ça, ça a été le gros problème de SAGIR. Et déjà, moi, j'avais interdit cette pratique-là.

Maintenant, ce qu'on a appris avec la Vérificatrice générale, c'est que… puis je ne sais pas dans quelle proportion, c'est que SAP, CASA a fait l'objet de nombreuses personnalisations. Donc, on peut penser que l'évaluation des besoins, encore là, n'a pas été faite correctement. Donc, ça, c'est des choses qu'il faudra modifier avec le temps : demander à ce qu'il n'y ait pas de personnalisation ou alors que ne soient gardées que celles qui sont absolument nécessaires, parce que ça arrive, que c'est absolument nécessaire.

Alors, je vous dirais que c'est des choses qui sont connues. Il faut aller plus loin dans le pourquoi ça s'est passé comme ça. Mais, si vous voulez savoir pourquoi, en 2020, ils ont revu la situation, bien, c'est parce qu'entre 2015 et 2017 les mauvaises décisions ont été prises par la SAAQ, et là c'est un effet domino. Puis là vous avez une livraison en 2018-2019, je pense. À partir de là, vous comprenez que c'est un PGI, un PGI, vous intégrez les différents blocs successivement, là, vous êtes pris avec...

M. Caire : ...le choix, c'est d'essayer de réparer ça puis de continuer, là. Alors, je dirais que ce que nous... Puis aussi il faut comprendre que la SAAQ, elle avait été exemptée par un décret de 2014 des processus d'autorisation prévus par la LGGRI. Alors, ça, s'il y a quelque chose qu'il ne faudrait pas refaire, c'est ça, ce qui n'a jamais été refait depuis, d'ailleurs, s'assurer que les mécanismes de contrôle qui sont mis en place, on n'exempte personne de les suivre. Nous, de notre côté, on a mis en place différentes... Par exemple, le Programme de prime aux bogues, il y a une obligation avant de mettre en production un produit, ça a été le cas avec le service d'authentification gouvernementale, qui a été six semaines à l'intérieur du Programme de prime aux bogues. Il faut maintenant, par arrêté ministériel, recevoir l'aval du chef gouvernemental de la sécurité de l'information pour s'assurer que les tests ont été faits. Il y a la plateforme de signalement des vulnérabilités aussi qui a été mise en place. Donc, déjà, nous, on avait mis en place des mesures de contrôle. Mais ultimement, Mme la députée, ce qu'il faut retenir, là, c'est que la SAAQ a trompé les dirigeants, son conseil d'administration, le ministre des Transports. Alors, c'est ça.

Le Président (M. Simard) : Très bien. On va resserrer la discussion. Madame.

Mme Setlakwe : Merci, M. le Président. La discussion, elle est importante. À la lumière du rapport troublant, je vous demande ici, en commission parlementaire... Moi, j'ai les yeux tournés vers le futur. On sait très bien que la transformation numérique du gouvernement est loin d'être terminée. Au contraire, on en amorce d'autres étapes très importantes. On a un chantier important devant nous. Nous aussi, on reconnaît l'importance du chantier et l'importance de réaliser ce chantier. La Vérificatrice générale vient nous dire que les processus de reddition de comptes ne sont pas adéquats. Elle a parlé essentiellement d'un grave manque de transparence. Elle est venue ici en commission parlementaire et elle a dit... Évidemment, elle n'avait pas encore livré le rapport suite à son audit sur SAAQclic, mais elle a quand même... Elle nous a quand même incités à évaluer d'autres rapports, à prendre acte de rapports précédents. Et nous, en regardant vers le futur, en parlant aujourd'hui d'identité numérique nationale, qui est un gros chantier, là, un chantier important, je vous demande quelle est votre réaction et quelles leçons tirez-vous de son rapport, de la Vérificatrice générale? Et vous me parlez de... Vous me parlez en termes techniques. Ou, en fait, vous parlez à la population en termes techniques. Donc, je vous demanderais de façon plus générale, étant donné qu'on est en train d'examiner un gros chantier avec l'identité numérique nationale, vous êtes à la tête d'un ministère important, pour les projets futurs, pour s'assurer que l'information se rende, l'information fiable, l'information juste, se rende aux décideurs. Étant donné que ces projets-là vont impliquer des parties prenantes externes également, comment pouvez-vous rassurer la population que l'information fiable va se rendre aux bonnes personnes?

M. Caire : M. le Président, je vais accepter brièvement de répondre à la question, mais honnêtement, là, je pense qu'au niveau de la pertinence, on n'est plus là, là. Je serais très heureux, lors d'une interpellation ou des études de crédit, de répondre à ces questions-là qui sont tout à fait pertinentes, puis le débat est pertinent, j'en conviens. Je dis juste que le projet de loi n'est pas en lien avec ça. Mais je vais quand même, M. le Président, par bonne volonté donner une brève réponse à ma collègue. Je vais lui dire ce qui a été fait, puis qu'est-ce qui ne serait pas arrivé si ces choses-là avaient été en place. Par exemple, l'AMP. L'AMP aurait pu vérifier le processus d'octroi du contrat en 2015, si l'AMP avait été en place, et aurait pu annuler ce processus-là parce que, de toute évidence, ce n'était pas conforme.

• (11 h 50) •

Aujourd'hui, on a ce mécanisme-là qui a été mis en place par le ministre de l'époque, qui était Robert Poëti. C'est un mécanisme sur la conformité des contrats qui existe maintenant, qui n'existait pas à l'époque. Aujourd'hui, il y a des obligations au niveau des tests. Puis ça, ça découle du fait qu'il y a maintenant un ministère de la Cybersécurité et du Numérique qui n'est pas la même chose que le Conseil du trésor. Le Conseil du trésor, c'est un... c'est un organisme...

M. Caire : ...le ministère de la Cybersécurité et du Numérique, et à travers les lois que vous et moi avons adoptées depuis quelque temps, est un... est un ministère qui a plus de pouvoir maintenant sur la reddition de comptes des ministères et organismes. Et par exemple, le pouvoir de mettre en place le Programme de prime aux bogues, le pouvoir de mettre en place la plateforme de signalement des vulnérabilités, le pouvoir par arrêté ministériel d'obliger, au niveau des tests, de faire des tests, puis on le sait, là, c'est les tests unis. Bien, je ne veux pas avoir un terme technique, mais les tests intégrés, donc les tests qui nous assurent que, dans un environnement de production, ça fonctionne, n'ont pas bien été faits. Un gestionnaire de projet ne devrait pas faire une affaire de même, surtout de dire : «Ah! Oui, oui, tous mes tests ont été faits puis tout est beau.» Il y a ça aussi, là, qu'il faut mettre dans l'équation. Si je vous pose la question «Avez-vous testé?». Vous me dites «Ah! oui, tout est beau.» Ça aussi, c'est un autre problème et à un autre niveau qu'il faudra... qu'il faudra régler, et j'imagine que la Commission de l'administration publique va se pencher là-dessus. Mais on peut amener une certaine norme au niveau des tests, ce que nous avons fait. La collègue, d'ailleurs, on a collaboré, elle et moi, là-dessus, sur le portefeuille de projets prioritaire, donc d'amener un pouvoir supplémentaire de vérification, de mettre en place des mesures lorsqu'il y a des situations qui sont problématiques, parce qu'il ne faut pas se tromper, Mme la députée, là, puis je vous le dis, je le dis à tous les Québécois, au nombre de projets qu'on a, c'est sûr qu'il y a des projets qui vont moins bien aller. C'est sûr, c'est inévitable. C'était vrai et c'est vrai dans le privé, c'est vrai dans le public, c'est vrai dans le parapublic. Dire que tous les projets vont bien aller dans le meilleur des mondes, c'est impossible. Par contre, ce qu'on peut faire, c'est s'assurer qu'il y a cette possibilité-là de faire le redressement de ces projets-là au moment opportun avec une bonne reddition de comptes.

Le Président (M. Simard) : Madame.

Mme Setlakwe : Mais merci de... de toucher justement au point le plus important, la question de la reddition de comptes. Comment ça fonctionne avec le Dirigeant principal de l'information qui relève du ministère de la Cybersécurité et du Numérique?

M. Caire : Le sous-ministre en titre, en fait.

Mme Setlakwe : Quelle est sa responsabilité, lui, par rapport à des... à des projets qui impliquent des... des...

M. Caire : Elle est dans la... elle est définie dans la LGGRI. Je n'ai pas l'article sous les yeux, là, mais en fait, ses responsabilités sont définies à la LGGRI. Et les responsabilités, le devoir de responsabilité des dirigeants de l'information aussi qui... qui... qui lui sont redevables opérationnellement, pas administrativement, mais opérationnellement.

Mme Setlakwe : Est-ce que vous en voyez des liens avec le projet de loi n° 82, des liens entre le rapport de la Vérificatrice générale et le projet de loi n° 82?

M. Caire : Non.

Mme Gendron : Excusez-moi, M. le Président.

Le Président (M. Simard) : Je vous en prie, Mme.

Mme Gendron : M. le ministre a bien dit, là, qu'il a pris le temps de bien répondre, mais je pense qu'on est hors sujet. J'aimerais ça, si c'est possible, de revenir au projet de loi présent.

Le Président (M. Simard) : Vous soulevez un point intéressant. Je vous rappelle que le libellé de l'article 10.4 commence par l'alinéa suivant : «Le ministre assume la responsabilité et la gouvernance et de la gestion centralisée de l'identité numérique». Conséquemment, la Vérificatrice est venue nous voir en audition particulière, et il n'est pas inhabituel, à mon sens, de faire référence à l'actualité pour faire des liens avec un projet de loi qui est à l'étude. Donc, la jurisprudence tend à confirmer une certaine largesse dans nos débats. Ceci étant dit, je nous invite néanmoins à se recentrer le plus possible sur l'article 104 tel qu'il est libellé. Veuillez poursuivre, je vous prie.

M. Caire : Non, mais je peux répondre, M. le Président.

Le Président (M. Simard) : Je vous en prie.

M. Caire : Compte tenu de votre décision que je respecte, M. le Président, puis je vais répondre au mieux. Ma collègue me demande : Est-ce qu'il y a un lien avec le projet de loi n° 82? Je dirais, une bonne question parce qu'il y a différents volets. Donc, au niveau de l'identité numérique, je vous dirais non, je ne vois pas de lien avec ce que la vérificatrice générale souligne. Puis il faut dire aussi que, dans son rapport, il y a différents éléments qui sont... qui sont touchés. Donc, il y a l'élément de la mauvaise planification, on en a parlé, des choix qui ont été conditionnés par un processus d'appel d'offres qui était vicié à sa face même, on en a parlé. Une sous-évaluation des travaux à faire...

M. Caire : ...qui était vicié à sa face même, on en a parlé, une sous-évaluation des travaux à faire. Je vous dirais qu'on ne peut pas légiférer pour interdire à quelqu'un de se tromper dans ses évaluations, donc, non, je ne ferais pas de lien. Une information erronée, incomplète et qui ne traduit pas la réalité... Moi, je le dis ouvertement, la SAAQ... j'estime que la SAAQ a trompé les différents ministres qui, au fil des années, ont été soit ministres des Transports, soit président, présidente du Conseil du trésor, à la genèse de ce projet-là, c'est ce que j'en conclus. Donc, ça non plus, je ne pense pas qu'on... Tu sais, je veux dire, c'est déjà interdit de faire quelque chose... tu n'as pas le droit de mentir à tes supérieurs. Alors, quand on te pose une question puis on dit : Comment ça va, puis que tu dis : Ça va bien, si ce n'est pas la réalité, bien, tu manques à ton devoir. Donc, je ne pense pas qu'on peut légiférer pour interdire l'interdiction de manquer à son devoir.

Ça fait que c'est pour ça, Mme la députée, vous me demandez est-ce que je vois des liens avec le rapport de la Vérificatrice générale directement impactant le projet de loi no 82? Je dirais que non.

Mme Setlakwe : Moi, je vois des liens directs entre le rapport de la Vérificatrice générale et le projet de loi no 82. Et moi, ma compréhension de la présentation de la Vérificatrice générale – d'ailleurs, j'étais présente ce matin – c'est que, bien sûr, son regard était tourné sur CASA, sur SAAQclic et sur tout ce que vous avez mentionné, mais je pense qu'elle nous implore d'étudier les recommandations et elle nous implore de tirer des leçons afin que les erreurs qui ont été commises... je ne suis pas ici pour pointer du doigt, mais pour s'assurer que les erreurs, les défaillances, les lacunes au niveau de la transparence, de la reddition de compte ne soient pas répétées dans le cadre des nombreux chantiers importants qu'on va amorcer dans le cadre de la transformation numérique, incluant celui qu'on discute, l'identité numérique nationale. Alors, si vous me permettez, M. le Président, je vais faire référence au rapport de la Vérificatrice générale. Pour les fins de la discussion, je pense que c'est extrêmement pertinent.

Le Président (M. Simard) : En autant que, bien sûr, on soit centré sur l'avancement de l'étude 10.4, parce que c'est ce dont il s'agit ici.

Mme Setlakwe : Moi, je pense que ce qui a été mentionné ce matin puis ce qui est contenu dans le rapport de la Vérificatrice générale, c'est très important qu'on en traite, qu'on évacue tout ça puis qu'on ait ces discussions-là approfondies afin de comprendre quels sont les mécanismes en place, quelle est la structure de gouvernance en place, pour s'assurer qu'on s'en aille dans la bonne direction puis que la population ne paie plus les frais de projets bâclés.

Alors, je ne sais pas si je suis en lien spécifiquement avec 10.4, mais en ce qui me concerne, c'est extrêmement important qu'on ait cette discussion-là à ce stade-ci de l'étude détaillée du projet de loi no 82.

Le Président (M. Simard) : Je ne peux pas présumer de ce que vous allez dire à l'avance...

Mme Setlakwe : Alors, permettez-moi de continuer.

Le Président (M. Simard) : ...mais vous avez bien compris ce que je vous ai dit.

Mme Setlakwe : Absolument.

Le Président (M. Simard) : Nous sommes sur l'article 10.4, et je vous remercie d'en tenir compte. Veuillez poursuivre.

Mme Setlakwe : Donc, M. le ministre, on a parlé, dans le projet de loi no 82, vous l'avez mentionné, de progiciel de gestion intégrée. Est-ce que le projet de loi no 82, d'ailleurs, on n'a pas prévu qu'on élargissait les pouvoirs du ministre à l'égard des technologies de ce genre?

M. Caire : Courtier en... Oui. Courtier en infonuagique qui deviendrait courtier en technologies spécialisées.

Mme Setlakwe : Exactement.

M. Caire : Ce qui inclut les PGI, tout à fait.

Mme Setlakwe : Oui, oui, oui, c'était mon souvenir. Et donc, des PGI, on va en utiliser d'autres dans le futur.

M. Caire : C'est sûr.

Mme Setlakwe : C'est sûr. C'est à ma compréhension. Et des PGI, corrigez-moi si j'ai tort, même, j'ai compris que c'était, donc, des logiciels standards mais qui doivent être adaptés, intégrés à la réalité de chaque organisme public. Est-ce que je me trompe?

M. Caire : Bien ce n'est pas qu'ils doivent... Je vous dirais, un PGI qui va répondre à 100 % à vos besoins, ça... je ne dis pas que c'est impossible, là, ça peut arriver, si vous avez des besoins très standards, mais, si vous avez des besoins plus particuliers, c'est possible qu'il y ait des volets de vos opérations qui ne soient pas couverts par le PGI.

Mme Setlakwe : Est-ce que quand on...

M. Caire : Bien, je vais vous donner un exemple, Mme la députée, là. Qu'on parle de SAP ou qu'on parle d'ORACLE, tout ce qui est gestion des ressources humaines, comptabilité, grands livres, qui sont des opérations standards, le PGI va faire ça, va répondre à tous vos besoins parce que c'est normé. Il y a des normes comptables, puis on répond à... alors il n'y a pas de problème là-dessus. Au niveau de la gestion des ressources humaines, par contre, si vous avez l'application d'une convention collective, bien, ça, il y a des spécificités. Le PGI ne peut pas prévoir tout ce qu'il y a dans une convention collective, parce que c'est en évolution, c'est négocié, ce n'est pas standard. Donc, ça, ces volets-là, généralement, il faut avoir...

M. Caire : ...des applications complémentaires. Bien, la personnalisation, puis si j'ai bien compris... puis c'est un bon point, Mme la députée de La Pinière, là, la personnalisation, ça veut dire que vous allez ouvrir le code du PGI. On vous vend un logiciel, vous allez jouer dans le code, puis vous allez... les fonctionnalités supplémentaires que vous souhaitez avoir, vous allez les mettre directement dans le code du PGI, ce qui amène deux problèmes. Le premier problème, c'est que vous risquez, ce faisant, de déstabiliser le PGI. Lui, il a été conçu, il a été testé, il fonctionne, il fonctionne tel que livré. Quand vous le modifiez, il est possible, je ne dis pas que c'est une certitude, mais il est possible que, ce faisant, vous déstabilisiez la solution. Deuxième problème, c'est, quand vous faites une mise à jour, vous écrasez votre personnalisation parce que l'éditeur de logiciel, lui, il n'a pas intégré vos personnalisations dans son application. Donc là vous êtes obligé de recommencer vos personnalisations.

• (12 heures) •

Ce que l'on fait, généralement, ce qui est de bonne pratique, c'est que la spécificité... vous allez soit acheter une application qui répond à votre besoin, puis là, avec un programme d'interfaçage qu'on appelle un API vous allez permettre aux deux systèmes de se parler, d'être interopérables. De cette façon-là, si vous avez une mise à jour à faire du programme du PGI, vous pouvez faire la mise à jour, puis, après ça, vous faites les ajustements ou vous pouvez développer un programme maison, évidemment. Ça, c'est les pratiques, ça, c'est les bonnes façons de faire.

Il peut arriver, dans certaines circonstances exceptionnelles, que vous puissiez aller directement dans le PGI et qu'à ce moment-là il n'y ait pas de... il n'y ait pas de... mais ça devrait être... je dirais, ça devrait être l'exception et jamais la règle.

Mme Setlakwe : Donc, un PGI, ça intègre plusieurs systèmes. Et est-ce que ça implique toujours des firmes...

M. Caire : Plusieurs fonctionnalités, je dirais.

Mme Setlakwe : D'accord. Est-ce qu'il est courant d'avoir recours à des firmes externes pour l'utilisation d'un PGI?

M. Caire : Oui. Oui, parce que les... Surtout au niveau des intégrateurs. Donc, vous avez des firmes qui vont se spécialiser dans l'intégration de tel ou tel PGI, par exemple, Epic. Il y a des firmes qui sont spécialisées dans l'intégration d'Epic. Puis c'est... comme c'est... Puis ça revient à ce qu'on se disait sur la consultation, si le besoin est ponctuel, bien oui, vous allez vous tourner vers une firme externe parce que... Est-ce qu'on veut, à l'interne, que nos gens fassent leurs premières armes sur l'intégration de systèmes? Puis un PGI, normalement, comme je vous disais, vous allez vraiment dans les opérations, vous êtes au cœur des opérations. Alors, est-ce qu'on veut vraiment que nos internes fassent leurs premières armes sur une intégration d'un projet aussi important? Non. Généralement, on souhaite avoir des gens qui l'ont déjà fait, qui l'ont déjà réussi, qui ont du bagage puis qui savent exactement où aller. Ce qui n'exclut pas, évidemment, que nos internes travaillent sur le projet, mais avoir recours à des firmes d'intégrateurs, c'est généralement une bonne pratique. 

Mme Caron : Je peux poser une question?

Le Président (M. Simard) : ... chère collègue.

Mme Caron : Quand vous parlez d'internes qui font leurs premières armes, est-ce que c'est parce que ce sont des techniciens juniors ou c'est parce qu'ils ne connaissent pas la solution?

M. Caire : Non, c'est juste qu'ils ne connaissent pas la solution. Ils n'ont pas une connaissance aussi fine de la solution. Je vous dirais qu'aujourd'hui, nous, à l'interne, au ministère, c'est nous qui opérons Sagir puis on a développé cette expertise-là. Donc, on a vraiment des gens qui connaissent très, très bien les produits d'ORACLE. Donc, ça se développe avec le temps, mais la première fois que vous l'implantez, vous n'avez pas une connaissance fine de ces produits-là, donc c'est une bonne pratique d'avoir recours à une firme, notamment dans un cas comme celui-là.

Mme Caron : O.K., je comprends, merci. Est-ce que... puis, tout à l'heure, quand vous parliez de... c'est moi qui ai utilisé le mot «personnalisation», que vous aviez utilisé avant, parce que je pensais que ça correspondait exactement au concept qui était discuté.

M. Caire : C'est dans le rapport de la Vérificatrice générale si je ne me trompe pas.

Mme Caron : Oui, c'est ça. Le terme est là, puis vous l'avez utilisé. C'est parfait, mais je voulais comprendre ce que c'était, puis vous avez dit... bien, c'est ça, c'est d'aller dans le code, de faire des modifications pour, dans mes mots, là, personnaliser aux fonctionnalités ou y ajouter les fonctionnalités dont on a besoin...

M. Caire : C'est ça, adapter à ses besoins particuliers.

Mme Caron : ...parce qu'un ministère ou organisme ne fonctionne pas, peut avoir... dans sa prestation de services, il y a des choses qui ne se font pas, comme vous avez dit, de manière standard, comme la comptabilité, par exemple, qui... pour laquelle le processus va répondre aux besoins sans modification, nécessairement. Mais vous avez aussi dit, je trouvais ça intéressant, qu'il peut y avoir une application maison ou une application d'un autre fournisseur, et, à ce moment-là, il faut la rendre interopérable avec le progiciel...

Mme Caron : ...tel qu'on utilise. Quand on était dans l'article 4 pour élargir, là, le courtier en infonuagique et en technologies spécialisées, on a dit qu'on était dans l'acquisition dans cet article-là, dans les acquisitions. Alors, ce que j'essaie de comprendre, c'est si on établit que c'est préférable d'aller chercher d'autres logiciels ou des logiciels maison, applications maison, pour répondre, offrir les fonctionnalités nécessaires à une prestation de service d'un ministère ou d'un organisme, que c'est préférable à ouvrir le code puis aller jouer dedans pour utiliser vos mots, est-ce que c'est quelque chose qui vous est possible de faire, comme dans le cadre de vos fonctions, de marquer cette préférence-là? Parce que ce que j'ai compris de nos discussions cette semaine, c'est que chaque ministère et organisme a la responsabilité de faire son plan pour mettre en œuvre l'identité numérique nationale et que ce n'est pas de... ça ne relève pas de votre ressort d'aller dans chaque ministère puis leur dire quoi faire, mais ils ont... ils vont quand même aller vers la solution du courtier, puis voir qu'est-ce qu'ils peuvent utiliser dans ça, puis faire affaire avec des fournisseurs qui auront été préqualifiés, qui sont dans le catalogue du courtier. Donc, mais est-ce que, dans tout cet univers-là, dans l'univers du projet de loi, est-ce qu'il y a un moyen, par exemple, pour qu'une... ce qui me semble être une bonne pratique que vous préconisez d'aller plutôt vers une application qui serait... qu'on rendrait interopérable ou bien une application maison? Est-ce que c'est quelque chose qui peut être mis de l'avant par le ministère de la... Oui?

M. Caire : Oui, avec l'avènement du ministère de la Cybersécurité et du Numérique, effectivement, je peux établir des règles, des normes, des standards qui, à ce moment-là, devront être appliqués par les dirigeants de l'information de chaque ministère et organisme.

Mme Caron : ...est-ce que ça se trouve quelque part dans le projet de loi qui est devant nous ou bien c'est dans la...

M. Caire : Non, non, c'est déjà dans la loi, c'est déjà dans la... ce pouvoir-là est déjà dans la LGGRI. Oui, c'est l'article 21 de la loi actuelle.

Mme Caron : O.K. Puis cette loi-là a été... c'est une date... une date, une loi qui date de combien d'années, la LGGRI?

M. Caire : La LGGRI? Bien, écoutez, je ne saurais pas vous le dire, mais en 2014, je le sais à cause du décret qu'elle existait déjà. Nous, on l'a amendé deux fois avec la loi...

Des voix : ...

M. Caire : O.K. 95, c'est clair, parce que là, on a créé différents officiers qui vont répondre à la question de Mme la députée de Mont-Royal—Outremont, notamment le chef gouvernemental de la transformation numérique qui a un mandat justement au niveau... justement,  au niveau de la transformation numérique, le chef gouvernemental de la sécurité de l'information, donc qui a un mandat en cybersécurité au niveau du gouvernement du Québec, la gestionnaire de la donnée numérique gouvernementale, donc au niveau de tout ce qui est gestion, comment on va gérer les années, qu'on va organiser ça. Donc, c'est des officiers qui ont été créés avec la loi n° 95 et les pouvoirs... Le comité de gouvernance en ressources informationnelles aussi qui a été... qui a trouvé un statut légal dans cette modification-là. Donc, maintenant, les dirigeants de l'information, puis ça répond un peu, Mme la députée de Mont-Royal—Outremont, à votre question, les dirigeants de l'information maintenant travaillent en comité de gouvernance, en collégialité, justement, pour briser les silos, puis ce n'est pas chacun de son bord. Et donc il y a des sous-comités puis il y a différents sujets qui sont traités, qui sont analysés pour lesquels... Puis aussi, c'est un forum qui permet cette diffusion-là de s'assurer que les normes, les règles, les standards qui sont appliqués, déterminés par le ministre, mais qui doivent être appliqués par le DPI et ses DI, bien, qui sont connus et qui sont mis en application.

Mme Caron : Est-ce que toutes ces personnes-là qui composent le comité relèvent du ministre de la Cybersécurité et du Numérique?

M. Caire : Bien, comme je disais, il y a un lien fonctionnel parce que de par la loi, le dirigeant de l'information est tenu de faire appliquer, justement, les normes, les standards, les règles. Il y a un pouvoir aussi qui appartient au dirigeant principal de l'information, qui est de prendre des indications d'application, ce qui relève... ce qui revient à dire qu'il peut donner un ordre dans ce qui est son champ de compétence, évidemment. Et, à ce moment-là, le DI se doit de l'exécuter au sein de son organisation. Donc, opérationnellement, le dirigeant et le DI doivent être nommés sur recommandation du DPI. Donc, ça prend la recommandation du DPI pour...

M. Caire : ...les gens de l'information puissent être nommés. C'est le ministre de l'organisme qui le nomme, mais ça prend la recommandation du DPI. Donc, ça lui donne aussi un certain ascendant. Et alors... mais le lien hiérarchique, il est fonctionnel, il n'est pas administratif. Le DI demeure un employé de son ministère... du ministère où il est déployé.

• (12 h 10) •

Mme Caron : D'accord. Donc, alors là, toutes ces personnes-là sont en fonction. Et, pour ce qui nous préoccupe dans le projet de loi no 82, l'identité numérique, tous ces gens-là sont en fonction. Puis est-ce que... est-ce qu'ils étaient aussi tous en fonction sur le projet CASA ou bien c'est... c'est plus nouveau?

M. Caire : Bien non, c'est des dispositions récentes, c'est des dispositions récentes. En fait, le... cette disposition-là est arrivée avec 95, donc adoptée en juin 2021, bon, le temps de mettre en application la loi. Puis la structure officielle est arrivée avec le ministère de la Cybersécurité, donc en janvier 2022.

Mme Caron : O.K., merci.

Le Président (M. Simard) : D'autres commentaires? Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Donc, pouvez-vous nous donner des exemples de progiciels qui sont en cours de planification?

M. Caire : De planification? Épique.

Mme Setlakwe : Oui, et est-ce qu'il y en a d'autres?

M. Caire : Il faudrait que je vérifie. Honnêtement, je n'ai pas la réponse à votre question. Puis tant qu'à... j'aimerais mieux vérifier avant de vous répondre, si vous me permettez.

Mme Setlakwe : Oui, parfait. Et puis dont on a... on a...

M. Caire : Mais vous voulez dire : Qui sont en processus de déploiement? Parce que SAGIR, comme je vous l'ai dit, SAGIR et CASA, ça, bien... SAAQclic, ce sont des progiciels de gestion intégrée.

Mme Setlakwe : Oui, je comprends. Oui, je comprends. Moi, je regarde vers le futur, là...

M. Caire : Mais c'est ça, vous voulez dire : Dans... en préparation. O.K. Bien, il y a Épique, ça, j'en suis... j'en suis... Je le sais. Je vérifierai s'il y en a d'autres.

Mme Setlakwe : Et puis... mais prenons l'exemple, donc, d'Épique, parce que la Vérificatrice générale, elle a mentionné spécifiquement que, pour elle, c'est un sujet de préoccupation quand il y a ce genre de PGI et des... un recours à des firmes externes. Donc, on peut présumer que, dans le cas d'Épique, il n'y aura pas juste cette firme externe, il y en aura d'autres qui seront impliquées de façon accessoire.

M. Caire : Possiblement. Là, comme je vous dis, je peux poser la question puis aller vous chercher l'information. Parce qu'il faut comprendre que la... la maîtrise d'oeuvre d'un projet demeure au ministère d'origine lorsqu'on parle d'un système de mission. Ce que je veux dire par un système de mission, c'est que, bon, le ministère de la Santé, sa mission, évidemment, c'est s'assurer sur le territoire québécois qu'on puisse soigner les gens. Ce progiciel-là n'a que cette fonction-là, aider son... Contrairement, par exemple, à l'identité numérique. Alors, tout le monde a besoin d'identité numérique. À ce moment-là, c'est un système commun. Là, mon ministère va s'en occuper. Mais, dans le cas d'épique, c'est le ministère de... bien, en fait, maintenant, Santé Québec, là, qui a le mandat, la maîtrise d'oeuvre du projet.

Mme Setlakwe : Merci. Et puis la Vérificatrice générale nous recommande de mieux structurer, encadrer l'utilisation des firmes externes. Parce que... êtes-vous d'accord avec moi, à la lumière du rapport, que l'information n'a pas bien... n'a pas bien été communiquée, là, auprès des différents acteurs, incluant les firmes externes qui agissaient comme éditeurs et comme intégrateurs? Comment on va s'assurer, par exemple, dans le contexte du projet Épique, qui va impliquer des sommes... un investissement de sommes importantes et qui va... ça concerne ici les données sensibles, là, les données médicales des Québécois. Expliquez-nous, là, comment... comment on va mieux encadrer, comment on va mieux structurer la gouvernance, comment on va s'assurer que l'information, à chaque étape de réalisation... une information fiable soit communiquée aux bonnes instances, incluant à vous, parce que je pense qu'ultimement vous êtes responsable de coordonner ce projet-là.

M. Caire : Bon, pour répondre à votre question, je vous dirais que... Puis, dans son rapport, compte tenu de la durée du projet, parce qu'on... comme je disais, CASA, c'est un projet qui trouve sa source en 2014. Bon, puis... et suivants, il y a quand même des choses. Puis, souvenez-vous, Mme la députée, c'est un petit peu le commentaire que j'ai fait à la vérificatrice générale, qui était d'accord avec moi, il y a beaucoup de rapports qui ont été déposés. Puis là, évidemment, je fais exclusion du rapport de ce matin, mais il y a beaucoup de rapports qui ont été déposés. Puis c'est vrai qu'elle nous invite à une plus grande reddition de comptes, des mesures de contrôle. Mais je porte à votre attention, les... quand même les mesures qui ont déjà été mises en place et dont on... dont la Vérificatrice générale ne pouvait pas mesurer les effets, puisque ces mesures-là n'étaient pas en place au moment où le projet s'est déroulé. Donc... puis je prends l'exemple de l'AMP. Moi, je suis... Je veux dire, je ne suis pas...

M. Caire : ...devin, là, mais je suis convaincu que l'AMP est en place en 2015, le contrat n'est pas signé, là, le contrat est... cette firme-là n'a pas le contrat, là, parce qu'à sa face même on n'est pas en conformité avec un processus d'appel d'offres standard. Donc, il y a déjà des mesures qui sont en place.

Maintenant, pour répondre à votre question, bien, oui, vous avez raison, puis je l'assume. Effectivement, le ministère de la Cybersécurité et du Numérique a un rôle à jouer dans la réussite des projets. Je n'en ai pas la maîtrise d'oeuvre, c'est vrai, mais, comme je disais, il y a des expertises qui peuvent être faites. J'ai aujourd'hui le pouvoir d'auditer un projet, ce que je n'avais pas, évidemment, puis ce que les... mes prédécesseurs, si je pense à Robert Poéti, qui a occupé plus ou moins mes fonctions comme ministre délégué au Conseil du trésor, n'avaient pas ce pouvoir-là.

Mme Setlakwe : ...là, on parle d'un pouvoir d'audit. Moi, je parle de votre implication aujourd'hui dans...

M. Caire : Non, mais... Mais c'est parce que c'est important dans ma réponse, parce que les moyens qu'on s'est donnés, les moyens de contrôle qu'on s'est donnés ne peuvent pas être mesurés dans le rapport de la Vérificatrice générale, parce que ces moyens-là sont trop récents dans le temps par rapport aux projets qui sont en cours. Alors... Puis c'est important que les Québécois le sachent, puis cette discussion-là est intéressante, j'en suis conscient, parce que justement ça permet de dire aux Québécois : Mais il y a des choses qui ont changé.

Je faisais référence à l'AMP. En 2016-2017, ça a été mis en place. Bon, bien... d'autres mesures comme ça qui ont été mises en place qui aujourd'hui... Alors, évaluons la situation actuelle, mais à l'aune des moyens qu'on a mis actuellement en place.

Mme Setlakwe : Mais c'est ça, il faut en parler des moyens, oui.

M. Caire : Bien, c'est... Oui, oui, je... Bien, je vais laisser Me Bacon... Vu que c'est une question plus juridique, je vais laisser Me Bacon, avec le consentement de la commission...

Le Président (M. Simard) : Oui. Il y aurait consentement? Consentement?

Des voix : Consentement.

M. Caire : ...faire l'état des modifications législatives que j'ai apportées.

Le Président (M. Simard) : Alors, Me Bacon, pourriez-vous d'abord, s'il vous plaît, vous représenter?

Mme Bacon (Nathalie) : Oui, M. le Président. Nathalie Bacon, légiste au ministère de la Justice pour le client MCN.

Le Président (M. Simard) : Nous vous écoutons.

Mme Bacon (Nathalie) : Je vais vous faire une petite liste, là, j'ai essayé de faire ça de façon digeste. D'abord, vous avez, comme le ministre a parlé, le dirigeant principal de l'information, qui a un travail à portée horizontale gouvernemental, vous avez ses pouvoirs à l'article 7, GGRI, dont le paragraphe 4°, qu'il a comme responsabilité de «coordonner la mise en œuvre des initiatives en ressources informationnelles des organismes publics». Les initiatives, c'est les projets. Vous avez le dirigeant de l'information de chacun des organismes publics, puis là, si vous lisez la loi, vous comprendrez qu'il y a un dirigeant de l'information par portefeuille ministériel. Ce n'est pas 360... 304, 305...

M. Caire : 305.

Mme Bacon (Nathalie) : ...DI, c'est... j'en ai à peu près 27, là...

M. Caire : Oui.

Mme Setlakwe : Donc, il y en a un au sein du MSSS?

M. Caire : Oui.

Mme Bacon (Nathalie) : Oui.

M. Caire : Oui. Et, si je peux préciser...

Mme Setlakwe : Et ensuite, comment il va faire le lien avec le dirigeant principal de l'information?

M. Caire : Mme la députée, si je peux préciser, il y en a un au sein du MSSS, et Santé Québec peut demander à avoir son propre DI. Même si c'est un organisme qui relève du ministre de la Santé, c'est permis d'avoir dans ces situations-là un DI particulier pour Santé Québec, par exemple.

Mme Bacon (Nathalie) : En réalité, pour les dérogations... c'est une dérogation, là, c'est l'article 8 qui prévoit les nominations des dirigeants de l'information. Alors, normalement, c'est un DI par portefeuille. Mais, pour toutes sortes de raisons, le ministre responsable d'un portefeuille peut autoriser, avec la recommandation du DPI, une nomination spécifique.

Alors, je vous référais à 10.1 pour le DI, le dirigeant de l'information, qui lui, doit... J'ai une série de responsabilités à cet article-là, dont le paragraphe 3°, qui est de rendre compte au dirigeant principal de l'information de l'état d'avancement de ses projets. Ça fait que ça, c'est une chaîne de commandement organisationnelle, opérationnelle, donc le... c'est pour le fonctionnement administratif.

Le DPI, il a une vision à portée gouvernementale, les DI se rapportent à lui, et les DI siègent sur différents comités avec le DPI. Vous avez ce que le ministre a parlé, le... comment on l'appelle, donc, le... le CGRI, le comité de gestion des ressources informationnelles...

Mme Bacon (Nathalie) : ...sur différents comités, avec le DPI. Vous avez ce que le ministre a parlé... comment on l'appelle, donc, le CGRI, le Comité de gestion des ressources informationnelles, qui, eux autres... lui se trouve un petit peu plus loin, là, dans la LGGRI, je cherche l'article. 12.1. Donc, le CGRI, c'est un organe administratif qui a des fonctions et qui a aussi un travail de conseiller les DI et les DPI, et... pour parvenir à avoir une vision commune, un front, on pourrait appeler ça un front unifié, en matière de ressources informationnelles.

• (12 h 20) •

Vous avez ensuite différents pouvoirs, notamment les différents leviers. Ça fait que ça varie d'un chapitre à l'autre. Vous avez le chapitre sur la sécurité de l'information, qui, lui, prévoit une certaine chaîne de commandement en sécurité de l'information, vous avez aussi la même chose en transformation numérique. Vous avez tout le contexte des données numériques gouvernementales. Et nous arrivons à... pour focusser sur les projets en ressources informationnelles, à l'article 16.2, où vous avez un pouvoir, à la fois du gouvernement, de prendre des règles concernant la gestion des ressources... des projets en ressources informationnelles. Je vous en ai parlé hier ou avant-hier, là, qui est les autorisations pour faire les projets, autorisation soit du dirigeant de l'organisme, du Conseil du trésor ou du gouvernement, selon les seuils des projets. Et vous avez aussi, cet article-là, le pouvoir du ministre de prendre un arrêté ministériel pour prévoir des règles en ce qui a trait aux ressources informationnelles, ce qui comprend les projets. Et c'est en vertu de ces règles-là, que vous retrouvez sur Internet, notamment, parce qu'il y a beaucoup d'outils, là, le tableau de bord des projets en ressources, qui est disponible sur Internet.

Et vous avez, à 12.8.1, qui a été adopté, là, en vertu du p.l. no 38, un autre mécanisme, je dirais, de bonne gouvernance et de bonne gestion des projets en ressources informationnelles. C'est ce qu'on appelle le 3PGTN, c'est-à-dire le portefeuille de projets prioritaires...

M. Caire : Projet de loi no 38.

Mme Bacon (Nathalie) : ...dont on vous a donné le lien Internet, là, ces derniers jours, là, c'est quoi, les projets des organismes publics que le gouvernement considère prioritaires. Vous avez la liste, là, disponible sur Internet.

Alors là... Et après ça, vous allez un petit peu plus loin dans la LGGRI, où vous avez ce qu'on appelle la reddition de comptes, la même chose qu'on retrouve au niveau des organismes publics, ce qu'on appelle la Loi sur l'administration publique, là. Pour la bonne administration de chacun des organismes publics, vous avez des contrôles par le Conseil du trésor au niveau de ce qu'on appelle la gouvernance d'un organisme public. On vous référait le bulletin des organismes publics, ça vous dit quelque chose?, puis les rapports annuels de gestion, mais vous avez le pendant en ressources informationnelles à la section... on arrive aux articles 16.2 et suivants, et vous avez ce qu'on appelle la possibilité du dirigeant principal de l'information à l'article 16.6... excusez-moi, à l'article 16.4, la possibilité... pas la possibilité, mais l'obligation pour un organisme public de rencontre au DPI sur demande. Et vous avez également une série de vérifications et d'audits, de pouvoirs d'audits, soit la possibilité d'imposer des mesures d'accompagnement. Et ça va jusqu'à la vérification, avec l'article 22.2 et suivants de la LGGRI. Ça fait que ça vous dresse le portrait.

Mme Setlakwe : Merci beaucoup, Me Bacon. Moi, j'aimerais revenir aux recommandations de la VG. J'imagine que le ministre les a sous les yeux.

M. Caire : Non, en fait.

Mme Setlakwe : Est-ce que vous en voulez une copie, de ces cinq recommandations, pour qu'on puisse les suivre ensemble?

M. Caire : ...copie papier. O.K., je vais prendre la copie numérique.

Mme Setlakwe : Merci. Donc, lesquelles des recommandations? Moi, en les lisant, j'en vois certaines qui s'appliquent aux futurs projets puis à ceux qu'on est en train d'étudier, dont l'identité numérique.

M. Caire : Par exemple?

Mme Setlakwe : Et le projet du DSN, etc. Puis ce que Me Bacon a décrit, ça existe dans les lois. Je comprends puis j'apprécie beaucoup qu'on nous fasse un rappel des rôles de tous et chacun, les directeurs d'information et le dirigeant... excusez-moi, le dirigeant principal de l'information, mais donc la VG, elle a tous ces mécanismes-là en tête. Est-ce que vous pensez, donc, que vous avez actuellement des mécanismes assez serrés pour éviter ce qui est arrivé dans le projet CASA, pour éviter...

Mme Setlakwe : ...que, dans la chaîne de communication, l'information fiable ne se rende pas comme ça a été le cas dans CASA. Donc, aujourd'hui, est-ce que vous avez les bons mécanismes en place?

M. Caire : Bien, dans ce qui est réaliste, je pense que oui. Et là je m'explique. On comprend que, dans la reddition de comptes, il y a des gens qui n'ont pas donné la vraie information. Et je me risquerai à dire qu'ils ont menti sciemment. Il y a des gens, dans la reddition de comptes, qui, par rapport à la situation, par rapport aux retards, par rapport à la qualité des livrables, par rapport à l'état des tests, n'ont pas donné l'information exacte. Et, ça, si j'ai bien compris, là, c'est ce que la vérificatrice... puis je... il faudrait que je le lise, là, mais ce que j'en comprends, c'est, c'est ça qui est arrivé.

Est-ce que... Est-ce que je peux mettre en place des mécanismes qui vont me prémunir par rapport à un DI qui nous mentirait? Vite de même, je ne vois pas lesquels. Et, dans la suite des opérations... Je vous donne un exemple. Nous, on a 2 145 projets informatiques, je pense, qui roulent en même temps. Moi, j'ai... j'ai... j'ai moins d'employés que ça au ministère. Donc, si, demain matin, je disais à tous mes employés, là : Arrêtez ce que vous faites, arrêtez de travailler sur SAGIR, arrêtez la paie, arrêtez les télécommunications, arrêtez RENIR, arrêtez tout puis allez vous poster dans les différents bureaux de projets, je n'aurais pas assez de monde pour faire ça.

Mme Setlakwe : Non. Là...

M. Caire : Non, mais je veux juste finir, M. le Président. Donc, je dois prendre pour acquis que les gens qui nous montent de l'information nous montent une information qui est exacte.

Mme Setlakwe : Ça, honnêtement, sur l'élément de sciemment cacher de l'information, je ne suis pas là-dessus.

M. Caire : O.K.

Mme Setlakwe : Moi, ce que...

M. Caire : Bien, je ne comprends pas, d'abord.

Mme Setlakwe : Moi, je vous demande aujourd'hui... Bien, j'ai deux choses, là. Je vais revenir sur la question que j'ai posée : Est-ce qu'aujourd'hui, à la lumière du rapport, vous allez bonifier les mécanismes? Est-ce que vous allez changer les processus en place avant d'entamer... là, je ne parle pas des 2 000 projets, là, puis je ne parle pas de les mettre... d'entamer les projets les plus stratégiques?

M. Caire : Bien, moi, je suis ouvert aux suggestions. Si...

Mme Setlakwe : Non, non, vous, là, vous?

M. Caire : Non, mais moi... moi, honnêtement...

Mme Setlakwe : Quelle est votre vision? Quel est votre plan?

M. Caire : Je vais revenir à votre question initiale. Est-ce que la structure de gouvernance qu'on a mise en place me rend confiant d'être capable de livrer des projets, des projets d'envergure? La réponse à votre question, c'est oui. On a livré le Service d'authentification gouvernementale en 2022, qui est un énorme projet, qui a passé à travers le processus que j'ai mis en place par rapport notamment aux tests, au Programme de prime aux bogues. Et ce programme-là a été déployé sans la moindre anicroche. Alors, au moment où on se parle, on parle de quoi, 2,1 millions de comptes, on parle de plus de 22 millions de demandes de connexion gérées par le système, zéro, zéro incident de sécurité, zéro vol de données, zéro fuite de données. Je parle d'un projet qui a été en nomination aux Octares. C'est comme un des quatre meilleurs services numériques qui a été mis... qui a été mis en production au Québec en 2023.

Mme Setlakwe : ...sur les mécanismes.

M. Caire : Non, mais je veux juste... je veux juste finir ma question parce que c'est important. Parce qu'on parle beaucoup de... on parle beaucoup de SAAQclic, de CASA, mais on oublie qu'on a livré, 2022-2023, 2023-2024, 594 projets qui ont été livrés, qui ont respecté les délais, qui ont respecté les budgets, qui ont respecté la portée. On n'en parle pas. Pourquoi? Parce que ça fonctionne. On ne parlera pas de ce qui va bien. Pourquoi on ferait ça? Alors, moi, je veux bien, là, mais la réponse à votre question, Mme la députée, là, c'est oui, je pense que nous avons en place des mécanismes de gouvernance qui font le travail. Est-ce qu'on... Est-ce que c'est parfait? Non. Est-ce que ça peut être amélioré? Sans doute. Est-ce que moi, je suis à me dire : Qu'est-ce que je fais au niveau de la gouvernance? Je suis avec le projet de loi n° 82, c'est ça, les améliorations que je demande à l'Assemblée nationale.

Mme Setlakwe : Alors, je pense qu'on a un excellent lien avec le rapport de la VG. On vient de l'établir, là. Si on peut continuer. Moi, j'aimerais savoir, il y a deux ans, en février 2023, quand il y a eu le déploiement de SAAQclic, est-ce que les mécanismes que vous avez décrits étaient en place?

M. Caire : Les mécanismes que j'ai décrits étaient en place depuis janvier 2022 et...

Mme Setlakwe : Donc, tout ça était en place, et malgré tout...

M. Caire : D'une part. Si je peux finir... Si je peux finir ma... Les mécanismes étaient en place. Et nous avons convenu, vous et moi, qu'on ne...

M. Caire : ...alors, si, vous et moi, on convient que c'est difficile de se prémunir contre ce genre de comportement hautement répréhensible, si on est d'accord avec ça, bien, moi, je vous dis : Dans la mesure où les gens font leur travail avec bonne foi, éthique et professionnalisme, oui, les mécanismes, je pense qu'ils vont faire le travail.

• (12 h 30) •

Mme Setlakwe : Mais ça va au-delà de ça, là. On a... on avait, dans la chaîne de communication, des manquements, il y avait... il y a eu un sévère manque de transparence, il y a eu, même, une mise à zéro, un «reset» en 2022, et tout ça, ce n'était pas... ce n'était pas l'oeuvre d'une personne malveillante, là. On avait vraiment un système en place qui a fait en sorte qu'il y a eu plusieurs... en tout cas...

M. Caire : Bien, vous en savez plus que moi, là. Moi, je me fie à ce que j'entends du rapport de la VG. Peut-être, vous l'avez lu, peut-être qu'il y a des... il y a des éléments qui m'échappent.

Mme Setlakwe : Mais ça me surprend que vous ne l'avez pas lu, puis que vous n'avez pas les recommandations. C'est normal qu'on ait cet échange. Elle dit, dans sa recommandation 2 : «documenter les processus et leur fonctionnement avant de planifier de nouveaux travaux de développement informatique».

M. Caire : Bien, Mme la députée, le rapport est déposé à 10 heures à l'Assemblée nationale. Vous et moi, on était où, à l'Assemblée nationale, à 10 heures?

Mme Setlakwe : Oui, vous avez des collègues... C'est toujours comme ça, là, à la CAP. Il y a des collègues qui étaient...

M. Caire : Oui... Non, non, mais...

Le Président (M. Simard) : Oui, non, mais d'abord, s'il vous plaît, à l'ordre, là. Je vous ai demandé à l'ordre, M. le ministre. Merci. Alors, un, s'il vous plaît, pour le bénéfice de ceux qui nous écoutent, pour le bénéfice de ceux qui retranscrivent nos travaux, je vais vous demander d'arrêter de vous couper. Étant donné la tournure des événements, à partir de maintenant, vous allez vous adresser à la présidence directement. Je vous demanderai d'être scrupuleux sur ce règlement. Et, troisièmement, je comprends qu'on peut faire un certain nombre de parallèles avec le rapport de la Vérificatrice ce matin, mais, je vous en prie, revenons à l'étude de l'article 10.4, le plus possible, parce que je trouve que là, vraiment, on commence à s'en éloigner. Veuillez poursuivre.

Mme Setlakwe : Merci, M. le Président. Donc, les recommandations de la VG demandent de documenter les processus et leur fonctionnement avant de planifier de nouveaux travaux de développement informatique. Bon, il y a des problèmes à régler au niveau de la livraison 2 du programme CASA. Mais, à la fin de sa recommandation 3, elle dit : S'assurer que les contrôles nécessaires à la production d'une information financière fiable sont en place. À sa recommandation 4, M. le Président, elle demande de réaliser un diagnostic complet, donc, du programme CASA, notamment de la stratégie de tests et de bénéfices prévus et réalisés, afin d'en tirer des enseignements utiles pour les travaux de développement informatique futurs, je vois ça comme très large, incluant les livraisons 2.5 et 3 du programme CASA. Et puis, sa cinquième et dernière recommandation : réviser la méthode utilisée pour la reddition de compte liée aux travaux de développement informatique, dont les indicateurs, afin de fournir une information fiable, suffisante et pertinente aux instances de gouvernance, aux organismes externes et à la population. Ça, ça inclut les parlementaires. Alors, ma question, M. le Président, depuis qu'on a commencé nos travaux ce matin, c'est... à la lecture de ces recommandations-là, on demande au ministre : Est-ce qu'il sent le besoin de modifier des processus, des modes de fonctionnement, une structure de gouvernance? Est-ce qu'il sent le besoin de resserrer certaines choses avant d'entamer des projets informatiques futurs?

M. Caire : M. le Président, comme j'ai dit à ma collègue, je pense que les mesures qui sont en place... Il serait injuste, par rapport aux mesures qui ont été mises en place et qui n'étaient pas en place au moment des faits, il serait injuste de ne pas mesurer la pertinence de ce qui a été fait. Donc, pour moi, il y a beaucoup de choses, M. le Président, qui ont été faites dans les dernières années, qui auraient sans doute pour effet de corriger la situation. Ceci étant dit, je le dis, je le répète, est-ce que c'est parfait? Ce n'est pas parfait. Est-ce qu'on est ouverts aux suggestions? Bien sûr. Mais, moi, les mesures, les modifications que je souhaite apporter...

M. Caire : ...sont dans le p.l. no 82. Si d'aventure, dans les prochaines semaines ou mois, on en arrive à la conclusion que d'autres modifications législatives sont nécessaires, je n'ai pas d'a priori à légiférer puis à modifier la loi, mais, pour l'instant... Puis, en même temps, là, on s'entend que le rapport de la Vérificatrice générale est sorti ce matin, on peut prendre le temps de l'analyser puis d'en mesurer les impacts et les conséquences, mais il y a des mécanismes qui ont été mis en place qui ne sont pas mesurés dans le rapport de la Vérificatrice générale parce qu'ils ne s'appliquaient pas au moment des faits.

Le Président (M. Simard) : Merci. Mme la députée de La Pinière. Non? Mme la députée de... 

Mme Setlakwe : Je vais poursuivre.

Le Président (M. Simard) : Oui, je vous en prie.

Mme Setlakwe : Donc, ce que j'entends, c'est que vous n'avez pas un plan, aujourd'hui, de bonifier les processus en place. Vous n'êtes pas fermé, vous croyez que le projet de loi no 82 va vous permettre d'atteindre les objectifs.

M. Caire : Oui.

Mme Setlakwe : Est-ce que... est-ce que vous... En tout cas, je vais poursuivre, brièvement, M. le Président, là, sur le rapport. Ou on pourra y arriver, en fait, je pense qu'il y a un article du projet de loi sur le dirigeant principal de l'information.

J'ai... Il y a un des constats que j'ai lu qui m'a fait penser à la discussion qu'on avait justement sur 10.3, bien, sur l'article sous étude, puis je suis certaine que ma collègue va vouloir... va être intéressée par les réponses. Il y avait un retard dans la réalisation des bénéfices. On est dans CASA, mais on a... elle note, la Vérificatrice générale, que «les bénéfices ne se réalisent pas comme prévu et que, plus spécifiquement, la prestation de services au comptoir prend plus de temps qu'auparavant», et deuxièmement que «le nombre de personnes ayant utilisé les services en ligne au moins une fois dans l'année a diminué de plus du tiers depuis la mise en service».

Alors, j'aimerais, honnêtement, qu'on réconcilie ces constats avec toutes les discussions qu'on a eues hier et avant-hier sur vos attentes par rapport à l'identité numérique, par rapport à l'obligation de maintenir les services en personne. Puis vous parlez beaucoup du... vous en avez parlé dans les derniers instants, et à quel point c'est une grande réussite, puis qu'il y a plus de 2 millions d'utilisateurs, etc., mais ce constat, il ne vous... il ne vient pas vous... susciter en vous une frustration?

M. Caire : Absolument. Non, mais M. le Président, soyons clairs, là, ce que j'entends, puis comme je dis, je me réserve le droit, là, de faire une lecture exhaustive du rapport, parce qu'il y a... souvent, il y a des détails, là, qui ne sont pas si tant des détails que ça, mais ce que j'en entends, il n'y a personne qui peut se réjouir ce matin. Comme ministre, je ne peux pas me réjouir. Comme parlementaire, je suis en colère, c'est clair. On ne peut pas être trompé comme on l'a été puis se réjouir de ça, là, c'est sûr et certain.

Mme Setlakwe : ...on ne parle pas de tromperie.

M. Caire : Non, mais je vais y arriver, parce que, bien, pour moi, ça fait partie. La trame de fond, c'est qu'on a été trompé sur la vérité de ce qui se passait sur ce projet-là. Ça, c'est la trame de fond. Maintenant, sur les bénéfices, il y a un travail qui a été fait au ministère, en collaboration avec l'ENAP, qui nous a permis de développer des critères mesurables de gestion des bénéfices. Ce cadre de gestion des bénéfices là a été... je l'ai adopté, par arrêté ministériel en 2022 ou 2023... 2022, printemps 2022? En tout cas, printemps, au printemps 2022, j'ai adopté par arrêté ministériel le cadre de gestion des bénéfices, et, à partir de ça, l'ensemble de l'évaluation des projets au niveau des bénéfices attendus doivent être évalués à l'aune de ce cadre-là.

Donc, c'est pour ça, Mme la députée, je vous dis, il y a des mesures qui sont mises en place, mais c'est sûr que le cadre de gestion des bénéfices n'était pas là en 2015, donc ça ne peut pas nous permettre d'avoir une mesure, je dirais, objective et une mesure précise de quels sont les bénéfices attendus. Ça, c'est un premier élément.

Mme Setlakwe : ...M. le Président, juste demander une question. Pourquoi vous parlez de 2015?

M. Caire : Parce que...

M. Caire : Pourquoi? Parce que l'évaluation... O.K..

Mme Setlakwe : Ici, on... je pense que ce sont des données beaucoup plus récentes, là, dans le rapport de la Vérificatrice générale.

• (12 h 40) •

M. Caire : Je comprends, madame la... bien, madame, M. le Président, pardon, mais, je veux dire, on ne peut pas faire une coupure comme ça. On ne peut pas dire : Ah! mais 2022, mais tout ce qui s'est passé avant n'a pas d'impact sur 2022. Bien non, tout ce qui est arrivé en 2022 commence en 2014, se précise en 2015, se concrétise en 2017 et se finalise en 2023. On ne peut pas dire : Ah! mais, avant 2022, ce n'est pas important. Le choix technologique est important. Les analyses qui ont été faites sont importantes. Les évaluations de besoins qui ont été faites sont importantes. Le choix technologique qui a été fait en fonction de ça est important. La planification budgétaire est importante. Les efforts et les besoins en ressources humaines sont importants. C'est vital, c'est crucial. Tout part de là. Et si ça, ça part tout... Je veux dire, je vais paraphraser mon collègue ministre responsable des Services sociaux : Tout se joue entre zéro et 6 ans. Je veux dire, un projet informatique, si vous partez ça tout croche, vous ne pouvez pas vous attendre, à l'autre bout, que ça devienne un succès flamboyant. C'est sûr que c'est lié. C'est sûr et certain que c'est lié. La dispense qui a été donnée à la SAAQ, des autorisations en vertu de la LGGRI par décret en 2014 qui ont fait que la SAAQ était totalement autonome, la VG en parle. La VG en parle. C'est dans le rapport puis c'est indiqué. Alors, c'est un... Mme la députée, en tout respect, c'est un tout, là. On ne peut pas prendre juste les segments qui font notre affaire puis faire abstraction du reste, là. C'est...

Alors, pour revenir aux bénéfices, ce que je disais, c'est que le déploiement du cadre de gestion des bénéfices fait obligation au ministère et organismes d'évaluer les bénéfices de leur projet de loi à l'aune d'un cadre qui est standardisé et dont les critères sont objectifs. Et le ministère, mon ministère, après ça, a la possibilité de faire le suivi des bénéfices attendus et de voir à ce qu'ils se réalisent. Alors, ça, c'est quelque chose qui est en place maintenant, mais qui ne l'était pas à l'époque. Donc, ça aussi, c'est une mesure de contrôle que le ministère peut mettre en place au niveau des bénéfices attendus.

Le Président (M. Simard) : Très bien. Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Alors, est-ce que ça veut dire que ce nouveau cadre d'évaluation des bénéfices attendus qui a été adopté, vous avez dit en 2022 ou 2023 ou...

M. Caire : Je pensais 2023, mais Me Bacon me dit que c'était en 2022.

Une voix : ...

M. Caire : Puis Mme Bacon a toujours raison, ça fait que je ne m'obstinerai pas.

Une voix : ...

M. Caire : Mai 2022.

Une voix : ...

Le Président (M. Simard) : ...pour qu'on puisse vous entendre au micro, parce que je ne vous vois pas avec l'écran.

Mme Bacon (Nathalie) : Donnez-moi deux petites secondes.

Le Président (M. Simard) : Non, non, il n'y a pas de quoi.

Mme Bacon (Nathalie) : C'est l'arrêté ministériel 2022-01, en date du 27 mai 2022.

Mme Caron : Merci.

Mme Bacon (Nathalie) : Dans la Gazette officielle du 15 juin 2022.

Mme Caron : Merci, madame... Me Bacon. Alors, donc... est-ce que je comprends bien que cette nouvelle façon de faire vous... permet d'évaluer, avant de commencer, si les bénéfices seront là pour chacun des projets, avant que les projets commencent? Donc, est-ce que c'est... ma question : Est-ce que c'est un exercice qui a été fait pour la mise en œuvre de l'identité numérique nationale, ce cadre pour évaluer les bénéfices?

M. Caire : Oui. Tous les dossiers d'affaires de projets en ressources informationnelles, d'organismes assujettis à la LGGRI doivent effectivement appliquer le cadre de gestion des bénéfices. Donc, les bénéfices sont de divers ordres. Là, vous comprendrez que, par exemple, simplifier un système fait partie des bénéfices. Rendre accessible un service sur une plus grande durée, ça fait partie des bénéfices. Donc, il y a différents types de bénéfices, tangibles et intangibles. Mais, oui, la réponse à votre question, Mme la députée, c'est oui.

Mme Caron : Alors, M. le Président, ce que je comprends de la réponse, c'est que oui, c'est utilisé, cette évaluation-là des bénéfices futurs des projets, surtout les projets qu'on met en œuvre. Donc, est-ce que ça veut dire, je répète ma question, que ça a été utilisé pour lancer le projet d'identité numérique nationale...

Mme Caron : ...qui fait l'objet du projet de loi devant nous.

M. Caire : Oui, les... en fait, les différents blocs du Service québécois d'identité numérique, quand on monte le dossier d'affaires, la réponse à votre question, c'est : oui, il faut que ces dossiers d'affaires-là, de ces différents blocs-là, soient évalués, les bénéfices soient évalués selon le cadre de gestion des bénéfices. Donc, oui.

Mme Caron : Alors, M. le Président... alors ce cadre d'évaluation des bénéfices est utilisé pour chaque partie d'un tout, si je peux dire, m'exprimer ainsi.

M. Caire : Oui. Oui.

Mme Caron : Alors, ce n'est pas… Parce que ma question... puis peut-être que la réponse, c' est non, à ça, c'est que... est-ce que c'est même possible d'utiliser ce cadre d'évaluation des bénéfices pour le projet transversal qu'est l'identité numérique ou bien, est-ce que... peut-être que ce n'est pas possible de le faire pour le projet dans son ensemble mais que ça se fera au fur et à mesure dans chaque… pour chaque projet, au sein de chaque ministère et organisme qui utilisera, par exemple, le catalogue de services offerts par le ministère de la Cybersécurité et du Numérique?

M. Caire : En fait, ce n'est pas possible parce que le cadre de gestion des bénéfices, on l'applique dans l'optique de la constitution du dossier d'affaires. Donc, le dossier qui nous amène vers la réalisation, c'est là où on a les éléments plus précis. Quand on est aux étapes en amont, on n'a pas suffisamment d'information pour être capable de faire cette évaluation-là. Donc, le dossier d'affaires vise justement à aller chercher toutes ces évaluations-là, évaluations budgétaires dont parlait Mme la députée de Mont-Royal-Outremont. Effectivement, on fait ces évaluations-là, les évaluations en effort en ressources humaines, en investissement matériel, etc., etc., et à l'aune de ça, là, on peut faire l'évaluation des bénéfices qui sont attendus par ce projet-là. Donc, compte tenu qu'il y a des développements futurs, bien, c'est difficile, sans avoir suffisamment d'information. On ne ferait pas une analyse pertinente, il y aurait trop d'inconnu, il y aurait trop de variables pour faire une évaluation correcte, si on le faisait de façon très globale, là.

Mme Caron : Et, M. le Président, est-ce que je dois comprendre que, dans les solutions qui sont offertes, dans... les solutions, les services, les acquisitions qui sont offertes dans le catalogue du courtier numérique, qu'on ne peut pas non plus faire l'évaluation, à ce moment-là, c'est-à-dire que cette évaluation ne va pas servir à présélectionner, préqualifier les fournisseurs?

M. Caire : Les fournisseurs vont se qualifier en fonction de critères de qualification. Là, ce dont on parle, c'est quels sont les bénéfices qu'un projet en ressources informationnelles va apporter. C'est ça qu'on mesure. Donc, on est vraiment dans deux choses différentes.

Mme Caron : Ce cadre-là, donc, M. le Président, s'applique à l'ensemble du projet et non pas aux outils…

M. Caire : Et/ou à chacune de ses composantes, dans le cas où le projet se fait en différents blocs, comme je vous disais. Ça peut arriver qu'on le fasse pour chacune des composantes.

Mme Caron : D'accord. Donc, chacune des composantes d'un projet, disons, sous-projet dans... au sein de chaque projet, mais pas pour préqualifier les fournisseurs, ou les services, ou les biens.

M. Caire : Non. Là, on y va au niveau de critères.

Des voix : ...

Mme Caron : Effectivement. On a entendu Me Bacon dire que les...

Le Président (M. Simard) : ...marqué au procès-verbal.

Mme Bacon (Nathalie) : Seulement pour préciser que le catalogue offre un choix de prestataires de services, fournisseurs de biens, mais ça, ce n'est pas un projet… Alors, vous avez des projets en ressources informationnelles. Dans le cadre de votre projet, vous allez peut-être faire des contrats, soit à l'interne en régie... faire la solution technologique en régie interne, ou faire appel à un fournisseur, ou acquérir des biens qui sont dans le catalogue.

Mme Caron : Merci, Me Bacon. Est-ce que les solutions internes ou qui sont faites en régie vont aussi être évaluées avec ce cadre-là, de la même manière qu'une application externe?

M. Caire : Oui. Oui. Le SAG... le service québécois d'identité numérique, est un produit interne. C'est développé à l'interne, par et pour le gouvernement, et il est tenu aux mêmes obligations que n'importe quel autre projet en ressources informationnelles.

Mme Caron : Alors, le SAG a fait partie de... a été évalué, ses bénéfices, bénéfices...

Mme Caron : ...qui ont été évalués de cette manière-là, alors si... Est-ce que j'ai... Je ne vais pas me tromper dans la technologie, mais l'identité numérique nationale... Parce que le SAG va être remplacé, ce ne sera plus le...

• (12 h 50) •

M. Caire : Non.

Mme Caron : Non, le SAG va rester.

M. Caire : Oui.

Mme Caron : Le SAG va rester.

M. Caire : Le SAG, le portefeuille. En fait, l'identité numérique nationale va être constituée des différents éléments du service québécois d'identité numérique qui sont en... en production, en réalisation ou en planification.

Mme Caron : D'accord. Merci. Puis est-ce...

M. Caire : Mais l'identité numérique nationale, Mme la députée, là, c'est vraiment... c'est le cadre juridique qu'on est en train d'instituer avec la loi n° 82. L'applicatif, l'opérationnel, on a déjà des livrables avec le service d'authentification gouvernementale, le portefeuille numérique s'en vient avec les attestations et les autres composantes seront à être développées. Donc, on parle de la même chose, mais quand on... Tout ce projet-là et son cadre législatif deviennent l'identité numérique nationale.

Mme Caron : Merci. Merci pour... de me le rappeler, pour préciser le tout. Est-ce que ce cadre d'évaluation des bénéfices escomptés, est-ce qu'il y a une contrepartie a posteriori du projet? C'est-à-dire qu'une fois que le projet est réalisé, mis en oeuvre, est-ce que, je ne sais pas moi, au bout de... bien, soit après la période de test ou peut-être plus... ce serait peut-être plus pertinent, au bout de six mois du projet qui roule ou au bout d'un an, est-ce qu'il y a une autre évaluation qui est faite pour soit confirmer que les bénéfices escomptés sont au rendez-vous ou poursuivre, dire, bien, à ce moment-ci, au bout de 12 mois, les bénéfices a, b, c, on peut voir clairement qu'ils sont réalisés, mais les e, f, g sont rendus à 50 % et qu'est-ce qu'il faudrait faire pour se rendre aux pourcentages qui étaient escomptés?

M. Caire : Vous décrivez bien la situation. C'est exactement ça.

Mme Caron : Et comment ça s'appelle, ce projet-là?

M. Caire : Mais ça, c'est le suivi, c'est le suivi qui est fait par le ministère sur les projets, là. Donc, on s'assure, par le suivi, que les bénéfices attendus sont bien livrés. Puis, s'ils ne sont pas livrés, qu'est-ce qui se passe exactement et pourquoi ces bénéfices-là ne sont pas livrés?

Mme Caron : Et puis est-ce que ce suivi-là se fait par chaque ministère et organisme sur les projets qu'il a réalisés ou par le ministère de la Cybersécurité?

M. Caire : Non, il se fait par le ministère qui a la maîtrise d'oeuvre du projet. Mais la reddition de compte se fait au MCM.

Mme Caron : Donc, sur chaque projet... Est-ce que ça veut dire que... Parce que vous avez mentionné, en ce moment, là, il y a 2 145 projets qui roulent, là. Alors, est-ce que ça veut dire qu'à la fin de chacun de ces projets-là, il y a un suivi qui remonte...

M. Caire : Et sur les années subséquentes, il y a un suivi : Est-ce que les bénéfices attendus ont été livrés? Il y a une évaluation qui est faite puis il y a une reddition de compte qui se fait.

Mme Caron : Alors, sur chacun des projets, vraiment, donc, on peut s'attendre à ce que, dans les années qui viennent, sur les 2 145 projets, il y aura une reddition de compte qui va remonter au sein du ministère de la Cybersécurité et du Numérique. Puis après cet... est-ce qu'il y a le... le ministre a le pouvoir, à ce moment-là, une fois la reddition de compte qui est présentée... bon, peut-être pas chacun présenté au ministre en personne, mais, je veux dire, qu'il remonte dans la hiérarchie. Est-ce qu'à un moment donné il y a une... un pouvoir d'intervenir, si, admettons, le ministère reçoit une reddition de compte qui vient de l'organisme public x et que vraiment les bénéfices ne sont vraiment pas là ou il y a un problème, est-ce qu'à ce moment-là le ministre de la Cybersécurité et du Numérique peut intervenir pour aider l'organisme en question ou ce n'est pas dans ses pouvoirs?

M. Caire : Oui, oui. Oui, effectivement, il y a une possibilité, au niveau de la reddition de compte, de faire l'évaluation, trouver les causes puis éventuellement demander des correctifs lorsque les causes peuvent être corrigées, parce que ça va arriver des projets où on a pensé que... puis on s'est trompé, puis ça, ça arrive, là, ce n'est pas une science exacte. Mais si c'est des causes qui peuvent être corrigées, d'exiger que ce soit le cas.

Mme Caron : Et ça, c'est dans la... ces pouvoirs-là sont dans la LGGRI ou dans...

M. Caire : Oui.

Mme Caron : D'accord. Donc, parfait. Alors, le ministre, donc, n'a pas le pouvoir d'intervenir dans chacun des projets, mais, à la fin, s'il y a un problème qui remonte vers lui... Oui?

M. Caire : On peut intervenir pendant... En fait, on va autoriser, on va...

M. Caire : ...pas autoriser, mais on va donner une recommandation sur un dossier d'affaires, parce que c'est le Conseil du trésor qui va autoriser la réalisation, parce qu'il y a un volet financier, et ça, ça relève de la compétence du Conseil du trésor, mais nous, on va faire une recommandation favorable ou défavorable par rapport à un projet, et c'est là où le cadre de gestion des bénéfices va entrer en ligne de compte... Si, par rapport à l'investissement, ressources humaines, financières, etc., et par rapport aux besoins, on pense que la solution n'amène pas les bénéfices attendus, ou n'amène pas des bénéfices suffisants, ou ce n'est pas les bonnes solutions, on peut faire une recommandation négative. Si on pense que la solution est la bonne, c'est le bon projet, les bénéfices sont intéressants, on peut faire une recommandation positive.

Et une fois que le projet est en réalisation, comme l'expliquait Me Bacon, oui, moi, j'ai la possibilité de prendre des mesures particulières. Si un projet, par exemple, et c'est là où c'est important d'avoir la vraie information... mais si, au tableau de bord, on voit qu'un projet, les indicateurs nous disent qu'il y a quelque chose qui ne fonctionne pas, on peut aller voir, on peut aller discuter avec le ministère et organisme, on peut proposer de l'aide, on peut prendre des mesures de gouvernance spécifiques pour corriger le projet. On peut lancer un audit si on pense qu'on n'a pas, effectivement, le vrai portrait, et, ultimement, conjointement avec le ministre responsable de l'organisme, on peut exiger l'arrêt du projet.

Mme Caron : Et cette recommandation-là, M. le Président, ça se fait de la part du ministre de la Cybersécurité et du Numérique à la présidente du Conseil du trésor, donc, ça fonctionne comme ça?

M. Caire : Oui, c'est ça.

Mme Caron : Alors, est-ce que je comprends que c'est ce pouvoir-là qui est enchâssé dans la LGGRI et cette possibilité, donc, de recommander, oui ou non, pour le projet, on va de l'avant, ou il y a un problème, on va vous offrir de l'aide, ou il faut arrêter parce qu'il faut arrêter... il faut arrêter la saignée, admettons, à ce moment-là...

M. Caire : Oui, oui, oui.

Mme Caron : ...que ça, c'est uniquement dans la réalisation d'un projet, et non pas... Parce que je me rappelle de la conversation qu'on a eue sur, par exemple, la gestion des accès, où, là, M. le ministre disait : Ah! je ne peux pas rentrer là-dedans parce que ça appartient à chacun des ministères et organismes. Mais dans le cas de réalisation d'un projet, le ministre de la Cybersécurité et du Numérique a le pouvoir déjà établi d'intervenir si quelque chose remonte à lui, que ça ne fonctionne pas, que les bénéfices ne sont pas au rendez-vous, et de dire : Bien là, on arrête de mettre de l'argent là-dedans parce que ça ne fonctionne pas, il faut se tourner vers une autre solution. Bien, en recommandation, il va recommander, là, tu sais.

M. Caire : Oui. Oui, si vous parlez d'un système qui est en production, que les bénéfices attendus ne soient pas tous rencontrés, je ne verrais pas que ce soit un motif d'arrêter le projet, parce que, si vous vous rendez en production, là, vous êtes rendu loin, là. Arrêter un projet en production, là, il faut vraiment que ce soit extrêmement catastrophique. Puis juste pour vous donner une idée, on n'a pas arrêté SAAQclic en production, ça fait que ça vous donne une idée. On parle peut-être plus de Phoenix, là, pour en arriver à cette étape-là, mais, idéalement, puis c'est la discussion qu'on a eue avec Mme la députée de Mont-Royal-Outremont, bien, c'est d'avoir des mécanismes de contrôle en amont, donc c'est plus en réalisation, où, là, on va essayer de s'assurer que, tu sais, on est conforme. Comme je disais, il y a des obligations de test, maintenant, il y a des obligations, pour certains projets, de passer par le programme de... qui est une phase de test assez sévère, là. Je vous garantis que SAAQclic ne passait pas le test du programme de... mais bon, donc, il y a des mécanismes qui sont mis en place, maintenant, qui vont faire en sorte que des projets en production, arrêtez ça, là. Je ne dis pas que c'est impossible, là, mais ça prendrait un exemple assez marquant, là.

Mme Caron : Oui, je comprends, M. le Président. Peut-être que je n'ai pas été claire, je ne voulais pas... Quand j'ai dit : On arrête ça ou on arrête la saignée, ça pouvait avoir l'air de dire qu'on arrête en pleine production, mais non, ce n'est pas tout à fait ça que je voulais dire. Parce que les bénéfices après coup, il faut toujours bien que ça fonctionne pour savoir si on arrive, on atteint les bénéfices, mais ce que je voulais dire, c'était que, disons qu'il y a un projet qui est en cours, qui a été réalisé, qui fonctionne... bien, c'est-à-dire, qui est opéré puis que... mais ça va couci-couça, puis là on veut en rajouter une couche, disons, faire une autre composante, c'est là que je veux dire, bien là, peut-être qu'on dit : On arrête ça, là, avant... pour corriger avant de continuer.

M. Caire : Oui, tout à fait. Oui. À ce niveau-là, oui.

Mme Caron : O.K. Merci, M. le Président.

Le Président (M. Simard) : D'autres commentaires? Mme la députée de Mont-Royal.

Mme Setlakwe : Oui, on aura... je propose de soumettre un amendement à l'article 10.4.

Le Président (M. Simard) : Très bien. Alors, si ça ne vous dérange pas, compte tenu de l'heure, nous allons suspendre nos travaux et on se retrouve...

Le Président (M. Simard) : ...on se retrouve à 15 heures, dans la même salle, où on pourra, bien sûr, étudier l'amendement de notre collègue. À plus tard.

(Suspension de la séance à 13 heures)

(Reprise à 14 h 02)

Le Président (M. Simard) : Alors, chers collègues, nous sommes de retour. Je constate que nous avons quorum. Nous sommes en mesure de pouvoir reprendre nos travaux, qui portent, bien entendu, sur le projet de loi no 82, Loi portant sur l'identité numérique nationale.

Au moment de suspendre, notre collègue de Mont-Royal-Outremont nous avait avisés de son intention de nous proposer un amendement qui portait sur le sous-article 10.4. Alors, Mme, cet amendement se retrouve sur notre Greffier. Pourriez-vous d'abord nous en faire lecture, s'il vous plaît?

Mme Setlakwe : Oui. Merci, M. le Président. Donc, on soumet un amendement à l'article 6. On propose de modifier l'article 10.4 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'insertion, à la fin de l'article, du paragraphe suivant :

«Déterminer les modalités de la reddition de comptes liée au développement de l'identité numérique ainsi que les indicateurs applicables.»

Oui, donc, M. le Président, la discussion que nous avons eue ce matin sur l'importance d'avoir une reddition de comptes adéquate, de l'importance de suivre les indicateurs, s'assurer que les informations fiables dans le cadre d'un grand projet de développement informatique se rendent aux bonnes personnes, tout ça afin d'éviter que les failles qui ont été mises en lumière dans le cadre du rapport de la Vérificatrice générale puissent être évitées dans les projets futurs.

On se rappelle que la Vérificatrice générale, dans ses recommandations, dans son rapport, elle parle beaucoup de reddition de comptes. Et, à sa recommandation 5, elle recommande de réviser la méthode utilisée pour la reddition de comptes liée aux travaux de développement informatique, dont les indicateurs, afin de fournir une information fiable, suffisante et pertinente aux instances de gouvernance, aux organismes externes et à la population. Écoutez, on est en plein dans le sujet, là, on parle de gouvernance, on parle d'un projet informatique majeur.

Et donc le ministre, plus tôt ce matin, disait qu'il était ouvert à des propositions, à des suggestions pour bonifier les processus en cours. Alors, voilà, c'est une proposition. Elle n'est peut-être pas parfaite, en termes de... au niveau du libellé, mais c'est certainement une proposition constructive pour s'assurer qu'on puisse viser une reddition de comptes optimale.

Le Président (M. Simard) : M. le ministre.

M. Caire : Brièvement, M. le Président, je ne pourrai pas donner l'appui à l'amendement parce que l'article 16.2...

M. Caire : ...de la LGGRI me donne déjà les pouvoirs qui sont suggérés par l'amendement. Et, en vertu de cet article-là, j'ai déjà pris un décret qui va paramétrer la reddition de comptes. On parle de... On a-tu le numéro du décret?

Une voix : ...

M. Caire : Arrêté ministériel 2022, du 23 juin 2022, l'article 25 et 26, de l'article... sont sur les bilans de projet, ceux dont l'arrêté ministériel.

Mme Setlakwe : Oui, donc, la date, déjà, c'était?

M. Caire : 23 juin 2022. C'est pour ça que je vous disais, Mme la députée...

Mme Setlakwe : Mais c'était avant le déploiement de SAAQcliq, hein, au début 2023?

M. Caire : Oui, oui, bien oui...

Mme Setlakwe : Donc, tout ça était en vigueur.

M. Caire : ...le 23 juin 2022. Oui, mais c'est pour ça que je vous dis, il y a des mesures de contrôle. Je comprends que la population ne peut pas être au fait de tout ce qui a été fait par le gouvernement en mesure de mécanisme de contrôle, de surveillance, etc., mais il y a déjà des mesures de contrôle qui ont été mises en place.

Donc, tantôt, quand vous me disiez : Est-ce que vous pensez que vous avez tous les outils? Je pense que j'ai tous les outils. Je pense que je dois rester ouvert à des suggestions, si tant est que, par la pratique de ce qu'on a mis en place, on se rend compte qu'il y aurait plus à faire. Donc, c'est un processus-je ne suis pas fermé- puis c'est un processus qui peut être évolutif. Mais dans le cas de l'amendement spécifiquement, j'ai déjà ce pouvoir-là, l'article 16.2 de la LGGRI, et il y a déjà un arrêté ministériel qui va paramétrer ou définir les obligations de reddition de comptes.

Mme Setlakwe : O.K. Mais vous dites qu'à l'article de la... C'est 16 de la LGGRI?

M. Caire : 16.2.

Mme Setlakwe : 16.2, c'est un pouvoir que vous avez?

M. Caire : Oui.

Mme Setlakwe : Et vous dites que le pouvoir a été utilisé?

M. Caire : Oui.

Mme Setlakwe : Et qu'un arrêté ministériel a été émis?

M. Caire : Oui, en date du 23 juin 2022.

Mme Setlakwe : Mais tout ça, quand même, est en amont du fiasco SAAQclic et ces mécanismes dont vous aviez le pouvoir de mettre de l'avant n'ont pas servi à éviter le...

M. Caire : Bien, en amont... On n'est pas d'accord. On n'est pas du tout d'accord. Le fiasco SAAQclic débute en 2014, je vous parle du 23 juin 2022.

Mme Setlakwe : Le fiasco SAAQclic, dans votre esprit, a commencé en 2014.

M. Caire : Non, non, non. Ce n'est pas... Ce n'est pas une vue de l'esprit, là, c'est factuel. Là, j'ai commencé à lire le rapport de la Vérificatrice générale. C'est factuel. Factuellement, la Vérificatrice générale indique que de dédouaner la SAAQ des obligations de reddition de comptes prévues à la LGGRI, ce que le gouvernement a fait par décret... pas de reddition de comptes, pardon, d'autorisation a... est un élément qui nous a conduits pas. Ce n'est pas le seul, ça a conduit à ça.

Alors oui, je considère que le fiasco SAAQclic, l'architecture du fiasco de SAAQclic a débuté 2014-2015, c'est très clair. Le processus d'appel d'offres qui a été suivi pour attribuer... c'est-à-dire attribuer le contrat puis donner la solution, la Vérificatrice générale l'a décrit. Mme la députée, vous ne pouvez pas ne pas avoir vu ça. Elle dit : L'entreprise qui a gagné l'appel d'offres a participé à la rédaction de l'appel d'offres. Mme la députée, vous ne pouvez pas...

Le Président (M. Simard) : On s'adresse à a la présidence. Merci beaucoup.

M. Caire : M. le Président, Mme la députée ne peut pas ne pas voir là-dedans les prémisses de ce qui s'est passé, c'est... Et on le dit, là, les évaluations qui ont été faites des travaux, des affaires qui datent de 2017, ces évaluations-là étaient mauvaises, elles sous-estimaient l'ampleur des travaux.

Le Président (M. Simard) : Très bien. Toujours sur l'amendement de notre collègue, Mme la députée.

Mme Setlakwe : Oui. Je vais quand même me permettre, M. le Président, de répondre au ministre. Il y a différentes phases au programme CASA, évidemment, entre 2017 et 2027, et puis la Vérificatrice générale a dit... j'étais là, je l'écoutais ce matin, elle a dit que la phase... la livraison...

Le Président (M. Simard) : Bon. Écoutez, chère collègue, très honnêtement...

Mme Setlakwe : ...était correcte. C'était la livraison 2 où les...

Le Président (M. Simard) : Non, je vais vous arrêter. Parce que, là, là, on va trop loin, sérieusement. Je comprends qu'il est important de se nourrir de l'actualité pour pouvoir alimenter nos débats. Je comprends et je vous le répète, qu'il y a des parallèles à établir qui peuvent enrichir notre réflexion collective, mais, s'il vous plaît, de grâce, on ne fait pas de débat sur un rapport d'une Vérificatrice générale déposé ce matin alors que l'amendement ne porte pas là-dessus, c'est vous qui venez de déposer un amendement... et dans les réponses également. Alors, je vous demande de vous référer à l'amendement déposé, s'il vous plaît. Veuillez poursuivre.

Mme Setlakwe : Oui. Donc, vous ne voyez pas... Vous ne voyez pas qu'en lien avec la recommandation cinq de la Vérificatrice générale, qui parle quand même de reddition...

Mme Setlakwe : ...reddition de comptes liée à des travaux de développement informatique. Est-ce qu'on parle ici, M. le Président, de travaux de développement informatique au niveau... dans le projet de loi n° 82?

• (14 h 10) •

M. Caire : Non, non, non. Sur l'amendement, ce que je dis, c'est que de déterminer les modalités de reddition de comptes, j'ai déjà... je peux déjà faire ça et je l'ai déjà exercé, ce pouvoir, c'est ça que je dis.

Mme Setlakwe : Très bien.

M. Caire : Sur votre amendement, ce que je dis, c'est : On n'a pas besoin de l'adopter parce que c'est déjà prévu, et j'ai déjà exercé ce pouvoir-là par un arrêté ministériel en date du 23 juin 2022.

Mme Setlakwe : Très bien. Alors, ce que vous dites, c'est qu'il n'est pas nécessaire de le prévoir, c'est prévu ailleurs.

M. Caire : C'est ça, c'est ça.

Mme Setlakwe : Très bien. Si on prend un exemple... Moi, je... La raison pour laquelle je regarde le rapport qui a été émis ce matin, ce n'est pas... en fait, puis vous aviez raison, M. le Président, ce n'est pas pour en faire... ce n'est pas pour le déconstruire au complet et de revenir sur les événements passés, c'est vraiment de lire les recommandations à la lumière des futurs travaux et de se demander, étant donné qu'on étudie une pièce législative qui traite de travaux de développement informatique : Est-ce qu'on peut... on devrait, je pense, selon moi... on se demande : Est-ce qu'on peut bonifier le projet de loi ou les règlements à venir? Je pense que la discussion doit avoir lieu à savoir est-ce qu'on devrait bonifier le texte législatif, ou autres, ou, en tout cas, s'interroger à savoir si tous les outils sont prévus dans la législation existante, afin de répondre à la recommandation. On me répond, suite à notre proposition, que l'obligation existe déjà.

M. Caire : Les travaux... L'étude détaillée sert à bonifier le projet de loi, donc la réponse à votre question, c'est clairement oui. Maintenant, cet amendement-là n'a pas pour effet de bonifier le projet de loi du fait, comme je vous l'explique, Mme la députée, que ces pouvoirs-là sont déjà prévus dans la loi et ont déjà été exercés.

Mme Setlakwe : Très bien. Et j'aimerais simplement... Pour la reddition de comptes, je pense que ça va. Pour la question des indicateurs, comment ça fonctionne pour des projets importants? Je comprends qu'il y a plus de 2 000 projets en cours, mais est-ce que la notion d'indicateur puis de suivi des indicateurs, c'est quelque chose qui remonte à votre bureau, M. le ministre?

M. Caire : Bien, on les... on parle de ça un petit peu plus loin, M. le Président, donc je vais réserver mes commentaires, parce qu'il est question de ça un petit peu plus loin. Donc, je réserverais mes commentaires pour quand on sera rendus à cet article-là, M. le Président. Mais la question est tout à fait légitime, ceci étant dit, là.

Mme Setlakwe : Donc, on parle d'indicateurs précisément dans le projet de loi plus loin?

M. Caire : Bien, de cibles. Vous avez parlé de cibles, pas d'indicateurs.

Mme Setlakwe : Bien, j'ai... Non, on a utilisé dans notre amendement «indicateurs».

Des voix : ...

M. Caire : Bien, sur les indicateurs, j'aimerais ça peut-être que vous précisiez ce que vous entendez par des indicateurs, Mme la députée... M. le Président, M. le Président.

Le Président (M. Simard) : Absolument.

M. Caire : Bien oui.

Mme Setlakwe : Bien, encore une fois, je lis les recommandations de la Vérificatrice générale, qui portent non seulement sur ce qui est arrivé dans le passé, mais fait aussi des recommandations pour des travaux de développement informatique futurs. Et je me demande si, dans le cadre du suivi de certains projets, on établit des indicateurs, des cibles à atteindre et est-ce qu'on associe une reddition de comptes assez serrée pour... vis-à-vis l'accomplissement de ces indicateurs-là pour vous permettre justement de suivre l'évolution d'un projet. J'ai en tête des projets importants, comme celui du dossier santé numérique, par exemple.

M. Caire : Parce que je veux être sûr que je comprends votre question.

Mme Setlakwe : Des indicateurs de performance ou des cibles à atteindre.

M. Caire : Mais des indicateurs au moment du développement du projet ou au moment où le projet est déployé puis qu'il est mis en production?

Mme Setlakwe : Des indicateurs... Bien, écoutez, c'est assez large, là, ce que la vérificatrice générale propose.

M. Caire : O.K. Parce que, dans le développement du projet, au niveau du dossier d'affaires... puis ça fait partie de la reddition de comptes. Donc, effectivement, je pense que cette question est pertinente, M. le Président. Je plaide la pertinence en votre faveur, Mme la députée. C'est fou, hein?

Mme Setlakwe : Moi, je le vois dans le sens large, le développement et...

M. Caire : Non, non, mais je faisais... je détendais l'atmosphère.

Mme Setlakwe : Oui. Ah! oui...

M. Caire : C'est vraiment... Là, c'est les échéanciers qui sont les indicateurs, donc les échéanciers, les budgets et la portée du projet, puis ça, c'est important parce que, la portée du projet, la Vérificatrice générale, dans son rapport, le libelle autrement. Elle va dire : Bon, le développement n'était pas de qualité, ce qui veut dire que ça ne fonctionnait pas, ou on n'a pas respecté la portée du projet, ou... La portée du projet, c'est qu'est-ce que ça...

M. Caire : ...faire, et est-ce que ça fait ce que c'est censé faire? Bon. Ça, c'est les trois indicateurs qu'on a dans l'analyse, le développement et le déploiement d'un projet. Une fois que le projet est déployé, nous, il n'y a pas... il y a des indicateurs sur les bénéfices attendus par le projet de loi, ça oui, mais des indicateurs de performance, nous, il n'y a pas de normes, il n'y a pas de... il n'y a pas de standards qui sont établis à cet effet-là, tant de volume de clientèle, parce que j'imagine que c'est à ça que vous faites référence, vous devez avoir tant de volume de clientèle, vous devez... Il n'y a pas maintenant des indicateurs de performance dans la déclaration de service aux citoyens. Ça, il peut en avoir, mais là on est dans la loi sur l'administration publique, Me Bacon, si je ne m'abuse. Voilà. Mais au niveau du projet informatique lui-même, moi, je n'ai pas... Il n'y a pas de standards, il n'y a pas de normes, il n'y a pas de demandes à cet effet-là de mon ministère.

Le Président (M. Simard) : ...

Mme Setlakwe : O.K. Mais si on se ramène à l'identité numérique et ses différentes phases, vous n'avez pas une série d'indicateurs à suivre?

M. Caire : Encore là, la question est très, très large, c'est difficile d'y répondre parce que, comme je vous dis, au niveau des échéanciers, on a un indicateur, si tant est que vous considériez le... Est-ce que l'échéancier, vous considérez ça comme un indicateur?

Mme Setlakwe : Bien oui. Bien sûr.

M. Caire : Parce qu'on compare... Alors, oui.

Mme Setlakwe : Bien, en fait, je vous demande de nous expliquer le déploiement de votre projet d'identité numérique, puis on verra si on doit proposer un libellé qui permette d'en suivre les indicateurs que vous, vous allez mettre de l'avant. Parce que c'est un projet qui relève de votre ministère.

M. Caire : Bien, en fait... Bien oui, sauf que... Puis sur l'amendement à proprement parler, je vais vous dire ce que j'ai déjà dit, ce n'est pas une question de libellé, c'est une question que ce pouvoir-là, je l'ai déjà. Et il y a déjà, par arrêté ministériel, une reddition de comptes qui est prévue. Alors, il est déjà prévu que, s'il y a des indicateurs, il y a un suivi qui se fait, bien évidemment. Il est prévu que les projets sont inscrits sur le SIGRI, le service intégré de gestion en ressources informationnelles, qui nous permet de faire le suivi des différents projets quant à l'état d'avancement, le suivi des budgets, le suivi des échéanciers, le suivi de la portée du projet. Il y a une obligation pour chaque ministère et organisme de le mettre à jour ponctuellement et de le mettre à jour si une modification est apportée à l'état d'avancement des travaux. Par exemple, si un indicateur passe du... Parce qu'il y a, je pense, c'est c'est deux fois par année qu'on le met, ou trois mois, là. Je vous dis ça de mémoire, Mme la députée, là, M. le Président, mais s'il y a un changement significatif à la portée ou au niveau du budget, là, il faut le mettre à jour, ce que la SAAQ a omis à faire, soit dit en passant. Ça aussi, c'est dans le rapport de la Vérificatrice générale. Donc, à partir de ce tableau de bord là, nous, on a la capacité, quand tout le monde fait son travail conformément aux directives qui leur sont données, on a la capacité de voir s'il y a des projets qui ont besoin d'une attention particulière, s'ils ont besoin d'une mesure de redressement, ou si tout va bien, puis à ce moment-là, on continue, puis on fait confiance aux équipes pour continuer le travail. Donc... Mais ça répond-tu à votre question?

Mme Setlakwe : Oui. Bien, en tout cas, je pense qu'on est sur le sujet. Oui. Ce procédé-là, ce processus-là, il est prévu où? Je comprends que c'est... Vous décrivez ce qui se passe dans les faits.

M. Caire : C'est... Bien, d'une part, c'est le pouvoir que j'ai de définir des modalités de reddition de comptes.

Mme Setlakwe : C'est le 16.1 de la reddition de comptes.

M. Caire : Le 16.2.

Mme Setlakwe : Le 16.2, pardon.

M. Caire : Puis il y en a un autre aussi pour le portefeuille de projet... 12.8 pour le portefeuille de projets prioritaires. Et c'est... Quand je fais référence à l'arrêté ministériel, bien, j'exerce ce pouvoir-là pour dire : Voici comment vous devez faire les choses. Et, soit dit en passant, le SIGRI, le service intégré de gestion en ressources informationnelles, c'est un tableau de bord qui est public. Donc, tous les citoyens du Québec et de la planète peuvent y avoir accès, mais du Québec, donc, vous comprenez.

Mme Setlakwe : Rappelez-moi. Est-ce que le PIN, le programme d'identité numérique, dans lequel s'inscrit l'identité numérique nationale, est-ce que c'est un projet prioritaire?

M. Caire : Oui.

Mme Setlakwe : Donc, sur le fond, l'objectif qui est visé par l'amendement est déjà atteint...

M. Caire : Oui.

Mme Setlakwe : Merci.

• (14 h 20) •

Le Président (M. Simard) : D'autres remarques? Mme la députée de Lapinière.

Mme Caron : Sur l'amendement, non, mais merci, M. le Président.

Le Président (M. Simard) : Conséquemment, nous allons procéder à la mise aux voix. Est-ce que cet amendement est adopté?

Des voix : ...

Le Président (M. Simard) : Rejeté. Nous poursuivons l'étude de l'article 10.4. Y aurait-il d'autres commentaires? Mme la députée de Lapinière.

Mme Caron : Merci, M. le Président. Je voudrais simplement revenir au paragraphe no° 2°, où on dit que le ministre peut mettre en place des processus pour vérifier la cohérence et la qualité de ces renseignements. La question que j'avais, en fait, c'est une question qui m'est soufflée, disons, à partir du mémoire de l'Association québécoise des technologies qui est venue en commission durant les consultations. Et l'une des recommandations que faisait l'AQT, c'était qu'il y a un délégué à la protection des données, désigné pour assurer la conformité aux réglementations en fonction des traitements réalisés. Et je me demandais si ça existait déjà. Peut-être devrais-je répéter ma question. M. le Président.

M. Caire : ...me concentrer, s'il vous plaît. Je vous jure d'être plus discipliné.

Mme Caron : Je vous remercie, M. le...

M. Caire : Président ministre.

Mme Caron : Oui, président ministre. Voilà! Alors, la question que j'avais, c'est à propos du paragraphe no° 2°...

M. Caire : Excusez-moi.

Mme Caron : ...qui dit mettre en place des processus pour vérifier la cohérence et la qualité de ces renseignements.

M. Caire : Oui. Tout à fait.

Mme Caron : Donc, c'est sur les renseignements, là. C'est une question, je disais, qui m'est soufflée par le mémoire de l'Association québécoise des technologues... technologies, plutôt, l'AQT, où il était recommandé d'avoir... de désigner un délégué à la protection des données pour assurer la conformité aux réglementations en fonction des traitements réalisés. Je me demandais si on avait déjà ce poste-là.

M. Caire : Oui. Oui. Alors, dans la loi n° 95 adoptée en juin 2021, on crée le poste gestionnaire de la donnée numérique gouvernementale, donc qui a exactement pour mandat de s'assurer de la gestion, de la cohérence, de la bonne utilisation des données à l'échelle gouvernementale, et là je vous dirais surtout de la restructuration en fonction de passer de l'État actuel vers l'État des sources officielles de données que je vous expliquais hier, il me semble.

Mme Caron : D'accord. Alors, est-ce que ce gestionnaire de la donnée numérique gouvernementale est rattaché au ministère de la Cybersécurité et du Numérique?

M. Caire : Oui.

Mme Caron : Il n'y en a pas un dans chacun des organismes...

M. Caire : Non. C'est-à-dire qu'il y a le gestionnaire de la donnée numérique gouvernementale et il y a des gestionnaires délégués dans les ministères et organismes, mais qui relèvent du, ou dans ce cas-ci, de la gestionnaire de la donnée numérique gouvernementale qui se trouve à être mon ministère la sous-ministre adjointe au dirigeant principal de l'information et à la gouvernance.

Mme Caron : Merci. Alors, M. le Président, toujours dans la recommandation de l'AQT.

Une voix : ...

M. Caire : Bien, en fait, c'est par défaut, là... Je vais peut-être préciser parce que Me Bacon disait que les DI sont, par défaut, DI, chefs délégués de la sécurité de l'information et gestionnaires délégués de la donnée numérique gouvernementale, mais il est loisible pour le ministère, le ministre, de nommer spécifiquement quelqu'un à ces différentes tâches là.

Mme Caron : Alors, si je comprends, le DI, dans chaque organisme, peut jouer tous ces rôles-là...

M. Caire : Par défaut.

Mme Caron : ...y compris celui de gestionnaire de la...

Une voix : ...

Mme Caron : ...y compris le rôle de la donnée numérique gouvernementale au sein de son organisme public.

M. Caire : C'est bien ça.

Mme Caron : Mais l'organisme peut décider de nommer une personne à chacun des rôles.

M. Caire : Oui, de déléguer la fonction à quelqu'un d'autre.

Mme Caron : D'accord. Et toujours dans le mémoire de l'AQT, on recommandait des principes de sécurité tels que le chiffrement et la limitation des accès qui doivent s'appliquer à toutes les données traitées. Alors, la limitation des accès, je pense qu'on en a discuté déjà dans la gestion des accès, et vous avez bien dit que ça se passe dans chacun des ministères, mais tout en respectant un, j'essaie de me rappeler de la terminologie exacte qui a été utilisée, tout en respectant la classification des données.

M. Caire : C'est ça. Voilà.

Mme Caron : Mais qu'en est-il du chiffrement? Est-ce que le chiffrement des accès, est-ce que c'est la même...

M. Caire : Oui. Bien, c'est ce que je vous expliquais aussi quand on parlait de la source officielle de données sur les renseignements d'identité, je vous parlais de... On dit... On l'appelle le SAG ID, là, mais l'identifiant du service d'authentification...

M. Caire : ...d'authentification gouvernementale. C'est chiffré, évidemment, les communications. Là, on pourrait rentrer dans des concepts plus techniques, mais le volet du Service québécois d'identité numérique qui touche la transmission sécuritaire des données vise justement à s'assurer qu'entre les entités du gouvernement, la transmission de données se fera de façon sécuritaire, ce qui implique son chiffrement.

Mme Caron : D'accord. Alors, M. le Président, si je me souviens, là, c'était comme... on avait dit que c'était comme les données entre, mais c'est... disons, pour le dire de façon imagée, sont mélangées et puis ressortent... Tu sais, c'est imagé, là, disons, mais...

M. Caire : Oui, bien c'est ça. Mon Dieu! Mais vous avez... M. le Président, Mme la députée a... elle écoutait bien. C'est exactement ça.

Mme Caron : M. le Président, j'essaie de toujours être concentrée et de prendre des notes pour m'en rappeler, mais...

M. Caire : Vous êtes très bonne, Mme.

Mme Caron : Comme j'ai dit déjà, parfois, il faut répéter parce que c'est beaucoup... beaucoup d'informations techniques.

M. Caire : Oui, puis c'est des concepts qui ne sont pas nécessairement supersimples non plus, j'en suis conscient.

Mme Caron : Absolument. Et donc, M. le Président, dans la dernière recommandation à laquelle je voulais faire référence, c'était que, pour ce qui est des données sensibles comme les données biométriques, là, ça prend une protection renforcée. Est-ce que c'est traité dans un article plus loin? Parce que je sais qu'on parle des données biométriques...

M. Caire : Ce n'est pas traité dans un article plus loin. Par contre, deux choses. Premièrement, dans la loi 25, il y a des éléments spécifiques pour les renseignements sensibles. Donc, on fait une distinction par rapport aux différents renseignements personnels. Puis le renseignement... le niveau de sensibilité est pris en compte dans la loi. Et, dans la politique de cybersécurité du gouvernement, il y a un principe qui dit que le niveau de sécurité qui entoure une donnée doit être proportionnel à sa valeur. Donc, ça, c'est un principe de la politique que, par exemple, une donnée qui est une donnée ouverte ne sera pas sécurisée de la même façon qu'une donnée qui est, par exemple, protégée, confidentielle, classifiée. Ce ne sera pas le même niveau de protection. Donc, c'est dans la politique de cybersécurité du gouvernement, adoptée par le gouvernement. Donc, c'est un document qui est approuvé par le Conseil des ministres, donc qui est transversal à l'ensemble des ministères et organismes.

Mme Caron : Merci beaucoup. Merci, M. le Président.

Le Président (M. Simard) : D'autres remarques concernant l'article introduit à 10.4?

Mme Setlakwe : Une dernière question sur...

Le Président (M. Simard) : Je vous en prie.

Mme Setlakwe : Qu'est-ce qu'on a... C'est quoi, la différence? Dans le deuxième paragraphe, on parle de vérifier la cohérence et la qualité. Bien, en fait, je comprends que c'est deux expressions différentes, mais pourquoi on a choisi d'employer ces deux expressions là? Puis donnez un exemple de chacun, vérifier la cohérence puis vérifier la qualité.

M. Caire : Oui. La cohérence, c'est... Vous avez Stéphan Tremblay à l'agence du revenu, Stéphan, pas de e, vous avez Stéphane Tremblay à la RAMQ, Stéphane avec un e, c'est la même personne, mais le nom est orthographié différemment. Donc, au niveau de la validation de la donnée, ce n'est pas cohérent. Ça devient incohérent parce que c'est une même donnée qui concerne une même personne, mais, à cause de ça, c'est... Et, au niveau de... bien, de la qualité de la donnée, bien, c'est de s'assurer, par exemple, que vous avez dans... un ministère a sur vous une adresse où vous n'habitez plus depuis 10 ans, mais le ministère a encore cette adresse-là dans ses banques d'information, on peut penser que la donnée n'est pas de qualité.

Le Président (M. Simard) : D'autres remarques sur 10.4?

Mme Caron : Est-ce que je peux poser une question?

Le Président (M. Simard) : Mme la députée.

Mme Caron : M. le Président, l'exemple du ministre vient de m'allumer quelque chose. Le Directeur général des élections, est-ce qu'il va être soumis à cette loi sur... bien, c'est-à-dire...

M. Caire : Non, il n'est pas dans la LGGRI.

Mme Caron : Non, hein?

M. Caire : Non, il n'est pas dans la... C'est un organisme indépendant. Il n'est absolument pas sous mon autorité. Il est totalement indépendant, comme l'Assemblée nationale.

Mme Caron : D'accord. Parce que je me disais... Tu sais, c'est un cas, ça, où... Parfois, sur les listes électorales, le fait qu'un nom est orthographié différemment, ça peut causer des problèmes, alors.

M. Caire : Mais il pourrait, s'il le désire, requérir à nos services, et je pourrais, effectivement, lui offrir les services. Mais c'est sa décision, il est totalement indépendant, et je n'ai aucune autorité sur le DGEQ.

Mme Caron : Oui, je comprends. Donc, s'il...

M. Caire : Pour des raisons évidentes, là.

Mme Caron : Absolument. Absolument, je suis d'accord avec vous. Donc, si le DGEQ...

Mme Caron : ...fait la demande trouve que ce serait...

• (14 h 30) •

M. Caire : Ça pourrait être pratique pour lui. À ce moment-là, par entente, je peux lui offrir les services de mon ministère.

Mme Caron : C'est ça. S'il évalue les bénéfices de l'utilisation de l'identité numérique, il pourrait... pourrait vouloir aller de l'avant.

M. Caire : Absolument.

Mme Caron : Faire affaire avec le ministère... bien, prendre les services que le ministère pourrait mettre à sa disposition. Et puis ce qui serait... Parce que j'aime bien cette idée de cohérence des données, puis particulièrement dans ce contexte-là, parce que c'est... le DGEQ, c'est quand même... chapeaute quand même notre exercice démocratique le plus important et...

M. Caire : Ça pose des problèmes, des erreurs comme celles-là. Malheureusement, quand on a créé le registre des attributs d'identité, là, dans 7 % des cas, il y avait ce genre de problème là entre les différentes banques, donc... Ça fait que c'est... Tant qu'on travaille en silo, c'est tel que tel. Parce que tel organisme est habitué, il dit : Bon, bien, c'est correct, la personne dit : Bon, ils ne savent pas écrire mon nom, mais ce n'est pas grave, ça n'en fait pas de cas. Mais, quand on fait cette fusion-là des informations, là, c'est sûr que ça devient incohérent puis ça ne fonctionne plus.

Mme Caron : Et comment... comment on peut s'assurer... Parce que vous avez... M. le Président, M. le ministre a bien dit que, dans un tel ministère, ça peut être correct, on dit : O.K., ça va, on sait que c'est cette personne-là, dans un autre, le nom est orthographié, on met ça semble, ce n'est plus cohérent techniquement, technologiquement. Alors, comment on décide de faire la correction? Parce qu'à un moment donné il faut que ça... il faut que la situation se résorbe.

M. Caire : Bien, c'est... il faut... il faut valider avec le citoyen. Puis c'est ce qui, dans certains cas, amène des délais de traitement. C'est que là, on n'a pas le choix, il faut qu'il y ait une enquête, parce que là, vous ne savez pas, est-ce que c'est une erreur de bonne foi, est-ce que c'est une fausse identité, est-ce que c'est un faudeur. Je veux dire, vous ne pouvez pas présumer de rien, là. Ça fait qu'il y a une enquête à faire pour s'assurer que, si c'est une erreur de bonne foi, bon, bien, quelle est l'erreur, on la corrige, on vous rentre dans le système. Mais, si c'est... c'est une fausse identité, là il faut investiguer plus, il faut... il faut... il faut qu'il y ait des démarches qui soient... qui soient prises pour aller un petit peu plus loin.

Mme Caron : Et, M. le ministre, vous avez dit qu'il y avait 7 %... dans 7 % des cas... Est-ce que c'est ce que j'ai compris, qu'il y avait un manque de cohérence dans les...

M. Caire : Dans... Oui, oui, oui. Dans la création du registre d'attribut d'identité du gouvernement, dans 7 % des cas, on avait des erreurs qui étaient pratiquement exclusivement des erreurs de bonne foi, là.

Mme Caron : Mais est-ce qu'on parle de 7 % de 9 millions d'identités?

M. Caire : Non, non, non. On parle de... Là, je n'ai pas les derniers chiffres, là. À ce moment-là, on avait 1 million de comptes. Ça fait que c'est 7 % de ça.

Mme Caron : D'accord. Donc, ça veut dire qu'il faut... il faut procéder à une enquête chaque fois, communiquer avec le citoyen, pour vérifier son identité. Mais ça peut prendre combien de temps, une enquête comme ça?

M. Caire : Je ne saurais pas vous dire.

Mme Caron : O.K. Puis là, est-ce que ça a été fait pour les 7 % de cas?

M. Caire : Oui, oui, oui.

Mme Caron : Ça a été fait pour ceux-là?

M. Caire : Oui. C'est pour ça, je dis : Je n'ai pas les derniers chiffres, mais je pense que plus on avance, moins on rencontre de cas.

Mme Caron : D'accord. Alors, très intéressant. Je vous remercie, M. le Président.

Le Président (M. Simard) : Alors, nous poursuivons par l'étude de l'article 10.5, M. le ministre.

M. Caire : Oui, M. le Président.

Le Président (M. Simard) : On en avait déjà fait lecture, peut-être simplement les commentaires, éventuellement.

M. Caire : Parfait, M. le Président. Donc, le premier alinéa de l'article 10.5... proposé, pardon, donne au ministre de la Cybersécurité et du Numérique la responsabilité de fournir aux organismes publics les services relatifs à l'identité numérique nationale que ce dernier détermine dans son offre de services en ressources informationnelles conformément au troisième alinéa de l'article 4 de la Loi sur le ministère de la Cybersécurité et du Numérique (chapitre M-17.1.1).

Le deuxième alinéa de l'article 10.5 proposé prévoit l'obligation pour un organisme public de recourir aux services relatifs à l'identité numérique nationale que fournit le ministre et autorise le gouvernement à soustraire un tel organisme de cette obligation advenant à une situation particulière.

Le Président (M. Simard) : Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : Oui, merci, M. le Président. Donc, ici, c'est un peu le même principe que ce qui existe à l'article 4, mais qui modifiait à l'article 6, disons. C'est les... C'est les services qui sont fournis par le ministre. Non, en fait, c'est... Oui, c'est à l'article 4, je pense bien, effectivement, on fait référence à l'article 4.

M. Caire : Sur le courtier?

Mme Setlakwe : Oui, sur le courtier. Ça ressemble à ça. C'est l'offre de services. Donc vous allez offrir des services aux organismes publics.

M. Caire : C'est ça. Mais là, en fait, c'est là où on rend l'utilisation de l'identité numérique nationale obligatoire, au deuxième alinéa, là. C'est... C'est...

M. Caire : ...obligation maintenant qui est légale, là.

Une voix : ...

M. Caire : Pour les... Oui, oui, oui, toujours pour les organismes publics du gouvernement du Québec...

Mme Setlakwe : Oui. Donc, vous...

M. Caire : ...soumis à la LGGRI. Non, mais c'est important parce que, par exemple, Hydro-Québec n'est pas soumise à la LGGRI. Donc, Hydro-Québec n'aurait pas l'obligation de recourir au service.

Mme Setlakwe : Et pourquoi vous avez prévu que le gouvernement peut... «le gouvernement peut toutefois soustraire un organisme public à cette obligation»? Vous devez avoir des exemples en tête.

M. Caire : Oui, absolument. Parce que, dans certains cas, puis là ça fait référence à une discussion qu'on a eue, vous et moi, M. le Président, il y a des... il y a des systèmes, il y a des services, par exemple... je donne un exemple, ça peut être d'autre chose, là, mais ça, c'est un exemple plus concret, où le service d'authentification et d'identification est tellement intégré à la prestation de service que c'est impossible de débrancher les deux. La seule solution dans ce cas-là, c'est d'attendre la fin de la vie utile du service en question. Or, là, on dit : Bien, de par la loi, tu n'as pas le choix, tu dois utiliser l'identité numérique nationale, sauf que, techniquement, c'est impossible. Donc, dans un cas comme celui-là, on pourrait soustraire l'organisme de cette obligation-là.

Mme Setlakwe : Donc, les deux sont... l'identité numérique et la prestation de service électronique, ils peuvent... ils sont indissociables?

M. Caire : Bien oui, oui, parce que ça prend... il faut... vous devez vous identifier ou vous authentifier avant de recevoir une prestation électronique de service.

Mme Setlakwe : Et, dans ce cas, l'organisme en question n'est pas tenu de recourir au service que vous, vous fournissez?

M. Caire : Pas s'il a l'exemption.

Mme Setlakwe : Est-ce que vous avez un exemple en tête?

M. Caire : Oui. Bien, je n'ai pas le système, mais, dans un cas, ce qu'on m'a rapporté... vous comprendrez que je n'ai pas une connaissance fine du système en question, ce qu'on m'a rapporté, c'est que le service d'authentification fournit ce qu'on appelle la clé primaire, ce qui veut dire que, lorsque vous vous identifiez, c'est un petit peu ce que je vous expliquais avec le numéro d'identité du... Ça, c'est ce qui nous permet de retrouver les informations qui vous concernent à travers différents... différents endroits sur une banque de données. Dans ce cas-ci, c'est le service d'authentification qui le fournit, ce qui veut dire que toutes les informations relatives à ce système-là sont rattachées à cette clé-là qui émane du service d'authentification. Alors, vous comprendrez qu'on ne peut plus les déconnecter, là, ils sont trop intrinsèquement liés, là. Technologiquement, là, c'est...

Mme Setlakwe : Et ça demeure exceptionnel?

M. Caire : Ça demeure exceptionnel.

Mme Setlakwe : Et quel sera le... Comment le gouvernement va faire... va rendre compte de ces exceptions-là, de ces dispenses-là?

M. Caire : Bien, en fait, c'est : les ministères et organismes vont nous faire une demande d'exemption. Cette demande-là devra être, évidemment, argumentée, devra être documentée, pourquoi l'exemption. Puis après ça, bien, on pourra décider si on donne l'exemption ou non.

Des voix : ...

Mme Setlakwe : La procédure, elle est prévue?

M. Caire : Oui, oui, bien, ce maître... Bien, vas-y, là.

Le Président (M. Simard) : ...Bacon.

Mme Bacon (Nathalie) : M. le Président, pour soustraire un organisme public, ça va prendre un décret, parce que le... quand on dit : «Le gouvernement peut toutefois soustraire un organisme public», ça veut dire qu'il doit y avoir un décret, et nécessairement vous retrouverez un mémoire. Ils sont disponibles, là, sur quebec.ca.

Mme Setlakwe : Merci. Ça va pour moi pour l'instant.

Le Président (M. Simard) : Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Est-ce que ça veut dire que... Parce que M. le ministre a dit que l'organisme public en question devrait demander une exemption. Alors, est-ce que ça veut dire qu'il y a comme une date limite qui est prévue pour que les ministères et organismes se soumettent ou non?

M. Caire : Non. Bien, c'est-à-dire qu'il y a... le... il n'y a pas de date prévue légalement. Donc, nous, dans la planification du projet, on planifie que, d'ici 2028, nous aurons fait l'ensemble des changements qui sont... qui sont requis pour instaurer l'identité numérique nationale. Et donc on peut penser que, s'il y a des exemptions...

M. Caire : ...à y avoir, ça va dépasser la date de 2028.

• (14 h 40) •

Mme Caron : D'accord. Donc, les...

M. Caire : Mais ce n'est pas... Légalement, il n'y a pas de point de rupture, là, c'est vraiment... Administrativement, dans notre planification, nous, on est là.

Mme Caron : D'accord. Donc, les organismes publics, ceux qui vont vouloir aller de l'avant, comme on a dit déjà cette semaine, chacun va déterminer son propre... sa propre feuille de route, disons, son...

M. Caire : C'est ça.

Mme Caron : ...sa planification, va s'adresser au ministère pour avoir accès ou être conseillé peut-être sur les produits offerts dans... par le courtier, là, dans le catalogue, réaliser son projet et tout ça. Mais il y en a qui, à un moment donné... Il va falloir qu'à un moment donné... que ce soit à... Je ne sais pas si le ministère de la Cybersécurité et du Numérique va aller les voir puis leur dire : Bien, est-ce que tu vas faire quelque chose bientôt ou pas du tout?, puis...

M. Caire : Bien, oui, oui, oui, parce que tous les ministères ont l'obligation de déposer un plan de transformation numérique. Donc, ça, c'est aussi prévu dans la LGGRI. Donc, cette planification-là, nous, on la reçoit, et donc effectivement on peut avoir une idée, là, de comment l'organisme va gérer les... ces situations-là.

Mme Caron : Et est-ce qu'à l'heure... À l'heure actuelle, est-ce que chacun des ministères et organismes soumis à la LGGRI a déposé un plan de transformation numérique?

M. Caire : Excusez-moi...

Mme Caron : Est-ce que chacun des organismes publics qui est soumis à la LGGRI...

M. Caire : Oui.

Mme Caron : ...a soumis son plan de transformation numérique?

M. Caire : Oui. Bien, en fait, chaque ministère, là, parce que ce n'est pas nécessairement... c'est vraiment un plan au niveau du ministère.

Mme Caron : Donc...

M. Caire : C'est un petit peu comme les plans stratégiques des ministères qu'on dépose au Conseil du trésor, bon, on a la même chose puis on a le pendant numérique, mais qui est déposé au ministère de la Cybersécurité et du Numérique.

Mme Caron : D'accord. Alors, est-ce que ça veut dire que c'est comme environ 23 plans?

M. Caire : Oui, ça... 24, 25, là, parce qu'il y a des ministères qui sont comme... C'est Emploi et Solidarité Sociale, j'ai deux collègues, mais c'est...

Mme Caron : Un même plan?

M. Caire : Oui, c'est ça, c'est un même plan, oui.

Mme Caron : C'est ça, un même plan. Oui, je comprends, O.K., disons une vingtaine de plans. Alors... Donc, s'ils sont déjà déposés, je comprends que ça vous permet un peu de viser 2028 pour une mise en oeuvre.

M. Caire : Oui. Oui, puis je vous dirais que, si on ne retrouve pas maintenant des éléments dans le plan qui concernent ces situations particulières là, bien, dans les prochaines éditions, ça nous permet de dire : Un instant, là, tu n'as pas planifié ça, il faudrait que tu commences à le planifier. Donc ça, ça nous permet aussi de faire... d'anticiper les planifications puis dire : Y a-tu pensé?, puis ça nous permet aussi... dans un cas comme celui-là, ça pourrait nous permettre de dire : Bien, n'oublie pas de demander une dérogation, parce que, comme le rappelait Me Bacon, il y a un décret de service obligatoire au niveau du SAG, et là, maintenant, il va y avoir une obligation légale sur l'identité numérique nationale, donc il faut que les ministères et organismes se gouvernent en conséquence.

Mme Caron : C'est ça. Donc, on comprend que normalement les ministères et organismes devraient prendre l'initiative de demander cette dérogation, mais ça n'empêcherait pas, dans le cas d'une omission volontaire ou involontaire, ce qui pourrait être étonnant, là, mais admettons, dans le cas d'une omission, ça n'empêcherait pas le ministre de la Cybersécurité et du Numérique d'être proactif à leur endroit...

M. Caire : Tout à fait, tout à fait.

Mme Caron : ...et de dire : On ne voit pas, dans le plan... comme vous avez dit tout à l'heure. Alors, quand est-ce que vous pensez que ça va venir dans le plan?

M. Caire : Commencer à y penser, exact.

Mme Caron : Est-ce que ces plans-là sont sur trois ans, les plans de transformation numérique?

M. Caire : C'est-tu quinquennal, mais avec une révision aux trois ans? Quelque chose comme ça. Je vais vous... Je vais le... C'est dans la loi, Mme la députée, on va vous le trouver.

C'est calme, hein?

Mme Bacon (Nathalie) : Je pense que c'est annuel.

M. Caire : Oui. Bien, il est mis... il y a une mise à jour annuelle, mais il me semble que le plan est quinquennal. Mais je vais fouiller…

Mme Caron : Ça va. Merci, M. le Président, ça va. Il y a un suivi de ces plans-là, et...

M. Caire : Oui.

Mme Caron : ...donc, est-ce qu'on retrouve le niveau d'avancement du plan dans le rapport de gestion?

M. Caire : Oui. Et ça, c'est soumis au chef gouvernemental de la transformation numérique. Donc, c'est lui qui reçoit les plans, c'est lui qui les évalue, qui les approuve et qui s'assure du suivi qui est fait de ces plans-là.

Mme Caron : De la même manière que le Conseil du trésor va approuver les plans stratégiques des ministères?

M. Caire : C'est ça. Mais c'est qu'il y a un officier qui a été institué par la loi n° 95 en 2021, il y a un officier au sein du ministère dont c'est la responsabilité.

Mme Caron : D'accord, je comprends. Merci.

Alors, quand on dit que dans... toujours sur l'article 10.5, que le ministre fournit aux organismes publics... 

M. Caire : ...la responsabilité.

Mme Caron : D'accord, je comprends. Merci. Alors, quand on dit que, dans... toujours sur l'article 10.5, que «le ministre fournit aux organismes publics les services relatifs à l'identité numérique nationale qu'il détermine dans son offre de services...», donc ce qu'il détermine, c'est que le ministre détermine, «...dans son offre de services en ressources informationnelles». Alors, si je me fie à la définition de «ressources informationnelles», dont on a parlé il y a quelques jours, c'est-à-dire que c'est l'ensemble des ressources matérielles, informatiques, etc., cette offre de services comprend à la fois les acquisitions, dont il est question à l'article 4 du projet de loi, et aussi l'expertise ou les services que le ministère... que les experts du ministère peuvent offrir aux ministères et aux organismes.

M. Caire : Oui.

Mme Caron : Parfait. Ensuite, on dit qu'«un organisme public est tenu de recourir aux services visés au premier alinéa — donc les mêmes dont on avait parlé — aux conditions déterminées par le ministre.» Les conditions déterminées par le ministre, ça fait référence à quoi?

M. Caire : Bien, c'est un petit peu ce qu'on disait, par exemple, avec Me Bacon. Dans l'utilisation de l'identité numérique nationale, par exemple, si je vous transmets des renseignements sur la personne qui s'est identifiée, authentifiée, bien, comment vous traitez ça? Est-ce que je vais vous les transmettre ou est-ce que je vais tout simplement valider, ce que je disais hier, par l'envoi d'un jeton qui vient confirmer que... Par exemple, je dis : Moi, la personne que tu me demandes d'identifier, puis je ne t'en dis pas... Chez nous, là, c'est valide, c'est correct. Donc, je peux dire : Bien, moi, je ne te donnerai pas plus que ça. Par contre, dans certains cas, on pourrait dire : Bien, O.K., dans ton cas à toi, je pourrais peut-être te transmettre le nom, le prénom, par exemple, parce que, dans une session de travail, ce sont des éléments qui sont utiles et ce sont des éléments qui visent à donner des services aux citoyens. Donc, dans l'offre de services, les conditions pourraient être : O.K., toi, je peux faire ça, toi, je ne ferai pas ça.

Mme Caron : D'accord. Donc, quand on parle de conditions déterminées par le ministre, ça n'a rien à voir avec les modalités selon lesquelles les services sont offerts ou les biens sont acquis, selon l'article 4, là?

M. Caire : Non, c'est vraiment strictement sur l'identité numérique nationale.

Mme Caron : D'accord. Et puis... Bon, on a déjà parlé avec ma collègue de la phrase suivante : «Le gouvernement peut toutefois soustraire un organisme public à cette obligation.»

M. Caire : Mme la députée, la stratégie, c'est aux quatre ans. J'avais dit cinq, mais c'est quatre ans. Et la mise à jour se fait annuellement. C'est l'article 4... Ah! c'est... Non, c'est le décret, ça?

Des voix : ...

Mme Caron : ...manqué un petit bout. Donc, la stratégie aux quatre ans puis le plan est mis à jour annuellement.

M. Caire : Puis le plan, il est annuel. Oui.

Mme Caron : C'est ça, annuellement, ce qui permet de suivre ça plus rapidement...

M. Caire : Plus serré.

Mme Caron : ...plus fréquemment que... d'accord. Maintenant, l'autre point que je voulais apporter à notre attention, toujours dans le mémoire de l'AQT, sur l'article 10.5, M. le Président, on nous dit... on nous demande comment le projet de loi garantit que les ministères et organismes publics disposeront des ressources nécessaires pour respecter les nouvelles obligations en matière d'identité numérique et de cybersécurité. Alors, si je fais... si je fais le lien avec leur stratégie ou leur plan annuel puis leur utilisation du courtier numérique et des services, et tout ça, c'est sûr que ça va coûter quelque chose aux ministères. Alors, est-ce que le ministère de la Cybersécurité et du Numérique a le pouvoir ou le désir de s'assurer que les ministères vont avoir les ressources nécessaires pour procéder ou si c'est à chaque ministère de faire sa planification financière et de ressources humaines, tout ça en fonction...

M. Caire : Tout à fait. Chaque ministère fait sa planification financière et va faire ses demandes au ministère des Finances. Puis c'est le... L'octroi des budgets est une responsabilité exclusive du ministre des Finances.

Mme Caron : Oui, tout à fait. Donc, admettons qu'il y a un ministère qui n'a pas produit…

Mme Caron : ...qui n'a... qui n'a pas... qui n'a pas été de l'avant encore, on a dit : Bon, bien là, on peut toujours lui demander. Admettons que le ministère dit : Bien, c'est parce que je veux bien aller de l'avant avec l'identité numérique, mais je manque de ressources ou je n'ai pas... il est arrivé telle chose ou un imprévu, en tout cas, puis j'ai dû utiliser mon budget pour... et puis là, rendu... je suis rendu en 2028, mais je ne peux toujours pas le faire. Est-ce qu'à ce moment-là le ministre de la Cybersécurité et Numérique peut faire quelque chose ou...

• (14 h 50) •

M. Caire : Écoutez, je dirais, de façon générale, non, de façon générale, non. Chaque ministère et organisme est responsable de la planification, de la gestion de l'ensemble de ses projets. C'est... C'est... C'est vrai pour les projets en ressources informationnelles, mais c'est vrai aussi pour sa prestation de services, etc. Dans certains cas... puis là, je ne devrais pas dire ça parce que je vais recevoir plein de demandes, là, mais dans certains cas très précis, il y a effectivement un fonds d'urgence qui peut nous permettre, dans des situations extrêmement particulières où là, il faut... il faut... il faut intervenir, il y a un fonds d'urgence qui va nous permettre de faire ça. Mais ce n'est pas... ce n'est pas dans le cas où un ministère... Bon, bien, tu sais, je me suis trompé dans ma planification, ou bien, finalement, je ne vais pas prioriser tel projet, je vais plutôt prioriser tel autre projet, ça fait que je vais mettre les sous là, puis là, bien là, je ne pourrai pas faire ce projet-là. On n'est pas là-dedans, là, on n'est pas là-dedans. S'il arrivait, par exemple, inondation dans un centre de stockage, comme on a vécu au ministère des Transports il y a une dizaine d'années, il faut remonter ça, là. On n'est pas... On ne peut pas laisser ça comme ça, là, je veux dire, c'est... c'est... c'est catastrophique. Donc, dans des situations comme celle-là, on pourrait intervenir.

Mme Caron : Et, ça, il s'agit de fonds d'urgence au ministère de la Cybersécurité et du Numérique?

M. Caire : Oui, oui, oui.

Mme Caron : D'accord. Mon autre question en lien avec l'article 10.5 posée par l'AQT. Bien, on a déjà parlé de systèmes informatiques, là, qui existent, qui sont... qui sont hétérogènes, là, où il n'y a pas d'interopérabilité entre les systèmes d'un ministère et d'un autre. Et ce que... En fait, la question qu'on... qui était posée, c'est : Quel mécanisme doit être mis en place pour assurer cette interopérabilité qui est nécessaire? Est-ce que c'est par l'utilisation de l'authentification de l'identité numérique qu'on va…

M. Caire : Bien, dans le cas que vous apportez ou que l'AQT apporte, non. L'identité numérique, oui, c'est une standardisation des systèmes d'authentification, mais là, on est plus dans la plateforme de développement moderne dont je vous parlais quand on a parlé du courtier en infonuagique, de s'assurer justement que l'environnement de développement est le même pour tout le monde, avec les mêmes outils. Et donc ça va être beaucoup plus facile de faire appliquer les normes, les standards de développement qui vont rendre effectivement les systèmes interopérables.

Mme Caron : D'accord. Merci. Et je pense que ça faisait le tour pour moi, M. le Président.

Le Président (M. Simard) : Très bien. Mme la députée de Mont-Royal-Outremont.

Mme Setlakwe : J'aurais peut-être une dernière question sur le 10.5 avant de soumettre un amendement. Là, on comprend que les services vont faire partie du catalogue. On a... On a parlé du fait qu'on a un lien avec le troisième alinéa de l'article 4. Ma question, c'est : Est-ce que tout le régime de l'article 5 s'applique aussi à l'offre de services aux organismes publics dans le cadre de 10.5?

Une voix : ...

M. Caire : Oui. Je...

Mme Setlakwe : L'article 5.

M. Caire : Peut-être préciser votre question, s'il vous plaît.

Mme Setlakwe : Bien, c'est parce que le régime général, aux articles 4 et 5, qui traitent du catalogue et des services qui sont offerts aux organismes publics, est-ce qu'il s'applique dans... entièrement? Comme l'article 5, est-ce qu'il s'applique aux services qui sont fournis en vertu de l'article 10.5?

M. Caire : Bien...

Une voix : ...

M. Caire : Oui, vas-y, vas-y.

Mme Bacon (Nathalie) : L'article... Quand vous dites l'article 5, c'est... c'est... c'est...

Mme Setlakwe : L'article 5 actuel qui a été modifié légèrement par l'article 2. Il y avait une modification de concordance.

M. Caire : Il y avait une concordance. Oui.

Mme Setlakwe : Mais qui est... qui est vraiment en lien avec l'article 4.

Mme Bacon (Nathalie) : Excusez-moi, je suis mêlée, je suis vraiment mêlée. Je pense que vous parlez de l'article 6, qui est le courtier, alors l'article 5 du projet de loi n° 82, qui modifie l'article 6 de la LMCN. C'est-tu ça?

M. Caire : L'article 4, c'est sur le courtier.

Mme Setlakwe : Non, je m'excuse, on n'est pas dans le courtier. On est à l'article 4. D'ailleurs, 10.5, au premier alinéa, fait référence à l'article 4.

M. Caire : L'article 5, c'est sur... Puis, l'article 4, c'est d'ajouter «le ministre peut fournir des services».

Mme Bacon (Nathalie) : Oui...

M. Caire : ...visés aux articles», puis là on rajoute 10.5. Donc, la réponse à votre question, Mme la députée, c'est oui, puisqu'on a rajouté 10.5 dans la nomenclature des... de l'offre de service.

Mme Bacon (Nathalie) : Mais ce n'est pas en lien avec le courtier, c'est en lien avec...

M. Caire : Non, c'est en lien avec l'offre de service.

Mme Bacon (Nathalie) : ...l'offre de service, c'est-à-dire la clientèle privée du ministre...

M. Caire : Qui est définie à 5.

Mme Bacon (Nathalie) : ...qui est définie à l'article 7 de sa loi constitutive, modifié par 5 du p.l. 82, où qu'on vient prévoir à cette clientèle privée là l'ajout des services en identité qui est prévu à 10.5.

Mme Setlakwe : Je suis désolée si j'ai parlé de l'article 6. Je ne voulais pas vous induire en erreur en parlant du courtier.

M. Caire : C'est parce que, des fois, on se mélange entre l'article du projet de loi puis l'article de la loi qu'on modifie.

Mme Setlakwe : Oui... Non... Effectivement. Non...

M. Caire : Ça fait que c'est correct, Mme la députée, nous autres aussi, on fait le...

Mme Setlakwe : On parle des articles 4 et 5 ici.

M. Caire : De la loi 82. Donc, l'article 4 de la loi qui modifie le courtier, l'article 5 qui intègre... intègre 10.5 à la nomenclature des services fournis par le ministre.

Mme Setlakwe : Mais je pense que, quand on réfère à l'article 4 dans l'article 10.5, c'est bien l'article 4 qui a été modifié par l'article 1.

Mme Bacon (Nathalie) : C'est l'article 4. Là, nous sommes l'article 10.5, là. Il faut vous imaginer qu'il est à la LMCN, dans la loi constitutive du ministère.

Mme Setlakwe : Absolument.

Mme Bacon (Nathalie) : Donc, c'est au troisième alinéa de l'article 4 du chapitre M-17.1.1, non 4 de p.l. 82.

Mme Setlakwe : Je pensais que le 4 du... le 4 qui a été modifié par l'article 1, c'est le 4 dont on... auquel on fait référence à 10.5. Je me trompe complètement? Parce que, pourtant, le troisième alinéa de l'article 4 parle d'une offre de service. Non?

Mme Bacon (Nathalie) : À l'article 4…

Le Président (M. Simard) : Alors, maître, si ça ne vous dérange pas, on va suspendre momentanément afin de pouvoir clarifier les choses.

(Suspension de la séance à 14 h 57)

(Reprise à 15 heures)

Le Président (M. Simard) : Alors, voilà, nous sommes en mesure de pouvoir reprendre nos travaux, en espérant que cette petite pause nous permettra d'éclairer au mieux la poursuite de nos échanges. Maître Bacon.

Mme Bacon (Nathalie) : Oui. Donc, nous sommes à l'étude de l'article 10.5...

Mme Bacon (Nathalie) : ...qu'on introduit à la loi sont le... du ministère par l'article 6. Alors, l'article 4, dont il est question, premier alinéa de 10 .5, c'est l'article 4 de la loi sur le ministère. Donc, on fait référence effectivement à l'offre de services du ministre.

Mme Setlakwe : Tout à fait. Oui. Non, effectivement, et moi, ma question, c'était... Donc, on fait référence à un régime qui existe déjà, qui est prévu à l'article 4, dont le troisième alinéa... on dit : «Le ministre détermine par écrit son offre de services.» Son offre de service va inclure aussi les services qui sont visés à 10.5, nouvellement introduit.

Mme Bacon (Nathalie) : Oui.

Mme Setlakwe : Très bien. Et là on dit que le ministre va en faire la description, il va en fixer la nature, l'étendue, les conditions d'utilisation, incluant ce qui a trait aux responsabilités du ministre et des utilisateurs, ainsi que les autres modalités, etc. Tout ça s'applique aux services qui sont rendus en vertu de... du premier alinéa de 10.5.

Mme Bacon (Nathalie) : Oui, exactement.

Mme Setlakwe : Et ma question, c'était : Est -ce que les dispositions de l'article 5, qui vient tout de suite après l'article 4, s'appliquent également ?

Mme Bacon (Nathalie) : Les dispositions de l'article...

Mme Setlakwe : Loi sur le MCN.

Mme Bacon (Nathalie) : De l'article 5...

Mme Setlakwe : ...qu'on a modifié légèrement dans le projet de loi via l'article 2.

Des voix : ...

M. Caire : Puis là tu disais : Le troisième alinéa... vous disiez, Mme la députée, le troisième alinéa?

Mme Setlakwe : Le texte de l'article 5 dit : «Pour l'application de l'article 4, le ministre doit plus particulièrement...», et là il y a six paragraphes qui énoncent ce que doit faire le ministre. Assurer l'accessibilité des services en infrastructures technologiques, assurer l'adéquation des services avec les besoins des organismes, optimiser les coûts, mettre en place les processus de gestion, veiller au respect, au maintien des normes, contribuer à l'émergence de pratiques de gestion, les technologies exemplaires, etc. Est -ce que ce régime, qui est prévu à l'article 5, s'applique aux services qui sont rendus en vertu de l'article 10.5 ?

Mme Bacon (Nathalie) : La... tout ce qui est énuméré à l'article 5 de la loi constitutive du ministère, ce sont des grandes responsabilités du ministre qui s'appliquent dans tous ces contextes, y compris dans le contexte de services.

Mme Setlakwe : C'est juste que le début dit : Pour l'application de l'article 4, voici ce que doit faire le ministre de façon plus particulière.

Mme Bacon (Nathalie) : Dans le contexte de sa mission de fourniture de services, effectivement.

Mme Setlakwe : Donc, ça s'applique ?

Mme Bacon (Nathalie) : Oui, ça s'applique. Excuse, j'ai été lente.

Mme Setlakwe : Non, non, pas du tout, parce que c'est vrai que le… mais donc dans... le ministre qui rend des services aux organismes publics relativement à l'identité numérique nationale, on doit se référer aux articles 4 et 5, entre autres.

Mme Bacon (Nathalie) : Oui, oui.

Mme Setlakwe : Merci.

Le Président (M. Simard) : D'autres remarques? Je croyais comprendre, chère collègue, que vous auriez éventuellement un amendement. Est-ce que ce serait tout de suite?

Mme Setlakwe : Oui, mais donc, juste pour compléter à l'article 5...

Le Président (M. Simard) : Je vous en prie.

Mme Setlakwe : ...ce sont des... c'est l'étendue des services qui vont être rendus par le ministre aux organismes publics aux fins de l'identité numérique nationale.

Mme Bacon (Nathalie) : C'est des responsabilités du ministre qui viennent bonifier son offre de services, dans le contexte de son offre de services. Donc, beaucoup de soucis que vous aviez au niveau des... que ce soit efficace, que ce soit facile, simple pour les citoyens, se retrouvent à l'article 5.

Mme Setlakwe : Bien, c'est ça, je voyais que, dans l'article 5, il y avait quand même plusieurs obligations, oui, qui semblent être évolutives.

Mme Bacon (Nathalie) : Oui.

Mme Setlakwe : Je pense que c'est une bonne chose que l'article 5 s'applique, oui. Bon, bien, l'article 5 s'applique. J'ai réponse à ma question. Merci. Donc, il resterait simplement à discuter d'un amendement, M. le Président.

Le Président (M. Simard) : Je vous en prie, madame. Alors, il est déjà déposé sur Greffier. Je vous propose d'en faire la lecture. Après quoi, nous suspendrons momentanément nos travaux.

Mme Setlakwe : Oui, donc on propose de : Modifier l'article 10.5 de la Loi sur le ministère de la Cybersécurité et du Numérique, tel que proposé par l'article 6 du projet de loi, par l'ajout, à la fin du deuxième alinéa, de «et le ministre en fait rapport à l'Assemblée nationale».

L'idée, bon, M. le Président, le... on a bien compris dans le cadre de nos échanges relatifs à l'alinéa 2 qu'il y avait un pouvoir exceptionnel du gouvernement de dispenser ou de soustraire un organisme public à l'obligation de recourir aux services prévus au premier alinéa de l'article 10.5. On nous a expliqué que, dans certains cas, les systèmes sont indissociables et qu'on a... et que, donc, on... il est opportun de soustraire l'organisme public de l'obligation de recourir aux services. Donc, on demande simplement qu'il y ait une reddition de comptes.

Le Président (M. Simard) : Très bien. J'entends très bien ça. On pourra poursuivre le débat. Peut -être simplement suspendre momentanément le temps de permettre au ministre...

Le Président (M. Simard) : ...Ça va? Vous êtes prête à prendre tout de suite... prendre la parole? Bon, bien, alors on va laisser notre collègue quand même d'Outremont peut-être poursuivre son intervention.

Mme Setlakwe : Oui. Donc, l'objectif visé est de... on a compris que c'était exceptionnel de... de soustraire un organisme public de cette obligation, parce qu'on a compris aussi, dans le cadre des discussions plus larges, que là... que le ministre cherche à assurer une uniformité de... une uniformité au niveau de l'application des meilleures pratiques, au niveau de l'application des différents services pour des fins de sécurité et autres. Et là, on a compris que, de façon exceptionnelle, le gouvernement peut soustraire un organisme public à l'obligation de recourir aux services qui sont offerts par le MCN. C'est exceptionnel. On a compris que ça se ferait par décret. Et notre ajout vise à obliger le ministre à en faire rapport à l'Assemblée nationale. Simplement, c'est une question de reddition de comptes et de... et que ce soit noté à quelque part, que ce soit en fait rapporté à l'Assemblée nationale qu'on a utilisé ce pouvoir exceptionnel.

M. Caire : Bien, d'abord, soustraire un organisme à des obligations par décret, ce n'est pas un pouvoir exceptionnel, ça existe dans d'autres lois. Je... je vous faisais référence justement au décret de 2014 qui a soustrait la SAAQ à ses obligations d'autorisation en vertu de la LGGRI. Donc, c'est quelque chose qui... qui est déjà dans des dispositions. Maintenant, comme Me Bacon vous le disait, un organisme qui demanderait une telle... une telle... bien, d'être soustrait à cette obligation-là devra présenter un mémoire. Ça fera l'objet d'un décret. Ces deux documents-là sont déjà publics. Et le ministère de la Cybersécurité et du Numérique est déjà tenu de déposer son rapport annuel de gestion. Pour être tout à fait honnête avec vous, Mme la députée, je pense, puis je comprends votre point, mais je pense que ça fait déjà beaucoup de redditions de comptes pour un... pour un événement exceptionnel, là.

Mme Setlakwe : Donc, ce que vous dites, c'est que pour... pour qu'un organisme soit dispensé ou soit soustrait à l'obligation, il doit déposer un mémoire écrit.

M. Caire : Oui.

Mme Setlakwe : Et ensuite il y a un décret qui...

M. Caire : Du gouvernement.

Mme Setlakwe : Oui, du gouvernement qui est émis.

M. Caire : Oui.

Mme Setlakwe : Et que ces deux documents-là...

M. Caire : Sont publics.

Mme Setlakwe : ...sont publics.

M. Caire : Oui.

Mme Setlakwe : Et que les deux documents sont... ou en tout cas, de quelle façon est-ce que l'information se retrouve dans le rapport annuel de gestion?

M. Caire : Bien, nous, on a une obligation à la fin de l'année. Alors, ce que je veux dire, c'est que... parce que vous m'amenez sur le principe de la reddition de compte. Sur le grand principe de la reddition de compte, je vous dis, il y a déjà le rapport annuel de gestion que le ministère doit déposer annuellement. Sur cet élément-là spécifique, il y a l'obligation pour un organisme qui demande une telle… en fait, qui demande d'être soustrait à cette obligation-là, il y a le mémoire qui va vraiment expliquer le pourquoi de la démarche. Et ensuite, il y a le décret si le gouvernement, évidemment, donne cette... cette soustraction-là. Comment on dit ça?

Une voix : Soustraction.

M. Caire : Cette soustraction-là...

Une voix : Dérogation.

M. Caire : C'est dérogation. Merci. Donc, si le gouvernement accorde cette dérogation-là, le décret, il est publié à la Gazette officielle, donc il est public, puis le mémoire aussi. Donc, vous avez déjà une reddition de comptes publique qui se fait dans un cas très spécifique. Donc, rajouter un élément particulier de reddition de compte, je pense qu'on a déjà les... les outils nécessaires en place.

Le Président (M. Simard) : Merci.

Une voix : Les services, à ce moment-là, c'est parce que vous dites qu'ils sont... que l'identité numérique puis le... la prestation de services... la prestration électronique de services sont indissociables. Mais vous n'avez pas l'intention d'octroyer cette… de... mais ce n'est pas vous, en fait, c'est le gouvernement, là. Mais ce genre de... de dérogation va demeurer exceptionnel, c'est ce qu'on a compris.

M. Caire : Tout à... bien oui, absolument, parce que mon intention, c'est de rendre l'identité numérique nationale unique, le seul service. Alors, comme je vous disais, Mme la députée, on a déjà un décret du gouvernement qui rend le SAG obligatoire, le Service d'authentification gouvernementale. Donc, on manifeste clairement envers nos ministères et organismes notre intention de dire : À terme, ce sera la seule façon pour le citoyen de s'identifier et de s'authentifier pour accéder à une prestation électronique de services. Et là, on vient faire une obligation légale au niveau de l'identité numérique nationale. Donc, oui, vous êtes... vous avez une bonne lecture, en disant que notre intention, c'est de.... C'est juste qu'on sait que ces situations vont se présenter...

M. Caire : ...vous avez une bonne lecture en disant que notre intention, c'est de... C'est juste qu'on sait que ces situations-là vont se présenter. Ce faisant, on sait qu'il y a des ministères ou des organismes qui vont se retrouver dans une illégalité pour des raisons techniques, donc il faut prévoir de les soustraire à cette illégalité potentielle là, mais pas de les soustraire de l'obligation d'utiliser l'identité numérique nationale.

• (15 h 10) •

Mme Setlakwe : Très bien. Merci.

Le Président (M. Simard) : Y aurait-il d'autres commentaires concernant l'amendement apporté à l'article 10.5? Sans quoi nous allons procéder à sa mise aux voix. Cet amendement est-il accepté?

Des voix : ...

Le Président (M. Simard) : Il est donc rejeté. Et nous poursuivons notre étude. Nous en sommes toujours à l'article 10.5. Y aurait-il d'autres remarques? Bien. Alors, nous poursuivons et nous serions rendus au sous-article, en fait, 10.6.

M. Caire : Je ne refais pas la lecture, M. le Président?

Le Président (M. Simard) : Le commentaire. Je vous invite à faire le commentaire seulement.

M. Caire : Parfait. Parfait. L'article 10.6 proposé attribue au ministre la fonction d'agir comme source officielle de données numériques gouvernementales pour les besoins de l'identité numérique nationale dans le respect des dispositions applicables à une source officielle de données numériques gouvernementales désignées par décret pris conformément à l'article 12.14 de la Loi sur la gouvernance et la gestion des ressources informationnelles et des organismes publics et des entreprises du gouvernement (chapitre G-1.03).

Le Président (M. Simard) : Bien. Des remarques? Mme la députée de La Pinière.

Mme Caron : C'est un long article, M. le Président, alors je suis en train de regarder si ma collègue... Peut-être pour ne pas perdre de temps si ma collègue...

Le Président (M. Simard) : Avec plaisir. Je vous en prie, chère collègue.

Mme Setlakwe : Bien, moi aussi, je prenais quelques instants pour...

M. Caire : ...M. le Président, moi aussi, je prenais quelques instants pour le relire.

Le Président (M. Simard) : Alors, si vous voulez en faire une lecture exhaustive...

M. Caire : Est-ce que les collègues souhaitent ça ou...

Une voix : ...

M. Caire : Parfait.

Le Président (M. Simard) : Allez-y, M. le ministre.

M. Caire : Parfait, M. le Président. Donc, l'article 10.6 se lit comme suit : Le ministre agit d'office comme source officielle de données numériques gouvernementales aux fins prévues au présent chapitre. Dans l'exercice de cette fonction, le ministre recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels, lorsque cela est nécessaire. Le gouvernement précise les organismes publics qui doivent recueillir ces données auprès du ministre agissant comme source officielle de données numériques gouvernementales et les utiliser ou qui doivent les communiquer à ce dernier. Pardon. Il peut, à ces mêmes fins, confier à un organisme public toute fonction ou transférer une partie d'une fonction d'un organisme public à un autre. Les articles 12.16 et... 12.16, 12.19 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) s'appliquent au ministre agissant comme source officielle de données numériques gouvernementales avec les adaptations nécessaires. Au sens du présent chapitre, les données numériques gouvernementales sont le nom et les dates et lieux de naissance d'une personne physique ainsi que le nom de ses parents, le nom est les coordonnées d'une personne morale ou d'une société de personnes, tout autre renseignement que détermine le gouvernement.

Alors, voilà, M. le Président. Vous m'excusez pour les petites erreurs, là, il commence à être tard.

Mme Setlakwe : ...vraiment au cœur, là, du... de l'identité numérique nationale. Peut-être, M. le ministre, nous... juste nous vulgariser le processus. Puis c'est ici qu'on définit ce qu'on entend par données numériques gouvernementales, qui touchent non seulement une personne physique mais également une personne morale, ça, on en avait déjà parlé et... Mais revenons au premier alinéa, donc le fait que vous agissiez d'office comme source officielle de données numériques gouvernementales, ça, ce n'est pas un nouveau concept, là, il faut qu'on ait une source officielle de données numériques.

M. Caire : C'est-à-dire que le concept n'est pas nouveau, mais le fait que ce soit enchâssé dans la loi est nouveau. Parce qu'avec la loi n° 95 les sources officielles de données étaient nommées par décret, par le Conseil des ministres. Maintenant, cette fonction-là est attribuée au ministère par la loi. Donc, c'est vraiment une responsabilité légale du ministère.

Mme Setlakwe : O.K. Il n'y a pas d'enjeux. Donc, juste nous expliquer le processus par lequel les données vont être recueillies... c'est ça qu'on...

Mme Setlakwe : ...vous faites dans un premier temps. Donc, vous les recueillez vous-même ou vous les recueillez auprès de toute personne, c'est très large.

M. Caire : Oui, parce que ça revient un peu à ce qu'on disait initialement. Il peut arriver, puis dans un... Il peut... Excusez. Bien, il peut arriver dans l'utilisation des services qu'on va demander... Par exemple, le ministère de la Santé fait affaire avec un citoyen qui a une identité numérique. Le citoyen, pour des raisons x, il a... ne corrobore pas les données qui sont affichées sur le système. La personne qui donne la présentation de services dit : Ah non! Ça, tu n'as pas le bon numéro de téléphone, par exemple. Bon, O.K., est-ce que je vais modifier... Donc, nous... Puis ça, ça revient à la discussion qu'on avait avec Mme la députée de La Pinière sur la gestion des accès. Nous, il va falloir déterminer, est-ce que ces gens-là vont pouvoir modifier ces informations-là? Si oui, de quelle façon? Alors, il faut qu'on dise : Bon, bien, dans certains cas, est-ce que je peux autoriser... est-ce que je peux autoriser un organisme à collecter des informations en mon nom? Si oui, comment je gère ça? Alors, selon quelle norme, quelle priorité? Parce que si je suis le seul organisme à collecter de la donnée, bien, peut-être qu'à un moment donné ça va impacter sur la qualité du service au citoyen.

Mme Setlakwe : O.K. Et c'est là, pour revenir à la discussion qu'on avait plus tôt cette semaine, je pense que c'était peut-être hier, bon, les renseignements vont comprendre des renseignements personnels. Lorsque cela est nécessaire, et ça, c'est tout à fait conforme à ce qu'on a ailleurs dans le corpus législatif, là, sur...

M. Caire : ...

Mme Setlakwe : Oui, exact. Et là, c'est le gouvernement ensuite qui précise les organismes publics qui doivent recueillir ces données.

M. Caire : Oui. Ça se fait par décret du gouvernement. Donc, dans les faits, nous, on va faire une suggestion au gouvernement. Mais c'est justement... Ce n'est pas le ministère de la Cybersécurité tout seul dans son coin qui va prendre cette décision-là. Ça devra... Compte tenu que les organismes sont potentiellement sous la responsabilité d'un collègue, bien, il faut minimalement que le collègue en question approuve la décision. Puis la meilleure façon de s'en assurer, c'est de l'amener au conseil des ministres.

Mme Setlakwe : Et à quel moment dans le déploiement pensez-vous que vous allez pouvoir émettre un premier décret qui va lister les organismes publics qui vont pouvoir recueillir les données?

Une voix : ...

M. Caire : Oui. Parce que le décret... Le décret a été pris parce que le MCN est déjà source officielle de données, mais il est source officielle de données par décret. Donc, cette disposition-là existait déjà. Donc, le décret avait déjà été pris en fonction du fait que le MCN était source officielle de données par décret. Maintenant, on le fait par voie législative. Donc, il y a une disposition transitoire qui va faire en sorte que le décret va maintenant être pris en vertu de la loi, de la LGGRI, plutôt qu'en vertu de... du... Bien, en fait, de la LGGRI toujours, parce que c'est la même loi qu'on modifie, là.

Une voix : ...

M. Caire : Non, c'est la LLCN. C'est ça. Donc, il était pris en vertu de la LGGRI. Il sera pris maintenant en vertu de la LLCN.

Mme Setlakwe : Ça va être un transféré...

M. Caire : C'est ça. Ça va être un...

Mme Setlakwe : Et il y a combien d'organismes qui figurent à cette liste-là?

Une voix : Tous les organismes.

Mme Setlakwe : C'est tout.

M. Caire : Tous ceux qui sont soumis à la LGGRI. C'est à la LGGRI.

Mme Setlakwe : D'accord.

M. Caire : C'est tous ceux qui sont soumis à la LGGRI parce qu'il y a des organismes publics qui ne le sont pas. Les ordres professionnels ne sont pas soumis à la LGGRI?

Une voix : ...

M. Caire : Oui, c'est ça.

Mme Setlakwe : Oui. J'aurais une dernière question.

Le Président (M. Simard) : Je vous en prie.

Mme Setlakwe : En fait, là, on a prévu aussi que le gouvernement peut confier à un organisme public toute fonction ou transférer une partie d'une fonction d'un organisme public à un autre. O.K., mais il faut quand même qu'on reste toujours dans la famille des organismes publics soumis à la LGGRI. O.K. Bon. Puis là, au niveau de la définition de données numériques gouvernementales, un et deux, nom, date et lieu de naissance d'une personne physique...

Mme Setlakwe : ...ainsi que le nom de ses parents. Ça, c'est les informations qui figurent à notre carte d'assurance-maladie? Bien, les noms des parents.

• (15 h 20) •

M. Caire : Sauf le nom des parents, oui.

Mme Setlakwe : Non, mais les... ces informations-là, les noms des parents, bien, ils sont en lien avec la RAMQ, non?

M. Caire : Ils ne sont pas sur la carte d'assurance-maladie, le nom des parents?

Une voix : Non, sur la carte d'hôpital.

Mme Setlakwe : Oui, c'est ça.

M. Caire : Oui, c'est quand vous faites cette sympathique carte d'hôpital...

Mme Setlakwe : Ah! c'est ça.

M. Caire : ...mais pas sur la carte d'assurance-maladie.

Mme Setlakwe : Alors, pourquoi on a prévu le nom des parents?

M. Caire : Bien, c'est parce que...

Mme Setlakwe : Ah! le certificat de naissance.

M. Caire : Oui, bien, c'est parce que... oui, c'est ça, c'est qu'éventuellement, si vous voulez la carte d'assurance-maladie de vos enfants, si vous voulez le certificat de naissance de vos enfants, il faut qu'on soit capables... puis là, c'est technique, mais il faut que le registre soit capable de se consulter lui-même pour savoir il y a cet enfant-là qui est son parent, puis ce parent-là a-t-il des enfants?

Mme Setlakwe : Non, tout à fait. Et là, expliquez -nous le troisième paragraphe qui est très large, tout autre renseignement.

M. Caire : Bien, ça vient... Je suis... D'abord, vous dire qu'il faut toujours interpréter la LGGRI ou la LMCN en fonction de la loi n° 25. Donc, je ne peux pas collecter des renseignements à d'autres fins que ce pour quoi je les collecte. Donc, ce n'est pas... Il ne faut pas le voir comme un bar ouvert. Puis il y a même d'autres dispositions dans la loi au niveau de la façon de traiter les données puis de les utiliser.

Maintenant, pourquoi tout autre renseignement? Bien, parce que, dans un premier temps, aux fins de l'identification, il y a un potentiel que peut-être d'autres renseignements pourraient être essentiels pour identifier, authentifier le citoyen, d'une part.

Mme Setlakwe : ...pour rendre des services.

M. Caire : Et, éventuellement, pour rendre des services. Parce que l'idée, puis Me Bacon le disait, l'idée, c'est : Dites-le-nous une fois. Donc, ce qu'on souhaite, c'est de faire en sorte que le citoyen n'ait pas à répondre à des questions pour lesquelles on possède déjà la réponse. Donc, dans une perspective, par exemple, de compléter un formulaire en ligne, bien, est-ce qu'il serait possible de dire : Bon, bien, tel, et tel, et tel renseignement, avec le consentement de la personne, en expliquant ce que je veux faire avec et en les utilisant à cette fin-là et à cette fin-là seulement, bien, je pourrais compléter mon registre, transférer les informations en fonction de la gestion des accès et des privilèges dans une perspective de facilité le service. Donc, c'est pour ça qu'on met cette disposition-là. Ça va dans le sens un peu, là, de ce que j'expliquais.

Mme Setlakwe : O.K., mais... Oui, merci. Et vous avez dit qu'on doit interpréter cette disposition-là à la lumière ou, en fait, que la loi n° 25 s'applique, et donc incluant le critère de nécessité?

M. Caire : Incluant le critère de nécessité, absolument. Et, comme je disais, incluant aussi l'obligation, parce que c'est une discussion... Mme la députée de la Pinière, je pense que c'est avec vous qu'on avait cette discussion-là quand je disais ce que la loi prévoit, c'est que vous devez détruire un renseignement lorsque la finalité pour laquelle le renseignement a été collecté est complétée. C'est une obligation que vous avez de supprimer, de détruire le renseignement.

Mme Setlakwe : ...cette obligation-là?

M. Caire : C'est dans la loi n° 25, mais je ne pourrais pas vous dire quel article. Mais c'est dans la loi n° 25, c'est prévu dans la loi n° 25.

Mme Setlakwe : ...le cycle de vie.

M. Caire : C'est ça, exactement.

Mme Setlakwe : Ça ne sert à rien de le reproduire.

M. Caire : Voilà.

Mme Setlakwe : O.K., merci. Moi, ça va.

Mme Caron : ...M. le Président. Donc, la question que j'aurais, c'est au premier paragraphe, donc, de 10.6 : «Le ministre agit d'office comme source officielle de données numériques gouvernementales aux fins prévues au présent chapitre. Dans l'exercice de cette fonction, le ministre recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels lorsque cela est nécessaire.» Alors, dans la deuxième phrase, quand on dit : «Dans l'exercice de cette fonction, le ministre recueille, utilise ou communique des données numériques gouvernementales», est-ce qu'on doit comprendre que cette cueillette utilisation et communication de données numériques se fait à l'intérieur du système entre les... à partir des sources officielles de données, et non pas le ministre...

M. Caire : Bien, à l'intérieur des organismes publics qui utilisent l'identité numérique nationale, oui.

Mme Caron : D'accord. Parfait. Et ensuite, on dit, bon : «ou recueille, auprès de toute personne, des renseignements, incluant des renseignements...

Mme Caron : ...des renseignements personnels, lorsque cela est nécessaire». Donc, on doit comprendre... Ici aussi, j'imagine, comme dans les autres articles où on parle de personnes, ça peut être une personne morale ou une personne physique.

M. Caire : Tout à fait. D'ailleurs, vous l'avez dans la définition des paragraphes... paragraphe 2° : nom et coordonnés d'une personne morale ou d'une société de personnes.

Mme Caron : Effectivement. Et ça m'amène à la question parce que…

M. Caire : ...paragraphe?

Mme Caron : Bien, oui, un numéro, où il y a un numéro...

M. Caire : Non, mais je ne me suis pas… Bien, il y a un numéro, donc c'est un paragraphe.

Mme Caron : Non, c'est ça, oui

M. Caire : Non, mais je finis par me démêler.

Mme Caron : Mais je n'allais pas… je n'allais pas questionner, M. le ministre, sur le fait que ce soit un paragraphe ou un alinéa.

M. Caire : Merci, Mme la députée.

Mme Caron : J'allais simplement dire, effectivement, c'est prévu, donc, au numéro 2, paragraphe numéro 2, le nom et les coordonnées d'une personne morale ou d'une société de personnes. Pourquoi c'est nécessaire, là, de préciser morale... bien, physique ou morale, parce que… Non, excusez-moi. Je viens de répondre à ma propre question. En un, c'est les personnes physiques et puis, en deux, c'est la personne morale ou société...

M. Caire : C'est les entreprises, c'est ça.

Mme Caron : D'accord, d'accord. Parce que j'allais dire pourquoi là on le précise, alors qu'ailleurs on disait que «toute personne» voulait dire... Mais j'ai répondu à ma propre question en relisant, donc.

Mais l'autre question que j'ai à propos de «toute personne», puis probablement que j'aurais dû la poser en 10.2, mais on peut pas revenir en arrière. M. le ministre a mentionné que l'identité était une fonction régalienne de l'État, donc, d'accorder l'identité à un citoyen. Qu'est-ce qui arrive dans... pour l'utilisation numérique, pour l'identité, admettons, d'une personne qui réside sur le territoire du Québec, peut-être, depuis 10 ans, mais qui n'est pas citoyen canadien? Est-ce que ça vient faire une différence? Et la question suivante, dans le cas, par exemple, de personnes, de travailleurs saisonniers ou de personnes qui ont un permis de travail pour un an, deux ans, est-ce qu'on se dit : Bien, ces personnes-là, on ne peut pas leur accorder une identité, puisqu'ils ne sont pas des citoyens?

Alors, ils ne vont pas... Pour ces personnes-là, bien, ce sera les moyens d'identification habituels, ordinaires, qui existent depuis longtemps et qu'ils auront... qu'ils n'utiliseront pas l'identité numérique, parce que, comme non-citoyens canadiens et non résidents du Québec, ils utiliseront d'autres moyens pour s'identifier.

M. Caire : Bien, il n'y a pas d'obstacles légaux à leur donner une identité numérique nationale. L'obstacle serait... est la capacité à les identifier et les authentifier. Je vous donne un exemple. Une famille de réfugiés, je n'ai pas, dans un certain segment, je n'ai pas la capacité de vérifier leur identité, parce qu'il n'y a pas de papier, il n'y a pas de document. Bon, le gouvernement d'origine n'est peut-être pas nécessairement un tiers de confiance, c'est le moins qu'on puisse dire. Alors, je n'ai pas la capacité de les identifier et de les authentifier. Donc, à ce moment-là, c'est sûr que je suis dans l'impossibilité de leur procurer une identité numérique nationale, mais parce que je n'ai pas... je suis dans l'impossibilité de les identifier et de les authentifier.

Mais dans la mesure où, par exemple, quelqu'un vient ici, il a un permis de travail, bon, il travaille, paie des impôts, va faire une déclaration de revenus, même s'il n'est pas citoyen canadien, oui, je peux tout à fait lui fournir une identité numérique nationale.

Mme Caron : D'accord. Merci. Ça répond à ma question. Le deuxième alinéa : «Le gouvernement précise les organismes publics qui doivent recueillir ces données auprès du ministre agissant comme source officielle de données numériques gouvernementales et les utiliser ou qui doivent les communiquer à ce dernier. Il peut, à cette même fin, confier à un organisme public toute fonction ou transférer une partie d'une fonction d'un organisme public à un autre.»

Est-ce que, sur cette dernière phrase, quel genre de fonction pourrait être transféré à un organisme public... Dans la deuxième phrase du deuxième alinéa, où on dit «il peut, à ces mêmes fins, confier à un organisme public toute fonction ou transférer une partie d'une fonction d'un organisme public à un autre», qu'est-ce que ça englobe?

• (15 h 30) •

M. Caire : Fonction de recueillir des données, fonction de...

M. Caire : ...de... Hein?

Une voix : ...

M. Caire : Oui, ou fonction de valider la donnée, on parlait d'assurer la qualité et la cohérence de la donnée. Ça peut faire partie. Par exemple, je vous donnais l'exemple d'un citoyen dont le nom pourrait être orthographié différemment dans deux banques de données. Bon, bien, je peux lui demander : Peux-tu faire cette vérification-là, cette validation-là pour nous, s'il vous plaît? C'est des éléments comme ça, là.

Mme Caron : D'accord. Donc, il n'est pas... il n'est pas question que les pouvoirs ou les fonctions du ministre, qui agit comme source officielle de données numériques gouvernementales, soient en partie transférés à un organisme?

M. Caire : Non, non, non. C'est des fonctions. Ce n'est pas... Ce n'est pas les responsabilités. Pas du tout. Non, non, non.

Mme Caron : Parfait. Dans le... Si je retourne encore au mémoire de l'AQT, pour le point 10.6, bien, c'était en référence, en fait, au premier paragraphe. La question qui était posée, c'était : Quelles mesures concrètes seront instaurées pour prévenir tout accès non autorisé ou usage détourné des données?

M. Caire : Oui.

Mme Caron : Est-ce que, ça, ça relève de la gestion des accès ou il y a d'autres moyens?

M. Caire : Oui. Bien, en fait, oui, oui, mais pas que. C'est-à-dire qu'au niveau du service d'authentification, il y a quand même des obligations quant au niveau de confiance. Vous savez, on a eu cette discussion-là, sur les niveaux de confiance.

Mme Caron : Oui.

M. Caire : Bon. Donc, en lien avec une prestation électronique de service, on a besoin d'un niveau de confiance qui est variable. Par exemple, certains mandataires de la SAAQ, le niveau de confiance est à 1. Donc, il n'y a pas une grande validation de l'identité qui est faite parce qu'il n'y a pas de renseignements sensibles qui sont disponibles. C'est simplement pour des fins statistiques, dire qui s'est connecté, pourquoi, puis ça s'arrête là. Par contre, si vous voulez être transactionnel, on dit : Bien, ça nous prend, dans certains cas, un niveau de confiance qui est à 2, dans certains cas, un niveau de confiance qui est à 3. Donc, en suivant ce barème-là, ça, c'est un... c'est un premier élément de réponse. Donc, il faut que le service d'authentification vous donne un niveau de confiance qui est en relation avec la sensibilité de l'information. Et, oui, après ça, c'est... c'est les accès. Mais, si j'ai déjà bien identifié, authentifié la personne, bien, après ça, définir son profil de permission puis ses accès, ça fait partie aussi de l'équation.

Mme Caron : D'accord. Et quand vous dites : Pour identifier, bien, toute personne qui... pour voir qui s'est connecté et pourquoi, on parle toujours des personnes, disons, dans l'appareil public, qui vont avoir accès à la fonction de leur profil?

M. Caire : Accès.

Mme Caron : On ne parle jamais du citoyen?

M. Caire : Jamais.

Mme Caron : O.K. Parfait. Et puis, bon, je pense que vous avez... vous avez répondu tout à l'heure à ma collègue à propos du paragraphe 3 sur «tout autre renseignement que détermine le gouvernement». Parce que, ça, c'est une inquiétude qui est revenue dans plusieurs mémoires, où on nous disait que «tout autre renseignement que détermine le gouvernement», c'est très large. Donc, mais en fin de compte, c'est balisé par la loi 25?

M. Caire : Essentiellement. Oui.

Mme Caron : Là, je vais vous poser une question : Si, à tout hasard, je ne penserais pas que ça se produise, là, mais que la loi 25 était... était annulée, là il y aurait des choses à venir mettre dans cette loi-là?

M. Caire : Oui. Oui.

Mme Caron : Parce que, là, les protections qu'on tient pour acquises dans ce projet de loi là n'existeraient plus.

M. Caire : Oui, mais on a un bel exemple. Puis justement, avec la députée de Mont-Royale-Outremont, quand on a fait la loi 3, dans les faits, on a soustrait les renseignements de santé à la loi 25. On a créé un régime particulier, mais on a fait un calque de la loi 25 factuellement avec des dispositions particulières. Donc, ça, ça pourrait arriver. Mais, dans ce cas précis là, qui est tout à fait pertinent, Mme la députée, il y a quand même un régime qui vient remplacer le... celui prévu par la loi 25. Et les renseignements de santé sont soumis à ce régime-là, qui, lui aussi, là, va faire en sorte que les... tous les renseignements de santé sont soumis à ce régime de protection là. Donc, ce n'est pas la loi 25, là, c'est la loi 3, mais comme c'est un régime similaire avec des spécificités propres aux renseignements de santé.

Mme Caron : O.K. Donc, alors, est-ce qu'on peut dire que, quand on dit ici : «Tout autre renseignement que détermine le gouvernement», bien, notre rempart ou nos... notre protection, c'est la loi 25, mais dans le cas des renseignements de santé, c'est la loi 3?

M. Caire : Oui. Exact, exact.

Mme Caron : Oui. D'accord. Merci...

Mme Caron : ...ça va, j'ai terminé.

La Présidente (Mme Mallette) : S'il n'y a plus d'intervention...

Mme Setlakwe : Mme la Présidente, j'ai...

La Présidente (Mme Mallette) : Vous avez une intervention, Mme la députée?

Mme Setlakwe : Oui, s'il vous plaît.

M. Caire : Je sens que j'ai une ébullition de ma collègue de Mont-Royal—Outremont.

La Présidente (Mme Mallette) : La parole est à vous.

Mme Setlakwe : Moi, ça me faisait réfléchir... je rebondis sur le dernier échange avec ma collègue. Quand on dit : «Tout autre enseignement que détermine le gouvernement», pourquoi on ne sent pas le besoin d'ajouter «lorsque cela est nécessaire», comme on l'a fait un peu plus haut?

M. Caire : Parce qu'on l'a déjà mis dans l'article, il me semble.

Mme Setlakwe : C'est-à-dire que, «lorsque cela est nécessaire», c'est dans le premier alinéa à la fin.

M. Caire : Oui, parce que, là... Oui, c'est ça, incluant des personnes... lorsque cela est nécessaire. Donc, la collecte, la communication ou l'utilisation se fait lorsque cela est nécessaire. Donc, le paragraphe 3° dans l'article est donc soumis à la même disposition de nécessité.

Mme Setlakwe : Je ne sais pas. On peut peut-être en parler. L'alinéa 1...

M. Caire : Bien, je vais laisser... je vais laisser Me Bacon...

Mme Setlakwe : Oui, la légiste.

M. Caire : Oui, oui.

Mme Bacon (Nathalie) : En vertu de la loi sur l'accès, le critère de nécessité s'applique. La loi sur l'accès s'applique dans le cadre de la LMCN, et là on répète «lorsque cela...» c'est vraiment une répétition, «lorsque cela est nécessaire». Donc, on a deux lois qui prévoient l'application du critère de nécessité. Première chose.

M. Caire : Qui s'applique au paragraphe 3°.

Mme Bacon (Nathalie) : Oui. Deuxième chose, le premier alinéa est une généralité, puis les alinéas qui suivent complètent le premier. Donc, «lorsque nécessaire» s'applique à tout le contexte de l'article, dans la globalité de l'article.

Mme Setlakwe : Oui. Merci, je comprends. Oui, parce qu'effectivement, dans le premier alinéa, on dit que dans l'exercice de sa fonction de sources officielles de données, données numériques et gouvernementales, terme défini, le ministre recueille, utilise ou communique des données numériques et gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels. O.K., mais les derniers mots : «lorsque cela est nécessaire»...

Mme Bacon (Nathalie) : Il est à la fin de la phrase.

Mme Setlakwe : Oui, mais ça ne s'applique pas juste aux... ça ne s'applique pas juste aux renseignements, ça s'applique aux données numériques et gouvernementales.

M. Caire : Oui.

Mme Bacon (Nathalie) : Ça s'applique à tout ce qui se passe avec les données numériques gouvernementales, c'est-à-dire lorsqu'on les recueille, lorsqu'on les utilise ou lorsqu'on les... Pour les recueillir, les utiliser ou les communiquer, il faut que ce soit nécessaire, donc l'application du critère de nécessité. Puis, le dernier alinéa vient dire, au sens du présent article, qu'est-ce qui constitue des données numériques gouvernementales, puis on a le paragraphe 3° qui vient dire : tout autre renseignement. Donc, tout ça, le critère de nécessité, s'applique à la définition au sens de l'article de données numériques gouvernementales.

Mme Setlakwe : Oui, je vous suis, mais je suis encore dans le premier alinéa.

Mme Bacon (Nathalie) : Et, ce qui est intéressant, dans le cas de l'identité numérique nationale, si vous me permettez de préciser, c'est que la fin, lorsque la Loi sur l'accès dit «lorsque c'est nécessaire», on ne sait pas c'est quoi la fin quand la loi sur l'accès oblige au critère de nécessité, on dit : «lorsque c'est nécessaire», tandis qu'ici, on est vraiment dans le contexte où la fin est connue, ça fait que c'est comme une... la ceinture et les bretelles, c'est pour les fins de l'identité numérique et lorsque nécessaire. Ça fait que vous avez déjà une assurance en ayant les fins d'identité numérique, alors que, dans le cas de la loi sur l'accès, lorsqu'on prévoit le critère de nécessité, on ne sait pas quelle sera la fin finalement pour laquelle il va y avoir une utilisation, communication ou collecte.

Mme Setlakwe : Je vous entends. Je suis en train de me demander pourquoi dans l'alinéa 1 on a senti le besoin de dire : «incluant des renseignements personnels», dans ce cas-là, quand les renseignements personnels sont déjà... Il y a déjà des renseignements personnels dans la définition de données numériques gouvernementales.

• (15 h 40) •

Mme Bacon (Nathalie) : C'est sémantique. Si vous me permettez, M. le Président, c'est sémantique, parce «données numériques gouvernementales», c'est le grand générique, puis là, en faisant l'incise...

Mme Bacon (Nathalie) : ...virgule, incluant des renseignements personnels, on vient mettre un... si vous voulez, la réalité des renseignements personnels pour rappeler l'existence, tu sais, parce que, dans les données, il y a des renseignements non personnels, des renseignements personnels. Et c'est une façon de refaire la même chose que ce qu'on a fait à l'article, je vais vous le dire, 12.15 de la LGGRI, parce que le chapitre 2.4, les articles 10... 12.10 et suivants de la LGGRI, on parle des données numériques gouvernementales. Puis on parle toujours de données numériques gouvernementales et, à un moment donné, à 12 .15, on met une lumière, si vous voulez, je ne veux pas dire un spot, là, mais sur les renseignements personnels, puis là on vient dire : Lorsqu'une donnée numérique gouvernementale est un renseignement personnel, il arrive telle chose. Ça fait que là, c'est juste ça, c'est comme un rappel, là, qu'une donnée peut être à la fois un renseignement, ou tout renseignement, ou y compris un renseignement personnel.

Mme Setlakwe : O.K. Donc, «dans l'exercice de cette fonction de source officielle, le ministre recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels». C'est ce deuxième bout-là, «ou recueille auprès de toute personne», moi, la façon dont je le lisais, c'est «dans l'exercice de cette fonction, le ministre recueille, ou utilise, ou communique des données numériques gouvernementales, incluant des renseignements». Dans le fond, recueillir auprès de toute personne, c'est des renseignements?

Mme Bacon (Nathalie) : Oui, des renseignements au sens générique, donc des données ou des renseignements. Les renseignements peuvent ne pas être en données numériques. Puis après renseignement qui est le générique, on vient faire l'incise, incluant des renseignements personnels.

Mme Setlakwe : O.K.. Mais ce qu'on recueille auprès d'une autre... ou ce qui est autorisé à recueillir auprès d'une autre personne?

Mme Bacon (Nathalie) : Ce qui me concerne, moi, comme personne physique qui va avoir l'identité numérique nationale, ce qu'on va me demander, on va me demander des renseignements au sens large, incluant des renseignements personnels. Puis ça, ça va devenir des données numériques. C'est un petit peu ça, là, la petite pirouette de mots, de syntaxe.

Mme Setlakwe : Et donc ce n'est jamais nécessaire de reporter ou de dupliquer des principes qui existent dans d'autres lois qui s'appliquent, mais à l'alinéa, donc, 3, à l'alinéa 3 de 10.6, là, on a spécifiquement prévu qu'il y a des articles de la LGGRI qui s'appliquent au ministre avec les adaptations nécessaires. Là, ici, j'imagine que si on ne le prévoit pas explicitement, ces articles-là ne s'appliquent pas au ministre?

Mme Bacon (Nathalie) : Non, parce que les articles 16... 12.16 à 12.19 s'appliquent dans... à la source officielle de données numériques visée à l'article 12.14. Donc, dans le contexte de l'application, qu'il y ait un décret qui a été pris en vertu de 12.14, alors que... et LGGRI, un, plus un décret en vertu de 12.14. Ça fait que lorsqu'il y a un décret 12.14, 12.16 à 12.19 s'appliquent. Tandis que là, si on est dans le contexte de source, que le ministre agit comme source à 10.6, ces articles-là ne reçoivent plus application, ça fait que là, on fait une fiction pour qu'ils s'appliquent. Puis là c'est des obligations très précises. C'est des obligations pour protéger le public aussi. Alors, on fait référence à l'obligation de faire une évaluation de facteurs à la vie privée, à établir des règles de gouvernance, à faire un rapport annuel. Vous parliez tantôt, là, de reddition de compte, mais là, nous, on utilise les termes «rapport annuel», qui est à l'article 12.17 de la LGGRI. Donc, un rapport annuel sur l'état de l'identité numérique nationale. Et vous avez aussi des informations qui doivent être publiées sur Internet. Et 12.19, des règles qui s'appliquent aux prestataires et fournisseurs. Ça fait que, dans le fond, c'est des règles de protection.

Mme Setlakwe : Oui. Il était nécessaire de les importer et de faire en sorte qu'elles soient appliquées au ministre dans le cadre de ses fonctions de source officielle.

Mme Bacon (Nathalie) : Pour faire la même chose qu'on fait pour la source, qui est nommée en vertu 12.14 par décret.

Mme Setlakwe : Incluant une évaluation des facteurs relatifs à la vie privée.

Mme Bacon (Nathalie) : Oui.

Mme Setlakwe : L'obligation de faire un rapport annuel. Donc, c'est toutes des... En fait, ce sont toutes des mesures de protection.

Mme Bacon (Nathalie) : Exactement.

M. Caire : Et de reddition de compte.

Mme Bacon (Nathalie) : Par le fait même...

Mme Bacon (Nathalie) : ...par le fait même.

Mme Setlakwe : On va juste élaborer un peu plus sur ces éléments-là, donc de reddition de compte. Puis, le dernier élément, je pense que c'était 12.19, prévoit qu'il y a des obligations qui s'appliquent aux prestataires de services.

Mme Bacon (Nathalie) : Moi, je peux vous lire l'article, si vous voulez?

Mme Setlakwe : Oui.

Mme Bacon (Nathalie) :

 Voulez-vous que je... parce que, là, juste le dire par cœur, là, je ne suis pas...

Mme Setlakwe : Non, je comprends.

Mme Bacon (Nathalie) : Je suis désolée.

Mme Setlakwe : Mais non, c'est impossible.

Mme Bacon (Nathalie) : Alors, 12.19 prévoit — je vais vous sauter des petits bouts, là — que toute personne ou tout organisme qui se voit communiquer des renseignements personnels par un organisme qui est désigné source officielle ou un organisme qui est visé par un décret pris en vertu de 12.14, tatata, dans le cadre d'un mandat... dans le cadre d'un mandat qui lui est confié — donc on fait référence vraiment aux prestataires de services, aux fournisseurs — doivent se soumettre à un audit externe.

Alors, c'est vraiment une grande mesure de reddition de compte visant le respect des plus hautes normes et des meilleures pratiques en matière de sécurité de l'information et de protection de renseignements personnels, et cet article-là est inspiré d'un article qui existe à la Loi sur le... favorisant de la transformation numérique, la...

M. Caire : Le p. l. 14.

Mme Bacon (Nathalie) : Oui, le p. l. 14, où assistait votre collègue de la Pinière, Dr Barrette. Donc, c'est un de ses amendements.

Mme Setlakwe : Que c'est rassurant!

Des voix : Ha, ha, ha!

Mme Setlakwe : Et cet audit....

Une voix : ...

Mme Setlakwe : Oui. Merci. On a parlé d'un audit. Donc, ils sont soumis à... à un audit externe, puis ces audits-là se font annuellement, se font...

Mme Bacon (Nathalie) : Le deuxième alinéa prévoit de... le deuxième alinéa de 12.19 prévoit... le ministre peut prévoir les cas et les circonstances où le premier alinéa ne s'applique pas et rend public les critères menant à sa décision. Alors, il fallait éviter d'avoir un mécanisme automatique qui nous met dans une situation de paralysie et de non-fonctionnement. Ça fait que, quelquefois, c'est nécessaire, quelquefois, ça ne l'est pas. Ça dépend c'est quoi les fournisseurs, le prestataire, le contexte. Alors, encore faut-il qu'il y ait un arrêté ministériel qui prévoie ces choses-là, le 12.19.

Mme Setlakwe : Merci.

Le Président (M. Simard) : D'autres remarques sur 10.6? Sans quoi nous allons procéder à l'étude de l'article 10.7. M. le ministre, à vous de juger s'il est pertinent de refaire lecture de l'article.

M. Caire : Alors, est-ce que les collègues souhaitent que je le relise?

Mme Setlakwe : Oui, s'il vous plaît.

M. Caire : O.K. Alors, M. le Président : «10.7. Est institué le registre de l'identité numérique nationale sous la responsabilité du ministre. Ce registre constitue un système de dépôt et de communication des données numériques gouvernementales.

«Ce registre doit notamment permettre de :

«1° la conservation sécuritaire pour le compte d'un organisme public de tout ou partie de ces données;

«2° la communication entre organismes publics de ces données;.

«3° l'accès à ces données;

«4° la traçabilité de tout accès au registre par une personne, que ce soit   pour y déposer ces données, les utiliser ou en recevoir la communication.

«5° toute autre fonctionnalité déterminée par règlement du ministre.

«Le ministre ne peut utiliser ces données à des fins de profilage des personnes.

«Le profilage sentant de la collecte, de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment... notamment, pardon, à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.».

Alors, M. le Président, l'article 10.7 proposé institue le registre de l'identité numérique nationale, qui est un système de dépôt et de communication des données numériques gouvernementales sous la charge du ministre de la Cybersécurité et du Numérique. Il prévoit l'interdiction pour le ministre d'utiliser les données relatives à cette identité pour des fins de profilage des personnes.

Le Président (M. Simard) : Merci. Mme la députée.

Mme Setlakwe : Oui, merci, M. le Président... je... Ici aussi, on est dans une disposition, selon moi, centrale au... à l'identité numérique. On doit instituer un registre.

M. Caire : Si je peux me permettre?

Mme Setlakwe : Oui, oui, je pense que vous devriez expliquer l'objectif.

M. Caire : Bon. Le registre des attributs d'identité gouvernementale existe déjà. Donc, c'est là-dessus que se base le service d'authentification gouvernementale pour être capable de fournir un compte de niveau 2. Donc, maintenant, ce registre-là des attributs d'identité va devenir le registre de l'identité nationale parce qu'évidemment son... son utilisation, effectivement, va... va contribuer à l'ensemble du service québécois ...

M. Caire : ...son utilisation, effectivement, va contribuer à l'ensemble du service québécois d'identité nationale... d'identité numérique, pardon. Donc, le registre, il est constitué, il est basé, je vous dirais, pour l'essentiel, sur le FIPA, qui est le fichier des personnes assurées, auquel on ajoute, si je ne m'abuse, le numéro d'assurance sociale.

• (15 h 50) •

Mme Bacon (Nathalie) : Oui. Puis d'assurance maladie.

M. Caire : Puis le numéro d'assurance maladie. Voilà.

Mme Setlakwe : O.K. Très bien. Là, on... ce que le registre doit permettre de faire, c'est non-limitatif.

M. Caire : Non, effectivement.

Mme Setlakwe : Mais on veut... on veut que les organismes se parlent entre eux, on veut que ce soit efficient et efficace pour...

M. Caire : Bien, c'est...

Mme Setlakwe : ...ou convivial pour les utilisateurs.

M. Caire : ...c'est la base de ce que je vous disais, c'est qu'il faut constituer ce registre-là pour être capable... bien, constituer, il faut le pérenniser pour être capable, éventuellement, de commencer à soustraire les renseignements des autres banques de données.

Mme Setlakwe : Et donc on... O.K. Mais ce n'est pas là qu'on prévoit la possibilité d'y recueillir, on permet donc... parce que le... Ce qui permet d'y recueillir, on l'a vu précédemment, là.

M. Caire : Mais, par contre, ce qui permet d'y recueillir va venir nourrir...

Mme Setlakwe : Nourrir le registre.

M. Caire : ...le registre d'identité, oui.

Mme Setlakwe : Et là on parle de la... J'imagine qu'on s'est inspiré d'un libellé qui existe ailleurs pour cet article-là.

Mme Bacon (Nathalie) : Oui. Le p.l. éducation. Je peux vous donner la référence.

Mme Setlakwe : Le projet de loi qui a été adopté l'an dernier, c'était le 39 ou...

Mme Bacon (Nathalie) : Le 23.

Mme Setlakwe : Le 23? Pas du tout. Non, le 23, oui, oui, qui créait un registre.

Mme Bacon (Nathalie) : C'est l'article actuellement sur le site de Légis Québec, la N15, donc la Loi sur le ministère de l'Éducation. C'est l'article 6 .1, que vous devriez voir apparaître, là, sur... ou si vous voulez que je vous sorte l'article de loi du projet de loi n° 23.

Mme Setlakwe : Ah! non, on va le sortir. C'est correct. Merci.

Mme Bacon (Nathalie) : Oui? O.K. C'est beau.

Mme Setlakwe : Donc, on s'en est inspiré ou il est essentiellement calqué?

Mme Bacon (Nathalie) : Il est calqué saveur du jour, puisqu'à chaque fois qu'on réécrit on se réinterroge sur l'utilisation des mots. Comme vous allez voir, eux autres, ils parlent d'hébergement, des renseignements, tandis que nous on parle de conservation parce que, dans notre réalité, c'est de bien les conserver. Puis, en bien les conservant, ça inclut l'hébergement. Vous allez voir aussi qu'on parle de traçabilité au lieu de journalisation parce que la journalisation est comprise dans la traçabilité. C'est les deux différences que je vous dirais, là, à part l'adaptation de contexte, là.

Mme Setlakwe : Parce que, moi, à la... à ma... à la première lecture, je me disais pourquoi on n'a pas prévu... Mais c'est sûr qu'on s'est laissé une porte à autre chose. «Toute autre fonctionnalité déterminée par règlement du ministre», ça on le retrouve aussi dans le système de dépôt pour des fins d'éducation. Je me suis demandé pourquoi on ne parle pas de destruction puis de rectification.

M. Caire : Parce que vous allez l'avoir à la loi n° 25.

Mme Setlakwe : C'est ça.

M. Caire : Comme j'expliquais, quand vous collectez des renseignements personnels, un, vous devez les collecter et faire connaître la raison pour laquelle vous collectez. Et lorsque la raison... vous ne pouvez les utiliser pour d'autres raisons que les fins pour lesquelles ces données-là ont été collectées. Et, comme j'expliquais à Mme la députée de La Pinière, lorsque les finalités sont rencontrées, vous avez l'obligation de les détruire ou de les anonymiser à des fins de recherche.

Mme Setlakwe : Exact. Mais la question de conservation versus hébergement et indexation, mais indexation, ça sous-entend une modification? Hébergement et indexation, je veux juste de comprendre la distinction entre hébergement et indexation versus conservation sécuritaire. On a compris que conservation, c'est plus large et ça inclut l'hébergement.

Mme Bacon (Nathalie) : Exact. Pour l'hébergement, la...

Mme Bacon (Nathalie) : ...exactement. Pour l'indexation, là, il faudrait que je m'informe. Il y a peut--être une raison, tu sais, des fois on est dans une autre réalité, là.

M. Caire : L'indexation, ça, c'est dans la loi sur... la loi 23?

Mme Bacon (Nathalie) : Émilie, elle a une réponse pour l'indexation.

M. Caire : Oui, parce que, si c'est que... si c'est ce que je pense, l'indexation, c'est une façon...

Le Président (M. Simard) : Alors, Me Drolet... alors, on va laisser le temps à la caméra de pouvoir rejoindre maître Drolet.

Mme Drolet (Émilie) : Oui, merci. Donc, Émilie Drolet...

Le Président (M. Simard) : Attendez un petit peu, Me Drolet. On vous cherche encore. Ah! Ça y est, on vous a trouvée.

Mme Drolet (Émilie) : Alors, merci. Émilie Drolet, avocate, juriste pour le ministère de la Justice, pour le MCN. Donc, si je ne me trompe pas, dans le projet de loi n° 23, en éducation, c'est un système qui a été institué aussi pour qu'il y ait des communications entre organismes publics. Donc, il y a beaucoup d'informations. Ça fait que, si je ne me trompe pas, dans ce cas-ci, le terme «indexation», c'est un peu pour retrouver, un peu comme dans un moteur de recherche, ce qui n'est pas le contexte particulier du registre, là, pour l'identité numérique nationale.

Le Président (M. Simard) : Merci beaucoup.

Mme Setlakwe : Merci. Donc, ça, ça n'applique pas.

M. Caire : ...non, mais c'est ça, c'est parce que, là, je ne savais pas, mais, si c'est de l'indexation au sens informatique du terme, c'est une façon de taguer l'information pour être capable de la retrouver. Alors que, là, bien, on est dans un dépôt. Donc, la gestion du dépôt et la conservation va faire en sorte que ce n'est pas nécessaire.

Mme Setlakwe : Est-ce que... est-ce que... si on héberge des données... est-ce que... si on héberge des données sur un nuage qui n'est pas le nuage gouvernemental et qu'il est géré par une entreprise étrangère américaine, on sait que c'est beaucoup... est-ce qu'on considère que c'est tout de même une conservation sécuritaire?

M. Caire : Je vous dirais que les critères pourraient changer. Effectivement, vous avez un bon point. On pourrait effectivement considérer que, compte tenu de l'hypothèse d'une divulgation à un gouvernement étranger, ça pourrait ne pas être une conservation sécuritaire. De la même façon que l'utilisation d'un équipement qui présente un risque de cybersécurité pour toutes sortes de raisons pourrait effectivement être un critère qui serait en contradiction et qui ferait en sorte qu'on pourrait éliminer cet équipement-là. Je donne l'exemple des caméras... là, pour lesquelles on a déjà... on les a déjà bannies de nos... de nos systèmes selon certains critères. Oui, effectivement, ça représente un risque de sécurité, donc ça ne correspond pas à une conservation sécuritaire.

Mme Setlakwe : Donc, tu sais, je vous ramène à votre... Puis je sais que vous avez un chantier à... sur lequel vous devez travailler. On en a déjà parlé, mais forcément, il faut réfléchir à l'idée de migrer des données numériques gouvernementales qui sont plus sensibles, plus critiques ou qui seront reclassifiées selon le nouveau... le nouvel arrêté ministériel et s'assurer que celles qui sont classées, j'imagine... en tout cas, ce sera à vous de nous le dire, mais ceux qui tomberont dans certaines catégories plus critiques, on pourra en reparler. Moi, j'aurais aimé qu'on en parle davantage, là, de cette nouvelle classification, mais c'est peut-être le moment de le faire. Je pense qu'on... il va falloir qu'on songe sérieusement à les migrer vers un nuage qui est... pour lequel on est...

M. Caire : Sécuritaire.

Mme Setlakwe : Sécuritaire.

M. Caire : Sur lequel nous avons le contrôle. Je ne peux pas être plus d'accord avec vous que ça.

Mme Setlakwe : En fait, on se demande si le libellé est réaliste, en fait.

M. Caire : Oui. Oui, il... de «la conservation sécuritaire»? Bien oui. Bien oui.

Mme Setlakwe : Je me demande, moi, s'il est... il est...

M. Caire : Ça devient une obligation légale.

Mme Setlakwe : S'il est réaliste eu égard aux contrats auxquels sont soumis le gouvernement actuellement pour l'hébergement des données.

• (16 heures) •

M. Caire : Il faut faire attention, parce que, là, on parle des données qui vont constituer le registre de l'identité numérique nationale. Je comprends que nous avons eu une discussion plus large...

M. Caire : ...plus large, par exemple, sans présumer de ce que vous voulez dire, mais des échanges sur Teams, ces informations-là étaient conservées sur un serveur Azure, par exemple. Mais là on ne parle pas des données qui vont constituer le registre de l'identité numérique nationale.

Mme Setlakwe : Je suis d'accord, mais par... Oui, je suis d'accord.

M. Caire : O.K. Mais, ceci étant, vous avez raison de dire que le critère légal d'avoir une conservation sécuritaire fait en sorte que la question doit se poser : Est-ce que la conservation sur un système qui pourrait éventuellement tomber sous le contrôle d'un autre pays, est-ce que ce critère-là rencontre l'obligation de conservation sécuritaire et donc pourrait forcer le gouvernement pour rencontrer son obligation de conservation sécuritaire à dire : Bien, le registre d'identité numérique nationale devrait être conservé dans les services infonuagiques et/ou, et/ou les services de stockage du gouvernement. Parce que, comme je vous expliquais, ça peut être en infonuagique, mais ça peut aussi être un service sur site dépendamment de la technologie avec laquelle on travaille.

Mais, ceci étant, dans un principe de souveraineté numérique, votre point est excellent.

Mme Setlakwe : Moi, je me demande juste si, dans les faits, on va y arriver à assurer une conservation sécuritaire.

M. Caire : Oui, oui. Oui, ça, je peux vous regarder dans les yeux, vous dire : Absolument, mais toujours dans la perspective où on parle, là on parle bien du registre d'identité numérique nationale qu'on est en train de définir avec l'article 10.7

Mme Setlakwe : Oui, bien sûr. Mais les données numériques gouvernementales, qui est un terme très général, qui comprend des renseignements, dont des renseignements personnels, sont assujettis à la classification de sécurité des données prévues par le nouvel arrêté ministériel.

M. Caire : Oui. Oui, mais toujours, Mme la députée... toujours, M. le Président, toujours dans la perspective où la discussion se fait autour du registre d'identité numérique nationale, je vais être clair, parce que, quand même, n'est pas inclus, dans mon commentaire, les discussions qu'on a pu avoir sur d'autres informations. Par exemple, on parlait des conversations qu'on pourrait avoir sur Teams, mon commentaire n'inclut pas cette situation-là, qui, sans dire qu'elle ne doit pas être regardée de près et corrigée, ne met pas en péril le fait que je peux vous dire que, oui, le registre d'identité numérique nationale, nous pourrons en assurer une conservation sécuritaire au sens de l'article 10.7.

Mme Setlakwe : Entendu. Mais si on revient vraiment aux données numériques gouvernementales qui seront versées dans le registre, est-ce que, selon vous, il y en aurait qui tomberaient dans la catégorie... dans les catégories modérées, élevées, très élevées, selon la nouvelle classification?

M. Caire : Je vous dirais, essentiellement, on est dans le renseignement personnel, donc, on peut raisonnablement penser là, je n'ai pas fait l'analyse, donc je ne veux pas vous donner une réponse formelle, mais on peut raisonnablement penser que les données qui seraient collectées aux fins d'identifier et d'authentifier un citoyen sont des renseignements personnels et que ce serait des renseignements protégés.

Mme Setlakwe : Moi, j'essaie de me rattacher au nouveau régime de classification.

M. Caire : À la classification, oui, oui, tout à fait, tout à fait.

Mme Setlakwe : Est-ce que là vous souhaiteriez nous en parler un peu de cette nouvelle classification? Est-ce que vous jugeriez que ce serait pertinent?

M. Caire : Oui, oui, succinctement, mais, en fait... Puis c'est un peu en lien aussi... Mme la députée de La Pinière me posait des questions sur l'obligation d'assurer la sécurité, parce qu'il n'y avait pas nécessairement de disposition dans la loi là-dessus, puis je faisais référence à la politique de cybersécurité qui a été adaptée qui dit que le niveau de protection doit être proportionnel à la valeur de la donnée. Ça, c'est un principe qui s'applique à l'ensemble. Et la valeur de la donnée, bien, évidemment, elle est déterminée par la classification qu'on en fait. Donc, dans la perspective...

M. Caire : ... de notre discussion, les... des renseignements personnels, puis sans présumer, là, parce que je ne veux pas embarquer dans l'exercice de dire : Cette donnée-là a telle catégorie, classification ou telle classification, parce que c'est un exercice quand même qui doit être fait de façon... de façon rigoureuse, mais ce qu'on peut penser, c'est que des données qui servent à identifier... Puis on peut les prendre individuellement, mais on peut les prendre aussi collectivement. Donc, si je prends, par exemple, votre nom, votre prénom, ce n'est pas quelque chose qui est protégé, c'est... je veux dire, c'est du domaine public, tout le monde le connaît, donc il n'y a pas... il n'y a pas de nécessité de le protéger. Donc, dans ce contexte-là, c'est une chose, mais, si je prends votre nom, votre prénom, votre numéro d'assurance maladie, votre numéro d'assurance sociale, votre numéro d'avis de cotisation, que je fais, l'agglomération de ces... des informations-là, bien là, je viens de changer de catégorie, là, on n'est plus…

Mme Setlakwe : ...poser une question.

M. Caire : Oui, bien sûr, excusez.

Mme Setlakwe : J'aimerais vraiment que le ministre poursuive, mais je me demandais si, dans la discussion que vous venez de faire, de renseignements qui sont pris isolément ou… je ne souviens plus quel terme vous avez employé, mais si on les... si on les prend... on les prend ensemble… 

M. Caire : Oui, ensemble.

Mme Setlakwe : Est-ce que… j'essaie de me ramener à l'arrêté ministériel. On... dans cet arrêté-là, on parle d'une donnée structurée, non structurée. On ne parle pas de ça, là, ça, c'est autre chose?

M. Caire : Non. En fait, on va parler essentiellement, dans le cas du registre d'identité numérique nationale... on va parler de donnée structurée...

Mme Setlakwe : Je vous laisse continuer, oui.

M. Caire : Parce qu'une donnée non structurée ce serait un courriel, par exemple. Ça, c'est de la donnée non structurée, un texte x, y. Le budget, c'est de la donnée non structurée. Ce ne serait pas pertinent. On parle… là, dans le cas… puis, si on se limite vraiment à la donnée conservée dans le registre d'identité numérique nationale, là, on parle de donnée structurée, donc votre nom, votre prénom, le nom de vos parents, éventuellement la date de naissance. On pourrait dire : Je vais ajouter l'adresse, numéro de téléphone, etc.

Mme Setlakwe : Et donc, vous avez dit que ces informations-là, prises ensemble...

M. Caire : ...devraient être protégées.

Mme Setlakwe : Devraient être protégées.

M. Caire : Oui. Oui, parce que…

Mme Setlakwe : Mais tomberaient sous quelle catégorie et avec quelles conséquences en vertu de l'arrêté ministériel?

M. Caire : Alors, tomberaient sur la catégorie «protégé», et avec la conséquence que les mesures de sécurité entourant... et les accès, parce que c'est… oui, c'est la protection, mais c'est les accès, on revient à la discussion qu'on avait eue sur les accès, seraient requises à des fins de prestation de services uniquement, par exemple, ou seraient requises à des fins de validation de votre identité uniquement, par exemple. Et ça, c'est là où on va définir l'utilisation... pardon.

Mme Setlakwe : Mais quand vous dites que ce sont des données protégées, encore une fois, j'essaie de me... de rattacher au... à l'arrêté ministériel, à ce que l'arrêté ministériel prescrit.

M. Caire : Oui. Donc, vous allez avoir des… 

Mme Setlakwe : Je ne vois pas nécessairement le... ou je l'ai peut-être manqué, le concept de données protégées.

M. Caire : C'est la classification.

Mme Setlakwe : Oui, c'est la...

M. Caire : …protégé A, protégé B, protégé C, vous avez des...

Mme Setlakwe : Mais très faible, faible, modéré, élevé?

M. Caire : Vous avez... vous avez après ça classifié, qui sont des catégories... Bien là, vous n'avez peut-être pas... Mme la députée, vous n'avez peut-être pas le document comme tel, le document de travail avec lequel les ministères et organismes travaillent. Là, je ne sais pas, je ne vois pas le document que vous avez.

Mme Setlakwe : Non, non, je n'ai pas un document de travail. J'ai... j'ai l'arrêté ministériel.

M. Caire : Oui, O.K., qui doit faire référence au document…

Mme Bacon (Nathalie) : C'est la même chose.

M. Caire : Mais... bien, c'est parce que je ne le vois pas, ça fait que je ne sais pas si les catégories sont dedans, là.

• (16 h 10) •

Mme Bacon (Nathalie) : Si vous me permettez, pour vous aider, là, la... parce que le... il y a ce qu'on appelle le format magazine, là. Alors, le... il y a un document que le ministère a fait en format… c'est l'arrêté ministériel, mais en format… tu sais, marketing, magazine. Alors... mais, si vous prenez l'arrêté ministériel, parce que vous êtes quand même une juriste, là, vous pouvez aller aux figures. Dans les figures, vous avez des figures, ça va vous donner de façon visuelle, rapidement, les catégories, là. Parce que vous avez des… si on va à la figure 1, c'est l'ensemble du processus, là, de classification. Je vais tout de suite vous faire sauter à la figure 2. Vous avez les catégories d'appartenance, vous pouvez avoir… vous avez des objectifs, soit de confidentialité, d'intégrité ou de disponibilité. Puis, après ça...

Mme Bacon (Nathalie) : ...après ça, dépendamment de leur enseignement, c'est quoi, on va faire des catégorisations. Puis là, bien, ce n'est quand même, pas très... ce n'est quand même pas simple. Et si ma collègue est d'accord, je lui passerais la parole puisque nous avons travaillé ensemble ce modèle.

Le Président (M. Simard) : Alors, Me Drolet, nous sommes à votre écoute, et puis, savez-vous quoi, vous êtes dans l'angle de la caméra.

Mme Drolet (Émilie) : C'est parfait. Donc, si je peux me permettre, là, pour continuer sur ce que ma collègue disait, les évaluations se font en fonction des trois propriétés de l'information, que sont la disponibilité, l'intégrité et la confidentialité. Là, depuis tout à l'heure, on parle beaucoup de confidentialité parce qu'on parle de renseignements personnels. Donc, on va devoir quantifier par rapport au niveau de préjudice qui pourrait y avoir, s'il y a un bris de confidentialité, on est où dans la grille de préjudice, il y a plusieurs grilles dans ce document-là, puis on va finir par le classifier. Finalement, comme le ministre disait, c'est clairement dans la colonne des données protégées, mais reste à savoir si c'est du protégé A, B ou C.

Comme vous voyez dans l'image, c'est soit du modéré... pardon, faible, modéré ou élevé. Donc, si on se trouve, par exemple, dans un exemple où on est dans des renseignements à caractère public, des renseignements personnels mais à caractère public, par exemple, moi, je suis un employé de l'État, mon nom, ma fonction, c'est des renseignements personnels à caractère public, donc on va tirer vers le faible ou peut-être même le très faible. Puis, plus on est dans un contexte, par exemple, de renseignements sensibles ou dans des renseignements, disons, dans un contexte d'enquête, il y avait aussi dans des contextes particuliers par rapport à la police ou à la sécurité publique...

M. Caire : ...

Mme Drolet (Émilie) : ...exactement, on va se diriger plus vers le niveau protégé C, donc le niveau élevé. Puis, comme le ministre le disait tout à l'heure, par rapport à ça, il va y avoir des mesures qui vont venir, qui ne sont pas dans ce document-là, mais qui vont être obligatoires pour les organismes publics en fonction du niveau de préjudice. Donc, plus on va se retrouver dans des préjudices qui sont élevés, puis à un niveau, par exemple, de protégé C, bien, c'est possible qu'une personne ait besoin d'une habilitation sécuritaire, par exemple, pour y avoir accès. C'est un exemple.

Le Président (M. Simard) : Merci beaucoup. D'autres questions? Alors, Mme la députée de La Pinière.

Mme Caron : Merci, M. le Président. Alors, le fameux article 10.7 auquel on s'est référé tout à l'heure, je veux juste m'assurer que je le comprends bien. On dit d'abord : «Est institué le registre de l'identité numérique nationale — ça, c'est le RINN, le R-I-N-N, O.K. — Sous la responsabilité du ministre, ce registre constitue un système de dépôt et de communication des données numériques gouvernementales.» Donc, c'est ce dont on parlait quand on disait : Les données, elles sont déposées, puis les différents registres peuvent se parler et donner accès... une fois que l'authentification est faite, on a accès à telle donnée de tel registre ou telle donnée de tel autre registre, selon le profil de l'utilisateur salarié d'État. On a dit aussi tout à l'heure que ce registre de l'identité numérique nationale, donc le RINN, en fait, c'est le... à la base, c'est le registre des attributs d'identité qui existe déjà, qui va devenir le RINN, mais qu'il faut quand même nourrir. Donc, dans le RINN, il va y avoir plus que ce qu'il y a dans le registre des attributs qui existe déjà. C'est bien ça?

M. Caire : Oui.

Mme Caron : O.K. Maintenant, on dit que, bon, ce registre doit notamment permettre, bon, 1° la conservation sécuritaire pour le compte d'un organisme public de tout ou partie de ces données. Alors, la conservation sécuritaire, c'est comme… c'est en fonction de ce qu'on vient d'expliquer, les différents types de protection…

M. Caire : C'est ça, la classification.

Mme Caron : ...la classification, puis le niveau de protection en fonction du…

M. Caire : Est proportionnel à la valeur de la donnée.

Mme Caron : Laquelle est déterminée en fonction de…

M. Caire : La valeur de la donnée par la classification.

Mme Caron : C'est ça. Et que s'il y a un haut niveau de préjudice en cas de manque d'intégrité, c'est-à-dire que la donnée, je vais dire comme ça, sort, est connue, alors qu'elle ne devrait pas….

M. Caire : Le préjudice est important, donc les mesures de sécurité entourant cette donnée-là devront être proportionnelles.

Mme Caron : O.K. Ensuite, 2° la communication entre organismes publics de ces données.

M. Caire : Puis... aussi de la protection, Mme la députée, les accès.

Mme Caron : Dans la conservation sécuritaire, on comprend les accès.

M. Caire : Bien, quand on parle de protection, parce que vous et moi, on a eu plusieurs discussions sur les accès, bien, vous comprendrez que plus une donnée est sensible, plus le préjudice est grand à sa communication, plus...

M. Caire : ...les permissions d'y accéder vont être restreintes ou vont être limitées à certains profils de prestataires de services.

Mme Caron : D'accord. Donc, ça, c'est l'accès... au 3, là, au paragraphe 3 où on parle des... de l'accès à ces données. O.K.

Maintenant, pour la communication entre les organismes publics, donc c'est le fait de pouvoir, pour tout prestataire de services publics gouvernementaux, de pouvoir accéder à telles données, à tel endroit qui est dans des registres différents.

M. Caire : Nécessaires à sa prestation de service.

Mme Caron : Oui. Et qui sont... qui sont peut-être dans des registres différents, mais dans le dépôt que constitue le RIN.

M. Caire : C'est ça.

Mme Caron : C'est ça? O.K. Est-ce qu'une... on... Parce qu'on a bien dit, là, qu'on a accès, la personne aura accès juste aux données nécessaires. Mais est-ce que dans ces données, on peut faire des liens entre deux personnes? Par exemple, est-ce qu'on verrait que telle personne qui... Moi, comme, je m'identifie, et tout ça, l'authenticité de mon identité est validée, est-ce qu'on pourrait aussi se servir de l'identité numérique pour valider que ma fille est effectivement ma fille, ou que mon conjoint est effectivement mon conjoint, ou ma mère effectivement ma mère? Est-ce que...

M. Caire : Ça va... oui. La réponse à votre question, c'est oui. Maintenant, encore là, c'est une question d'accès et donc d'une question de : Est-ce que cette information-là, vous êtes tenu de la donner aux prestataires de services? Et est-ce que vous consentez à lui donner cette information-là? Mais oui, le registre pourrait permettre de faire le lien entre vous et vos enfants, vous et vos parents, par exemple.

Mme Caron : O.K. Donc, si je prends, par exemple, actuellement, à l'État civil, si on a notre acte de naissance, on a les noms des parents, et tout ça.

M. Caire : C'est ça, oui. Oui.

Mme Caron : Donc, ça, c'est... Évidemment, c'est une prestation de services de...

M. Caire : Du Directeur de l'État civil. Donc, dans ce cas -là...

Mme Caron : C'est sûr. C'est clair, là, que...

M. Caire : C'est ça. Dans ce cas-là, je peux lui transmettre cette information-là parce qu'elle est nécessaire à la production du document qui est le certificat de naissance.

Mme Caron : D'accord. Bon.

M. Caire : Et il faut comprendre aussi que les renseignements qu'on donne à un ministère ou à un organisme, souvent, sont prévus par la loi. Donc, je ne sais si vous vous souvenez, Mme la députée, on avait... Quand on a étudié le p.l. n° 3, là, on avait cette notion-là aussi, de... ou c'est le... dans le 25, là, je ne me souviens plus, mais... Dans le 25, je suis sûr. Mais lorsqu'une loi le prévoit, mais, ça, c'est un critère d'accès aussi. Lorsqu'une loi prévoit que vous pouvez accéder à une information, c'est un critère d'accès.

Mme Caron : Et puis ça rentre dans 3, l'accès à ces données?

M. Caire : Oui. C'est ça.

Mme Caron : Tout à l'heure, ma collègue... À une réponse à ma collègue, vous avez dit que, oui, tout à fait, un critère, la sécurité ou le niveau de sécurité d'une information, d'une donnée pourrait changer si, effectivement, il entrait en jeu un gouvernement étranger ou un pays... un fournisseur d'un pays étranger. C'est bien ce que j'ai compris?

M. Caire : Oui, il y a une... Bien, quand on parle d'évaluation des facteurs relatifs à la vie privée, Me Bacon le disait, là, il y a une obligation de faire ça avant d'établir une source officielle de données. Donc, c'est les évaluations des facteurs relatifs à la vie privée, qui ont été amenées par la loi n° 14 initialement, qu'on a reconduit... cette disposition-là, on l'a reconduite dans la loi n° 95, fait en sorte qu'il faut être capable... par la constitution d'une source officielle de données, il faut être capable d'évaluer quels seraient les impacts sur les facteurs relatifs à la vie privée d'une divulgation pas frauduleuse, là, je cherche un autre terme, une divulgation non autorisée, voilà, merci, une divulgation non autorisée, une fuite de données, etc. Et donc, oui, tout à fait, dans les facteurs relatifs à la vie privée, de dire : Bon, bien, si cette donnée-là est conservée sur tel ou tel type de support, est-ce que ce support-là amène une menace? Si cette menace-là se réalise, quel est l'impact sur les facteurs relatifs à la vie privée? Donc, ça fait partie de l'évaluation à faire.

• (16 h 20) •

Mme Caron : D'accord. Et puis si on analyse, on en détermine qu'effectivement la... disons, la menace pourrait... le préjudice pourrait être grand...

Mme Caron : ...en raison de la plateforme de stockage ou du fournisseur du nuage, est-ce que... Parce qu'on comprend qu'il y a des contrats qui sont signés et qu'on ne peut pas résilier du jour au lendemain. Est-ce qu'il y aurait moyen de… Tu sais, autrement dit, comment je vais dire ça, est-ce qu'il faudra comme endurer ce risque-là jusqu'à tant que le contrat puisse être résilié ou arrive à sa fin?

M. Caire : Là, je vous dirais que c'est du cas par cas. Mais il faut comprendre qu'une évaluation relative aux facteurs à la vie privée est communiquée à la CAI. Donc, la CAI, elle, a aussi son pouvoir d'intervention et tous les autres pouvoirs qui sont inhérents à la CAI, notamment celui de prendre une injonction. Donc, à la limite la, CAI, suite à une évaluation des facteurs relatifs à la vie privée, pourrait, par injonction, nous dire : Vous sortez ces renseignements-là de là et vous les stockez ailleurs.

Mme Caron : Maintenant, il y avait une... un des experts, je ne me rappelle plus lequel, c'était peut-être M. Waterhouse, peut-être un autre, qui parlait de portabilité des données.

M. Caire : Oui. Oui.

Mme Caron : Alors que... Alors, est-ce que dans les contrats actuels, il y a cette clause-là qui est déjà prévue?

M. Caire : Non.

Mme Caron : Non. Parce que ce n'était pas un enjeu?

M. Caire : Non. Parce que je vous dirais que la grande majorité des fournisseurs de services infonuagiques n'offre pas ça. C'est la portabilité. Il y a quelques fournisseurs qui le font, Micrologic le fait, OVH le fait, mais les Azure, Google, AWS n'offrent pas ce service-là. Donc, dans les faits, on peut... on peut sortir de là, mais c'est plus compliqué.

Mme Caron : Bien, justement, on ne peut pas... on ne peut pas faire ça du jour au lendemain, là. Par exemple, tu sais, on pourrait... on pourrait dire qu'à partir de maintenant, disons, les prochains contrats qui sont... les prochains contrats qui seront signés, on s'assurera d'avoir une clause de portabilité des données pour se faciliter la vie, si jamais l'entreprise est vendue. Parce qu'on a évoqué ce que cas-là. Une entreprise, mettons, 100 % québécoise, mais qui serait vendue, qu'on ne peut rien faire contre, on ne peut pas empêcher la vente à des...

M. Caire : Mais il faut... il faut faire attention, Mme la députée, parce qu'un tel critère... puis là, je... encore une fois, je ne veux pas faire... exercer une pratique illégale du droit, mais un critère comme celui-là pourrait à la limite être invalidé par l'AMP du fait qu'il va éliminer plusieurs fournisseurs de services et donc réduire la concurrence. Et donc, on pourrait... l'AMP pourrait, puis là, je présume, là, on est dans... pourrait déterminer qu'on a orienté l'appel d'offres pour favoriser des fournisseurs.

Mme Caron : Je comprends ça. Et dans le contexte actuel... c'est-à-dire dans le contexte jusqu'à tout récemment, ça ne causait pas problème. Est-ce que... parce que l'AMP va déterminer ça en fonction... est-ce que c'est en fonction des lois qu'on a sur les marchés publics?

M. Caire : La LCOP, la LCOP, oui.

Mme Caron : Est-ce que c'est aussi en fonction des accords commerciaux internationaux?

M. Caire : Non. Là, on est vraiment dans la LCOP.

Mme Caron : O.K. Mais, si la LCOP était modifiée un jour en raison d'un contexte géopolitique, admettons, qui s'installerait et qu'on voit à demeure, la LCOP, à ce moment-là, si elle était modifiée de façon à ce que l'exigence d'un critère, d'une clause de portabilité dans un contrat soit considérée... bien, soit légale, à ce moment-là, l'AMP pourrait faire une analyse différente d'un contrat qui aurait cette clause-là?

M. Caire : En théorie, oui.

Mme Caron : On parle en théorie, évidemment, là.

M. Caire : Oui, tout à fait.

Mme Caron : Parce qu'on n'est pas... on n'est pas à ce stade-là.

M. Caire : Non.

Mme Caron : Mais... C'est ça. Alors, si je reviens à l'expression que j'utilisais tantôt, on est un... je pense qu'on est un peu pris à endurer ce risque-là à l'heure actuelle, et on ne sait pas pour combien de temps.

M. Caire : Bien, oui et non. Dans le sens où, à travers le courtier en infonuagique, éventuellement courtier en infonuagique et en technologies spécialisées, on pourrait... toujours en théorie, on pourrait favoriser un fournisseur de services sans en faire un critère d'entrée. Mais, une fois intégré au courtier en infonuagique, on pourrait favoriser, dans certaines circonstances, la portabilité.

Mme Caron : Donc, les...

M. Caire : En fait, ça pourrait... ça pourrait...

M. Caire : ...puis là on a une discussion très, très théorique, là, je veux être bien clair, là... ceux qui nous écoutent ne commencent pas à paniquer en disant : C'est une directive du gouvernement, là. On a une discussion franche et honnête. Mais ça pourrait... dans une perspective de souveraineté numérique, ça pourrait... Parce que je disais : La seule façon d'atteindre la souveraineté numérique, c'est que ce soit le gouvernement qui soit l'opérateur, le propriétaire, l'opérateur de ces systèmes, parce que, comme ça, on est sûrs que ça ne serait pas vendu à des entreprises étrangères. Alors, dans une perspective de souveraineté numérique, on pourrait dire : Bien, s'il y a cette possibilité-là de portabilité, en cas de vente de l'entreprise, on résilie le contrat puis on part avec nos... Mais là on est en théorie, évidemment.

Mme Caron : Oui, absolument, M. le Président, on est en théorie. On essaie d'envisager les scénarios qui pourraient être possibles, pas pour faire de la politique fiction ou de la législation fiction, mais pour voir s'il y a des moyens de... Parce que ce projet de loi là comme... est quand même un projet de loi d'envergure, qui va avoir une portée importante sur les renseignements. Et les renseignements, c'est... Avoir les renseignements, avoir l'information, c'est avoir le pouvoir aujourd'hui. Donc, on veut... on veut protéger nos renseignements. La loi 25 en est... en est une preuve. Donc, c'est pour ça qu'on a cette discussion-là de voir qu'est-ce qui serait possible.

Et puis ce que je comprends, c'est que, dans le courtier où les fournisseurs sont préqualifiés par le MCN, ce serait peut-être une possibilité, à un moment donné, de... sans... comme vous l'avez dit, sans obliger à l'entrée les fournisseurs à offrir la portabilité des données, ceux qui le feraient d'eux-mêmes, qui auraient la... seraient proactifs en ce sens-là, disons, bien, pourraient peut-être avoir... tu sais, la pondération qui pourrait leur être accordée dans la préqualification pourrait être assez importante. Sans venir contrevenir aux lois existantes ou bien à des accords commerciaux, ça pourrait être une... disons, une porte de sortie, là...

M. Caire : Tout à fait.

Mme Caron : ...je vais utiliser cette expression-là, pour tenter de protéger vraiment nos données contre des intérêts étrangers qui n'auraient peut-être pas nos intérêts à cœur...

M. Caire : Pas toujours, non.

Mme Caron : ...ça serait une possibilité. D'accord.

Maintenant, si je retourne dans le texte de loi, on dit, au paragraphe numéro 4 : «la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication». Alors là, on parle toujours des données qui vont être dans le registre de l'identité numérique nationale.

M. Caire : C'est ça, oui, oui.

Mme Caron : Et, quand on dit : «la traçabilité de tout accès au registre par une personne», c'est une personne physique ou morale, oui, c'est ça, dans ce cas-ci, ou...

M. Caire : J'aurais tendance à dire les deux, effectivement. De ne pas le préciser, ça inclut les deux. Est-ce que je suis dans l'erreur, Me Bacon?

Une voix : ...

M. Caire : C'est les deux.

Mme Caron : Et est-ce que... est-ce que c'est une... est-ce que la personne en question est une personne autre que le citoyen?

M. Caire : Oui. Oui, c'est ce qu'on se disait. Si quelqu'un d'autre que vous veut accéder à vos renseignements contenus dans le registre d'identité nationale, on garde une traçabilité. Si vous vous servez de votre identité nationale, bien non, il n'y a pas de... on n'a pas à retracer ça.

Mme Caron : Alors, c'est ce qu'on... c'est ce qu'on souhaite.

M. Caire : Oui.

Mme Caron : Mais, puisqu'on dit... ça dit juste «par une personne», on... ça n'exclut pas le citoyen, d'après moi. Dans le libellé actuel : «la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ses données, les utiliser ou en recevoir la communication», recevoir...

Le Président (M. Simard) : Très bien. Malheureusement, chère collègue...

Mme Caron : J'ai fini...

Le Président (M. Simard) : ...c'est très ingrat, mais je dois vous arrêter parce que le temps qui nous est dévolu est maintenant complété.

Et donc, compte tenu de l'heure...

Le Président (M. Simard) : ...je vais ajourner mes... nos travaux sine die. Mais avant, je vous remercie à nouveau pour votre précieuse collaboration. Au plaisir.

(Fin de la séance à 16 h 30 )