Journal des débats de la Commission des institutions
Version préliminaire
42e législature, 1re session
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
mercredi 10 mars 2021
-
Vol. 45 N° 123
Étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Bachand, André
-
Tanguay, Marc
-
Caire, Éric
-
Nadeau-Dubois, Gabriel
-
-
Caire, Éric
-
Bachand, André
-
Tanguay, Marc
-
Nadeau-Dubois, Gabriel
-
Lévesque, Mathieu
-
-
Tanguay, Marc
-
Caire, Éric
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
-
Bachand, André
-
Tanguay, Marc
-
Caire, Éric
-
Lévesque, Mathieu
-
Nadeau-Dubois, Gabriel
-
-
Caire, Éric
-
Tanguay, Marc
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Bachand, André
-
Tanguay, Marc
-
Lévesque, Mathieu
-
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Bachand, André
-
Lévesque, Mathieu
-
Tanguay, Marc
-
-
Caire, Éric
-
Tanguay, Marc
-
Bachand, André
-
Nadeau-Dubois, Gabriel
-
Lévesque, Mathieu
-
-
Nadeau-Dubois, Gabriel
-
Caire, Éric
-
Bachand, André
-
-
Bachand, André
-
Caire, Éric
-
Tanguay, Marc
-
Nadeau-Dubois, Gabriel
-
Lévesque, Mathieu
-
-
Tanguay, Marc
-
Caire, Éric
-
Bachand, André
-
Nadeau-Dubois, Gabriel
11 h 30 (version révisée)
(Onze heures trente-six minutes)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! Bienvenue. Ayant constaté le
quorum, je déclare la séance de la Commission des institutions ouverte.
La commission est réunie afin de poursuivre
l'étude détaillée du projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Zanetti (Jean-Lesage) est remplacé par M. Nadeau-Dubois
(Gouin) et Mme Hivon (Joliette) est remplacée par M. Ouellet
(René-Lévesque).
Étude détaillée (suite)
Le Président (M. Bachand) :
Merci. Je vous informe que les votes pour ce mandat devront se tenir par appel
nominal, et ce, jusqu'au 2 avril 2021.
De plus, je vous rappelle qu'en fonction
des mesures de distanciation physique énoncées par la Santé publique, vous
devez conserver votre place assise en commission. De plus, le port du masque de
procédure est obligatoire en tout temps, hormis au moment de prendre la parole
dans le cadre de nos travaux.
Lors de l'ajournement de nos travaux le
mercredi 17 février 2021, il avait été convenu de suspendre l'étude
de l'amendement visant à introduire l'article 12.1 et celui visant à
introduire l'article 13.1, qui ont été tous les deux déposés par le député
de René-Lévesque.
Nos discussions, à ce moment-là, portaient
donc sur l'article 63.4 énoncé à l'article 14 du projet de loi.
Interventions? On avait sur 63.4 puis on avait discuté de 63.5 aussi, où on
avait eu une adoption d'amendement. M. le député de LaFontaine.
M. Tanguay
: Oui.
Bien là, on a le défi de se remettre dans un dossier qui est à rebours, qui est
par saccades, dirions-nous. Ça fait que 63.4, M. le Président, je pense que
vous nous aviez indiqué, sans que ce soit formel, que nous allions descendre
les articles. Je pense qu'on avait discuté beaucoup de 63.4. Est-ce que nous
étions donc rendus, dans notre logique... Vous le voyez, on y allait, grosso
modo, article par article.
Alors, est-ce qu'on pourrait peut-être
demander au ministre de lire 63.5, toujours en n'étant pas forclos de revenir
en arrière? Puis on pourrait peut-être relire 63.5. Je pense qu'on était rendus
là.
Le Président (M. Bachand) :
Il avait été lu puis il avait été amendé, mais on avait... Il y avait un
amendement qui avait été proposé pour 63.4. On était revenus alors.
M. Tanguay
: Puis
on n'a pas, dans nos travaux, d'amendement suspendu, là, à 60... à 14, là.
Le Président (M. Bachand) :
Non, non, mais on va avoir des amendements supplémentaires plus tard dans
l'étude.
M. Tanguay
: O.K.
Ça fait qu'on pourrait peut-être inviter le ministre, peut-être, si ça lui
chante, de nous relire 63.6. On serait rendus là puis là on pourrait le...
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
M.
Caire
: Merci,
M. le député de Gouin...
M. Nadeau-Dubois : ...M.
le Président.
M. Tanguay
: On se
passe la puck.
M. Nadeau-Dubois : C'est
de l'entraide. On était en train de discuter de 63.5, en fait, si mon souvenir
est bon, parce que j'avais posé...
Une voix : ...
M. Nadeau-Dubois : Oui, 63.5,
puisque j'avais posé une question sur le caractère public de l'évaluation des
facteurs relatifs à la vie privée. Il me semble que j'avais à peine eu le
temps, même, de poser la question, puis la séance s'était interrompue. Ça fait
que je peux essayer de reprendre le questionnement? Oui.
Une voix
: ...
M. Nadeau-Dubois : Je
veux la réponse maintenant. Non. Ma question était au sujet, donc, de 63.5, où
on peut lire que «les organismes publics doivent procéder à une évaluation des
facteurs relatifs à la vie privée», <et le...
M. Nadeau-Dubois :
Ça
fait que je peux essayer de reprendre le questionnement? Oui.
Une voix
: ...
M. Nadeau-Dubois : Je
veux la réponse maintenant. Non. Ma question était au sujet, donc, de 63.5, où
on peut lire que «les organismes publics doivent procéder à une évaluation des
facteurs relatifs à la vie privée», >et le Barreau du Québec, à la page 21
de leur mémoire, posait la question : Pourquoi ne pas exiger de la part
des organismes publics que soit rendue publique l'évaluation des facteurs
relatifs à la vie privée? Et je me demandais, donc, si le ministre avait une
réponse à cette interrogation formulée par le Barreau du Québec.
M.
Caire
:
En fait, je vais peut-être demander à Me Miville-Deschênes de répondre à
cette question. J'essaierai tentativement une réponse qui ferait en sorte que
je me demande s'il n'y a pas une question de mettre à jour des informations qui
pourraient être préjudiciables pour les organismes en question, mais je vais
laisser Me Miville-Deschênes, là, répondre à cette question-là, puis ça va
me permettre à moi aussi de me démêler dans mes affaires.
• (11 h 40) •
Le Président (M. Bachand) :
Donc, est-ce qu'il y a consentement? Consentement. Me Miville-Deschênes, s'il
vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Oui. Dans le fond, dans l'évaluation des facteurs
relatifs à la vie privée, il est susceptible d'y avoir des renseignements, là,
qui pourraient être confidentiels. Notamment, en vertu de l'article 29 de
la loi sur l'accès, là, c'est tout renseignement qui pourrait nuire à «l'efficacité
d'un programme, d'un plan d'action ou d'un dispositif de sécurité». Donc, quand
l'organisme public identifie certaines éventuelles failles de sécurité ou certains
risques qui pourraient découler de la mise en place d'un système informatique,
bien, il pourrait y avoir des renseignements là-dedans qui sont confidentiels.
Donc, dans certains cas, le fait de rendre
publique une telle évaluation, bien, aurait pour effet... on peut croire que ça
aurait pour effet d'aseptiser un peu cette évaluation-là, là, de sorte que les
renseignements un peu plus confidentiels, bien, qui ne doivent pas, parce que
c'est une restriction obligatoire, qui ne doivent pas être communiqués seraient
retirés, là.
M. Nadeau-Dubois : Je
comprends la préoccupation. Elle m'apparaît, à première vue, bien légitime. D'ailleurs,
le Barreau le mentionne dans son mémoire en disant : «Le Barreau du Québec
propose que ces évaluations devraient obligatoirement être rendues publiques, à
moins que certains impératifs l'empêchent. On peut penser à de rares cas où la
divulgation pourrait occasionner un risque quant à l'intégrité du système ou du
logiciel.» Donc, pourquoi ne... Et je fais juste vraiment poser des questions
pour bien comprendre l'intention du ministre puis pourquoi il a fait le choix,
qui pourrait par ailleurs être justifié, de ne pas donner suite à cette
recommandation du Barreau d'écrire dans la loi que les évaluations doivent être
rendues publiques, quitte à inscrire des exceptions, notamment si ça représente
des risques pour l'intégrité des systèmes ou pour répondre aux préoccupations
que vient d'émettre Me Miville-Deschênes. Donc, pourquoi ne pas faire
preuve de cette transparence pour que les citoyens et <citoyennes qui
sont en...
M. Nadeau-Dubois : ...
si
ça représente des risques pour l'intégrité des systèmes ou pour répondre aux
préoccupations que vient d'émettre Me Miville-Deschênes. Donc, pourquoi ne
pas faire preuve de cette transparence pour que les citoyens et >citoyennes
qui sont en relation avec les organismes publics sachent que voici les risques
théoriques auxquels je m'expose en transmettant mes renseignements personnels?
M.
Caire
: Bien,
là-dessus, je vais, puis Me Miville-Deschênes pourra compléter, mais je
dirais d'abord, puis là je vous parle un peu plus d'expérience, ce n'est pas...
ça ne sera pas un épiphénomène dans le sens où les évaluations des facteurs
relatifs à la vie privée n'amèneront que rarement des situations où ça pourrait
être préjudiciable, et/ou pour l'organisme, et/ou pour le citoyen, parce que
l'objectif est effectivement de mettre au jour d'éventuelles failles, que ce
soit une faille technologique ou que ce soit une faille, bon, dans le système.
Donc, c'est l'objectif de l'évaluation. Donc, de penser que ce ne sont que
quelques évaluations qui vont nous conduire à ce résultat-là, à mon avis, ce
n'est pas comme ça que ça va se traduire sur le terrain. Je pense que, de façon
majoritaire, il y aura de ces situations-là dans un premier temps.
Dans un deuxième temps, cette
évaluation-là, elle est évaluée par la Commission d'accès à l'information.
Donc, ce chien de garde qu'on s'est donné collectivement va être capable de
mesurer l'impact, de mesurer les dangers potentiels, les écueils potentiels, je
devrais dire, dans ce qui pourrait être un... bon, ce qu'on a statué, là, une
acquisition, un développement ou une refonte de système. La Commission d'accès
à l'information va avoir ce rôle-là, justement, de protéger l'intérêt public et
de préserver cette partie-là du travail de développement d'un système, d'une
refonte ou d'une acquisition qui pourrait être préjudiciable soit pour nos
organismes publics, parce qu'on comprend qu'ici on s'adresse à nos organismes
publics, soit pour nos organismes publics, soit pour les concitoyens avec qui
ils font affaire.
Donc, dans ce contexte-là, l'utilité de la
rendre publique, je pense que, dans la balance des inconvénients, les
inconvénients sont beaucoup plus grands que les avantages, notamment par le
fait que la Commission d'accès à l'information va jouer ce rôle-là, de
s'assurer qu'on ne se lance pas dans une acquisition, un développement ou une
refonte qui va être préjudiciable pour le citoyen dans les façons de traiter
nos renseignements personnels.
Le Président (M. Bachand) :
M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci beaucoup. Dans son mémoire, le Barreau proposait que ces évaluations
soient publiques et être rendues publiques. Je ne sais pas, le ministre, qu'en
pense-t-il? Évidemment sous réserve d'impératifs pouvant l'empêcher tels que
protection des renseignements personnels ou les risques de <sécurité...
Le Président (M. Bachand) :
M. le député de LaFontaine.
M. Tanguay
:
Oui. Merci beaucoup. Dans son mémoire, le Barreau proposait que ces évaluations
soient publiques et être rendues publiques. Je ne sais pas, le ministre, qu'en
pense-t-il? Évidemment sous réserve d'impératifs pouvant l'empêcher tels que
protection des renseignements personnels ou les risques de >sécurité...
M.
Caire
:
C'est le plexiglas, le son ne se rend pas.
M. Tanguay
: Hein?
M.
Caire
:
C'est parce que le député de Gouin vient de me poser exactement la même question
M. Tanguay
: Ah!
Désolé.
M.
Caire
:
Pas de problème.
M. Tanguay
: Puis
la... O.K. La réponse, c'est oui ou non? C'est parce que la réponse, là...
M.
Caire
:
La réponse, c'est...
M. Tanguay
: Est-ce
que vous faites du temps?
M.
Caire
: La
réponse... Non, mais ça va me faire plaisir de la répéter, M. le député, parce
que je comprends la situation, là, puis on est tous à la même place. Ça a parti
raide, un peu.
M. Tanguay
: En
plus, j'étais sûr que ma question était bonne. J'ai dit...
M.
Caire
:
Non, mais ceci étant, elle est excellente.
M. Tanguay
: Parce
que j'étais convaincu...
M. Nadeau-Dubois : Je
suis d'accord, elle est excellente.
M.
Caire
:
Elle est excellente.
M. Tanguay
: Bien,
elle méritait d'être posée une deuxième fois.
M.
Caire
:
C'est juste qu'elle arrive en deuxième, mais bon. C'est comme au salon bleu.
M. Tanguay
: Non,
mais le «executive summary», là, c'est oui ou c'est non?
M.
Caire
: Oui.
Bien, en fait, c'est qu'il y a une possibilité de révéler des failles qui
seraient préjudiciables contre l'organisation ou pour le citoyen en la rendant
publique. Puis, de toute façon, c'est pour ça qu'on demande à la Commission
d'accès à l'information de faire les évaluations, de ces évaluations-là, pour
s'assurer que, quand on fait une refonte, bon, etc., on a bien évalué le risque
potentiel et on a mis en place les mesures de mitigation pertinentes.
M. Tanguay
: O.K.
Ce qui va être public, à tout le moins, c'est qu'il y a, dans tel organisme
public, untel projet en route qui occasionne tel coût. Tu sais, il y a toujours
une publicité de l'octroi des contrats. Donc, tout ça, ça sera public, mais le
«nitty-gritty» du système, le cas échéant, et son évaluation...
M.
Caire
:
Oui. Le comment pouvez-vous nous attaquer, on ne le rendra pas public.
M. Tanguay
: Ça,
ça ne sera pas public. O.K. Et donc on préjuge que toute demande d'accès à l'information
pour obtenir, justement, le détail serait systématiquement refusée à ce
moment-là.
M.
Caire
:
On peut penser que le préjudice ferait en sorte, effectivement, sans présumer
de ce que la Commission d'accès à l'information et toute la structure qu'on
vient de mettre en place prendraient comme décision, mais on peut penser que,
ce document-là n'ayant pas un caractère public à sa face même, la réponse
pourrait effectivement être négative.
M. Tanguay
: En
toute transparence, est-ce que le ministre est convaincu que la rédaction
actuelle de la Loi sur l'accès à l'information prévoit... je pense que c'est aux
articles 36, déjà, cette exception-là. Parce que je ne voudrais pas qu'on
détourne le sens d'un article en disant : Bien, on va l'embarquer là-dedans.
Si on veut faire un débat public sur le caractère non public de ces
évaluations-là, en toute transparence, est-ce qu'il est satisfait de la
rédaction actuelle de la loi?
M.
Caire
:
Je vais laisser Me Miville-Deschênes répondre à celle-là.
M. Tanguay
: Pas
parce que je ne veux pas qu'on l'ait puis qu'on mette une porte bien
cadenassée, mais je voulais savoir... que le débat soit fait. Puis, s'il faut
mettre un article, bien, proposez-le, puis on va voter contre, tout simplement,
là.
M. Miville-Deschênes
(Jean-Philippe) : Oui, mais il y a une restriction qui est
obligatoire. En fait, si la restriction s'applique, l'organisme est obligé de
refuser. C'est le deuxième alinéa, là, de l'article 29 qui... Je vais vous
le lire, là. Puis il a déjà été interprété pour protéger vraiment de
l'information qui révélait des failles, là, dans des systèmes informatiques.
C'est : «L'organisme doit refuser de
confirmer l'existence ou de donner communication d'un renseignement dont la
divulgation aurait pour effet de réduire l'efficacité d'un programme, d'un plan
d'action ou d'un dispositif de sécurité destiné à la protection d'un bien ou
d'une personne.» Donc, c'est cette disposition-là qui est invoquée pour refuser
de donner accès à ce type de renseignement qui serait préjudiciable.
M. Tanguay
: O.K.
Quel est l'état des lieux? <Actuellement, des...
M. Miville-Deschênes
(Jean-Philippe) :
...aurait pour effet de réduire l'efficacité
d'un programme, d'un plan d'action ou d'un dispositif de sécurité destiné à la
protection d'un bien ou d'une personne.» Donc, c'est cette disposition-là qui
est invoquée pour refuser de donner accès à ce type de renseignement qui serait
préjudiciable.
M. Tanguay
:
O.K. Quel est l'état des lieux? >Actuellement, des monopoles ont beaucoup
de désavantages quant aux fournisseurs de services, le cas échéant, parce que,
là, j'entends qu'il va falloir formaliser l'évaluation, la mise en place de
tels systèmes, puis ça va être plus qu'hier et moins que demain. Quel est
l'état des lieux? Je sais que ce n'est pas dans la cour du ministre, mais
j'imagine... Est-ce qu'on va faire ça à l'interne? Est-ce qu'on va donner ça à
des fournisseurs externes? Est-ce qu'il y a une saine écologie d'acteurs à l'extérieur
pour s'assurer que ça ne soit pas tout le temps un quasi-monopole d'une
compagnie qui fait tout ça clé en main, puis c'est bien parfait, mais qu'à un
moment donné, collectivement, on se rend compte que, oups, on a peut-être
échappé...
M.
Caire
:
C'est une excellente question, M. le député. En fait, il y a une demande actuellement
de la Commission d'accès à l'information pour que le gouvernement se dote
d'outils qui vont permettre d'automatiser et de systématiser ce genre
d'évaluation là. Et il y a aussi une expertise. Parce que la notion
d'évaluation des facteurs relatifs à la vie privée n'est pas une notion qui
arrive avec le projet de loi n° 64, on l'avait déjà
adoptée dans le projet de loi n° 14 l'année dernière,
où il y a... En tout cas, ma mémoire me fait défaut, vous m'excuserez, mais on
avait déjà adopté cette notion-là. Donc, déjà, au niveau de la Commission
d'accès à l'information et au niveau des ministères et organismes, on était
sensibilisés au fait que cette situation-là allait prévaloir. Donc, dans
le fond, ce qu'on fait ici, c'est de formaliser, dans la loi sur la protection
des renseignements personnels, cette procédure-là, cette façon de faire. Mais
déjà il y a une expertise à l'interne qui se met en place. On nous demande des
outils aussi. Comme je vous ai déjà dit, là, on nous demande des outils,
demande à laquelle nous acquiesçons, évidemment — là, il faut quand
même prendre le temps de le faire — pour formaliser et systématiser
la production de ces évaluations-là.
Donc, l'objectif n'est pas d'aller à
l'externe ou... Je ne dis pas que ça n'arrivera jamais, je ne dis pas qu'il n'y
a pas des expertises externes qui seront nécessaires, mais l'idée, c'est de se
donner au moins les assises à l'interne pour qu'on puisse avoir cette
capacité-là de produire de telles évaluations.
• (11 h 50) •
M. Tanguay
: Et
dans le contexte du débat de l'article 1 qui référait au nouvel article 8,
notamment, et suivants, on se rappellera qu'on avait eu la confirmation du
ministre que... parce que, là, 63.5, au coeur de l'action, il y a le comité sur
l'accès à l'information et à la protection des renseignements personnels, ce
comité-là. On avait déjà eu la discussion avec le ministre, qui pourra, le cas
échéant... Des membres externes pourraient, le cas échéant, être assis à la
table de ce comité-là. Ça pourrait vouloir dire le représentant d'un
fournisseur qui a eu le mandat de procéder?
M.
Caire
:
Ça pourrait, oui, effectivement, pour avoir peut-être une connaissance plus
approfondie de l'application. Ça pourrait être aussi des expertises par rapport
à des technologies plus récentes. Je pense aux chaînes de blocs. Quand on parle
de protection de communication, je pense à l'intelligence artificielle, <notamment...
M.
Caire
:
Ça pourrait, oui, effectivement, pour avoir peut-être une connaissance plus
approfondie de l'application. Ça pourrait être aussi des expertises par rapport
à des technologies plus récentes. Je pense aux chaînes de blocs. Quand on parle
de protection, de communication, je pense à l'intelligence artificielle, >notamment,
où, au sein du gouvernement, c'est des expertises qui sont naissantes et pour
lesquelles il pourrait y avoir temporairement un besoin d'aller à l'externe.
M. Tanguay
: Est-ce
que le ministre a une évaluation du coût que ça va représenter? Ou a-t-il
demandé... Je ne vais pas lui demander le coût pour tout le monde, là.
M.
Caire
:
Oui. Bien, écoutez, je veux... Oui, il y a une évaluation des coûts qui a
été...
M. Tanguay
: Il
faut s'attendre à ce que...
M.
Caire
: Bien,
je vous avoue que... Écoutez, l'évaluation qui a été faite, je vous le dis...
Puis, je ne sais pas, on a-tu le... On peut-tu fournir les documents à la commission
à cet effet-là, là? Les évaluations qui ont été faites, si ma mémoire est
bonne, seraient de 11 000 $ environ pour la mise en place de tout ça
dans une organisation.
M. Tanguay
:
11 000 $? Dans une organisation donnée?
M.
Caire
:
Oui, dans une organisation.
M. Tanguay
: Ah
oui? 11 000 $. Si on pouvait avoir le détail...
M.
Caire
:
Mais là c'est pour ça que je suis un peu... J'y vais sur la pointe...
M. Tanguay
: Ça me
semble peu. Ça me semble peu, 11 000 $, pour... Évidemment, là, tu
sais, ça peut être... Il y a des plus petits puis des plus gros organismes, là.
M.
Caire
: Oui,
c'est ça, c'est des moyennes puis c'est des... En tout cas, je... Mais je
m'engage à fournir l'information qu'on a là-dessus à la commission et je
laisserai mes collègues évaluer...
M. Tanguay
: À
11 000 $, j'en prendrais deux. Et je ferais écho...
M.
Caire
:
Oui, d'accord. J'envoie ça à quelle adresse?
M. Tanguay
: Bien,
regardez bien, ça, vous vous l'enverrez. Le Barreau du Québec a recommandé
également la mise en place, puis je reviens là-dessus, on ne refera pas le
débat, d'une disposition transitoire afin que les organismes publics
procèdent à une analyse des systèmes d'information déjà en place.
Tu sais, quand on se disait... Il y a le
coût. 11 000 $, j'en prends deux. J'en prends deux, là, mais il y
avait l'aspect organisationnel puis sclérosant de ce mandat-là pour ce qui est
en place. Mais je pense, puis je relance l'idée, puis je ne redirai pas tout ce
que j'ai dit, M. le Président, mais je pense que le gros, gros... 100 %
des données, à l'heure actuelle, c'est dans les systèmes actuels. Alors, si on
fait la loi uniquement pour l'avenir, il va y avoir des organismes qui n'auront,
pour les prochaines années, pas de nouveau système à implanter et ils n'auront
pas procédé à un état des lieux, évaluation quant à la conformité de leur
système actuel qui contient 100 % des renseignements personnels.
Alors, je relance l'idée au ministre. Il
faudrait trouver une voie de passage, quelque chose pour qu'ils y jettent un
oeil, sans que ce soit... Puis j'avais même... Excusez-moi. Rapidement, j'avais
même dit : Bien, on pourrait... Puis je pense qu'on avait déposé un
amendement là-dessus, par rapport au fait de demander que, pour les systèmes
actuels, il y ait une évaluation qui soit faite, mais sans que ce soit
formalisé, tel que rédigé par 63.5.
M.
Caire
:
Bon, bien, M. le Président, je vais revenir sur cette discussion-là qu'on a eue
avec le député de LaFontaine. Puis il faut comprendre, là, que je n'ai plus le
chiffre, exemple, <le chiffre...
M. Tanguay
: ...
tel
que rédigé par 63.5.
M.
Caire
:
Bon, bien, M. le Président, je vais revenir sur cette discussion-là qu'on a eue
avec le député de LaFontaine. Puis il faut comprendre, là, que je n'ai plus le
chiffre, exemple, >le chiffre en tête, là, mais c'est des milliers de
systèmes dont le gouvernement du Québec dispose présentement, puis tous, d'une
façon directe ou indirecte, vont traiter des renseignements, ou personnels, ou
sensibles, ou etc., pour lesquels il faudrait faire une évaluation. Donc, je
laisse... Puis en admettant, là, en admettant que le coût dont je vous parle,
il est exact, je vais laisser le député de LaFontaine faire le calcul de ce que
ça représente pour le contribuable québécois.
Pour faire quoi? Pour en arriver à quoi?
L'idée d'une évaluation des facteurs relatifs à la vie privée, c'est de voir,
dans les processus, dans la façon de faire, dans ce qui est planifié, dans ce
qui est prévu, dans ce que sont les résultats attendus d'un système, quels sont
les facteurs qui pourraient représenter un risque ou une faille pour la vie
privée. Or, les systèmes que nous utilisons, ces éléments-là, ils sont connus,
on les connaît. On connaît les intrants, on connaît les extrants, on connaît
les manipulations, on sait qui a accès à quoi, qui a la permission de faire
quoi avec ça. On le sait déjà parce que c'est l'usage qui nous a permis d'aller
chercher cette information-là.
Donc, l'évaluation des facteurs relatifs à
la vie privée, dans ces cas-là, ne nous apporterait pas de réponse que nous
n'avons pas. Et c'est là où je dis aux collègues : Nous sommes aussi, à
l'Assemblée nationale, gardiens des deniers des contribuables. Ce sont les
députés de l'Assemblée nationale qui dotent le gouvernement de ses budgets.
Puis je sais que mon collègue est très sensible à ces questions-là. Alors, on
parle de millions de dollars pour un exercice qui ne va pas produire d'effet positif.
Alors, c'est là où je dis : C'est
pour ça qu'on l'impose pour les futurs systèmes. Parce que les futurs systèmes,
c'est des questions pour lesquelles on doit trouver ces réponses-là, et non pas
par la pratique du terrain, mais il faut que ces évaluations se fassent
justement avant qu'on les déploie. Puis c'est même une mesure qu'on a mise...
deux mesures, en fait, qu'on a mises dans la politique de cybersécurité. La
première, c'est, quand on dessine un système, il faut avoir cette pensée-là de
sécurité. Et quand on acquiert un système, il faut faire ces évaluations-là
pour savoir, lorsqu'on va le déployer, est-ce qu'on va avoir des mauvaises
surprises, oui ou non? C'est ça, l'idée. Donc là, à ce moment-là, c'est
pertinent de le faire dans les paramètres dont nous avons discuté précédemment,
avec les amendements que nous avons apportés.
C'est la même logique qui fait que je
disais aux collègues... tu sais, on a commencé l'article en disant «tout
système» puis là on s'est dit : Bien non, <parce qu'il y a...
M.
Caire
:
Donc
là, à ce moment-là, c'est pertinent de le faire, dans les paramètres dont nous
avons discuté précédemment, avec les amendements que nous avons apportés.
C'est la même logique qui fait que je
disais aux collègues... tu sais, on a commencé l'article en disant «tout
système» puis là on s'est dit : Bien non, >parce qu'il y a bien des
moments où une telle évaluation ne sera pas pertinente. Donc, on va engager des
ressources matérielles, financières et humaines à faire quelque chose qui n'a
pas d'utilité. C'est pour ça qu'on a apporté la modification de dire «acquisition,
développement ou refonte» parce que, là, effectivement, on est dans une situation
où ces questions-là se posent et où on doit aller chercher les réponses.
Le Président (M. Bachand) :M. le député, s'il vous plaît.
M. Tanguay
: Très rapidement,
puis je... On l'avait fait, le débat. On avait déposé l'amendement 63.4.1
qui demandait que ça soit fait pour les systèmes actuels dans les six mois, puis
ça aurait pu être un an, puis ça aurait pu être un autre délai, évidemment. Puis,
en tout respect, je ne suis pas d'accord avec le ministre, en tout respect,
puis c'est pour ça que ça...
M.
Caire
:
C'est correct.
M. Tanguay
: C'est
pour ça qu'on siège. C'est bien correct. Moi, je pense que coût-bénéfice... Tout
a un coût. Coût-bénéfice, je pense que le jeu en vaut la chandelle. Et allez
parler à toutes celles et ceux qui, tant au ministère du Revenu, au ministère
de la Santé, au ministère de l'Éducation, de l'Enseignement supérieur, qui ont
été victimes de vol de données parce que, visiblement, il y avait des carences.
Évidemment, un système parfait à
100 % et à l'abri à 100 %, je veux dire... La CIA se fait hacker aux
États-Unis, M. le Président, puis il y en a qui sont capables d'entrer. Alors,
des systèmes parfaits, ça n'existe pas. Il y aura toujours une course
technologique face aux malfaiteurs. Des fois, ils vont être en avance, des
fois, nous, on sera en avance, mais je pense que, coût-bénéfice, le jeu en
aurait valu la chandelle. Voilà, tout simplement.
Le Président (M. Bachand) :
Merci. Interventions? Sinon, on continue l'étude de l'article. On serait à
63.6. M. le ministre.
M.
Caire
:
Oui, merci, M. le Président. J'ai un amendement. Non, c'est à 63.6.1. O.K. Excusez.
Non, mais je vais me remettre dedans, là, promis, promis, promis.
63.6, M. le Président, se lirait comme
suit : «Le comité peut, à toute étape d'un projet visé à l'article 63.5,
suggérer des mesures de protection des renseignements personnels applicables à
ce projet, telles que :
«1° la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection des renseignements personnels;
«2° des mesures de protection des
renseignements personnels dans tout document relatif au projet, tel un cahier
des charges ou [de] contrat;
«3° une description des responsabilités
des participants au projet en matière de protection des renseignements
personnels;
«4° la tenue d'activités de formation sur
la protection des renseignements personnels pour les participants au projet.»
Donc, M. le Président, le 63.6., cet
article prévoit que le comité sur l'accès à l'information et à la protection
des renseignements personnels peut, à toute étape d'un projet de système
d'information ou de prestation électronique de services visé par l'article
précédent, suggérer des mesures de protection des renseignements personnels
applicables à ce projet telles que certaines mesures qu'il énumère.
Le Président (M. Bachand) :
Merci, M. le ministre. Interventions? M. le député LaFontaine, s'il vous plaît.
• (12 heures) •
M. Tanguay
: Oui.
Merci, M. le Président. Je retombe dans l'article 8 et 8.1. De facto, la
plus haute autorité, est-ce qu'elle est membre du comité de facto, ou elle <constitue
le comité...
>
12 h (version révisée)
<485
M.
Caire
: ...certaines mesures qu'il énumère.
Le Président (M.
Bachand) :
Merci, M. le ministre.
Interventions?
M. le député de
LaFontaine,
s'il vous plaît.
M. Tanguay
:
Oui,
merci, M. le Président. Je retombe dans
l'article 8 et
8.1. De facto, la plus haute autorité,
est-ce qu'elle est membre du
comité de facto ou elle >constitue le comité?
M.
Caire
: Elle
le constitue.
M. Tanguay
: Elle
le constitue puis elle n'y siège pas.
M.
Caire
: Non.
M. Tanguay
: O.K. Est-ce
qu'il est bon que le comité sous-délègue la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection sans qu'il y ait une sorte de lien
fait avec la plus haute autorité ou...
M.
Caire
: Bien,
en fait, c'est que la plus haute autorité, de par la loi, sera toujours
responsable, sera toujours imputable. C'est d'ailleurs, je vous dirais, le
coeur de l'argument que nous avons eu, vous et moi, pour lequel nous étions entièrement
d'accord, d'ailleurs. Donc, tout acte de délégation se fait dans l'exécution d'une
tâche mais non pas dans la responsabilité qui incombe au premier dirigeant de l'organisation.
Le Président (M. Bachand) :
Interventions? Sinon, nous allons continuer. M. le ministre, vous aviez un amendement.
M.
Caire
: Oui,
63... cette fois, j'y suis, 63.6.1. Donc, l'amendement se lit comme suit :
Insérer, après l'article 63.6 de la Loi sur l'accès aux documents des organismes
publics et de la protection des renseignements personnels, proposé par l'article 14
du projet de loi, l'article suivant :
«63.6.1. Un organisme public qui recueille
des renseignements personnels en offrant au public un produit ou un service
technologique disposant de paramètres de confidentialité doit s'assurer que,
par défaut, ces paramètres assurent le plus haut niveau de confidentialité,
sans aucune intervention de la personne concernée.
«Ne sont pas visés au premier alinéa les paramètres
de confidentialité d'un témoin de connexion.»
Le Président (M. Bachand) :
C'est beau. Alors, on va suspendre quelques instants...
M.
Caire
: Bon,
bien...
Le Président (M. Bachand) :
Oui?
M.
Caire
: Ah!
il n'avait pas été déposé, M. le Président?
Le Président (M. Bachand) :
C'est parce qu'il était... il avait été déposé, mais je pense qu'il a été
retiré puis il va être redéposé.
M.
Caire
: Ah! c'est
le nouvel amendement, oui, effectivement. C'est pour mettre la...
Le Président (M. Bachand) :C'est ça. Merci.
Ça fait qu'on va suspendre quelques
instants. Merci.
(Suspension de la séance à 12 h 02)
>
(Reprise à 12 h 04)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux.
Interventions sur l'amendement du ministre? M. le député de LaFontaine,
s'il vous plaît.
M. Tanguay
: Oui,
j'aimerais savoir qu'entend le ministre lorsqu'il dit : «Un organisme qui
recueille des renseignements personnels en offrant au public un produit [...] disposant
de paramètres [...] doit s'assurer que, par défaut, ces paramètres assurent le
plus haut niveau de confidentialité, sans aucune intervention de la personne
concernée.»
Je vous donne un exemple bien tangible que
j'ai vécu, moi. Je devais envoyer à Revenu Québec un document, et c'était bien,
bien, simple, l'affaire. J'avais parlé à la dame au téléphone, ça allait super
bien, elle dit : Envoyez-le-moi. Moi, c'est un document qui était, par
ailleurs, public, mais elle a dit : Non, non, vous devez l'envoyer de
façon sécurisée. Puis vous savez, dans nos vies, du temps, on n'en a pas... des
fois, on n'en a pas de lousse. Alors, je lui dis : Quelle est votre
adresse courriel? Je l'ai, votre adresse courriel. Elle a dit : Non, non,
non, vous devez l'envoyer de façon sécurisée. Bien, j'ai dit : Il est
public. Non, correct, parfait. Alors, je vous envoie la procédure. Elle
m'envoie la procédure. Je reçois un courriel, et là je devais... c'est là,
«aucune intervention de la personne concernée», je devais aller créer un
compte, me faire un mot de passe, m'identifier et télécharger de façon
sécurisée le document qui, par ailleurs, est public, pour pouvoir lui envoyer
puis qu'elle le récupère. Moi, je l'aurais imprimé, là, puis, si on n'était pas
en pandémie, j'aurais...
Alors, est-ce que c'est ça qu'on vise ici?
Parce que ça m'a demandé, honnêtement, moi, comme citoyen... Je pense que,
finalement, je ne l'ai même pas envoyé parce que je me disais : Elle va
l'avoir, de toute façon, selon les voies naturelles, puis c'est ce qui est
arrivé.
M.
Caire
: Bien,
en fait, non, ce n'est pas à ça... parce que là on parle vraiment d'une
transmission d'une information entre vous et un organisme public. Donc, sur la
transmission, bon, ils sont tenus à certaines procédures, surtout dans le cas
de Revenu Québec. Ceci étant, je ne me permettrai pas de juger <si...
M. Tanguay
:
...façon,
selon les voies naturelles, puis c'est ce qui est arrivé.
M.
Caire
:
Bien, en fait, non, ce n'est pas à ça... parce que là on parle vraiment d'une
transmission d'une information entre vous et un organisme public. Donc, sur la
transmission, bon, ils sont tenus à certaines procédures, surtout dans le cas
de
Revenu Québec. Ceci étant, je ne me permettrai pas de juger >si
c'est exagéré ou non, je vais vous laisser ça, là.
Mais ici, ce dont on parle, c'est que si
vous avez... si vous utilisez un système sur un... ou un site Web, ou une
application de toute nature et que les paramètres de sécurité... bien, en fait,
la sécurité est paramétrisable, dans le sens où vous pouvez autoriser, je ne
sais pas, moi, l'utilisation de votre adresse IP, vous pouvez utiliser...
quoique ça, ce n'est pas vraiment sécurisé, mais bon, vous pouvez définir par
quelles caractéristiques de sécurité vous voulez que l'échange ou l'utilisation
de l'application soit fait.
Ce qu'on demande, c'est que, par défaut,
on vous offre les plus hauts paramètres de sécurité qui sont disponibles dans
l'application sans que vous ayez à aller à paramètres, paramètres d'affichage,
sous-paramètres de ci, aller cliquer ici et là parce que vous ne voulez pas... Par
exemple, Google, vous ne voulez pas que Google garde des renseignements, donc
là vous dites : O.K., bien là, je vais aller le paramétrer pour qu'il n'y
ait pas de renseignement dans mon navigateur qui soit conservé, ou etc. Donc,
quand vous utilisez une application, ce qu'on dit, c'est qu'elle doit d'emblée
vous amener dans son environnement le plus sécurisé possible sans que vous ayez
à intervenir.
M. Tanguay
: O.K.
Avez-vous un exemple concret?
M.
Caire
: Bien,
je vous dirais, mettons, quand vous... Oui, ce n'est peut-être pas le meilleur exemple.
Quand vous allez sur Google, vous pouvez...
M. Tanguay
: Mais avec
un organisme public.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois :
L'application de la SAQ. La SAQ, c'est un organisme public, ils ont une
application où il y a des fonctions de localisation.
M.
Caire
: C'est
un bon exemple. Il y a des fonctions de localisation, il y a l'utilisation de
certains paramètres d'identification.
M. Nadeau-Dubois : Des
fonctions de profilage aussi.
M.
Caire
: Oui,
je pense que tu peux utiliser ta carte.
M. Nadeau-Dubois :
L'application...
M. Tanguay
: La carte
Inspire?
M.
Caire
: La
carte Inspire, oui.
M. Nadeau-Dubois : Bien, il y
a la carte, mais il y a l'application. Moi, je ne l'utilise jamais.
M. Tanguay
: C'est pour
d'autres, c'est pour d'autres.
M. Nadeau-Dubois : Bien, c'est
pour les gens qui parfois boivent du vin. Moi, ça ne m'arrive jamais, mais on
m'informe que l'application de la SAQ a des fonctions de localisation.
M.
Caire
: Des citoyens
nous ont dit que...
M. Nadeau-Dubois : Exact. Des
fonctions de profilage aussi, peut enregistrer les achats qu'on fait pour créer
un profil de consommateur puis nous proposer certains produits. Ça fait que ça,
je pense, c'est un bon exemple concret parce que c'est un organisme public.
Est-ce qu'en fonction de cet amendement-là,
les... On va y aller schématiquement, là, mais est-ce que, par exemple, les
fonctions de localisation de l'application de la SAQ devraient être d'emblée
désactivées quand on télécharge l'application?
M.
Caire
: Si ça
va dans le sens de vous <offrir le plus haut niveau...
M. Nadeau-Dubois :
...fonction de cet amendement-là, les... On va y aller schématiquement, là,
mais est-ce que, par exemple, les fonctions de localisation de l'application de
la SAQ devraient être d'emblée désactivées quand on télécharge l'application?
M.
Caire
: Si
ça va dans le sens de vous >offrir le plus haut niveau de protection
possible dans l'application, la réponse à cette question-là, c'est oui.
M. Nadeau-Dubois : Mais est-ce
que ça implique que nécessairement... parce que là je prends l'exemple de la
SAQ, mais, tu sais, je ne le sais pas, est-ce que la SQDC a une application? Bien,
on pourrait penser à plusieurs organismes publics qui développent des
applications de service à la clientèle. Puis on sait que, de plus en plus, la
mode, on peut le critiquer ou pas, là, mais, bon, tu sais, c'est de faire de la
publicité ciblée, de proposer les options proches du consommateur. On pourrait
imaginer d'autres applications d'autres organismes publics qui auraient des
fonctions comme celle-là. Est-ce que la fonction de localisation devrait être
nécessairement désactivée si on adopte l'amendement?
• (12 h 10) •
M.
Caire
: Oui,
oui, oui. En fait, il faudrait que vous l'activiez. Donc, d'emblée, sans que
vous interveniez, il faudrait que ce soit désactivé, et là on pourrait vous
offrir de dire : Bon, bien, si vous voulez avoir tel et tel service, ça
nécessite d'activer ce volet-là de l'application. Voulez-vous l'activer? Oui,
je l'active, ou non, je ne veux pas l'activer, je vais me passer du service.
M. Nadeau-Dubois : Est-ce que
ça implique nécessairement que les fonctions qu'on appelle, des fois, de
profilage soient automatiquement désactivées? Par exemple, l'application de la
SAQ, je présume puis je pense que c'est une hypothèse qu'on peut faire,
enregistre les recherches qu'on effectue pour ensuite nous proposer des
produits liés aux recherches qu'on a effectuées. Est-ce qu'une fonction comme
celle-là, si on adopte l'amendement, devrait être désactivée?
M.
Caire
: Oui.
M. Nadeau-Dubois : Et il
faudrait volontairement l'activer.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : O.K. Et
tous les organismes publics devraient...
M.
Caire
: Se
conformer.
M. Nadeau-Dubois : ...se
conformer à ça.
M.
Caire
: Bien,
évidemment, la loi s'applique à tous.
M. Nadeau-Dubois : Parfait.
Bien, déjà, ça me permet de mieux comprendre un peu la portée de l'amendement.
M. Tanguay
: O.K., je
comprends, mais je ne le lisais pas pantoute comme ça. J'étais ailleurs, moi,
j'étais sur d'autres choses, je ne le lisais pas comme ça. Une fois qu'on a
dit, est-ce que ça inclut qu'une fois... Si je reprends l'application de la
SAQ, je ne sais pas, je ne l'ai, pas cette application-là. J'ai la carte à
points par contre.
M.
Caire
: Moi
non plus, je ne bois pas de vin.
M. Tanguay
: Quand je
vais faire des commissions pour les autres, ils me laissent les points, c'est
mon pourboire.
M.
Caire
: Bon
bonhomme.
M. Tanguay
: Mais si je
veux... Parce que la SAQ, si je veux : Ah! quelle est la SAQ... j'imagine,
quelle est la SAQ la plus près?, il va me géolocaliser puis il va m'offrir :
Il y en a une à huit kilomètres, 11 kilomètres, 12 kilomètres.
J'imagine que ça, ça implique qu'évidemment je vais leur permettre de me
géolocaliser, mais ça implique aussi qu'après il n'y aura pas conservation,
j'imagine. J'en suis sur l'aspect conservation.
Est-ce qu'on doit lire cet article comme
étant que la SAQ, une fois que la demande a été faite, on lui a ciblé à huit
kilomètres la SAQ la plus près, parfait, que je ne suis plus, après cette
réponse-là,... je ne suis plus géolocalisé après une certaine période de temps,
je ne sais pas s'il y a un temps, et que cette information-là ne reste pas dans
leur système, que ce soit... parce que la vie de l'information... On arrive
toujours à la mort de l'information qui est... C'est <quoi, le...
M. Tanguay
: ...
je
ne suis plus géolocalisé après une certaine période de temps, je ne sais pas
s'il y a un temps, et que cette information-là ne reste pas dans leur système,
que ce soit... parce que la vie de l'information... On arrive toujours à la
mort de l'information qui est... C'est >quoi, le terme? Détruite...
M.
Caire
: Le
cycle de vie, la destruction du cycle de vie.
M. Tanguay
: Le cycle
de vie, mais la dernière étape, c'est «détruite», c'est-tu ça?
Une voix : ...
M. Tanguay
:
Destruction, que ça soit détruit. Ça implique ça aussi, j'imagine?
M.
Caire
: Bien,
en fait, là, on ne tombe pas dans la portée de l'amendement sur le cycle de vie
de l'information puis l'utilisation. Ça, c'est vraiment quand vous faites une
utilisation de l'application pour dire : Je vous convie dans
l'environnement le plus sécuritaire que mon application peut vous proposer. Et
donc à vous de paramétriser, après ça, pour permettre l'utilisation
d'information ou d'outils d'information qui vont permettre de personnaliser
votre navigation, mais le cycle de vie de ces informations-là ne sont pas
traitées par l'amendement. Mais on va voir ça ailleurs, ceci étant.
M. Tanguay
: On va voir
ça ailleurs.
M.
Caire
: Oui,
on voit ça ailleurs.
M. Tanguay
: Puis, à la
partie destruction, est-ce que... je ne sais pas à quel article on va voir ça,
mais est-ce qu'on aura le débat sur : Est-ce que la SAQ... ou ce n'est pas
au niveau de la loi du n° 64, parce que là on est
réellement trop dans le détail, mais est-ce qu'on veut, comme législateur, se
poser la question : Est-ce que la SAQ pourrait garder cette
information-là, que le député de LaFontaine, tel jour, telle heure, tel
endroit, a demandé ça? Parce que ça a une certaine valeur commerciale aussi,
là.
M.
Caire
: Oui, bien,
en fait, la réponse à votre question, c'est oui, la SAQ pourrait garder ces
informations-là. Ceci étant, il y a des articles auxquels ils devront se
conformer dans l'utilisation, dans les consentements qui sont demandés, dans le
cycle de vie d'une information, à quel moment on doit détruire une information,
etc. On va aussi adresser ces questions-là.
M. Tanguay
: À quel
article on va en parler?
M.
Caire
: Ça, c'est
une excellente question. Là, je ne les ai pas tous par coeur en tête.
M. Tanguay
: Ça, on ne
les amende pas, hein?
Une voix : ...
M. Tanguay
: Oui, 73,
mais on l'amende. O.K. Ça fait qu'on va en parler là, de la destruction. O.K.
Dernière question de compréhension : «Ne sont pas visés — deuxième
alinéa — au premier alinéa les paramètres de confidentialité d'un
témoin de connexion.» C'est quoi, un témoin de connexion?
M.
Caire
: Un
cookie.
M. Tanguay
: Un cookie.
C'est quoi, un cookie?
M.
Caire
: Quand
vous rentrez sur un site, le cookie, c'est une espèce de petit fichier qu'on va
déposer sur votre navigateur, qui va enregistrer certains renseignements dans
votre séance de navigation. Ce qu'on va faire, par contre, c'est vous demander,
dire : Ce site utilise des cookies, les témoins...
M. Tanguay
: O.K. Moi,
je dis toujours «accepter». Je dis toujours «accepter».
M.
Caire
: Puis,
si vous dites oui, il va être en mesure de déposer ce petit fichier-là, puis c'est
des informations dont lui se sert pour paramétriser votre navigation mais à
l'intérieur du site. Mais normalement on vous dit : Est-ce que vous
l'acceptez, oui ou non?
M. Tanguay
: O.K. Donc,
si je vais sur le site SAQ, puis : Voulez-vous accepter, moi, je fais toujours
«accepter», là, parce que je n'ai pas le temps de lire les termes de : Ah!
oui, je veux <mon...
M.
Caire
: ...de
déposer ce petit fichier-là, puis c'est des informations dont lui se sert pour
paramétriser votre navigation mais à l'intérieur du site. Mais normalement on
vous dit : Est-ce que vous l'acceptez, oui ou non?
M. Tanguay
:
O.K.
Donc, si je vais sur le site SAQ, puis : Voulez-vous accepter, moi, je
fais
toujours «accepter», là, parce que je n'ai pas le temps de lire les
termes de : Ah! oui, je veux >mon...
M.
Caire
: En
fait, il n'y a pas de termes, hein, c'est vraiment : Ce site utilise des...
bien, moi, l'expression connue, c'est les cookies. Est-ce que vous acceptez qu'on
s'en serve, oui ou non? Vous dites oui ou vous dites non.
M. Tanguay
: Dans le
fond, on pourrait... Francisé, c'est-tu un mouchard? Il me semble que ça serait
un...
M.
Caire
: Non, je
pense, témoin de connexion, c'est la traduction usuelle, là.
M. Tanguay
: O.K. Donc,
ça, ça veut dire que ça... ce que j'ai fait pendant le deux minutes, trois
minutes sur le site, c'est enregistré.
M.
Caire
: C'est
enregistré.
M. Tanguay
: Je pars,
ça garde ça.
M.
Caire
: C'est
déposé sur votre navigateur.
M. Tanguay
: O.K., ce n'est
pas de l'information qu'il... O.K.
M.
Caire
: Non,
non. Ce que vous pouvez faire, à la limite, c'est l'effacer, le supprimer. Une
fois que la navigation est terminée, vous pouvez le supprimer.
M. Tanguay
: Puis
quelle est son utilité?
M.
Caire
: Le
site va aller chercher des informations sur ce que vous avez fait durant votre
navigation, c'est son fichier de référence par rapport à vous pour dire :
O.K., bien, moi, je suis allé... j'ai consulté telle page, telle page, telle
page, etc., là. C'est vraiment comme votre...
M. Tanguay
: Puis,
quand vous y retournez, il s'en rappelle, c'est sa mémoire.
M.
Caire
: Il
revient chercher le cookie, il va le chercher parce que lui, il sait où il l'a
déposé sur votre ordi, il va rechercher le cookie, puis lui, c'est un pro forma
qu'il est capable de lire, puis il vient chercher l'information comme ça. Donc,
la prochaine fois, ça lui permet de dire : Ah! O.K., la dernière fois que
tu es venu me voir, tu as regardé ça, tu as regardé ça, tu as regardé ça, tu es
resté tant de temps, parfait. Puis là il peut faire des suggestions.
Ce que vous pouvez faire très simplement,
c'est... vous les supprimez. Ils sont dans un fichier puis... Souvent même,
votre système d'exploitation, votre ordinateur va vous offrir cette
opportunité-là : Voulez-vous supprimer les cookies? Absolument, puis il va
tout faire le ménage là-dedans.
M. Tanguay
: Pour les
organismes publics, pourquoi c'est important de préserver les cookies? Parce qu'on
l'exclut du premier alinéa.
M.
Caire
: Bien,
parce qu'en fait c'est au niveau de la paramétrisation, c'est-à-dire qu'on
n'interdira pas l'utilisation d'un cookie, parce que normalement, si on se fie
au premier alinéa, ça viendra dire que je ne peux pas me servir d'un cookie.
Donc, ce que je vais faire, je vais plutôt vous demander le consentement pour l'utiliser,
mais je ne vais pas... je ne peux pas désactiver. Je m'en sers ou je ne m'en
sers pas.
Puis souvent les applications sont
construites comme ça. Je veux dire, c'est prévu dans la conception de l'application
de dire : Bon, bien, telle information, je vais la garder dans un fichier,
je la dépose sur le poste du client. Donc, ce n'est pas une intrusion, là. Je
n'essaie pas de hacker votre système d'exploitation, je fais juste le déposer
dans un fichier, bye bye. Puis après ça, ça me donne... ce n'est pas des...
M. Tanguay
: C'est une
aide à la conduite, dans le fond.
M.
Caire
: Oui, ce
n'est pas... puis sans dire qu'il n'y a pas d'enjeu de sécurité, parce que ça
ne serait pas vrai, là, ce n'est pas un outil pour faire une intrusion
malicieuse dans votre système, là, c'est vraiment un fichier qui est constitué
par l'application. Puis, par contre, comme je vous dis, on va demander le
consentement sur l'utilisation, parce que ça <reste...
M.
Caire
: ...parce
que ça ne serait pas vrai, là, ce n'est pas un outil pour faire une intrusion
malicieuse dans votre système, là, c'est vraiment un fichier qui est constitué
par l'application. Puis, par contre, comme je vous dis, on va demander le
consentement sur l'utilisation, parce que ça >reste que je dépose sur
votre ordinateur un fichier que vous n'avez pas constitué, que l'application va
se constituer elle-même.
Le Président (M. Bachand) :
Merci. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui. Ma
question, c'est, si on adopte cet amendement... D'ailleurs, un bon amendement,
hein, on l'avait préparé, mais c'est toujours bien d'être devancé par le
ministre, parce que c'est une recommandation qui avait été faite par plusieurs
groupes.
Je présume que le ministre va également
amender l'article 18 pour que ce soit cohérent, puisqu'à l'article 18
on proposait de devoir informer l'utilisateur du recours à une telle
technologie, référant à une technologie comprenant des fonctions permettant de
l'identifier, le localiser ou d'effectuer un profilage et des moyens offerts
pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer
un profilage. Est-ce que le 18 va être amendé pour le rendre cohérent avec
notre nouveau 63.6?
M.
Caire
: Je ne
vois pas d'amendement en ce sens-là. L'article 18, écoutez, on aura des
explications rendu à l'article 18, mais à ma connaissance on a déposé... On
a-tu déposé l'amendement pour l'article 18? Oui, bon, alors on a déposé
les amendements prévus, M. le Président, à l'article 18.
• (12 h 20) •
M. Nadeau-Dubois : Parce que
ça dit... Puis je suis désolé, j'ai lu la mauvaise version de l'article, j'ai
vendu le punch, j'ai lu l'amendement que je voulais déposer à l'article plutôt
que l'article. Ce que l'article dit, c'est qu'il faut informer l'utilisateur
des moyens offerts pour désactiver les fonctions permettant d'identifier, de
localiser ou d'effectuer. Oui, donc, ce n'était pas du «privacy by design», le
leader du gouvernement n'est pas là, on a le droit d'utiliser des anglicismes, c'était,
au contraire, une disposition qui disait : Il faut informer les gens de
comment désactiver les fonctions de localisation, de profilage, d'identification.
Là, ce que j'ai posé comme question
tantôt, c'est... avec le nouvel amendement on va changer toute l'approche puis,
au contraire, on va être dans une approche de plus haut niveau de
confidentialité par défaut, donc il faudrait amender 18.
M.
Caire
: Bien,
M. le Président, on aura cette discussion-là quand on sera rendu à 18, mais
ceci étant, là, d'entrée de jeu, je n'ai aucun problème... s'il y a une
dichotomie entre les deux articles, je n'ai aucun problème à ce qu'on adopte
les amendements qui seront jugés nécessaires pour être cohérent, aucun problème
avec ça. L'idée est de dire que, quand vous entrez dans un espace numérique, on
devrait vous offrir cet espace-là dans ces conditions les plus sécuritaires
possible. C'est ça, le principe, puis je n'ai aucun problème à ce qu'on puisse
adopter des amendements qui vont aller dans ce sens-là.
M. Nadeau-Dubois : Parfait, parce
<que...
M.
Caire
:
L'idée
est de dire que, quand vous entrez dans un espace numérique, on
devrait vous offrir cet espace-là dans ses conditions les plus sécuritaires
possible. C'est ça, le principe, puis je n'ai aucun problème à ce qu'on puisse
adopter des amendements qui vont aller dans ce sens-là.
M. Nadeau-Dubois : Parfait,
parce >que c'est ça, je donnais ces exemples-là, justement, parce que c'est
les... Je cherchais, comme le député de LaFontaine, un exemple, puis là c'est
l'exemple de l'application de la SAQV qui m'est venu.
M.
Caire
: Le
député de LaFontaine étant lui-même un exemple.
M. Nadeau-Dubois : À plusieurs
égards.
M.
Caire
: Il
n'y a pas de double sens, c'était juste téteux, Marc.
M. Nadeau-Dubois : Et donc je
me disais, si l'objectif de l'amendement à l'article 63, c'est de faire en
sorte que les gens doivent activer ces fonctions-là, bien, il va falloir
harmoniser...
M.
Caire
: Bien,
comme je vous dis, on aura la discussion à 18, mais effectivement, s'il y a une
incohérence, on va s'assurer de la régler.
M. Nadeau-Dubois : Bien, je me
permets de dire, M. le Président, que c'est un excellent amendement, là, je...
Est-ce que le ministre a l'occasion de faire un amendement similaire pour la
loi dans le secteur privé?
M.
Caire
: Oui,
ça va être la même disposition, si tant est qu'elle n'est pas... Elle est-tu
déjà là?
Une voix
: ...
M.
Caire
: Elle
est déjà là, hein? C'est ça, c'est le public qui s'adapte à ce qui se fait au
privé. Il me semblait que ça... Je n'étais pas sûr, là, mais...
M. Nadeau-Dubois : Voilà, c'est
ça, c'était déjà le cas pour le privé.
M.
Caire
: C'est
déjà le cas pour le privé. On fait juste mettre... En fait, on s'assure qu'il y
ait une cohérence par rapport à ce qu'on faisait au public.
M. Nadeau-Dubois : Voilà. En
effet, désolé, moi aussi, je me remets dans le bain, mais ça confirme les
souvenirs et les notes que j'ai.
M.
Caire
: Oui, oui.
Non, ce n'est pas grave, on est tous à la même page.
M. Nadeau-Dubois : Bien,
parfait, M. le Président, ça complète mes questions pour cet amendement.
Le Président (M. Bachand) :
Merci. Autres interventions sur l'amendement? S'il n'y a pas d'autre
intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est adopté. M. le ministre, s'il vous plaît.
M.
Caire
: Oui,
63.7, M. le Président. Alors, il se lit comme suit :
«Un organisme public qui a des motifs de
croire que s'est produit un incident de confidentialité impliquant un
renseignement personnel qu'il détient doit prendre les mesures raisonnables
pour diminuer les risques qu'un préjudice soit causé et éviter que de nouveaux
incidents de même nature ne se produisent.
«Si l'incident présente un risque qu'un
préjudice sérieux soit causé, l'organisme doit, avec diligence, aviser la commission.
Il doit également aviser toute personne dont un renseignement personnel est
concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le
faire. Il peut également aviser toute personne ou tout organisme susceptible de
diminuer ce risque, en ne lui communiquant que les renseignements personnels
nécessaires à cette fin sans le consentement de la personne concernée. Dans ce
dernier cas, le responsable de la protection des renseignements personnels doit
enregistrer la communication.
«Malgré le deuxième alinéa, une personne
dont un renseignement personnel est concerné par l'incident n'a pas à être
avisée tant que cela serait susceptible d'entraver une enquête faite par une
personne ou par un organisme qui, en vertu de la loi, est chargé de prévenir,
détecter ou réprimer le crime ou les infractions aux <lois...
M.
Caire
: ...des
renseignements personnels doit enregistrer la communication.
«Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête faite par
une personne ou par un organisme qui, en vertu de la loi, est chargé de
prévenir, détecter ou réprimer le crime ou les infractions aux >lois.
«Un règlement du gouvernement peut
déterminer le contenu et les modalités des avis prévus au présent article.»
Donc, M. le Président, 63.7, cet
article prévoit qu'un organisme public qui a des motifs de croire que s'est
produit un incident de...
M. Nadeau-Dubois : ...le temps
que j'aille effectuer un vote au salon bleu, M. le Président.
Le Président (M. Bachand) :
Parfait.
M. Nadeau-Dubois : Le ministre
peut finir la lecture de l'article. Je pensais que vous me donneriez la parole
juste à la fin.
M.
Caire
: O.K.
Bien, c'est l'explication. J'en ai pour 30 secondes, M. le député.
M. Nadeau-Dubois : Allez-y,
allez-y.
M.
Caire
: Donc,
qu'il s'est produit un incident de confidentialité impliquant un renseignement personnel
qu'il détient doit prendre les mesures raisonnables pour diminuer les risques
qu'un préjudice soit causé et éviter que de nouveaux incidents de même nature
ne se produisent.
Il prévoit également que, si l'incident
présente un risque qu'un préjudice sérieux soit causé, l'organisme doit, avec
diligence, aviser la commission et toute personne concernée par... renseignement
personnel impliqué.
Afin... Enfin, pardon, il prévoit que
l'organisme peut aussi aviser toute personne ou tout organisme susceptible de
diminuer le risque du préjudice à certaines conditions. Voilà.
Le Président (M. Bachand) :
Merci beaucoup.
Donc, on va suspendre les travaux pour
permettre au député de Gouin d'aller voter. Merci.
(Suspension de la séance à 12 h 25)
>
(Reprise à 12 h 29)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux. Interventions
sur l'article 63.7? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
:
...j'aimerais entendre le ministre sur c'est quoi, un préjudice sérieux.
M.
Caire
: La
réponse à la question du député se retrouve à l'article 63.8, où on dit...
Bon, en fait, un incident de confidentialité... Puis à 63.9 : «Lorsqu'il
évalue le risque que d'un préjudice soit causé à une personne...» En tout cas,
les deux articles vont répondre à cette question-là.
M. Tanguay
: «63.9. Lorsqu'il
évalue le risque qu'un préjudice soit causé à une personne [...] un organisme [...]
doit considérer notamment la sensibilité du renseignement [...] les
conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables.»
On va faire le débat à 63.9. Est-ce que
ces pistes de réflexion là sont cumulatives ou sont alternatives?
• (12 h 30) •
M.
Caire
:
C'est-à-dire que chacune en soi est un élément à considérer...
M. Tanguay
:
<Qui
le ferait...
>
12 h 30 (version révisée)
<11789
M.
Tanguay
: ...conséquences appréhendées de son
utilisation
et la probabilité qu'il soit utilisé à des fins préjudiciables.» On va faire le
débat à 63.9. E
st-ce que ces pistes de réflexion là sont cumulatives ou
sont alternatives?
M.
Caire
:
C'est-à-dire
que chacune en soi est un élément à considérer.
M. Tanguay
: >Qui
le ferait sérieux comme préjudice.
M.
Caire
: Oui,
oui.
M. Tanguay
: Elles ne
sont pas cumulatives, là? Il n'y a pas besoin d'avoir...
M.
Caire
: Non.
M. Tanguay
: O.K. C'est
là où il est important d'avancer avec C-11. C-11, à l'article 58, 1, Déclaration
au commissaire, on parle dans le contexte de «l'organisme déclare au commissaire
toute atteinte aux mesures de sécurité qui a trait à des renseignements
personnels qui relèvent d'elle s'il est raisonnable de croire», donc déjà là...
Je retourne dans le 64 :«Si l'incident présente un risque qu'un préjudice sérieux
soit causé, l'organisme doit aviser la commission.» Au fédéral, l'analyse... «...raisonnable
de croire que, dans les circonstances, l'atteinte présente un risque réel de
préjudice grave...» Et ça, C-11, ça va avoir un impact encore plus, peut-être,
déstabilisant pour les entreprises privées, puis, j'imagine, c'est la même
rédaction plus tard, dans le 64, sur les entreprises privées, mais n'y
échappent pas aussi les organismes publics, tant les organismes fédéraux que
provinciaux.
Est-ce qu'il y a eu une réflexion quant à
l'harmonisation avec la définition faite avec le fédéral? Parce que le
législateur provincial, dans l'exercice de sa prérogative, ne parle pas pour ne
rien dire. Je sais que ce n'est pas la même bouche qui parle quand c'est le
Parlement canadien, mais les deux lois doivent vivre ensemble, puis là force
est de constater qu'en français j'ai des mots différents qui réfèrent à des
réalités différentes.
M.
Caire
: Mais
les concepts ne sont pas éloignés l'un de... Le phrasé est différent, mais, je
veux dire, on arrive pas mal sur la même cible. Quand vous regardez, mettons,
63.8, où là on va vraiment définir c'est quoi, un incident de confidentialité,
puis 63.9, la combinaison de ces deux articles-là vient vraiment circonscrire de
façon... à mon humble avis, là, puis je ne veux pas partir de polémique fédérale-provinciale,
là, mais, à mon avis, je pense qu'on vient circonscrire l'environnement d'un
incident de confidentialité et d'un préjudice sérieux de façon quand même assez
précise, là, dans la mesure où trop, ce n'est comme pas assez, là.
M. Tanguay
: Est-ce que
l'existence même d'un préjudice n'aurait pas justifié la communication, au
deuxième alinéa? Parce qu'un préjudice, c'est un préjudice. Pourquoi ce... parce
que préjudice sérieux égale communiquer. Moi, j'aurais été peut-être de
l'école, puis on discute, là, préjudice égale communiquer et préjudice sérieux
encore plus, une autre couche, là, à ce moment-là, là, mais... parce que, s'il
y a un préjudice simple, il n'y aura pas <l'obligation...
M. Tanguay
: ...
parce
que préjudice sérieux égale communiquer. Moi, j'aurais été peut-être de
l'école, puis on discute, là, préjudice égale communiquer et préjudice sérieux
encore plus, une autre couche, là, à ce moment-là, là, mais... parce que, s'il
y a un préjudice simple, il n'y aura pas >l'obligation de communiquer?
M.
Caire
: Bien,
c'est-à-dire que si... On vient qualifier le préjudice parce qu'on se dit :
Bon, bien, dans le cas d'un... Je vous donne un exemple précis. Moi, je
télécharge, sur un site, une information par erreur. Je me rends compte que
cette information-là peut avoir été rendue publique. J'ai un préjudice sérieux,
je dois prendre des mesures pour contrer les effets de ça, corriger l'erreur,
prendre tous les moyens à ma disposition pour mitiger tout ça.
Vous envoyez, je ne sais pas, moi, une
fiche avec des renseignements personnels, vous vous trompez d'adresse, vous
l'envoyez au mauvais collègue. Tu sais, est-ce que... Puis le collègue vous dit :
Aïe! ce n'était pas la bonne adresse. O.K., excuse. Bien, ce n'est pas grave,
j'ai supprimé le courrier, mais fais juste l'envoyer à un tel, ce n'est pas...
Vous comprenez le contexte? Bon, est-ce qu'il y a là un préjudice sérieux qui
nécessite qu'on appelle la personne qui est concernée par les renseignements
personnels, qu'on mette la Commission d'accès à l'information pour dire :
Excusez, je me suis trompé d'adresse?
Tu sais, c'est parce qu'il y a des
démarches qui viennent avec ça, puis il faut juste s'assurer que ces
démarches-là sont faites lorsqu'effectivement il peut... ça se justifie par le
risque qui est encouru de les faire, ces démarches-là, et de mettre tout ce
monde-là... parce que, là, on sonne l'alarme. Là, la Commission d'accès à
l'information, elle doit prendre des actions une fois qu'elle a été avisée, là.
Elle va prendre des actions, elle ne fera pas juste : Ah! O.K., c'est
correct, là. Puis la personne... Bien, vous venez de créer quand même un
certain environnement. O.K. Mes renseignements personnels se sont promenés puis
ils n'avaient pas d'affaire à... alors que, dans les faits, la situation ne le
justifie pas, par le fait qu'il n'y a pas de risque, là. C'est une erreur
bébête, mais sans plus.
M. Tanguay
: Deux
choses. Suivez-moi bien. En droit, j'ai un recours judiciaire pour tout
préjudice que vous m'avez causé. En droit, Code civil, j'ai un recours
judiciaire pour tout préjudice. Que le préjudice soit minime,
10 000 $, 5 000 $, 100 $, j'ai un droit, ou qu'il soit
sérieux, 1 million, 3 millions, j'ai un recours judiciaire. Et il n'y
a pas de qualification dans notre corpus législatif de... Un préjudice, c'est
un préjudice. Puis la façon que le juge va vous accorder un recours, vous devez faire la preuve de trois choses :
la faute, j'ai commis une faute; il y a eu un dommage, un préjudice, 10 $
ou 1 million; puis il y a un lien de causalité. Une fois que vous avez
établi ça devant une cour de justice, vous gagnez. Vous avez donc votre
10 $, votre 100 $, votre 1 000 $ ou votre million.
Mon point, c'est que, s'il y a possibilité
<d'avoir un...
M. Tanguay
: ...
recours,
vous devez faire la preuve de trois choses : la faute, j'ai commis une
faute; il y a eu un dommage, un préjudice, 10 $ ou 1 million; puis il
y a un lien de causalité. Une fois que vous avez établi ça devant une cour de
justice, vous gagnez. Vous avez donc votre 10 $, votre 100 $, votre
1 000 $ ou votre million.
Mon point, c'est que, s'il y a
possibilité >d'avoir un préjudice, effectivement, peut-être qu'on ne va
pas alerter la commission, qui va déclarer... déclencher une enquête, puis tout
ça, mais, s'il y a possibilité d'avoir un préjudice, j'en informerais le
citoyen. C'est pour ça que je garderais les mêmes mots, mais je déplacerais
«sérieux» : «Si l'incident présente un risque sérieux qu'un préjudice soit
causé», et non pas «un préjudice sérieux».
Ce qui doit être sérieux, c'est l'analyse
que je pense qu'il pourrait y avoir un préjudice, j'en informe le citoyen, et
non pas : S'il y a juste un préjudice, je m'en fous, il ne sera pas au
courant. Je vais attendre juste un préjudice sérieux, là, tu sais, 1 000 $,
10 000 $, non, non. Ah! 1 million, c'est sérieux, potentiel
sérieux. Le «sérieux», je le déplacerais. «Si l'incident présente un risque
sérieux qu'un préjudice soit causé», là, j'en informerais le citoyen puis
peut-être qu'on pourrait en aviser la commission, j'aimerais ça qu'elle soit au
courant. Mais elle, à ce moment-là, à l'interne, elle pourrait dire :
Regarde, O.K., on ne va pas déclencher la commission Gomery n° 2,
là. Il est arrivé ça, parfait, on en prend bonne note, bon citoyen.
Mais préjudice... Tu n'es pas à moitié enceinte,
là. Préjudice, il y a un préjudice ou il n'y en a pas. Mais, s'il n'y a pas de
risque sérieux qu'il y ait un préjudice, oublie ça.
M. Caire :
...suspendre?
Le Président (M. Bachand) :Bien, j'ai le député de Gouin peut-être sur le même sujet.
M. Nadeau-Dubois : Sur un
sujet complémentaire, mais...
Le Président (M. Bachand) :
Oui, allez-y, allez-y.
M. Nadeau-Dubois : ...aussi
bien de le faire tout de suite. Puis le ministre, s'il souhaite suspendre, il
pourra brasser les deux idées en même temps.
J'avais essentiellement les mêmes
questions que mon collègue de LaFontaine. J'en ajoute une autre. Puisque l'article 63.7,
à sa fin, là, ajoute une exception, en disant qu'il y ait préjudice ou
préjudice sérieux, il y a une exception à la responsabilité de divulguer
l'incident, et cette exception-là, c'est «tant que cela serait susceptible
d'entraver une enquête faite par une personne ou par un organisme qui, en vertu
de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les
infractions aux lois.» Malheureusement, les enquêtes pour fuites de données, ça
peut être très long. Est-ce que le ministre ne craint pas que cette
disposition-là de la loi devienne une espèce de prétexte pour se soustraire à l'obligation
de divulguer?
La Ligue des droits et libertés, en tout cas,
émet ce commentaire-là dans son rapport... dans son mémoire, et le Barreau fait
le même commentaire...
M. Nadeau-Dubois : ...dans son
rapport... dans son mémoire, et le Barreau fait le même commentaire, en disant :
Là, on voit une exception. Et on dit : Si le fait d'informer les gens
qu'il y a eu fuite de données, c'est «susceptible d'entraver une enquête faite
par une personne ou par un organisme qui, en vertu de la loi, est chargé de
prévenir, détecter ou réprimer le crime ou les infractions aux lois...» D'ailleurs,
c'est un libellé très général. Si le département de la sécurité, il doit y avoir
des départements de sécurité informatique dans les organismes publics, enquête
sur un incident... Ah! on n'a pas fini nos vérifications, on n'a pas encore...
on n'est pas obligés par la loi de divulguer aux gens qu'il y a eu un incident.
Il me semble, ça ouvre la porte à des interprétations un peu larges. Et d'ailleurs
la loi fédérale ne prévoit pas une telle exception, et le règlement
d'application de la loi fédérale non plus.
Donc, j'avoue que ça, ça m'inquiète,
d'autant plus que, tu sais, ça peut bouleverser une vie, là. Pas toujours, tu
sais, des fois, c'est banal, mais ça peut bouleverser une vie, le fait d'être
victime d'une fuite de données.
M.
Caire
: Mais
si je peux...
M. Nadeau-Dubois : Ça fait que
j'ai comme la crainte, puis elle est appuyée sur les craintes de la Ligue des
droits et libertés puis du Barreau, que cet article-là puisse être utilisé,
c'est ça, comme prétexte pour bloquer la communication aux personnes
concernées.
Est-ce qu'on ne pourrait pas modifier l'article
en disant : Il faut que ce soit vraiment, tu sais, préjudiciable pour
l'enquête, par exemple, tu sais, venir préciser le libellé un peu? Parce que,
là, j'ai l'impression, et ce n'est sans doute pas ça, la volonté, mais qu'on
ouvre une potentielle exception très, très large et générale pour permettre à beaucoup
de gens de dire : Ah! on enquête encore, on enquête encore, ce n'est pas
fini, ne divulguez pas l'information. Je ne sais pas si le ministre voit un peu
la crainte que j'ai.
• (12 h 40) •
M.
Caire
: Oui,
mais je ne la partage pas. Puis la réponse du député, elle est dans deux
éléments. D'abord, on s'entend que les enquêtes ne sont pas faites par les
organismes. Donc, quand je dis : l'incident présente un... Bon, pour
l'instant, le libellé est «un risque de préjudice sérieux...» «l'organisme
doit, avec diligence, aviser la commission», donc la commission est avisée. «Il
doit également aviser toute personne dont un renseignement personnel est
concerné par l'incident, à défaut de quoi la commission peut lui ordonner de le
faire.»
Donc, ce qu'on amène comme élément, c'est
que, si, dans sa... Puis on parle d'une personne ou d'un organisme. Donc, on
peut penser que ça peut être un corps policier. On a tous des exemples en tête
où les policiers ont dû enquêter sur des fuites de renseignements personnels.
Ça peut être la commission, le volet surveillance de la commission, qui est
capable de faire des audits, qui a évidemment cette capacité, ce pouvoir-là
d'enquête. Mais, pour pallier à ce dont le député parle et pourquoi moi, je
n'ai pas cette crainte-là, c'est que la Commission d'accès à l'information peut
aussi ordonner à un organisme de divulguer le fait qu'il y a eu fuite de
renseignements, ou qu'il y a eu un incident de confidentialité, devrais-je
dire. Et donc <une organisation...
M.
Caire
: ...pourquoi
moi, je n'ai pas cette crainte-là, c'est que la
Commission d'accès à
l'information peut aussi ordonner à un organisme de divulguer le fait qu'il y a
eu fuite de renseignements, ou qu'il y a eu un incident de confidentialité,
devrais-je dire. Et donc >une organisation qui voudrait retarder
l'exécution de cette obligation légale pour se protéger verrait certainement...
et je ne veux pas parler au nom de la Commission d'accès à l'information, mais
je pense que je vais le faire quand même, verrait certainement la Commission
d'accès à l'information utiliser ce pouvoir-là de lui ordonner de communiquer
avec la personne qui a fait l'objet de ce préjudice-là et de l'aviser de cette
situation-là.
Donc, non, ça ne m'inquiète pas parce que
je pense que cette disposition-là de la loi, ce pouvoir-là de la Commission
d'accès à l'information, qui doit être avisée avec diligence... donc ça, c'est
des mots qui sont très forts, et donc qui a ce pouvoir-là d'audit, qui a ce
pouvoir-là de faire les enquêtes en question, donc à qui on ne pourra pas
cacher le fait qu'on se traîne les pieds, si tant est que cette situation-là
prévaut, elle aura le pouvoir d'ordonner à l'organisme : Non, tu dois
faire ça, c'est une obligation légale, et tu le fais, point à la ligne.
Et l'idée étant qu'il peut arriver des
situations où d'aviser la personne, et après ça la personne est libre de faire
ce qu'elle veut avec cette information-là qu'on lui a donnée, notamment des
interventions publiques, pourrait peut-être avoir causé un préjudice à une
enquête, ce qu'on ne souhaite pas, personne, parce que... puis je sais que c'est
le cas aussi du député de Gouin.
Donc, je pense que ces deux
dispositions-là nous garantissent... Tu sais, notre chien de garde a le pouvoir
d'ordonner, là, de le faire. Ça fait que moi, pour moi, ça me rassure sur le
fait qu'une rétention d'informations à des fins de préserver sa réputation,
pour moi, ça ne serait pas possible à cause de ce pouvoir-là de la CAI.
M. Nadeau-Dubois : Le ministre
a bien compris l'objet de mon interrogation, là, en effet, parce que c'est ce
qu'on veut éviter, qu'un organisme public, par crainte de scandale de relations
publiques...
M.
Caire
: Oui,
oui, tout à fait, pour des mauvaises raisons.
M. Nadeau-Dubois : ...par
crainte d'un appel courroucé de la part d'un ministre, se dise...
M.
Caire
: Une
question en Chambre.
M. Nadeau-Dubois : Ouf! Ah! il
y a encore une enquête, il y a encore une enquête, puis, dans la loi, quand il
y a une enquête, on a le droit d'attendre un petit peu avant de le dire, tu
sais. Puis c'est ce qu'on veut éviter, puis je caricature mais pas tant que ça,
là.
Sur les dérives potentielles, ce que le
ministre me dit, c'est que la commission a, de toute façon, le pouvoir
d'ordonner à l'organisme d'informer les gens qui seraient visés par une fuite
ou un incident. Mais, encore une fois, là, ça nous ramène à l'interrogation du
collègue de LaFontaine. C'est seulement dans la version actuelle du projet de
loi, s'il y a un préjudice...
M.
Caire
:
Sérieux.
M. Nadeau-Dubois : ...jugé
sérieux, puis je fais miennes ses préoccupations sur, exactement, qu'est-ce
qu'un préjudice sérieux et...
M.
Caire
: Et je
vais consulter Dieu sur...
M. Nadeau-Dubois : O.K.
Parfait. Bien, on peut... Si <le ministre...
M. Nadeau-Dubois :
...là,
ça nous ramène à l'interrogation du collègue de
LaFontaine. C'est
seulement dans la version actuelle du
projet de loi, s'il y a un préjudice...
M.
Caire
:
Sérieux.
M. Nadeau-Dubois : ...jugé
sérieux, puis je fais miennes ses préoccupations sur, exactement, qu'est-ce
qu'un préjudice sérieux et...
M.
Caire
: Et
je vais consulter Dieu sur...
M. Nadeau-Dubois :
O.K.
Parfait. Bien, on peut... Si >le ministre souhaite suspendre, on peut
procéder, puis je reviendrai.
Le Président (M. Bachand) :
Ça va? Alors, on va suspendre quelques... Oui, M. le député de LaFontaine
avant.
M. Tanguay
: Pour la
suite du point du collègue de Gouin, juste... Vous l'avez peut-être dit, puis
ça m'a échappé, parce qu'on essaie de lire en même temps. Puis, si le ministre
le dit, ça va être dit au micro puis... Le troisième alinéa, qui dit :
«Malgré le deuxième alinéa, une personne dont un renseignement personnel est
concerné par l'incident n'a pas à être avisée», bla, bla, bla... Mais, en tous
les cas d'espèce, si l'organisme public juge que c'est susceptible d'entraver
une enquête, dans tous les cas d'espèce, la CAI va être avisée?
M.
Caire
: Oui.
C'est seulement la personne qui n'a pas à être avisée en cas d'enquête. Dans
tous les cas où il y a un préjudice sérieux, la CAI doit être avisée.
M. Tanguay
: Et la CAI
aura tous les pouvoirs de dire à l'organisme public : Bien, désolée, je ne
considère pas qu'en l'espèce c'est susceptible d'entraver une enquête. Puis la
CAI pourrait même avoir... Tout en respectant le champ... l'indépendance des
institutions, le cas échéant, policières, la CAI pourrait même... Je veux dire,
la CAI va devoir aussi développer une relation avec celles et ceux qui vont
mener de telles enquêtes pour leur dire... Il va falloir qu'il y ait une ligne
de communication, sans aller dans le détail, parce que ce n'est pas sa job...
mais de dire : Vous êtes réellement sûrs? Puis même, je vous dirais de
challenger ça, parce que nos amis, nos amis qui font des enquêtes, au sens très
large, valorisent beaucoup le secret, valorisent très, très, très beaucoup le
secret. Dans le doute, il y a secret, puis on ne dit rien.
M.
Caire
: Oui,
mais comprenons de ça que, dans un contexte administratif, on s'entend que la
CAI va faire son enquête. Elle a ce pouvoir-là. La CAI a deux volets. Il y a le
volet juridictionnel, il y a le volet surveillance. Donc, dans le volet
surveillance, la CAI peut faire de la prévention mais peut aussi faire des
enquêtes. Bon, alors, ça, ce pouvoir-là, il est exercé pleinement par la CAI.
Dans le cas où le préjudice ou l'incident
de confidentialité aurait des répercussions plus qu'administratives, on peut
penser, par exemple, qu'un corps policier pourrait être impliqué, et donc là il
y a une nécessaire coordination avec la CAI, qui garde son pouvoir, là, qui
garde son pouvoir. Mais on l'a vécu avec un incident que nous avons tous en
tête, qui a impliqué à peu près tous les Québécois, là, où la police a fait
enquête, mais où la CAI est aussi intervenue, là. La CAI faisait son travail,
nonobstant tout ça. Donc, à ce moment-là, on a un beau cas d'espèce où...
Est-ce qu'il aurait été justifié d'aviser immédiatement les gens qui ont été
victimes de ces incidents de confidentialité là? Est-ce
que ça entraverait le travail des policiers? La CAI a l'autorité pour le faire,
et, à la limite, la CAI aurait pu ordonner...
Transposons cette situation-là à une
situation qui implique un organisme public, parce que, dans ce cas-ci, on parle
d'organismes <publics, là. La CAI...
M.
Caire
: ...
ces
incidents de confidentialité là? Est-ce que ça entraverait le travail des
policiers? La CAI a l'autorité pour le faire, et, à la limite, la CAI aurait pu
ordonner...
Transposons cette situation-là à une
situation qui implique un organisme public, parce que, dans ce cas-ci, on parle
d'organismes >publics, là. La CAI, donc, par l'adoption de 63.7, aura le
pouvoir, si elle arrive à la conclusion qu'il n'y a pas entrave à une enquête,
elle aura le pouvoir d'ordonner à l'organisme d'aviser les gens qui seront
visés par l'incident et qui, de ce fait, pourraient subir un préjudice, jusqu'à
ce jour, sérieux.
M. Tanguay
: Là, on
pourrait mettre du béton armé à ça. Est-ce que l'on veut que ce pouvoir
juridictionnel là de la CAI soit exclusif? Ou, si on ne le fait pas, s'il n'est
pas exclusif, ce qui va arriver, il va peut-être y avoir des avocates, avocats
de corps policiers qui vont se rendre en Cour supérieure puis qui vont
contester l'évaluation de la CAI puis ils vont demander une ordonnance de la
Cour supérieure. Il pourrait y avoir un débat juridictionnel.
Est-ce que l'on veut mettre dans la loi...
Puis, si c'est marqué dans la loi, comme dans le Code de procédure civile,
c'est une loi qui donne les compétences des cours, est-ce qu'on veut que ce
soit une compétence exclusive de la CAI de statuer quant à l'à-propos de cela ou...
il pourrait peut-être même y avoir là un argument constitutionnel, mais là ce
n'est pas des droits individuels. Est-ce que l'on veut permettre à un corps
policier de contester ça? Parce que ça peut être un méchant noeud, là.
M.
Caire
: Bien,
moi, je vous dirais, là, puis on jase, là, je n'ai pas fait une longue
réflexion sur le sujet, là, mais il me semble, ça ferait beaucoup, là, ça
ferait beaucoup, là.
M. Tanguay
: De?
• (12 h 50) •
M.
Caire
: Bien,
de dire que la CAI a, là, la seule autorité pour décider si on doit...
M. Tanguay
: On laisse
le recours possible. O.K.
M.
Caire
: Bien,
il me semble que, tu sais, dans une idée de justice...
M. Tanguay
: Comme
soupape de sécurité, oui, oui.
M.
Caire
: Oui,
parce que ça fait un énorme pouvoir, puis là les policiers pourraient trouver
que la CAI a effectivement une mauvaise évaluation, puis, à par le pape,
personne n'est parfait. Donc, je trouve qu'on aurait comme un contre-pouvoir
pour dire à la CAI : Non, non, non, attends un peu, là.
M. Tanguay
: Parfait.
Alors, ce que vous venez de dire là est excessivement important, parce que ça
sera utilisé, le cas échéant, si la CAI voudrait prétendre s'être fait octroyer
une juridiction exclusive. Alors, l'ayant dit, puis on peut y réfléchir, on n'a
pas fermé notre article par article, l'ayant dit, que nos amis qui travaillent
avec vous puissent parfaire la réflexion, s'il y a lieu, ou on laisse ça de
même... Effectivement, moi, je suis plus du poids et contrepoids puis pas de
créer des royaumes. Mais, en le disant que non, ce n'est pas, par ailleurs, une
juridiction exclusive, ça a des conséquences importantes et, je crois, à prime
abord, bénéfiques, que si, effectivement, un corps de police dit : O.K., non,
je me tue à essayer d'expliquer, puis ils ne voient pas
ça à la CAI, puis ils vont le rendre public, ça n'a pas de bon sens, là...
M.
Caire
: Ça va
scraper mon enquête, puis je vais chercher une injonction, puis...
M. Tanguay
: ...on peut
essayer quelque chose, là. Ça va.
J'aimerais savoir... parce que, là,
j'imagine, la réflexion sur le sérieux... à moins que, sans qu'on suspende... J'avais
une autre question de <compréhension. À la...
M. Tanguay
: ...
puis
ils ne voient pas ça à la CAI, puis ils vont le rendre public, ça n'a pas de
bon sens, là...
M.
Caire
: Ça
va scraper mon enquête, puis je vais chercher une injonction, puis...
M. Tanguay
:
...on
peut essayer quelque chose, là. Ça va.
J'aimerais savoir... parce que, là,
j'imagine, la réflexion sur le sérieux... à moins que, sans qu'on suspende...
J'avais une autre question de >compréhension. À la fin du deuxième
alinéa, dernière phrase : «Dans ce dernier cas, le responsable de la
protection des renseignements...» Alors : «Il peut également aviser toute
personne ou tout organisme susceptible de diminuer ce risque, en ne lui
communiquant que les renseignements personnels nécessaires à cette fin sans le
consentement de la personne concernée.» Ça, on comprend ça. «Dans ce
dernier cas, le responsable de la protection des renseignements personnels doit
enregistrer la communication.» Qu'est-ce qu'on entend par là?
M.
Caire
: Il va
tenir un registre du fait que... qui a été avisé, à quelle date, à quel propos,
etc. C'est vraiment tenir un registre. Ce registre-là, annuellement, peut être
fourni à la CAI.
M. Tanguay
: O.K. Donc,
dans la légistique québécoise, quand on dit, dans une loi, «enregistrer la
communication»...
M.
Caire
: Non,
ce n'est pas avec... Ce n'est pas «taper», là...
M. Tanguay
: Non, non,
c'est ça.
M.
Caire
:
...c'est tenir un registre.
M. Tanguay
: Ça aurait
pu être chose que...
M.
Caire
: Puis
là, si je dis des niaiseries, Me Miville-Deschênes, vous avez le droit de
me corriger.
M. Tanguay
: Parce
qu'enregistrer, que ce soit dit, là, justement, ce n'est pas faire... comme
quand on écoutait la radio, quand on était jeunes, puis on... Aïe! la toune va
commencer après les annonces, puis on faisait «Rec» puis «Play», là, dans le
petit... puis c'était la haute technologie. Je referme la parenthèse, mais c'est
ça que ça veut dire. Alors, je ne sais pas si monsieur...
Me Miville-Deschênes...
M. Miville-Deschênes (Jean-Philippe) :
Effectivement, déjà, il y a des enregistrements de communications de
renseignements personnels qui sont prévus dans la loi, à l'article 60
notamment. Donc, il y a déjà ce mécanisme-là d'enregistrer certaines
communications, effectivement, dans un registre, là, qui est tenu par
l'organisme public.
M. Tanguay
: Donc, un
registre, c'est que, tel jour, telle heure, j'ai parlé à un tel, je lui ai dit
ça, essentiellement, avec un petit... donc de garder une trace, à quelque part,
de ça.
M. Miville-Deschênes (Jean-Philippe) :
De la communication, oui.
M. Tanguay
: O.K. C'est
bon. Écoute... Puis c'est ça, moi, j'avais les mêmes préoccupations pour le
troisième alinéa, que ça ne soit pas systématiquement : Ah! bien là, ça
entrave, ça entrave, ça entrave, puis toujours des enfarges. La CAI va veiller
au grain, comme on dit.
M.
Caire
: Oui,
oui.
M. Tanguay
: Parfait.
Alors, sous réserve, là, du «sérieux».
Le Président (M. Bachand) :
M. le ministre?
M.
Caire
: On va
juste suspendre, peut-être, une petite minute. Je vais juste aller...
Le Président (M. Bachand) :Parfait. On va suspendre quelques instants. Merci.
M.
Caire
: Bien,
je dis «une minute». Je suis peut-être optimiste, là, de penser que je vais
avoir un avis en une minute, mais bon.
Le Président (M. Bachand) :
Merci.
(Suspension de la séance à 12 h 53)
>
(Reprise à 12 h 56)
Le Président (M. Bachand) :
À l'ordre, s'il vous plaît! La commission reprend ses travaux. M. le ministre,
s'il vous plaît.
M.
Caire
: Oui.
Merci, M. le Président. Bien, pour la suggestion du député de LaFontaine, je
vais laisser Me Miville-Deschênes expliquer le pourquoi du libellé puis
pourquoi on l'a libellé comme ça, alors, avec le consentement de la commission.
Le Président (M. Bachand) :
Me Miville-Deschênes.
M. Miville-Deschênes (Jean-Philippe) :
Oui. Bien, d'une part, notamment les lignes directrices de l'OCDE, mais la
plupart des législations qui ont... toutes les législations qu'on a consultées
qui ont une obligation similaire, il y a toujours une approche basée sur un
degré de risque, principalement pour éviter qu'il y ait trop d'avis qui soient
transmis aux citoyens par rapport aux... et qui rendent plus difficile de
déterminer quels sont les incidents qui présentent vraiment un risque par
rapport aux incidents qui sont peut-être plus légers.
Deuxième aspect, puis c'était la
principale raison pour laquelle, là, ces termes-là ont été utilisés, c'est
l'harmonisation avec le fédéral. Les entreprises nous ont demandé d'être... là,
on est dans le secteur public, mais les deux sont... c'est un miroir entre
public, privé, d'être harmonisées avec les dispositions fédérales, qui
prévoient, eux, un risque de préjudice grave. Dans notre cas, c'est «sérieux»,
mais les critères sont les mêmes, c'est-à-dire la sensibilité du renseignement
et <la probabilité...
M. Miville-Deschênes (Jean-Philippe) :
...
ces termes-là ont été utilisés, c'est l'harmonisation avec le
fédéral. Les entreprises nous ont demandé d'être... là, on est dans le secteur
public, mais les deux sont... c'est un miroir entre public, privé, d'être
harmonisées avec les dispositions fédérales, qui prévoient, eux, un risque de
préjudice grave. Dans notre cas, c'est «sérieux», mais les critères sont les
mêmes, c'est-à-dire la sensibilité du renseignement et >la probabilité
qu'il soit utilisé, là, de façon préjudiciable. Donc, c'est les motifs, là,
pour lesquels on a également prévu un degré de risque, là, avant la
communication.
Le Président (M. Bachand) :
M. le député de LaFontaine.
M. Tanguay
: Oui. Moi,
je comprends. Par contre, je ne peux pas me réconcilier avec l'idée qu'il y a
des incidents où il y aura un risque sérieux de préjudice et qu'on ne va pas en
informer le citoyen. C'est juste ça avec lequel je ne suis pas capable de me réconcilier.
Le Président (M. Bachand) :
Juste vous dire qu'il y a un vote présentement à l'Assemblée. Donc, on...
M. Nadeau-Dubois : ...s'assurent
qu'on ne termine pas sur l'article dans les...
Le Président (M. Bachand) :
Bien, c'est ça. Alors, on va...
M. Nadeau-Dubois : C'est ça, ou
sinon je vous laisse discuter, ça ne me dérange pas. Juste ne pas finir
l'article avant que je revienne.
Le Président (M. Bachand) :
On va vous laisser aller voter et on va suspendre les travaux jusqu'à
14 h 30. Merci.
(Suspension de la séance à 12 h 58)
14 h 30 (version révisée)
(Reprise à 14 h 33)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. La
Commission des institutions reprend ses travaux.
Nous poursuivons l'étude détaillée du
projet de loi n° 84, Loi modernisant des dispositions législatives en
matière de protection des renseignements personnels.
Lors de la suspension de nos travaux cet
avant-midi, nous étions rendus à l'étude de l'article 63.7, introduit par
l'article 14. Interventions? M. le député de LaFontaine.
M. Tanguay
: Oui, bien,
regardez, je vais parler.
Une voix
: ...
M. Tanguay
: Oui, c'est
ça. M. le Président, on est en train de peaufiner ce qui sera... puis je vous
l'annonce déjà, là, je déposerai l'amendement sur l'article... Là, on
est — j'y vais de mémoire — à 65... 63.7, c'est-tu ça? Bon,
63.7.
Je suis en train de jongler avec l'idée de
déposer un amendement où là, je vous disais, bien, on pourrait peut-être
changer le «sérieux» de place, dans le sens premier de cette expression-là. «Si
l'incident présente un risque sérieux qu'un préjudice soit causé, l'organisme
doit, avec diligence, aviser la commission. Il doit également aviser toute
personne...» Donc, évidemment, cette phrase-là... Je vais vous arriver avec un
amendement, M. le Président.
Puis ce qui est important pour nous
autres, là, c'est que la phrase fait état qu'il doit aviser la commission, mais
aussi, au premier titre, il doit également aviser toute personne dont un
renseignement est concerné. Bon, ici, on est en matière d'un organisme public
et on aura l'occasion... Sophie m'indiquait à l'article 95, pour ce qui
est de la loi, projet de loi n° 64, à l'article — c'est-tu ça,
Sophie? — 95, on aura le pendant de cette obligation-là à
l'article 3.5, qui sera introduit par l'article 95 de la loi.
Puis plus je jongle avec l'idée, M. le Président,
plus je suis en train de me dire si on ne devrait pas tout simplement enlever
le mot «sérieux». Donc : «Si l'incident présente un risque qu'un préjudice
soit causé, l'organisme doit, avec diligence, aviser la commission. Il doit
également aviser toute personne...» Autrement dit, un risque qu'un préjudice ou
un risque sérieux... on pourrait laisser le «sérieux» là. Mais j'ai fait
certaines recherches, M. le Président, puis sur la fondamentale de la chose,
là, ce qui est important de retenir, c'est que, tant en matière civile, en
matière privée qu'en matière publique, il y a des obligations excessivement
importantes qui découlent de la <bonne foi...
M. Tanguay
: ...
certaines
recherches, M. le Président, puis sur la fondamentale de la chose, là, ce qui
est important de retenir, c'est que, tant en matière civile, en matière privée
qu'en matière publique, il y a des obligations excessivement importantes qui
découlent de la >bonne foi.
Et dans notre Code civil, M. le Président,
il y a les articles 6 et 7 du Code civil, mais également en matière
contractuelle. Pourquoi je parle de contractuel? Parce qu'on va vouloir faire
miroir de cette obligation-là. Je pense qu'un renseignement personnel, pour un citoyen,
que ce soit... qu'il y ait une fuite auprès d'un organisme public ou qu'il y ait
une fuite auprès d'un organisme privé, une entreprise privée, je pense qu'il
doit en être informé, le citoyen doit en être informé aujourd'hui. Puis il n'y
a pas de raison, puisque c'est un renseignement personnel qui, par définition,
est sur un support informatique. Ça veut donc dire qu'aujourd'hui,
contrairement à il y a 50 ans, où on devait communiquer avec un client,
bien, on lui envoyait une lettre, on lui envoyait... les fax n'existaient même
pas, c'était compliqué, c'était ardu. Là, de dire : Veuillez prendre note,
par courriel, qu'il y a eu une... Ça va-tu? Es-tu correcte? Oui, O.K. Elle
me regarde avec des grands yeux. Il y a eu une fuite, je pense que ça peut
se faire de façon efficace.
Et, à 1375 du Code civil, «la bonne foi
doit gouverner la conduite des parties tant au moment de la naissance de
l'obligation qu'à celui de son exécution ou de son extinction». Et j'ai mis la main,
durant l'heure et demie qu'on a pour manger, avec un caucus à travers ça, puis
sur le coin de la table, un sandwich, puis on va se brosser les dents après,
puis on court ici, puis on arrive en retard... j'ai un article écrit par Élise
Poisson : La bonne foi et loyauté dans les relations commerciales,
octobre 2006. Et il y a très clairement... puis c'est ça mon point, il y a une
obligation d'information dans un rapport contractuel. Il y a une obligation
d'information qui découle, oui, de 1375 du Code civil, qui fait en sorte... Et
là il y a des exemples jurisprudentiels où, en matière de contenu implicite et
d'interprétation de contrat, l'obligation implicite de renseignement, il y a
l'obligation implicite de collaboration et d'assistance technique et l'interprétation
d'une clause de modification unilatérale.
Mais ça, c'est des notions très, très
établies en droit, l'obligation implicite de renseignement, l'obligation
implicite de collaboration et d'assistance technique. Ce qui fait en sorte que
moi, M. le Président, je ne voudrais pas puis je vais résumer mon argument de
même, là... parce qu'à 95, quand on va être rendu dans les rapports privés, je
ne voudrais pas qu'on vienne diminuer la protection, le corpus jurisprudentiel
puis légal dans la relation privée qui fait en sorte que vous avez une
obligation proactive.
Si on le laisse de même dans la sphère
privée, on vient de diminuer l'obligation pour une partie cocontractante qui
sait qu'il y a eu un accroc... je ne suis pas en train de dire qu'il a commis
une faute, je ne suis pas en train de dire que la personne a commis une faute,
mais qui sait qu'il y a eu un accroc, elle sait qu'il y a un risque de
préjudice, il y a un préjudice qui va en découler. Indépendamment qu'il soit
sérieux ou pas, il y a un risque de préjudice. Il a, en vertu de notre droit
québécois, l'obligation d'en <informer...
M. Tanguay
: ...
pour
une partie cocontractante qui sait qu'il y a eu un accroc... je ne suis pas en
train de dire qu'il a commis une faute, je ne suis pas en train de dire que la
personne a commis une faute, mais qui sait qu'il y a eu un accroc, elle sait
qu'il y a un risque de préjudice, il y a un préjudice qui va en découler.
Indépendamment qu'il soit sérieux ou pas, il y a un risque de préjudice. Il a,
en vertu de notre droit québécois, l'obligation d'en >informer.
Et là la loi viendrait diminuer ça, M. le
Président. Et je vous dirais même, a fortiori, en matière de protection du consommateur
aussi, je pense qu'on viendrait, sans que ce soit notre intention comme
législateur, mais on viendrait diminuer ça, puis ça serait un recul pour la
protection du consommateur, pour les citoyens. Puis là, M. le Président, je
veux dire, moi, là, on ne pourra pas me taxer de ne pas être partie du système
capitaliste puis d'être contre les entreprises, puis tout ça. Non, non. Si vous
avez une relation contractuelle, vous détenez de l'information ou un mandat
vous a été donné par un tiers qui, lui, a une relation directe avec le client,
bien, vous avez des obligations là-dedans, puis il ne faudrait pas que la loi
diminue ça. Pour ce qui est de nos organismes publics, même chose.
• (14 h 40) •
Alors, j'aimerais entendre le ministre.
Honnêtement, là, si l'incident présente un risque.... j'enlèverais «sérieux», présente
un risque qu'un préjudice soit causé, l'organisme doit, avec diligence, aviser
la commission puis doit aviser la personne... qu'un risque soit causé, il doit
en aviser la commission et la personne.
La commission va prendre ça puis elle va
dire : Ah! O.K. La commission... puis les articles 63.8 et 63.9 sont
tout à fait pertinents parce que la commission, ça va lui donner son guide pour
dire : O.K., face à ça, qu'est-ce qu'il doit faire? Bon, bien, ce n'est
pas hautement sensible, ce n'est pas excessivement préjudiciable... le
préjudice serait limité. Tu peux réagir de telle, telle façon, puis on
«monitore» ça, si vous me permettez l'expression, puis on va gérer ça de même.
Et la personne reçoit puis est informée, puis la personne pourra, à ce
moment-là, agir en conséquence, sous réserve du fait que s'ils enquêtent, il ne
pourra pas le faire.
Alors, moi, j'enlèverais, puis j'aimerais
entendre le ministre... j'enlèverais «sérieux», parce que ce qu'on fait là, je
ne pourrais pas croire qu'on aurait un régime distinct pour les privés... tantôt,
à l'article 95. Ce qu'on fait là, moi, je le ferais aux deux. Puis ce
n'est pas la mer à boire, en 2021 et plus, là, au XXIe siècle, de
dire : On a les adresses courriel, on peut communiquer, on les en informe.
Puis là ce n'est pas supposé d'être une grosse alarme, là. Oh my God!. Non, non.
Un incident limité... nous vous informons qu'un incident limité aurait
peut-être fait en sorte que votre information serait mise à risque. Sachez que
nous en avons informé les autorités compétentes, nous travaillons là-dessus et
nous allons vous tenir informé, tout simplement. Puis ça, c'est une obligation
contractuelle.
Le Président (M.
Bachand) : Merci, M. le député. M. le ministre.
M.
Caire
: Oui.
M. le Président, avec le consentement de la commission, je vais laisser
Me Miville-Deschênes répondre, parce que c'est essentiellement des
arguments d'harmonisation et des arguments juridiques qui nous amènent à
vouloir garder le libellé tel qu'il est présentement.
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Oui, bien, je vais revenir rapidement sur les
éléments, là, qui nous ont conduits à faire référence à un risque de préjudice
sérieux. Premièrement, c'était le fait qu'au Canada, là, et dans la majorité
des États américains, on fait référence à un certain degré de préjudices. <C'est
aussi...
M.
Caire
: ...
libellé
tel qu'il est présentement.
Le Président (M.
Bachand) :
Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) :
Oui, bien, je vais revenir rapidement sur les
éléments, là, qui nous ont conduits à faire référence à un risque de préjudice
sérieux. Premièrement, c'était le fait qu'au Canada, là, et dans la majorité
des États américains, on fait référence à un certain degré de préjudices. >C'est
aussi les lignes directrices de l'OCDE.
Pourquoi? Bien, c'est principalement pour
éviter une multiplication des avis qui seraient faits, peu importe le niveau de
risque, parce que la notion de préjudice, c'est une atteinte portée aux droits
et aux intérêts de quelqu'un, d'une personne. Donc, c'est une notion qui est quand
même facilement rencontrée, c'est-à-dire un risque de préjudice, ça peut être un
préjudice qui est mineur ou insignifiant puis dans le contexte aussi où la
définition d'un incident est très large, ça peut être une communication non
autorisée, un accès non autorisé. Donc, automatiquement qu'il y a une communication
qui n'est pas autorisée, on pourrait conclure qu'il y a effectivement un risque
de préjudice. Puis, de ce fait, il y aurait de nombreux, là... de nombreux avis
qui seraient communiqués aux personnes à la commission pour des préjudices qui
sont très, très minimes ou mineurs.
Donc, l'autre aspect, bon, je me répète peut-être,
mais, si on diminue le seuil, on s'éloigne de la pratique canadienne puis du
fédéral qui nous a précédée. Ça fait deux ans que les entreprises canadiennes,
les entreprises en Ontario, Maritimes ainsi que les entreprises pancanadiennes
sont soumises à un régime de notification qui repose sur un
risque de préjudice grave. Et puis, dans le cadre des consultations, il y avait
une douzaine, là, d'intervenants qui nous ont mentionné l'importance
d'harmoniser, donc c'est dans cette finalité-là qu'on a inclus un risque de
préjudice sérieux.
C'est sûr que, s'il y a un
risque de préjudice tout court, il y a quand même des mesures qui doivent être
prises par l'organisme public, là, pour diminuer le risque, là, au premier
alinéa de l'article. Donc, je comprends la relation contractuelle, mais rien
n'empêche dans le cadre... que la loi n'a pas préséance sur les obligations
contractuelles. Mais la loi met minimalement l'obligation d'aviser les
personnes lorsque le préjudice est sérieux, mais n'empêche pas de l'aviser dans
d'autres circonstances s'il y a un préjudice, là, qui ne répondrait pas à ces
critères-là.
Le Président (M.
Bachand) : Merci beaucoup, maître. M. le député de LaFontaine.
M. Tanguay
:
Oui, merci beaucoup. Est-ce que l'analyse a été faite, de l'impact, dans
l'interprétation de cet article-là? Puis le débat qu'on fait là est utile pour
95, gardons toujours les deux choses en tête, là.
Puis mon point s'exprime
peut-être mieux en matière privé-privé, mais c'est copié-collé ici.
Nécessairement, si ça, c'est la loi, nécessairement, moi, je ne me sentirai pas
obligé de vous en informer. Nécessairement, je n'ai pas, en vertu de la loi...
La loi met le standard du bon comportement. Si vous ne me dites pas que je dois
l'informer à moins qu'il y ait un préjudice sérieux, s'il y a juste un simple
préjudice, je ne l'informerai pas, c'est très clair. Puis on ne pourra pas me
dire : Tu as commis une faute, parce que la loi québécoise va me dire que
je n'avais pas... Bien, écoutez, c'est un préjudice, oui, il a perdu de
l'argent, il s'est fait... il a eu tel, tel préjudice, mais ce n'était pas
sérieux. Puis là le juge va dire : O.K., est-ce que c'était sérieux ou
pas? Ça va être ça, le débat juridique. Puis s'il dit : Oui, il y a eu un
préjudice, tout le monde s'entend. Mais sérieux, que veut dire sérieux? Oui, il
y a eu une perte, <mais la perte...
M. Tanguay
: ...
un préjudice, oui, il a perdu de l'argent, il s'est fait... il a eu
tel, tel préjudice, mais ce n'était pas sérieux. Puis là le juge va dire :
O.K., est-ce que c'était sérieux ou pas? Ça va être ça, le débat juridique.
Puis s'il dit : Oui, il y a eu un préjudice, tout le monde s'entend. Mais
sérieux, que veut dire sérieux? Oui, il y a eu une perte, >mais la perte n'était pas si grande que ça, alors, dans le fond,
il a bien fait de ne pas l'informer.
Et, si bien, M. le Président, qu'on dit,
quand on visite une maison, là : Vous avez le devoir d'informer la
personne qui vient. Mais la personne qui vient visiter aussi a un devoir de
s'informer. En latin, ça s'appelle caveat emptor. Posez les bonnes questions,
puis renseignez-vous, puis faites affaire à un... vous devez... Les relations
contractuelles sont basées sur la bonne foi. Vous devez vous renseigner puis
vous devez me dire... s'il y a un vice que vous connaissez, ça va être un vice
caché puis je vais pouvoir annuler la vente, mais vous devez vous renseigner.
Si bien que cette logique-là est reprise
dans l'article où l'on dit que la personne qui voit qu'il y a une fuite, elle
doit limiter. Elle doit tout faire pour limiter les risques. Elle doit patcher
puis elle doit faire ci, elle doit faire ça, mais l'individu l'autre bout, là,
il n'est pas mis dans le coup. Il y a peut-être des choses qu'il pourrait faire
lui aussi. Il a peut-être de l'information qu'il pourrait donner à
l'entreprise. Il y a peut-être des... il faut le mettre dans le coup. Il ne
faut pas le voir comme étant une épée de Damoclès, que si on l'informe, j'ai
l'impression qu'on met derrière ça, là... si on l'informe, bien, tabarnouche,
on n'aura pas juste un problème à gérer, il va falloir en gérer deux, parce que
lui va falloir le gérer, mais il faut le mettre dans le coup. Il faut le mettre
dans le coup.
Alors, M. le Président, j'aurai l'occasion
de parfaire mon... peut-être vous donner... puis des arrêts de la Cour suprême,
l'arrêt de 1992, Montréal c. Bail Ltée, où la Cour suprême disait : «Alors
qu'auparavant il était de mise de laisser le soin à chacun de se renseigner et
de s'informer avant d'agir, le droit civil est maintenant plus attentif aux
inégalités informationnelles et il impose une obligation positive de
renseignement dans le cas où une partie se retrouve dans une position
informationnelle vulnérable d'où des dommages pourraient s'en suivre.» La Cour
suprême ne parle pas de dommages sérieux. Ici, préjudices puis dommages, c'est
du un pour un, c'est la même affaire. Alors, je pense qu'on irait même à
l'encontre de l'arrêt de la Cour suprême, puis ce n'est pas peu dire, là.
Moi, je pense que l'article 95, si on
l'adopte, puis je ne ferai pas peur à personne après-midi ici dedans, mais ça
va être challengé puis je ne suis pas sûr que ça tienne la route devant la Cour
suprême en vertu de l'arrêt de la Cour suprême, Bail, en 1992. Vous devez le
faire, puis il en va de la bonne foi de nos rapports contractuels. Et là on
vient diminuer le régime de protection du Code civil et l'interprétation que
les tribunaux en ont donnée. Vous devez être proactifs.
Le Président (M.
Bachand) : Merci. M. le ministre... Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Oui, en fait, premier élément, là, les... dans le
projet de loi, on ne l'a pas indiqué, mais certaines lois l'indiquent, elles
énumèrent un peu qu'est-ce qui peut constituer un préjudice sérieux ou grave
dans ce cas-là. Donc, ça reprend l'ensemble, quand même, des préjudices qui
sont généralement considérés comme importants, là, dans ce genre de situations
là, comme l'humiliation, le dommage à la réputation, <pertes financières...
M. Miville-Deschênes
(Jean-Philippe) :
...
dans le projet de loi, on ne l'a
pas indiqué, mais certaines lois l'indiquent, elles énumèrent un peu qu'est-ce
qui peut constituer un préjudice sérieux ou grave dans ce cas-là. Donc, ça
reprend l'ensemble, quand même, des préjudices qui sont généralement considérés
comme importants, là, dans ce genre de situations là, comme l'humiliation, le
dommage à la réputation, >pertes financières, vol d'identité, effet
négatif sur le dossier de crédit, dommages aux biens et à leur perte, perte de
possibilité d'emploi ou d'occasion d'affaires ou d'activités professionnelles.
Donc, c'est le type de préjudice dont l'on fait référence quand on parle de
préjudice sérieux.
Par rapport à la relation contractuelle,
il y a une distinction, je pense, à apporter sur le fait que, dans la loi sur
l'accès, c'est sûr qu'on exige lorsque, présentement, préjudice sérieux... on
avise. Mais, dans un contexte contractuel, une entreprise ou un citoyen
pourrait intenter un recours contre une entreprise qui ne serait pas... qui
serait fondée sur la personne raisonnable. On dit : Il y a eu une faute
contractuelle parce que, dans cette circonstance-là, il y a eu communication
d'un renseignement, puis on pense qu'une personne raisonnable, dans les mêmes
circonstances, m'aurait informé. Ça fait que ce n'est pas parce que
l'obligation, dans la loi sur l'accès, se situe ici que, dans le contexte
contractuel, la personne, là, concernée perd tout recours face à son
cocontractant. C'est sûr que le fait de ne pas avoir avisé ne sera pas
automatiquement une violation de la loi, puisque la loi, effectivement, a un
certain seuil, mais il y a quand même... je dirais que c'est deux voies de
recours différentes, là, par rapport à la poursuite de nature contractuelle
qu'une personne peut déposer à l'encontre, là, d'une entreprise qui aurait agi
de façon non responsable avec ses renseignements personnels.
Le Président (M.
Bachand) : M. le député de LaFontaine.
M. Tanguay
: Oui, puis
merci. Je vous suis, mais là où... Puis je suis d'accord avec vous, tout ce que
vous avez dit, mais là où on commence à prendre des chemins divergents,
c'est : Quel sera l'étalon de mesure du comportement fautif ou pas du
cocontractant? Ce sera s'il a respecté ses obligations légales, s'il a respecté
ses obligations légales, sinon contractuelles.
Donc, ce que vous pourriez me dire, c'est
que moi, je pourrais le mettre dans le contrat que, nonobstant la loi, je peux
resserrer ça encore plus. Mais, si le contrat ne le prévoit pas, je dois me
rabattre sur la loi qui donne l'étalon de mesure. En matière contractuelle,
c'est 1458 du Code civil et c'est ce que l'exécution que les parties en font,
une personne raisonnable, c'est l'étalon de mesure.
• (14 h 50) •
Mais une personne raisonnable qui respecte
la loi, qui ne va pas au-delà de la loi ne serait pas fautive. Elle serait
fautive si elle avait, de façon non contractuelle, de façon... contrairement à
ses obligations contractuelles, elle n'aurait pas respecté telle, telle clause
ou elle aurait, de façon... de mauvaise foi, elle aurait engagé quelqu'un qui
s'en foutait complètement puis qu'elle n'avait pas encadrée, et ainsi de suite.
Ça, c'est la faute qui explique pourquoi l'information a été éventée. Mais
est-ce que moi... J'en suis sur l'obligation.
Est-ce que je devais vous en informer pour
que, le cas échéant, vous puissiez diminuer votre préjudice, vous en prémunir
ou faire quoi que ce soit? Vous avez l'obligation de m'informer en vertu des
rapports minimums entre les parties. Quand la loi dit : <Dans ce...
M. Tanguay
: ...
devais
vous en informer pour que, le cas échéant, vous puissiez diminuer votre
préjudice, vous en prémunir ou faire quoi que ce soit? Vous avez l'obligation
de m'informer en vertu des rapports minimums entre les parties. Quand la loi
dit : >Dans ce contexte très précis là, vous n'avez pas
l'obligation de l'informer, il n'y aura pas de faute. Il n'y aura pas de faute,
et le recours pour avoir manqué à votre obligation de m'informer, je vous
dirais, serait encore plus affaibli par 95 adopté que si on n'adoptait pas 95, parce
que là, au moins, les tribunaux pourraient dire : Bien, la loi ne le
prévoit pas. Là, je pense qu'une personne raisonnable, parce qu'il y avait un
préjudice, aurait pris le temps de vous informer, c'est clair.
M. Miville-Deschênes
(Jean-Philippe) : Bien, écoutez, je pense que votre point sur l'impact
sur les relations contractuelles est effectivement, là, correct, là, c'est-à-dire
que l'entreprise, sachant que l'obligation est d'aviser... préjudice sérieux,
puis qui ne le ferait pas puisque le préjudice n'est pas sérieux, bien, il
respecterait la loi, donc, ça serait plus difficile de démontrer une
responsabilité contractuelle. J'en suis. Par contre, là, je réitère, en fait,
là, que... je comprends très bien l'objectif, mais je réitère la préoccupation,
un peu, qui a été soulevée par une quinzaine d'intervenants, incluant, là, les
différents représentants d'entreprise, à l'effet que, quand il y a un incident,
bien, ils voudraient avoir un seul étalon de mesure à appliquer pour l'ensemble
du Canada, là. Et c'est la raison pour laquelle, pour l'instant, on a mis le
préjudice sérieux, là, cette raison-là, et aussi le fait qu'en Californie,
entre autres, il y a eu certaines critiques à l'effet que la communication... Automatiquement,
lorsqu'il y a une communication d'un renseignement qui n'est pas autorisée par
la loi, il y a un avis, et puis ça résulte dans de nombreux avis communiqués
aux personnes qui, dans certains cas, perdent un peu le, comment dire... le
degré de préoccupation qu'ils devraient avoir. Puis ce n'est peut-être pas bien
dit, mais en voulant dire que, quand tu as trop d'avis, bien, c'est sûr que tu
n'y prêtes plus attention. Donc, c'est les deux enjeux, aussi, principaux, qui
justifiaient de maintenir un degré de préjudice, là.
Le Président (M.
Bachand) : M. le député de LaFontaine.
M. Tanguay
: Oui.
Merci, M. le Président. Alors, j'ai dit ce que j'avais à dire. Si vous me le
permettez, j'aimerais lire l'amendement qui est déjà sur Greffier. Puis je peux
laisser le temps aux collègues de rafraîchir leur Pentium 100. Amendement,
article 14 :
Dans le deuxième alinéa de l'article 63.7,
introduit par l'article 14 du projet de loi, remplacer la première phrase
par la suivante : «Si l'incident présente un risque sérieux qu'un
préjudice soit causé, l'organisme doit, avec diligence, aviser la commission.»
Et ça, M. le Président, ce sera un
amendement pour lequel on pourra faire un amendement miroir à l'article 95,
et je pense... dernier élément, j'ai jonglé avec l'idée d'enlever carrément
«sérieux», là, un risque qu'un préjudice, un risque sérieux. Parce qu'on aurait
pu dire, à ce moment-là : Bien, un risque... il y a tout le temps un
risque. Je veux dire, je me lève <le matin puis...
M. Tanguay
: ...amendement
pour lequel on pourra faire un amendement miroir à l'article 95, et je
pense... dernier élément, j'ai jonglé avec l'idée d'enlever carrément
«sérieux», là, un risque qu'un préjudice, un risque sérieux. Parce qu'on aurait
pu dire, à ce moment-là : Bien, un risque... il y a tout le temps un
risque. Je veux dire, je me lève >le matin puis je suis à risque qu'il
arrive de quoi. La principale cause de la mort, c'est la vie. Alors, il y a un
risque à toute chose. Mais qu'un risque sérieux qu'un préjudice soit causé, à
ce moment-là, informez-le. Donc, ça ne vient pas dire qu'à toutes les fois, là,
aïe, il y a un risque. J'ai envoyé un courriel avec l'information, on pourrait
dire : Bien, il y a un risque. Alors, gardons «sérieux». Mais avec le
risque sérieux qu'un préjudice soit causé parce qu'il y a une anomalie qui est
arrivée, je pense que ce serait... je pense qu'on est rendus là en 2021. Voilà.
Le Président (M.
Bachand) :Merci beaucoup. Interventions
sur l'amendement? Est-ce qu'il y a d'autres interventions? Sinon, nous allons
procéder à la mise aux voix de l'amendement du député de LaFontaine. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. Pour les membres du groupe parlementaire formant
l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) :
Contre.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Abstention.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est rejeté.
Donc, on retourne à l'article 63.7.
Interventions? S'il n'y a pas d'autre intervention, M. le ministre, s'il vous
plaît.
M.
Caire
: Oui. Merci,
M. le Président. Donc, article 63.8 :
«Pour l'application de la présente loi, on
entend par "incident de confidentialité" :
«1° l'accès non autorisé par la loi à un
renseignement personnel;
«2° l'utilisation non autorisée par la loi
d'un renseignement personnel;
«3° la communication non autorisée par la
loi d'un renseignement personnel;
«4° la perte d'un renseignement personnel
ou toute autre atteinte à la protection d'un tel renseignement.»
Alors, M. le Président, cet article
définit, pour l'application des nouvelles dispositions de la Loi sur l'accès
aux documents des organismes publics et sur la protection des renseignements
personnels introduites par le projet de loi, le terme «incident de
confidentialité».
Le Président (M.
Bachand) :Merci beaucoup. Interventions? M.
le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Quand on
dit... je pense que oui, là, quand on dit «non autorisé par la loi», ça inclut
de facto non autorisé, par ailleurs, en vertu d'une obligation prise par un règlement.
C'est inclusif, ça aussi, là. Quand on dit «la loi», c'est les règlements qui
en découlent également, n'est-ce pas?
M.
Caire
: Oui, et
les règlements qui en découlent, oui.
M. Tanguay
: Oui? O.K.
L'accès non autorisé, la perte d'un renseignement personnel ou toute autre
atteinte à la protection d'un tel renseignement, est-ce que... puis je vois
qu'on a quand même été dans le détail ici, est-ce qu'on est assurés de pas mal
couvrir tous les cas d'espèce ici? Parce qu'on dit : l'accès non autorisé,
O.K., l'utilisation non autorisée, la communication... On couvre tout?
M.
Caire
: Oui,
oui. On fait... Oui, oui.
M. Tanguay
: Parce que,
là, on est limitatifs.
M.
Caire
: Oui,
oui, oui. Puis la perte peut avoir un sens aussi qui est assez large, là, une suppression
d'un renseignement qui n'aurait pas été autorisé, etc., là. Ça fait que, oui,
je pense qu'on couvre vraiment tous les cas <de figure...
M. Tanguay
: ...autorisé,
O.K., l'utilisation non autorisée, la communication, on couvre tout?
M.
Caire
:
Oui, oui. On fait... Oui, oui.
M. Tanguay
: Parce
que là, on est limitatifs.
M.
Caire
:
Oui, oui, oui. Puis la perte peut avoir un sens aussi qui est assez large, là,
une suppression d'un renseignement qui n'aurait pas été autorisé, etc., là. Ça
fait que, oui, je pense qu'on couvre vraiment tous les cas >de figure.
M. Tanguay
: O.K. Puis
juste pour conclure là-dessus, là, puis ça va être mon dernier commentaire, je
fais un lien avec le débat qu'on vient d'avoir, on dit beaucoup : Si, en
vertu de la loi, en vertu de la loi, en vertu de la loi... La loi donne le ton.
Alors, je ne referai pas le débat, mais
quand la loi nous dit : Dans ce contexte-là, vous n'avez pas besoin de les
aviser, tu peux être sûr, M. le Président, que vous ne pourrez jamais faire
reconnaître... j'ose me tromper, mais vous avez toute une... que si la loi ne
vous obligeait pas à renseigner, de faire dire à un juge que c'est une faute
parce que vous n'avez pas été au-delà de la loi, ça ne tiendra pas la route.
Alors, je referme la parenthèse, mais ça me va, 63.8.
Le Président (M.
Bachand) : Merci. Interventions sur 63... 63.8, pardon? S'il
n'en a pas... M. le ministre.
M.
Caire
:
Alors, 63.9, M. le Président, se lit comme suit : «Lorsqu'il évalue le
risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un incident de confidentialité, un organisme public
doit considérer notamment la sensibilité du renseignement concerné, les
conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables. L'organisme doit également consulter son
responsable de la protection des renseignements personnels.»
Donc, M. le Président,
l'article 63.9, cet article prévoit que, lorsqu'un organisme public évalue
le risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un accident... un incident, pardon, de
confidentialité, il doit considérer notamment la sensibilité du renseignement
concerné, les conséquences appréhendées de son utilisation et la probabilité
qu'il soit utilisé à des fins préjudiciables, en plus de consulter son
responsable de la protection des renseignements personnels.
Le Président (M.
Bachand) : Merci, M. le ministre. M. le député de LaFontaine.
M. Tanguay
: Oui, là,
vous allez dire : Je parle des deux côtés de la bouche, mais c'est juste
par simple cohérence. Je veux dire, j'ai déposé mon amendement, il a été battu,
ça fait que c'est la loi. Juste par cohérence, ne devrait-on pas lire :
Lorsqu'il évalue le risque... parce que le concept, c'est le préjudice sérieux.
Alors, lorsqu'il évalue le risque qu'un préjudice sérieux soit causé... parce
qu'il doit trouver un préjudice sérieux, il ne doit pas trouver...
M.
Caire
: Pas
nécessairement.
M. Tanguay
: Moi, je
pense, par cohérence, il faudrait mettre «un préjudice sérieux soit causé»,
parce que lorsqu'il évalue le risque qu'un préjudice soit causé... Ce qu'il
cherche, ce n'est pas un préjudice, ce qu'il cherche... puis, contrairement à
mon amendement, il doit évaluer un risque qu'un préjudice sérieux soit causé.
Alors, j'ajouterais «sérieux» après «préjudice», par simple cohérence.
• (15 heures) •
M.
Caire
: Bien,
en fait, non, parce que, là, on est à l'étape où on doit évaluer, justement, si
c'est un préjudice, un préjudice sérieux et quelles sont les mesures
conséquemment qu'on doit prendre. Donc, on ne peut pas dire : Pour évaluer
si un préjudice est sérieux, vous devez considérer la sensibilité, vous devez
évaluer l'utilisation appréhendée à des fins préjudiciables. Alors, c'est là où
vous allez décider, est-ce que c'est un préjudice sans conséquence, est-ce que
c'est un préjudice sérieux. Donc, c'est ça que l'article vient faire, il vient
vous donner quelles sont les <unités de mesure...
>
15 h (version révisée)
<485
M.
Caire
:
...devez considérer la sensibilité, vous devez évaluer l'
utilisation
appréhendée à des fins préjudiciables. Alors, c'est là où vous allez décider,
est-ce
que c'est un préjudice sans conséquence,
est-ce que c'est un préjudice
sérieux. Donc,
c'est ça que l'article vient faire, il vient vous donner
quelles sont les >unités de mesure pour déterminer quel est, justement,
le degré... à quel degré il est préjudiciable.
M. Tanguay
: Oui. Bien,
là-dessus... Des fois, si tu fais des arguments, tu sais... Là, je suis sûr à
100 %, là. 100 %, là. Vous me dites, plus haut : Vous devez...
Un risque qu'un préjudice sérieux soit causé. Un risque qu'un préjudice sérieux
soit causé. Il y a huit mots. En bas, le risque qu'un préjudice soit causé.
Vous ne cherchez pas un préjudice. Si je vous dis : Allez à l'épicerie
puis trouvez-moi des oranges, cherchez-moi pas d'autres choses. Lorsque vous
devez évaluer le risque qu'un préjudice sérieux soit causé, vous devez... parce
que vous pourriez prendre les mêmes critères plus bas puis dire : Oui,
finalement, je considère que j'ai trouvé un préjudice. Bien, ce n'est pas ça
qu'il faut que tu cherches. C'est des oranges que je veux, ce n'est pas une
banane. C'est un préjudice sérieux, puis il considère la sensibilité, ci, ça,
ça. Ça, là-dessus, là...
M.
Caire
: Non,
mais j'entends ce que mon collègue dit, mais suivez-moi, là. Alors, deuxième alinéa
de 63.7 : «Si l'incident présente un risque qu'un préjudice sérieux soit
causé, l'organisme doit...» Alors là, on dit... On vient d'évaluer le
préjudice. Est-ce que c'est un préjudice? Est-ce que c'est un préjudice
sérieux? Là, on est... L'article 63.7 arrive avant 63.9, dans le phrasé,
mais je dirais que 63.9, dans les étapes, arrive avant 63.7 en ce sens que 63.9
nous indique sur quelles bases on doit... sur quoi on doit se baser, pardon,
pour déterminer le niveau de préjudice. Donc là, ce que ça dit, c'est : «Lorsqu'il
évalue le risque qu'un préjudice soit causé». Première étape, il y a-tu un
préjudice qui a été causé par la situation? Alors, est-ce qu'il y a un... Mais est-ce
qu'il y en a un?
M. Tanguay
: C'est
quoi, la deuxième étape?
M.
Caire
:
Parce qu'il peut n'y en avoir aucun. Et s'il y en a un, est-ce que c'est un
préjudice sérieux ou non?
M. Tanguay
: À la
lumière de quels critères il va être sérieux? 63.9?
M.
Caire
:
À la lumière... Mais en même temps, là, je rajoute la réponse de Me Miville-Deschênes,
tout à l'heure, mais 63.9 va nous dire notamment... Mais Me Miville-Deschênes
nous a dit qu'il y a d'autres lois qui disent... Sur la question de ce qui est
sérieux, il y a d'autres lois qui vont vous dire : Bon, bien là, vous
avez... Ça porte une atteinte à l'emploi, à la réputation, à la dignité, à blablabla
et donc «notamment la sensibilité du renseignement concerné». Donc, ça, c'est
un critère, la sensibilité du renseignement, les conséquences appréhendées de
son utilisation. Est-ce qu'il y a des conséquences s'il est utilisé à mauvaise
fin, oui ou non? La probabilité qu'il soit utilisé à des fins préjudiciables...
Donc, on est en train de vous donner des critères sur lesquels vous évaluez
s'il y a <préjudice ou non...
M.
Caire
:
...
un critère, la sensibilité du renseignement, les conséquences
appréhendées de son utilisation. Est-ce qu'il y a des conséquences s'il est
utilisé à mauvaise fin, oui ou non? La probabilité qu'il soit utilisé à des
fins préjudiciables... Donc, on est en train de vous donner des critères sur
lesquels vous évaluez s'il y a >préjudice ou non. Et vous avez d'autres
critères qui existent, qui ont été mentionnés, qui viennent vous dire si c'est
un préjudice sérieux ou non. Donc, première étape, il y a-tu un préjudice? Si
oui, il y a-tu un préjudice sérieux, oui ou non?
Le Président (M. Bachand) :
Le député de Gouin, ensuite le député de LaFontaine.
M. Nadeau-Dubois : Merci,
M. le Président. Question complémentaire à celle de mon collègue de
LaFontaine. À la dernière phrase de 63.9, on peut lire : «L'organisme
doit également consulter son responsable de la protection des renseignements
personnels.» Donc, il y a une obligation de consulter le responsable, dans quel
objectif?
M.
Caire
:
Bien, on est toujours dans l'évaluation du risque.
M. Nadeau-Dubois : Dans
l'évaluation du risque. Est-ce qu'il y a, à quelque part dans le projet de loi,
une obligation, pour les organismes publics... puis c'est une question
très simple, je l'assume, mais, des fois, il faut écrire les choses même si
elles sont simples. Est-ce qu'il y a, à quelque part dans le projet de loi,
une obligation d'informer, tout simplement, le responsable de la protection des
renseignements personnels dans les organismes publics au moment où il y a un
incident de confidentialité?
M.
Caire
:
De l'informer...
M. Nadeau-Dubois : Qu'il
y a eu un tel incident de confidentialité.
M.
Caire
:
Je vais laisser... Je ne pense pas. Je vais laisser Me Miville-Deschênes,
mais c'est des notions qu'on introduit avec le projet de loi n° 64. Là, je
ne pense pas que ça existe dans le corps législatif, actuellement, là, mais ça,
c'est des notions qu'on amène ici et maintenant. Mais peut-être, maître... Je
ne sais pas, moi, à ma connaissance, non.
M. Miville-Deschênes
(Jean-Philippe) : Bien, il n'y en a pas actuellement, puis dans la
section sur les incidents, le moment où il est consulté, c'est vraiment lors de
l'évaluation du préjudice, évaluation qui a lieu pour tous les incidents, là.
M. Nadeau-Dubois : Oui,
qui a lieu après l'incident. L'Association des archivistes du Québec, dans leur
mémoire, soulevait cette... peut-être cette absence, dans le projet de loi,
c'est-à-dire il y a un organisme public, il y a un incident de confidentialité,
ce n'est pas nécessairement le responsable de la protection des renseignements
personnels tel que défini par la loi qui va le constater en premier, là, ça
pourrait être dans plusieurs... dans un département autre de l'organisation.
M.
Caire
:
Ah! tout à fait, tout à fait, tout à fait.
M. Nadeau-Dubois : Est-ce
qu'il n'y aurait pas lieu de prévoir une obligation légale d'informer,
sur-le-champ ou le plus rapidement possible, le responsable de la protection
des renseignements personnels? Parce que, là, on est... Le ministre a raison de
le dire, là, c'est ici qu'on vient intégrer dans le projet de loi une
interaction avec le responsable, mais on le fait dans une étape subséquente.
Puis je ne veux pas insinuer que ça va arriver trois ans plus tard, là, ce
n'est pas ça que je dis, mais quand même... ou plus tard dans le processus. Ce <serait
donc...
M. Nadeau-Dubois : ...a
raison de le dire, là, c'est ici qu'on vient intégrer dans le
projet de
loi une interaction avec le responsable, mais on le fait dans une étape
subséquente. Puis je ne veux pas insinuer que ça va arriver trois ans plus
tard, là, ce n'est pas ça que je dis, mais quand même... ou plus tard dans le
processus. Ce >serait donc seulement au moment où il est temps d'évaluer
le préjudice qu'on le consulte.
Est-ce qu'il n'y aurait pas... Est-ce que
ce ne serait pas pertinent d'inclure, nommément, dans la loi, un truc aussi...
Tu sais, je reconnais que c'est élémentaire un peu, là, mais est-ce que ce ne
serait pas pertinent de dire : Quand il y a... Dès que c'est constaté dans
l'organisation, il y a une obligation d'informer le responsable de la
protection des renseignements personnels?
M.
Caire
:
Bien, en fait, je vais dire à mon collègue : Je ne pense pas. Compte tenu
du rôle du responsable de la protection des renseignements personnels, ce n'est
pas quelqu'un qui va avoir nécessairement pour mandat de mitiger les
conséquences, dans le sens où il y a un incident de confidentialité, il y a des
mesures à prendre pour circonscrire les conséquences au maximum, voire si on
peut même les éviter. Et c'est pour ça qu'on va dire, essentiellement... Dans
la réaction, on va dire essentiellement, par exemple, qu'il peut aviser
également «toute personne ou tout organisme susceptible de diminuer ce risque».
Donc, dans l'opérationnalisation d'un
événement, il est arrivé un événement, un incident de confidentialité, on a des
mesures à prendre rapidement pour limiter, voire faire en sorte qu'il n'y ait
pas de dégât ou les limiter, s'il y a des dégâts. Le responsable de la
protection des renseignements personnels, là, a plus un objectif d'application
de la loi, mais son intervention, je comparerais ça au... Le feu est pris? Vous
appelez les pompiers, vous n'appelez pas l'assureur. Vous commencez par appeler
les pompiers. Après ça, là, quand il sera le temps de constater les dégâts puis
de... Là, vous appellerez l'assureur.
Et donc, dans ce sens-là, 63.9 vient faire
obligation dans le sens de ce que le collègue de Gouin suggère parce qu'on
dit : Il doit également consulter. Donc, tôt ou tard, là, quand on aura
éteint l'incendie, là, il sera le temps d'évaluer les dégâts. Donc, c'est ce
que 63.9 fait, et, dans ce cas-là, vous devez consulter le responsable de la
protection des renseignements personnels. Donc, ce n'est pas un choix que vous
avez, vous devez le faire, mais c'est juste que ça vient séquencer à quel
moment c'est une obligation de le faire. Ce n'est pas quand le feu est pris. Là,
c'est les pompiers qu'on appelle. Et, quand tout ça est sous contrôle, quand on
a contrôlé la situation, qu'on s'est assuré qu'il n'y avait pas ou peu de
danger, bien oui, à ce moment-là, quand il sera le temps d'évaluer le risque de
ce qui s'est passé, là... parce que c'est... Dans la chaîne des événements,
c'est à ce moment-là que lui <doit intervenir...
M.
Caire
: ...qu'on
s'est assuré qu'il n'y avait pas ou peu de danger, bien oui, à ce moment-là,
quand il sera le temps d'évaluer le risque de ce qui s'est passé, là... parce
que c'est... Dans la chaîne des événements, c'est à ce moment-là que lui >doit
intervenir.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Je
comprends. Je comprends ce que le ministre dit, là, puis je comprends bien que,
dans un organisme public, puis surtout si ce sont des grandes organisations, ce
n'est pas le responsable de la protection des renseignements personnels qui va
aller vérifier à la mitaine si le code est correct ou qui va faire le... qui va
se mettre les mains dans le cambouis, là, dès le moment où on remarque un
incident, mais c'est quand même lui qui est légalement, le ministre l'a dit, le
responsable de l'application de la loi. Il est redevable au sein de son
organisation de tout ce qui se passe de lié à la protection des renseignements
personnels. En dernière instance, là, c'est lui qui est... Puis il y a eu une
grande discussion, par ailleurs, entre le collègue de LaFontaine et le ministre
sur cette question-là, là, tu sais, pour évaluer son niveau de responsabilité
puis de redevabilité dans ces situations-là.
• (15 h 10) •
Qu'est-ce que ça... tu sais, qu'est-ce que
ça coûte? Qu'est-ce que ça... Quel est l'inconvénient de venir inscrire dans la
loi une obligation qui, oui, est élémentaire, mais est à la fois très
importante, de dire : Quand il y a un incident... Puis là je comprends
bien, ce n'est pas comme, tu sais... Je comprends le ministre quand il me
dit... S'il y a un incident de confidentialité, je comprends que le ministre
nous dise que ce n'est pas pendant que le feu est pris, dans la minute, là...
On en convient tous, puis je pense que les gens qui appliquent la loi, ils sont
capables de jugement aussi, là, mais de dire que, lorsqu'il y a un bris de...
lorsqu'un incident de confidentialité est constaté, qu'il y a une obligation
légale d'informer la personne qui va être responsable de la situation dans
l'organisme, pas seulement quand vient le temps, dans un deuxième ou un
troisième temps, de dire : O.K. quels sont les préjudices?, mais dès que...
bien, dès que l'événement se produit, dans un délai raisonnable, disons-le
comme ça.
Je me demande qu'est-ce que ça coûte puis
je me demande surtout, est-ce que ce n'est pas une espèce de filet de sécurité
pour les organismes publics eux-mêmes puis pour les responsables dans ces
organismes-là de savoir que, s'il y a un événement, bien, il y a une
responsabilité légale de communiquer l'incident en question puis son existence
au responsable des renseignements personnels, puis pas juste quand, après, par
exemple, quelques jours de vérification, on commence à prendre la mesure de
l'ampleur, par exemple, de la fuite.
Parce que le ministre sait comme moi que
ce n'est pas tranché au couteau, ces affaires-là. Des fois, on se rend compte
qu'il y a une fuite. Puis, dans le cas de Desjardins, là, je sais que ce n'est
pas un organisme public, mais c'est l'exemple qui a été beaucoup médiatisé, ça
a pris quand même plusieurs semaines pour qu'on prenne progressivement, <en
tout cas...
M. Nadeau-Dubois : ...
de l'ampleur, par exemple, de la fuite.
Parce que le ministre sait comme moi
que ce n'est pas tranché au couteau, ces affaires-là. Des fois, on se rend
compte qu'il y a une fuite. Puis, dans le cas de Desjardins, là, je sais que ce
n'est pas un organisme public, mais c'est l'exemple qui a été beaucoup
médiatisé, ça a pris quand même plusieurs semaines pour qu'on prenne
progressivement, >en tout cas, publiquement, conscience de l'ampleur de
la fuite. Au début, on pensait que c'était certains clients, au début. On
pensait que c'était un petit peu plus de clients, puis c'est quoi, quelques
semaines plus tard, voire quelques mois plus tard que, finalement, c'était tout
le monde, bon. Là, je prends un exemple extrême, je prends un exemple dans le
privé, mais, tu sais, souvent, quand on remarque un incident de
confidentialité, ce n'est pas dans les premières heures ni même dans les
premiers jours qu'on peut tout de suite savoir exactement son ampleur puis tout
ce qui a été compromis.
Moi, je présume que l'évaluation du
préjudice, elle vient quand même en aval dans le processus, dans la mesure où,
le ministre l'a dit lui-même, on commence par essayer de comprendre qu'est-ce
qui s'est passé, où sont, par exemple, les brèches de sécurité, quelles données
ont été compromises. Une fois qu'on a fait tout ça puis qu'on a un portrait de
la situation, dans un deuxième temps, on essaie d'évaluer le préjudice. Et là
c'est à ce moment-là que la loi vient dire, là, quand vous arrivez à évaluer le
préjudice, c'est quand même en aval pas mal, là, vous devez avertir.
Est-ce que ce ne serait pas pertinent de
dire : Non, dès qu'il y a connaissance d'un incident, il doit y avoir
communication au responsable, ne serait-ce que pour que cette personne-là soit,
je veux dire, au courant que la situation existe? Ce qui n'empêche pas, par la
suite, la disposition de 63.9 qui vient dire : Par ailleurs, vous le
consultez à nouveau quand vient le temps d'évaluer le préjudice.
M.
Caire
:
Bien, en fait, quand on regarde la loi, c'est... Ce que le député de Gouin
décrit, c'est ce qui va se passer. J'explique. Si vous regardez le premier
alinéa, 63.7, bon, on dit : Il y a un motif. Il y a un incident de
confidentialité, ça implique un renseignement personnel. On prend les mesures
raisonnables pour diminuer le risque qu'un préjudice soit causé. Donc, la
première chose à faire, comme je disais, c'est de s'assurer qu'on va limiter
les dégâts au maximum.
Ensuite de ça, on dit : Si l'incident
présente un risque de préjudice sérieux. Alors là, déjà, au deuxième alinéa, on
est dans l'évaluation du préjudice, là. Or, dans l'évaluation du préjudice, on
se rapporte à 63.9. Et 63.9 nous dit quoi? Nous dit comment on va... sur quoi
on va se baser pour évaluer s'il y a eu un préjudice, sérieux ou non. Et, déjà
là, on dit : Vous devez consulter le responsable. Donc, ça arrive en amont
de tout le reste de la séquence, mais tout de suite après le fait qu'on prend
des mesures pour mitiger le risque.
C'est un peu... puis c'est un peu ce que
j'expliquais. La première étape, c'est de s'assurer que l'incident est <circonscrit...
M.
Caire
:
...
de tout le reste de la séquence, mais tout de suite après le fait
qu'on prend des mesures pour mitiger le risque.
C'est un peu... puis c'est un peu ce
que j'expliquais. La première étape, c'est de s'assurer que l'incident est >circonscrit.
La deuxième étape, c'est d'évaluer le préjudice, si tant est qu'il y en ait un.
Et déjà, à cette étape-là, il faut informer le responsable de la protection des
renseignements personnels, en vertu de 63.9.
Donc, on est pas mal à la genèse. Dans la
chaîne des événements, là, on est pas mal à la genèse, tout de suite après le
fait que : O.K. Prenez les mesures immédiates pour contrer le préjudice,
pour s'assurer qu'il y en ait le moins possible, mais tout de suite après, là,
on est dans : O.K. Est-ce qu'il y a eu préjudice, oui ou non? Puis tout de
suite, à ce moment-là, on doit consulter le responsable. Donc, on est vraiment
à la genèse, là, des mesures administratives, là, qui ne sont pas directement
liées au fait qu'on veut circonscrire l'incendie, là.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Je
comprends, mais, à moins de me tromper, puis le ministre connaît bien le
domaine de l'informatique, colmater les brèches en question, là, ça ne prend
pas une demi-journée, tu sais. Ça ne prend pas nécessairement une demi-journée,
là. Ça peut prendre... Ça peut être long, là. Si les systèmes sont compromis,
c'est, pour reprendre les métaphores à notre portée, là, c'est des réparations,
c'est des interventions qui peuvent prendre un certain temps.
Et pendant ce temps-là, s'il y a brèche de
confidentialité, cette brèche-là peut rester ouverte, peut rester béante pendant
le temps qu'on procède, tu sais. On constate un problème de confidentialité, on
constate un problème de sécurité. On est au travail pour le corriger. Ça va
parfois nécessiter de faire affaire avec des consultants externes, avec des
entreprises avec lesquelles on a des partenariats pour nos serveurs, qui ne
sont pas toujours au Québec, bon.
Ce travail-là d'éteindre l'incendie, pour
reprendre la métaphore du ministre, ce n'est pas... Justement, la différence
avec éteindre un feu, c'est que ça ne prend pas seulement... Souvent, ça ne
prend pas seulement quelques heures. Ça peut être un travail... Oui,
d'ailleurs, je suis béni des dieux pour illustrer mon propos. Ça ne prend pas
seulement quelques heures, tu sais, ça peut prendre plusieurs jours et ça peut
prendre plusieurs semaines si des systèmes sont sévèrement compromis. Pendant
ce temps-là, on est encore en train d'éteindre l'incendie.
Et donc, techniquement, si je comprends
bien l'explication du ministre, pendant toute cette période de temps, techniquement
parlant, il n'y a pas d'obligation légale, à ce stade-là, d'informer. Ça
viendra seulement en aval, quand vient le temps d'évaluer le préjudice. Ça fait
que je me demande, à la rigueur, pour le bien de ces responsables-là qui vont
être ceux qui seront imputables de la situation, pourquoi ne pas <inclure...
M. Nadeau-Dubois : ...
pendant
toute cette période de temps, techniquement parlant, il n'y a pas d'obligation
légale, à ce stade-là, d'informer. Ça viendra seulement en aval, quand vient le
temps d'évaluer le préjudice. Ça fait que je me demande, à la rigueur, pour le
bien de ces responsables-là qui vont être ceux qui seront imputables de la
situation, pourquoi ne pas >inclure... Puis l'idée, elle ne m'a pas été
donnée par intervention divine, là. C'est l'Association des archivistes du
Québec qui lançait la proposition au ministre, pourquoi ne pas inscrire une
obligation légale, dès que c'est constaté, dans un délai raisonnable, c'est
communiqué au responsable.
Moi, je trouve que ce serait une manière
de s'assurer qu'il y a une gouvernance saine puis que, puis je vais le dire
peut-être de manière plus familière, là, mais, s'il y a quelqu'un qui l'a
échappé quelque part dans l'organisation, cette personne-là, elle a beau
l'avoir échappé, elle a une obligation légale d'informer le patron des patrons
de la question plutôt que de dire : Oui, oui, je vais rattraper, je vais
essayer de remettre la pâte à dents dans le tube, je vais essayer de réparer
mon erreur. Puis une fois que j'aurai fait ça, on verra l'étendue des dégâts
puis, à ce moment-là, on informera, tu sais. Il me semble qu'on ne devrait pas
laisser cette possibilité-là ouverte puis s'assurer que personne ne peut
essayer, dans un organisme public, de peut-être réparer la situation sans en
informer le responsable.
• (15 h 20) •
M.
Caire
:
Oui. Mais ça, je rassure le député, ça ne peut pas arriver, là. Cette
situation-là, où il y aurait un incident de confidentialité et où la personne...
où le responsable de la protection des renseignements personnels ne serait pas
impliqué, ça ne peut pas arriver, là. Ça ne peut pas arriver parce que...
M. Nadeau-Dubois :
Pourquoi le ministre... Pourquoi une telle certitude?
M.
Caire
: Bien,
parce que, si vous avez un incident de confidentialité, donc, il se passe un
incident de quelque nature que ce soit, vous avez donc une obligation d'évaluer
s'il y a un préjudice. Et aussitôt que vous faites ça, et vous devez le faire,
vous devez consulter le responsable de la protection des renseignements
personnels. Ce n'est pas un choix.
Et je reprends un peu ce que mon collègue
de Gouin disait, c'est vrai qu'un incident de confidentialité, ça peut se
régler en quelques minutes, ça peut se régler en plusieurs mois. Et, je veux
dire, ça, c'est... On ne le sait pas. Mais ce qu'on comprend, là, c'est
qu'aussitôt qu'on a un motif de croire que s'est produit un incident de
confidentialité, donc, j'ai trouvé, sur un site non approprié, des
renseignements gouvernementaux — là, je ne sais pas si mon exemple
est bon, là — mais j'ai un motif de croire qu'il y a un incident, tu
sais, j'ai un motif, là, j'ai une raison de penser que... À ce moment-là, il y
a une évaluation du risque qui va se faire, et, à ce moment-là, je dois
consulter le responsable de la protection des renseignements personnels.
Donc, ce que je fais dans la séquence,
là : il arrive un incident, je prends les mesures appropriées pour <essayer
de...
M.
Caire
:
À
ce moment-là, il y a une évaluation du risque qui va se faire, et, à ce
moment-là, je dois consulter le responsable de la protection des renseignements
personnels.
Donc, ce que je fais dans la séquence,
là : il arrive un incident, je prends les mesures appropriées pour >essayer
de colmater la brèche. Et aussitôt je dis : Bon, est-ce qu'il y a un
préjudice? Est-ce que c'est préjudiciable? Est-ce que cet incident de
confidentialité là est préjudiciable, oui ou non? Bien là, il y a une évaluation
qui se fait. Et là je dois consulter, selon ce qui est écrit dans 63.9, je dois
consulter le responsable de la protection des renseignements personnels. On
fait l'évaluation. L'évaluation nous dit : Oui, le risque est sérieux. À
ce moment-là, j'avise la Commission d'accès à l'information et j'avise la ou
les personnes qui pourraient être visées par cet incident de confidentialité
là.
Ça fait que je vous dirais que, dans la
séquence des événements, là, le responsable de la protection des renseignements
personnels arriverait même avant la Commission d'accès à l'information.
M. Nadeau-Dubois : C'est
intéressant parce que le ministre, au départ, dans cette première réponse, je
croyais comprendre, parce qu'il a même pris la métaphore de : il y a un
feu, on commence par éteindre puis, une fois que c'est fait, une fois que c'est
terminé, le feu est éteint, là, on appelle l'assureur.
M.
Caire
: Oui,
mais si je peux me permettre...
M. Nadeau-Dubois : Donc,
c'était consécutif dans sa...
M.
Caire
: Mais
dans une séquence où on est sur plusieurs mois, bien, c'est sûr que... Il faut
contextualiser, là, c'est...
M. Nadeau-Dubois : Non,
non, mais c'est parce que... J'explique pourquoi j'avais l'interrogation.
M.
Caire
:
Oui, oui, je comprends.
M. Nadeau-Dubois : C'est
que, dans son explication initiale, le ministre l'a représenté de manière vraiment
consécutive. D'abord, on s'assure que le feu est éteint. Donc, on traduit, d'abord,
on s'assure que l'incident est vraiment, vraiment, vraiment réglé, les flammes
sont complètement apaisées, et ensuite, dans un deuxième temps, on... alors que,
là, dans sa dernière réponse, il a dit : Bien non, dès qu'on constate
l'incident, on fait l'évaluation du risque puis, si ça prend, pendant ce
temps-là, six mois pour évaluer l'ampleur des dégâts, bien, l'évaluation du
risque, elle va s'être faite non pas après le sixième mois, mais au départ.
Donc, ce n'est pas consécutif.
M.
Caire
:
Non. Bien, dans une situation où, par exemple, prenons...
M. Nadeau-Dubois : Parce
que si ce n'est pas consécutif, en effet, mon objection ou mon questionnement
est répondu.
M.
Caire
:
Oui.
M. Nadeau-Dubois : Parce
que moi, l'impression que j'avais, c'est que c'était consécutif.
M.
Caire
:
Bien, pas nécessairement. Je vais donner un exemple, un exemple qui est sorti
publiquement, là, donc, je peux m'en servir, un hôpital dont les systèmes ont
été victimes d'un rançongiciel. Alors là, on comprend que... Est-ce que j'ai un
motif de croire qu'il s'est produit un incident de confidentialité? Oui. Donc,
est-ce qu'il y a un préjudice? Le responsable de la protection des
renseignements personnels doit être consulté, mais, pendant ce temps-là, ça ne
veut pas dire que j'ai réglé mon problème de rançongiciel.
M. Nadeau-Dubois : Ça
peut prendre plusieurs jours.
M.
Caire
:
Alors, je comprends ce que le député... Puis je vous présente mes excuses pour
la confusion, mais ce que je <voulais...
M.
Caire
:
...
est-ce qu'il y a un préjudice? Le responsable de la protection des
renseignements personnels doit être consulté, mais, pendant ce temps-là, ça ne
veut pas dire que j'ai réglé mon problème de rançongiciel.
M. Nadeau-Dubois : Ça
peut prendre plusieurs jours.
M.
Caire
:
Alors, je comprends ce que le député... Puis je vous présente mes excuses pour
la confusion, mais ce que je >voulais dire, c'est que la première chose
à faire, c'est d'essayer de protéger le renseignement personnel. Maintenant, on
est conscients que, dans le temps, ça peut s'étirer. Et, à ce moment-là, oui,
vous avez tout à fait raison, M. le député, il va être nécessaire d'aviser le
responsable de la protection des renseignements personnels parce qu'il y a,
administrativement, des mesures à prendre aussi et que tout ça peut se faire de
façon concomitante.
M. Nadeau-Dubois :
Exactement. Ça peut se faire en simultané, pendant qu'on répare...
M.
Caire
: Absolument.
Donc, je m'excuse de la confusion, mais c'est sûr qu'on...
M. Nadeau-Dubois :
Pendant qu'on répare... Non, non, pas de problème. C'est pour ça que...
M.
Caire
:
Je pensais plus à un incident très, très restreint...
M. Nadeau-Dubois :
Ponctuel. Oui, oui, mais...
M.
Caire
: ...mais
dans un cas comme celui-là, où ça a pris des mois avant de régler la
problématique, là, parce qu'on comprend que le niveau de complexité était
nettement supérieur par rapport à un courriel que j'aurais envoyé à la mauvaise
adresse, par exemple.
M. Nadeau-Dubois : Oui,
oui. Puis il fallait, dans le cas des rançongiciels... La réponse n'était même
pas au Québec, elle était chez Microsoft...
M.
Caire
: Absolument.
M. Nadeau-Dubois : ...aux
États-Unis, puis on attendait en se croisant les doigts et en espérant que le
problème se règle là-bas. Donc, voilà, puis c'est pour ça qu'on a des
commissions aussi, là, c'est pour bien comprendre la séquence puis
l'application de la loi.
Ça fait que moi, ce que je comprends,
juste pour bien être sûr qu'on est sur la même longueur d'onde, c'est qu'à
partir du moment où l'incident est constaté, il y a, de manière pratiquement
simultanée, déjà, une évaluation du risque de préjudice, à quel point on a mis
le monde dans le trouble, pour prendre une expression polie. Puis dès ce
moment-là, donc, le responsable est consulté, on n'a pas besoin d'avoir fini
l'évaluation de la situation ou encore moins d'avoir fini de réparer les
systèmes qui auraient été compromis pour que la communication soit faite.
Parfait.
M.
Caire
:
Tout à fait. Ce que je souhaitais exprimer, dans le fond, c'est de dire :
Écoutez, le premier téléphone que vous faites devrait être envers la personne
ou l'organisme qui peut vous aider à mitiger les préjudices, là, faire en sorte
que... Mais après ça, le deuxième téléphone, effectivement, peut se faire au
responsable de la protection des renseignements personnels. Je vais le libeller
comme ça, ça va être peut-être un peu plus clair et plus compréhensible.
M. Nadeau-Dubois : J'ai
réponse à ma question, M. le Président.
Le Président (M. Bachand) :
Merci, M. le député de Gouin. Interventions sur 68.9? M. le ministre, s'il vous
plaît, pour la suite des choses.
M.
Caire
:
Ah! c'est... Mon Dieu! 63.10, M. le Président.
Le Président (M. Bachand) :
63.10, pardon, oui.
M.
Caire
:
63.10, M. le Président, donc, se lit comme suit :
«Un organisme public doit tenir un
registre des incidents de confidentialité. Un règlement du gouvernement peut
déterminer la teneur de ce registre.
«Sur demande de la commission, une copie
de ce registre lui est transmise.»
Donc, M. le Président, cet article prévoit
qu'un organisme public doit tenir un registre des incidents de confidentialité
et que, sur demande de la Commission de l'accès à l'information, une copie de
ce registre lui est transmise. Il prévoit enfin que la teneur de ce registre
peut être déterminée par règlement du gouvernement.
Le Président (M. Bachand) :
M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui.
Est-ce qu'il est prévu qu'un tel registre pourrait être public?
M.
Caire
:
Ce n'est pas <prévu, non.
M. Tanguay
: Et...
M.
Caire
:
...la teneur de ce registre peut être déterminée par règlement du
gouvernement.
Le Président (M. Bachand) :
M. le député de
LaFontaine,
s'il vous plaît.
M. Tanguay
:
Oui. Est-ce qu'il est prévu qu'un tel registre pourrait être public?
M.
Caire
:
Ce n'est pas >prévu, non.
M. Tanguay
: Et,
dans les rapports annuels, on verrait qui sont les premiers de classe puis les
derniers de classe, j'imagine, sur le nombre d'incidents et leurs
qualifications.
M.
Caire
:
Je ne croirais pas. Ça, je pense que ce n'est pas prévu comme ça. En fait, ce
qui... Ça fait obligation à une organisation de tenir, vraiment, quels sont les
incidents de confidentialités qui se sont produits. Aux fins de consultations,
la Commission d'accès à l'information pourrait les demander soit dans son volet
juridictionnel, soit dans son volet de surveillance, c'est-à-dire que ça lui
est transmis, mais...
M. Tanguay
: ...pas
public, c'est...
M.
Caire
: Ça
s'arrête là. Ce n'est pas public, non.
M. Tanguay
: Et
ici, c'est tous, tous, tous les incidents. Qu'ils aient résulté de préjudices
ou préjudices sérieux, c'est tous les incidents qui vont être dans le registre?
M.
Caire
:
Oui, oui. Et je vous dirais, en même temps, il y a une idée de ne pas les
rendre publics qui permettrait, j'imagine, de mettre plus d'informations, voire
des informations plus sensibles sur un état des lieux au niveau de la sécurité
de l'information, par exemple, ou en se disant, bien, si c'est tenu par l'organisme,
bon, l'organisme a l'état des lieux de sa situation au niveau de la sécurité
des systèmes d'institution, et/ou la Commission d'accès à l'information qui, à
mon avis, doit avoir un accès complet à ce genre d'information là, parce que la
commission à cette capacité à traiter de l'information confidentielle dans le
cadre de ses opérations. A contrario, le rendre public, à mon avis, ferait en
sorte d'avoir un registre qui est une espèce de générique un peu beige pâle de
choses qui sont plus ou moins informatives.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Le
registre en question, à 63.10, on peut lire : «une copie de ce registre
lui est transmise», mais c'est sur demande de la commission. Donc, la commission
devrait, quand elle est intéressée à savoir s'il y a eu incident dans son organisme
public, faire la demande, puis ça lui est transmis. Il y a quand même beaucoup
d'organismes publics au Québec, là.
M.
Caire
:
À peu près 300.
Une voix
: 3 000.
M.
Caire
:
3 000. Ah oui! C'est vrai, la loi ce n'est pas juste gouvernement, c'est
les 3 000. Excusez.
M. Nadeau-Dubois : Bien
là, je ne demande pas au ministre de me donner des arguments, hein? Ce n'est
pas nécessaire.
M.
Caire
:
Non, mais on n'est pas à un zéro... On n'est pas un zéro près.
M. Nadeau-Dubois : Et
encore moins à ses juristes.
M.
Caire
:
300, 3 000, c'est un zéro ça, là, là.
M. Nadeau-Dubois : Et
donc il y a quand même 3 000 organismes publics, là.
M.
Caire
:
Oui.
• (15 h 30) •
M. Nadeau-Dubois : Je ne
sais pas si la commission va faire une <vigie, tu sais... Mettons, tu
sais, cette année, tu sais...
>
15 h 30 (version révisée)
<16827
M.
Nadeau-Dubois : ...ministre de me donner des arguments, hein, ce
n'est
pas
nécessaire.
M.
Caire
: Non,
mais on n'est pas à un zéro près.
M. Nadeau-Dubois : Et encore
moins à ses juristes.
M.
Caire
:
300, 3
000, c'est un zéro, ça, là, là.
M. Nadeau-Dubois : Mais donc
il y a
quand même 3
000 organismes publics, là. Je ne
sais pas si la commission va faire une >vigie, tu sais, mettons, tu sais :
Cette année, à qui on demande le registre? Bon. Pourquoi ne pas prévoir que
c'est : les organismes publics transmettent des registres à la commission,
et, tu sais, je me demande, par exemple, pour des fins de production de
statistiques, de rapports, pour émettre des recommandations?
Parce que c'est un des rôles de la
Commission d'accès à l'information, tu sais, d'avoir une espèce d'expertise
puis de compréhension du phénomène. Tu sais, pour parler... Tu sais, ils ne les
liront peut-être pas tous tout le temps, mais est-ce qu'au lieu que ce soit sur
demande ce ne serait pas une bonne pratique de dire... Si on veut faire de la
CAI, puis je sais que c'est un des objectifs du ministre, un genre de chien de
garde qui a des vraies dents, là, en matière de renseignements personnels,
pourquoi ne pas dire aux organismes publics... Bien, déjà là, ils ont
l'obligation de le produire, le registre, O.K. La paperasse en question, elle
va exister, ils vont la garder. Le gouvernement, par règlement, peut en
déterminer le cadre, et là on dit : Bien... et si la commission est
intéressée, elle peut le demander puis elle le reçoit.
Mais pourquoi ne pas dire : Les
organismes publics, c'est une bonne pratique, vous l'établissez de toute façon,
envoyez-le donc à notre chien de garde pour que le chien de garde en question
ait l'information? Puis pas nécessairement dans une optique de surveillance et
de répression des mauvais comportements mais comme je le disais, tu sais, dans
une logique de production de statistiques, de rapports.
Encore une fois, là, ça ne sort pas non
plus de mon chapeau. C'est l'Association des archivistes aussi qui proposait ça.
Il me semble que ça pourrait être une bonne pratique en matière de gouvernance.
M.
Caire
: Bien,
d'abord, parce que, bien... puis on me corrigera si je me trompe, mais la CAI
ne l'a pas demandé. On peut comprendre que recevoir annuellement 3 000 registres
d'incidents... Je pense qu'il y a une logique à dire : Bien, si la CAI en
a besoin, ces organismes-là doivent rendre disponible cette information, le
registre en question. L'inverse, c'est de présumer que la CAI en a besoin et va
en avoir l'usage, puis ce qui n'est pas le cas, dans le sens où la CAI ne nous
a pas fait cette demande-là. Et soyez assuré, M. le député, que, si ça avait
été le cas, j'aurais répondu positivement à cette demande-là. Je pense qu'elle
voyait plutôt, dans la situation actuelle, justement, le fait de ne pas se
faire envoyer 3 000 registres par année dont elle n'a pas
nécessairement... ou dont elle juge qu'elle n'a pas nécessairement besoin.
Le fait que ce soit disponible à la
demande fait en sorte que, si la CAI, dans une opération, par exemple, de
surveillance, donc de prévention... parce que je suis à la même enseigne que le
collègue, on n'est pas nécessairement dans la répression mais dans la
prévention. Si, dans un exercice de prévention, le volet surveillance de la CAI
voulait avoir un historique des incidents de confidentialité ou tout autre
usage qu'elle peut faire du registre, bien, c'est à sa disposition. Donc, je
pense qu'il y a une commodité, il y a une question de commodité <là-dedans...
M.
Caire
:
...que
le collègue, on n'est pas nécessairement dans la répression mais
dans la prévention. Si, dans un exercice de prévention, le volet surveillance
de la CAI voulait avoir un historique des incidents de confidentialité ou tout
autre usage qu'elle peut faire du registre, bien, c'est à sa disposition. Donc,
je pense qu'il y a une commodité, il y a une question de commodité >là-dedans,
pour la CAI, de ne pas recevoir inutilement ces registres-là.
Le Président (M. Bachand) :
Merci. M. le député de Gouin.
M. Nadeau-Dubois : Bien, je le
vois bien, là, tu sais, que c'est disponible à la demande, mais... Puis là
c'est parce que je ne veux pas tomber trop dans la spéculation, mais on est
forcés quand même, quand on adopte une loi comme ça, d'essayer d'imaginer des applications
concrètes, puis ça nous force quand même à faire des hypothèses un peu, là.
Si la CAI voulait, par exemple, prendre la
mesure de l'état de la confidentialité dans les municipalités, elle devrait
contacter chacune des municipalités pour leur faire la demande d'obtenir leur
registre, puis, en vertu de la loi, chaque municipalité aurait la responsabilité
légale de répondre. Bon, en effet, ça peut quand même être un exercice qui peut
être chronophage, là. Tu sais, ça va prendre du temps, écrire à chaque municipalité
pour demander leur registre de confidentialité, là, puis avoir une réponse.
M.
Caire
: Je
peux peut-être leur suggérer d'avoir une liste d'envoi.
M. Nadeau-Dubois : Puis là est-ce
que ça ouvre la porte à des stratégies, tu sais, par exemple, dilatoires de
certaines... Évidemment, je suis conscient que je spécule, mais, tu sais, une municipalité
ou un organisme public, il pourrait y avoir des délais, tu sais. Je me demande,
de prévoir un mécanisme où ces informations-là sont automatiquement
centralisées à la CAI, est-ce que ça ne met pas à la disposition de la CAI,
encore plus rapidement puis de manière plus efficace, une banque d'informations
pertinente pour faire son travail de surveillance puis d'étude du phénomène?
M.
Caire
: Écoutez,
je vais réitérer que ce n'est pas une demande que la CAI a faite. Puis ils ont quand
même passé à travers le projet de loi, puis c'est sûr qu'une disposition comme
celle-là ne leur a pas échappé. Donc, je présume que, si la présidente avait vu
un intérêt à l'exiger d'emblée, elle nous l'aurait fait savoir. Puis je peux
vous dire qu'on a eu quelques discussions avec Me Poitras sur différentes dispositions
du projet de loi n° 64, et, à aucun moment, elle n'a
manifesté un intérêt qui allait dans ce sens-là.
Je ne veux pas... Puis vous comprenez mon
malaise, M. le député, là, je ne veux pas parler au nom de la présidente de la
CAI, mais, en même temps, je pense qu'on peut comprendre que c'est peut-être
plus simple, de façon ad hoc, de contacter des organismes pour exiger ce
registre-là que d'en recevoir 3 000 systématiquement chaque année avec le
traitement que ça implique.
Mais je réitère, M. le député, que, si la
CAI avait cette demande-là, je pense que... puis je ne veux pas me prononcer
pour les collègues, mais on recevrait cette <demande-là...
M.
Caire
: ...recevoir
3
000 systématiquement chaque année avec le traitement que ça
implique.
Mais je réitère, M. le député, que, si
la CAI avait cette demande-là, je pense que... puis je ne veux pas me prononcer
pour les collègues, mais on recevrait cette >demande-là très
favorablement, là. Ça ne serait pas... parce qu'une fois que le registre est
produit, il s'agit de l'envoyer, là, ça fait que ce n'est même pas... mais
j'extrapole, là, mais j'imagine que c'est parce que, du côté de la CAI, on se
dit : Bien, écoute, je vais recevoir annuellement, là,
3 000 registres dont j'ai plus ou moins l'usage ou l'utilité de façon
systématique, alors que, de façon ponctuelle, elle pourra aller chercher cette
information-là au gré de ses besoins.
Et j'entends ce que le collègue dit, mais
la CAI a quand même un pouvoir assez important pour contraindre une
organisation qui fait preuve d'une certaine négligence, là. Je pense que la loi
n° 64 va donner des pouvoirs réels à la CAI de se faire entendre par tout
le monde.
Le Président (M. Bachand) :
Merci beaucoup. Interventions? M. le député de LaFontaine.
M. Tanguay
: Sur le
dernier point du ministre, pourrait-il nous indiquer c'est à quel endroit, dans
le p.l. n° 64, où, justement, on va revisiter les pouvoirs de la CAI? Puis
j'imagine... Sa vocation qui est justement d'être un chien de garde, là, avec
plusieurs... autour de quels articles qu'on va aborder ça?
M.
Caire
: Je ne
les ai pas tous en tête, là, mais entre autres, notamment, quand on va donner
son pouvoir de directive.
Une voix
: ...
M.
Caire
: À
partir de 35? À partir de 35, M. le député.
M. Tanguay
: On parle
de ça comme si c'était un roman : À partir du chapitre 35, vous allez
voir, là, l'intrigue, là...
M.
Caire
: Oui,
c'est ça, verset 12, chapitre 35.
M. Tanguay
: Ah! bien
là, ça, c'est une autre histoire. Amen. Amen pour l'article 14, M. le
Président.
Le Président (M. Bachand) :
Alors, c'était ma question. Est-ce qu'il y a d'autres interventions sur
l'article 14 tel qu'amendé? S'il n'y a pas d'autre intervention, nous
allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
:
Abstention.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 14, tel qu'amendé, est adopté. Merci.
M. le ministre, s'il vous plaît.
M.
Caire
: Oui,
M. le Président, article 15, qui se lit comme suit :
L'article 64 de cette loi est modifié par le remplacement du troisième alinéa
par les suivants :
«La collecte visée au deuxième alinéa doit
être précédée d'une évaluation des facteurs relatifs à la vie privée et
s'effectuer dans le cadre d'une entente écrite transmise à la commission.
L'entente entre en vigueur 30 jours après sa réception par la commission.
«Cette entente doit prévoir :
«1° l'identification de l'organisme public
qui recueille le renseignement et celle de l'organisme public pour lesquels la
collecte est effectuée;
«2° les fins auxquelles le renseignement est
recueilli;
«3° la nature ou le type du renseignement
recueilli;
«4° les moyens par lesquels le
renseignement est recueilli;
«5° les mesures propres à <assurer...
M.
Caire
: ...le
renseignement et celle de l'organisme public pour lesquels la collecte est
effectuée;
«2° les fins auxquelles le
renseignement est recueilli;
«3° la nature ou le type du
renseignement recueilli;
«4° les moyens par lesquels le
renseignement est recueilli;
«5° les mesures propres à >assurer
la protection du renseignement personnel;
«6° la périodicité de la collecte;
«7° la durée de l'entente.»
Alors, M. le Président, l'article 64
de la Loi sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels est modifié afin de prévoir le contenu de
l'entente qu'il prévoit. Il est également modifié afin de prévoir que cette
entente doit être précédée d'une évaluation des facteurs relatifs à la vie
privée.
Le Président (M. Bachand) :Merci beaucoup. Interventions? M. le député de LaFontaine.
• (15 h 40) •
M. Tanguay
: Oui, merci,
M. le Président. On avait un commentaire de la Ligue des droits et libertés qui
faisait écho d'une recommandation qui était à l'intérieur du rapport
quinquennal 2016 de la CAI mais qui n'était pas dans son mémoire quant à
l'actuel projet de loi, qui indiquait que le consentement ne permet pas de
recueillir des renseignements personnels qui ne sont pas nécessaires aux fins
poursuivies.
Alors, la Ligue des droits et libertés
disait : «Nous souscrivons donc à la proposition suivante de la CAI :
"La commission recommande que les articles 64 de la Loi sur l'accès
et 5 de la Loi sur le privé précisent qu'un renseignement qui n'est pas
nécessaire ne peut être recueilli, même avec le consentement de la personne
concernée".»
M.
Caire
: Bien,
je vous dirais, du moment où quelqu'un consent à quelque chose qui lui
appartient, je ne vois pas comment la loi pourrait l'interdire.
M. Tanguay
: C'est-à-dire,
le consentement, c'est une chose, mais que l'organisme public le recueille,
c'est surtout là, l'écueil, là.
M.
Caire
: Bien,
j'essaie de voir c'est quoi... parce qu'on dit : «Nul ne peut, au nom d'un
organisme public, recueillir un renseignement personnel si cela n'est pas
nécessaire à l'exercice des attributions de cet organisme ou à la mise en
oeuvre d'un programme dont il a la gestion.
«Un organisme public peut toutefois
recueillir un renseignement personnel si cela est nécessaire à l'exercice des
attributions ou à la mise en oeuvre d'un programme de l'organisme public avec
lequel il collabore pour la prestation de services ou pour la réalisation d'une
mission commune.»
Et là, après ça, on dit, bon, bien :
«La collecte visée au deuxième alinéa doit être précédée d'une évaluation des
facteurs...» Donc, je ne sais pas, là. Il m'apparaît que c'est assez clair qu'on
recueille les renseignements qui sont nécessaires à la prestation de services
de l'organisme ou d'un ou de plusieurs organismes.
M. Tanguay
: Et l'ajout
qui est fait, le remplacement du troisième alinéa, quand on parle d'une évaluation
des facteurs, on fait écho ici à une même évaluation de facteurs qu'on avait
vue un peu plus haut, là, à 63.4 et 63.5, c'est ça, hein?
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. Et
ça, est-ce que c'est... L'entente entre en vigueur 30 jours <après...
M. Tanguay
: ...le remplacement
du troisième alinéa, quand on parle d'une
évaluation des facteurs, on
fait écho ici à une même
évaluation de facteurs
qu'on avait vue
un
peu plus haut, là, à 63.4 et 63.5, c'est ça, hein?
M.
Caire
:
C'est ça.
M. Tanguay
:
O.K.
Et ça, est-ce que c'est... L'entente entre en vigueur 30 jours >après
sa réception. Et la façon dont ça doit être interprété, c'est pour l'avenir. C'est
la même logique, j'imagine, on ne revisitera pas des ententes passées.
M.
Caire
: Des
collectes qui ont déjà été faites, oui.
M. Tanguay
: Puis ici,
dans le fond, la collecte doit être précédée... Donc, c'est de la sous-traitance
entre organismes publics-publics ou ça peut impliquer un...
M.
Caire
: Entre
public-public.
M. Tanguay
: O.K., pas
un privé, là, à ce moment-là.
M.
Caire
: Non, public-public.
M. Miville-Deschênes (Jean-Philippe) :
...c'est juste pour la transitoire, en fait, là, pour les ententes comme à 64,
là. À l'article 163, on prévoit que, dans le fond... Je vais juste le lire,
là.
M.
Caire
: Parce
qu'on parle d'organisme public.
M. Miville-Deschênes (Jean-Philippe) :
L'article 64 continue à s'appliquer à l'entente, là, l'article 64
actuel, jusqu'à son renouvellement ou au plus tard deux ans suivant son entrée
en vigueur. Donc, il y a comme un délai de deux ans pour...
M.
Caire
: Ah!
bien, ça, c'est le prochain article, oui.
M. Miville-Deschênes (Jean-Philippe) :
Pour s'assurer que l'entente entre 64... respecte le nouveau 64. Il y a
comme une disposition transitoire : si tu as une entente en cours, tu as
deux ans pour la renouveler pour respecter le nouvel article 64.
M. Tanguay
: Autrement
dit... Puis ça, c'est le 163 du projet de loi, hein, c'est ça?
M. Miville-Deschênes (Jean-Philippe) :
C'est ça.
M. Tanguay
: On dit :
Les articles 64, tels qu'ils se lisent, continuent de s'appliquer à toute entente
conclue conformément...
Des voix : ...
M. Tanguay
: Transitoire...
À l'un de ces articles avant cette date et toujours en vigueur et jusqu'à la
date... Autrement dit, c'est pour l'avenir et ça va être aussi lorsqu'il y a
renouvellement d'une entente qui existait déjà, mais, troisièmement... C'est-tu
ça qu'il faut que je comprenne : troisièmement, s'il ne se passe rien, il
n'y a pas... Si ce n'est pas une entente déjà existante qui n'était pas à
renouveler, si, dans les deux ans, il y a une entente déjà existante, elle doit
être revisitée en vertu du nouveau?
M. Miville-Deschênes (Jean-Philippe) :
Oui, oui. Dans le cas où il y a des ententes qui se renouvellent
automatiquement ou qui sont pour 10, 12 ans, bien, souvent, c'est plus des
ententes qui se renouvellent automatiquement aux trois ans, donc c'est pour ça
qu'il y a un délai maximal qui a été prévu à 163.
M. Tanguay
: Là, vous
me voyez... Ça aurait été un bel argument que j'aurais pu vous servir pour le
passé, pour l'évaluation, l'article et...
M.
Caire
: Mais
malheureusement, on avait tout prévu.
M. Tanguay
: M. le
Président, je demande le consentement de rouvrir l'article 14. Je ne vous
le demande même pas, ça regarde mal, mais là on voit la logique d'un regard
vers le passé, là.
M.
Caire
: Oui,
mais dans le cas d'un système d'information... puis je l'entends, mais on est
quand même dans deux choses différentes, dans le sens où là on parle d'une
entente pour collecter de l'information, donc par un organisme, alors que, dans
l'article précédent, on parlait de la refonte, l'acquisition ou le
développement d'une application, d'un système. Donc, le système, puis ça, je
suis bien placé <pour...
M.
Caire
:
...donc
par un organisme, alors que, dans l'article précédent, on
parlait de la refonte, l'acquisition ou le développement d'une application,
d'un système. Donc, le système, puis ça, je suis bien placé >pour vous
le dire, là, il ne changera pas ses comportements. Le système d'information,
là, sa façon d'opérer sera toujours la même, donc les failles, les vulnérabilités,
là, si, après x mois d'utilisation, vous ne les avez pas détectées, là,
vous ne les détecterez pas avec une évaluation des facteurs relatifs à la vie
privée, là.
Donc, ce n'est quand même pas le même
univers où là on parle qu'un organisme public peut toutefois recueillir un renseignement
personnel. Donc, on n'est pas dans une application informatique qui suit un
algorithme de travail, là.
M. Tanguay
: Et quand
on regarde, justement, 63.5 avec la proposition du troisième alinéa nouveau du
64 : «La collecte visée doit être précédée d'une évaluation de facteurs
relatifs à la vie privée dans le cadre d'une entente écrite transmise à la
commission.
«Cette entente doit prévoir l'identification;
la fin auquel est recueillie; la nature», et tout ça. Donc, est-ce à dire que
pour les ententes... Là, ici, la mesure transitoire, il y a deux choses. On
parle de l'évaluation et on parle de ce que doit contenir l'entente. Alors, ça
se peut que les ententes actuelles, qui pourraient être renouvelables, ne
contiennent pas le dernier alinéa, là, 1°, 2°, 3° jusqu'à 7°. Ça, est-ce que ça
veut dire que, sur cet aspect-là, une entente déjà existante devrait être
reformulée ou devrait être amendée de manière, le cas échéant, à prévoir tout
ça?
M.
Caire
: Selon
les modalités des mesures transitoires.
M. Tanguay
: Donc, dans
les deux ans, si elle n'était pas renouvelée, par fiction, on va dire : Il
faut que vous la renouveliez même si c'était prévu, puis là on va...
M.
Caire
: C'est
ça, maximum deux ans, on va la renouveler puis on va se conformer aux
paragraphes 1° à 7° de l'article 64, du nouveau troisième alinéa de
l'article 64.
M. Tanguay
: O.K. Alors
là, il y a deux choses. Il y a ce que doit contenir l'entente, 1° à 7°, on
vient d'en parler, puis la deuxième chose, c'est l'évaluation des facteurs
relatifs à la vie privée. Ça, il faut que ce soit fait, dans 100 % des cas,
au plus tard dans les deux ans.
M.
Caire
: C'est
ça.
M. Tanguay
: Donc, il y
a deux choses à faire pour se mettre à niveau.
M.
Caire
: C'est
ça.
M. Tanguay
: Et juste
comprendre, dans le 64, premier, deuxième alinéa, «nul ne peut», «nul», ça peut
être un privé, ça, ou c'est juste un public?
M.
Caire
: Bien
là, on est dans une relation entre deux organismes publics, parce que, si vous
regardez le deuxième alinéa, c'est : «Un organisme public peut toutefois
recueillir un renseignement personnel si cela est nécessaire à l'exercice des
attributions ou à la mise en oeuvre d'un programme de l'organisme public avec
lequel il collabore». Ça fait que là la loi est vraiment sur les organismes
publics.
M. Tanguay
: Oui, le
deux, il est clair, <mais...
M.
Caire
: ...peut
toutefois recueillir un renseignement personnel si cela est nécessaire à
l'exercice des attributions ou à la mise en oeuvre d'un programme de
l'organisme public avec lequel il collabore...» Ça fait que là la loi est
vraiment sur les organismes publics.
M. Tanguay
: Oui, le
deux, il est clair, >mais le un, on parle de : «Nul ne peut...» Puis...
en droit, quand on dit «nul ne peut», ça inclut tout le monde incluant les
privés.
M.
Caire
: Oui,
bien, c'est tout le monde, tout le monde, au nom d'un organisme public.
M. Tanguay
: Mais ça
peut être un privé au nom d'un organisme public, dans le premier alinéa?
M.
Caire
: Oui,
oui.
M. Tanguay
: Oui, O.K.,
mais le deuxième alinéa, c'est dans la relation public-public. O.K.
Puis l'objectif... Juste dernière question
de compréhension, l'objectif de «cette entente doit prévoir», dans le fond, c'est
de documenter, de donner le sérieux, d'étayer puis de s'assurer que les bonnes
questions soient posées. Et j'imagine... Évidemment, on dit «une entente écrite
transmise à la commission», puis elle, elle pourra faire oeuvre pédagogique ou
taper sur les doigts, le cas échéant, là.
M.
Caire
: Le
cas échéant.
Le Président (M. Bachand) :
Interventions sur l'article 15? M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Si je
comprends bien l'article 15 qui introduit le 64... Puis je vais peut-être
répéter une question du collègue de LaFontaine, mais, bon, il l'a fait tantôt,
ça fait que... Non, mais juste pour être... parce que des fois on lit aussi, en
tout cas, on fait beaucoup de choses en même temps, là.
L'article 64 permet à l'organisme
public de recueillir un renseignement personnel si c'est nécessaire à
l'exercice de ses activités ou des activités d'un organisme public avec lequel
il collabore. Bien, donc, juste pour être bien compris, là, ça, c'est un pont
ici entre deux organismes publics, seulement ça.
M.
Caire
: Voilà,
strictement, oui.
M. Nadeau-Dubois : C'était ma
question.
Le Président (M. Bachand) :
D'autres questions sur l'article 15? S'il n'y a pas d'autre question, nous
allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
• (15 h 50) •
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 15 est adopté. Merci beaucoup. M. le ministre,
s'il vous plaît.
M.
Caire
: Oui, M.
le Président, l'article 16. Article 16 : Cette loi est modifiée
par l'insertion, après l'article 64, du suivant :
«64.1. Les renseignements personnels
concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès
de celui-ci sans le consentement du titulaire de l'autorité parentale, sauf
lorsque cette collecte est manifestement au bénéfice de ce mineur.»
Et, M. le Président, je dépose un
amendement, amendement qui dit : Insérer, à l'article 64.1 de la Loi <sur...
M.
Caire
: ...auprès
de celui-ci sans le consentement du titulaire de l'autorité parentale,
sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.»
Et, M. le Président, je dépose un
amendement, amendement qui dit : Insérer, à l'article 64.1 de la Loi
>sur l'accès aux documents des organismes publics et sur la protection
des renseignements personnels, proposé par l'article 16 du projet de loi,
après «titulaire de l'autorité parentale», «ou du tuteur».
Le Président (M. Bachand) :
Merci beaucoup. Alors, on va suspendre quelques instants... On l'a déjà sur
Greffier?
M.
Caire
: Ça a
tout été déposé, ça, M. le Président.
Le Président (M. Bachand) :
O.K. Quelle efficacité, M. le ministre. Quelle efficacité! Merci beaucoup.
M.
Caire
: Une
machine.
Le Président (M. Bachand) :
Alors, interventions sur l'amendement du ministre?
M. Tanguay
: On va
l'ouvrir.
M.
Caire
: ...l'autorité
parentale ou le tuteur.
M. Tanguay
: ...on a
fait du 84 puis on parle beaucoup du... on parlait des 14 ans, puis ça va
toujours de pair, c'est l'autorité parentale ou le tuteur sur le 84. On faisait
de ça hier. Ça fait que ça me va, M. le Président.
Le Président (M. Bachand) :Autres interventions sur l'amendement? Nous allons procéder à
sa mise aux voix donc. Mme la secrétaire.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement à l'article 16 est adopté. Donc,
interventions sur l'article 16 tel qu'amendé? M. le député de Gouin.
M. Nadeau-Dubois : Oui, merci,
M. le Président. L'article 64.1 se termine avec une phrase que certains
pourraient juger un peu... bien, une phrase, avec un bout de phrase que
certains pourraient juger un peu critique, là, «sauf lorsque cette collecte est
manifestement au bénéfice du mineur».
Qu'est-ce que ça veut dire? Comment on
évalue le bénéfice du mineur? «Manifestement au bénéfice du mineur», est-ce que
ça, c'est des notions qui sont usuelles? Il y a-tu des précédents, des
références dans d'autres lois? Parce que c'est à la fois très clair et
potentiellement très flou sur qu'est-ce que ça peut vouloir dire puis qui est
juge de ça. Qui est juge de quel est l'intérêt manifeste du mineur?
M.
Caire
: Sur
les assises juridiques, je vais laisser Me Miville-Deschênes répondre à
votre question, mais ce qui est manifestement au bénéfice du mineur, si le
député de La Pinière était ici, je pense qu'il nous dirait que, par
exemple, un renseignement qui est collecté par un médecin ou qui, dans
l'objectif d'une prestation de soins envers le mineur ou... Bon, je pense
que... des différents exemples comme ça qu'on peut <avoir...
M.
Caire
: ...ce
qui est manifestement au bénéfice du mineur, si le député de
La Pinière était ici, je pense qu'il nous dirait que, par exemple, un
renseignement qui est collecté par un médecin ou qui, dans l'objectif d'une
prestation de soins envers le mineur ou... Bon, je pense que... des différents
exemples comme ça qu'on peut >avoir.
Maintenant, sur la notion juridique de
«manifestement au bénéfice de ce mineur», je vais laisser
Me Miville-Deschênes nous donner les assises juridiques sur lesquelles on
s'est basées pour libeller l'article de cette façon.
M. Miville-Deschênes (Jean-Philippe) :
Oui, bien, en fait, une communication... À l'article 68, on a déjà la
communication qui est manifestement au bénéfice d'une personne, donc qui peut
se faire sans consentement. C'est une communication, dans le cas de l'article 68,
là... Exemple, s'il y a un chèque ou un montant d'argent qui est dû à une
personne, dans le secteur public, bien, tu peux lui communiquer des
renseignements, là, afin de lui faire parvenir puisque c'est considéré comme
manifestement à son bénéfice.
Dans le cas de l'article qui nous
concerne, c'est ça, c'était le même libellé un peu pour s'assurer que c'était
clairement à son bénéficie. Puis on visait principalement les cas, justement,
dans le secteur de la santé où il peut y avoir soit une urgence pour
différentes raisons, une collecte de renseignements à un moment où le tuteur
n'est pas disponible puis qu'on veut faire une intervention auprès du mineur. Ou
il y a aussi les cas de la DPJ qui nous ont été soulevés, où là il pourrait y
avoir, évidemment, là, une utilité de collecter des renseignements sur le
mineur sans le consentement du titulaire ou du tuteur.
Donc, les exemples qu'on a, c'est ça. Puis
«manifestement», bien, c'était pour que ce soit clair que ça soit... un peu à
l'instar de l'article 68, là, qu'il n'y ait pas de doute sur le fait que c'est
au bénéfice du mineur ou de la personne concernée.
M. Nadeau-Dubois : O.K. Et, si
c'était dans le cas d'un enfant qui a un parcours DPJ, tout ça, dans ces cas-là,
le tuteur, ce n'est pas un réseau que je connais bien, là, ça se trouve à être
qui?
M. Miville-Deschênes (Jean-Philippe) :
Bien, au début de...
M. Nadeau-Dubois : Parce que
vous, tu sais, vous me donnez l'exemple d'un enfant qui serait dans une
situation de violence, par exemple, pris en charge par la DPJ. Dans ce cas-là,
qui doit consentir à la cueillette des renseignements personnels?
M. Miville-Deschênes (Jean-Philippe) :
Bien, si on n'avait pas cette exception-là, au tout début de l'intervention, ça
serait le tuteur ou le titulaire de l'autorité parentale, donc la personne qui
serait présumée être le...
Une voix
: ...
M. Miville-Deschênes (Jean-Philippe) :
Le parent... bien, oui, qui serait la personne qui maltraite le mineur,
finalement.
M. Nadeau-Dubois : O.K., bien
là, dans le fond... parce que moi, c'est que je ne suis pas familier avec le
statut juridique d'un enfant qui est pris en charge par la DPJ, là. Le
titulaire de l'autorité parentale, est-ce que ça reste le parent? Est-ce que le
parent est relevé? Est-ce qu'il se fait... Est-ce que le parent biologique se
fait retirer ce titre-là? Si oui, à quel moment? Parce que ce qu'il y avait
derrière mon intervention, c'est justement ce genre de situation là où les
parents peuvent faire partie du problème, là, plutôt que la solution. Comment
on fait pour que l'État garde sa capacité d'intervenir auprès de ces
enfants-là, tu sais? Donc...
M.
Caire
: Ce
qui va se produire... Un exemple, M. le député, un enfant mineur qui, <justement...
M. Nadeau-Dubois : ...mon
intervention,
c'est justement ce genre de situation là où les parents peuvent faire partie du
problème, là, plutôt que la solution. Comment on fait pour que l'État garde sa
capacité d'intervenir auprès de ces enfants-là, tu sais? Donc...
M.
Caire
: Ce
qui va se produire... Un exemple, M. le député, un enfant mineur qui, >justement...
Bon, j'ai une situation de maltraitance à la maison, c'est signalé à la DPJ, la
DPJ intervient, bien, le représentant de la DPJ, compte tenu du signalement qui
pourrait impliquer le titulaire de l'autorité parentale ou le tuteur, bien, évidemment,
à ce moment-là, le représentant de la DPJ aurait l'autorité parce que c'est
manifestement dans son intérêt de collecter des informations concernant cet
enfant-là pour étayer la plainte, monter le dossier, aller de l'avant avec des
procédures dans l'objectif de protéger l'enfant.
Et, dans un cas où, évidemment, c'est le
titulaire de l'autorité parentale qui fait l'objet de la plainte, bien, vous
comprendrez qu'on ne peut pas lui demander son consentement pour recueillir des
enfants pour aider la DPJ à monter un dossier contre lui pour éventuellement
prendre des mesures administratives, voire judiciaires, là.
Donc, c'est une occasion ou situation
vécue, un enfant se blesse de façon très importante, doit recevoir des soins
rapidement, pas capable de rejoindre les parents, bien là, j'ai besoin de
collecter des renseignements sur l'enfant : Prends-tu des médicaments? Ta,
ta, ta. Est-ce que tu es asthmatique? Est-ce que tu es diabétique? Est-ce que
tu es allergique? Est-ce que... Bon, bien... Puis là je n'ai pas le temps de
demander à l'autorité parentale ou au tuteur si je peux collecter ces
informations-là, c'est manifestement dans son intérêt. Donc, c'est des
situations comme ça qu'on cherche à couvrir avec cet article-là.
M. Nadeau-Dubois : Dans le
fond, ma question, c'est : Qui va être juge? Parce que les exemples que
j'allais donner, c'est ceux-là, là, par exemple, les services de protection de
la jeunesse souhaitent connaître les antécédents médicaux d'un enfant, puis c'est
une information essentielle dans un contexte comme celui-là. Le parent aurait
de très mauvaises raisons, mais, en même temps, de son point de vue à lui, de
très bonnes, s'il ne veut pas collaborer avec la protection de la jeunesse, de
refuser le consentement. Qui va être juge, dans ce processus-là, que c'est
manifestement au...
Parce que moi, je suis d'accord, mon
opinion personnelle est celle du ministre, là, mais, dans le processus, qui va
être juge que là c'est manifestement au bénéfice du mineur puis que là, bien,
le parent ne veut pas, ce n'est pas grave, la RAMQ communique, par exemple, les
informations directement à la protection de la jeunesse, puis c'est fini, on ne
niaise pas? Qui va être juge de ça?
• (16 heures) •
M.
Caire
: Bien,
dans le cas de 64.1, ce sera l'organisme public qui a à rendre le service, qui
nécessite cette collecte de renseignements personnels là. Donc, si on parle,
par exemple, de la DPJ, bien, c'est <l'officier représentant la DPJ qui
va...
>
16 h (version révisée)
<16827
M.
Nadeau-Dubois : ...qui va être juge de ça?
M.
Caire
:
Bien, dans le cas de 64.1, ce sera
l'organisme public qui a à rendre le
service, qui nécessite cette collecte de
renseignements personnels là.
Donc, si on parle,
par exemple, de la DPJ, bien, c'est >l'officier
représentant la DPJ qui va, dans le cadre de son travail, ou les responsables
de... qui vont être juges de cette situation-là.
Donc, l'intervenant auprès du mineur qui
aura à donner une prestation de services conditionnée par une situation qui
fait en sorte que l'autorité parentale et/ou le tuteur ne peut être contacté,
soit qu'on ne peut le rejoindre, soit qu'on ne doit pas le contacter parce
qu'il est lui-même l'objet d'une situation problématique, à ce moment-là, il y
a quand même une... Là, on parle d'organisme public. Dans ce cas-ci, il y a
effectivement une autorité publique qui a une prestation de services à donner
et qui, dans ce sens-là, peut assumer qu'elle agit manifestement dans l'intérêt
du mineur en question.
Éventuellement, je vous rejoins, M. le
député. C'est sûr que l'autorité parentale et/ou le tuteur pourront, par la
suite, prendre action parce qu'ils se sont sentis lésés dans leur droit ou dans
leur privilège, et, bon, bien... mais d'où le fait que l'article est libellé
pour ne laisser aucun doute sur le fait que ça a été manifestement au bénéfice
du mineur de le faire.
Donc, il ne faut pas qu'il y ait de doute
non plus, dire : Bien, oui, tu sais, je ne suis pas capable de rejoindre
ta mère, ou ton père, ou le tuteur, puis, tu sais, ce n'est pas grave, là, tu
peux me le dire. Bon, tu sais, il faut que ce soit vraiment manifeste.
M. Nadeau-Dubois : O.K. Et
donc l'officier représentant la DPJ serait habileté par la loi à agir, à
collecter les renseignements personnels auprès d'un autre organisme public, par
exemple. Si ensuite le parent souhaite... parce qu'il se sent lésé, à tort ou à
raison, pourra...
M.
Caire
: Il
aura des recours.
M. Nadeau-Dubois : ...pourrait
avoir des recours juridiques, mais au moins l'intervention pourrait être faite,
puis on va venir en aide au mineur en question.
M.
Caire
: Oui.
M. Nadeau-Dubois : C'était
l'esprit de ma question.
Le Président (M. Bachand) :
Merci. Intervention, M. le député de LaFontaine? Non, ça va, pas d'autre intervention?
Alors, s'il n'y a pas d'autre intervention sur l'article 16 tel qu'amendé,
nous allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'article 16, tel qu'amendé, est adopté. M. le ministre,
s'il vous plaît.
M.
Caire
: M. le
Président, article 17 se lit comme suit : L'article 65 de cette
loi est modifié :
1° par le remplacement des deux premiers
alinéas par les suivants :
«Quiconque, au nom d'un organisme public,
recueille des renseignements personnels auprès de la personne concernée doit,
lors de leur collecte et par la suite sur demande, l'informer :
«1° du nom de l'organisme public au nom de
qui la collecte est faite;
«2° des fins auxquelles ces renseignements
sont recueillis;
«3° des moyens par lesquels les
renseignements sont recueillis;
«4° du caractère obligatoire ou facultatif
<de la...
M.
Caire
:
...personnels
auprès de la personne concernée doit, lors de leur
collecte et par la suite sur demande, l'informer :
«1° du nom de l'organisme public au nom
de qui la collecte est faite;
«2° des fins auxquelles ces
renseignements sont recueillis;
«3° des moyens par lesquels les
renseignements sont recueillis;
«4° du caractère obligatoire ou
facultatif >de la demande;
«5° des conséquences pour la personne
concernée ou, selon le cas, pour le tiers, d'un refus de répondre à la demande ou,
le cas échéant, d'un retrait de son consentement à la communication ou à
l'utilisation des renseignements recueillis suivant une demande facultative;
«6° des droits d'accès et de
rectification prévus par la loi.
«Le cas échéant, la personne concernée est
informée du nom du tiers qui recueille les renseignements au nom de l'organisme
public et de la possibilité que les renseignements soient communiqués à
l'extérieur du Québec.
«Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes qui ont accès à ces renseignements au sein de
l'organisme public, de la durée de la conservation de ces renseignements, ainsi
que des coordonnées du responsable de la protection des renseignements
personnels.»;
2° par la suppression, dans le
troisième alinéa, de «se nommer et»;
3° par l'insertion, dans le cinquième
alinéa et après «fait par», de «une personne ou».
M. le Président, l'article 17... pardon,
l'article 17, oui, c'est ça. L'article 65 de la Loi sur l'accès aux
documents des organismes publics et sur la protection des renseignements
personnels est modifié afin de préciser davantage l'information devant être
communiquée à la personne auprès de qui des renseignements personnels sont
recueillis au nom d'un organisme public.
Et, M. le Président, j'ai un amendement à l'article 17.
Donc, l'amendement se lit comme suit : Remplacer, dans le deuxième alinéa
de l'article 65 de la Loi sur l'accès aux documents des organismes publics
et sur la protection des renseignements personnels proposé par le paragraphe 1°
de l'article 17 du projet de loi, «et» par «, du nom des tiers à qui il
est nécessaire de communiquer les renseignements aux fins visées au paragraphe 2°
du premier alinéa et».
Le Président (M. Bachand) :Commentaires? Il y avait des commentaires sur l'amendement, je
ne sais pas...
M. Tanguay
: ...sur
Greffier?
Le Président (M. Bachand) :
Oui, c'est sur Greffier.
M. Tanguay
: O.K. Est-ce
qu'on peut suspendre une minute, M. le Président?
Le Président (M. Bachand) :
Oui, on va suspendre quelques instants. Merci beaucoup.
(Suspension de la séance à 16 h 05)
>
(Reprise à 16 h 10)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux. M.
le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Alors, sur
l'article 50, M. le Président... Non, à l'article 17, M. le
Président... On voyait que notre collègue de Gouin ne bronchait pas, stoïque,
flegmatique.
Sur l'amendement... Puis je vais faire un commentaire,
puis la petite pause a été bénéfique, des fois on fait de l'ordre dans nos
idées. Je fais un commentaire, peut-être Me Miville-Deschênes pourra nous
aider à voir, je n'ai pas vu à nulle part... Tu sais, puis là, là, ça, c'est un
exemple où on précise bien des choses, là, je veux dire, on précise ça, on
précise ça, puis on vous dit comment marcher, on définit comment vous allez
marcher, vous allez faire un pas, très précis, mais je n'ai pas vu — puis
à moins qu'on pourrait me dire : Non, non, non, c'est déjà dans la loi
actuelle ou c'est ailleurs dans le... je vais le dire tout croche, là — de
ligne de communication constante et permanente avec la personne pour laquelle
on collecte et conserve des renseignements personnels.
Autrement dit, il y a-tu, à quelque part,
un devoir de s'assurer, lorsque vous collectez des renseignements personnels ou
si, et dans ce cas-ci, vous êtes un tiers puis vous le collectez pour d'autres,
d'en tout temps être capable d'avoir une ligne de communication avec la
personne? Parce qu'il se pourrait qu'on puisse collecter des renseignements
personnels sans que l'on ait, par exemple, une adresse courriel, sans qu'on ait
une façon efficace de rejoindre la personne. Il y a-tu une obligation en
quelque part qui le dit que, si vous avez des renseignements personnels, vous
devez avoir une ligne de communication avec la personne? Et ça, ça fait écho un
peu au débat qu'on a eu dans le contexte de l'article 14 où on dit :
Bien, il faut communiquer, s'il y a un incident. Mais c'est-tu marqué à quelque
part que je vais pouvoir communiquer de façon efficace, là?
M.
Caire
: Bien,
je vais juste demander à mon collègue de préciser sa question, parce que, dans
l'article, on dit «quiconque, au nom d'un organisme public, recueille des
renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande», donc... mais je ne sais pas si c'est à
ce niveau-là...
M. Tanguay
: Encore
plus macro, là, à 30 000 pieds d'altitude. On parle des <organismes...
M.
Caire
:
...dans l'article, on dit «quiconque, au nom d'un organisme public, recueille
des renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande», donc... mais je ne sais pas si c'est à
ce niveau-là...
M. Tanguay
: Encore
plus macro, là, à 30
000 pieds d'altitude. On parle des >organismes
publics, puis même ça a un impact sur les privés. Il y a-tu de quoi, un
principe qui dit que, lorsque vous détenez de l'information qui concerne un
individu, vous devez vous assurer en tout temps d'avoir un moyen de communication
avec ledit individu, ne serait-ce que pour lui souligner qu'il y a eu un
incident, ou ne serait-ce que pour vérifier son consentement, ou ne serait-ce
que pour que lui puisse communiquer avec vous, et vice versa?
M.
Caire
: En
fait, là, je vous... Puis je vais laisser Me Miville-Deschênes compléter
la réponse, mais, compte tenu de la façon dont l'information est gérée de par
la loi, chaque organisme public a la... j'allais dire l'obligation, mais ce
n'est pas... bien oui, d'une certaine façon. Elle peut collecter les informations
qui sont nécessaires à sa prestation de services, et, ce faisant, donc,
récolter l'information qui lui permet d'entrer en contact avec le citoyen. Il n'y
a pas, au niveau du gouvernement du Québec, cette obligation-là, parce que la
collecte d'information, la collecte de données est propre à chaque organisme
public qui est le détenteur et donc le responsable de l'information qu'il
collecte. Donc, c'est une prérogative de chaque organisme public dans l'état
actuel de la loi.
M. Tanguay
: Parce que
63.7, mettons qu'il y a un préjudice sérieux, je dois aviser toute personne.
Puis vous allez me dire : Il coule de source que vous devez donc vous
assurer d'avoir une possibilité de communiquer directement avec la personne. Puis
oui, il coule de source, mais mon point, c'est que, puis ça m'a frappé dans la
petite pause tantôt, on est très précis, à 65, là, c'est ça, c'est ça, c'est ça,
on est très précis, très, très cartésien, endigué, mais je n'ai pas vu à nulle
part l'obligation nommée : Si vous avez des renseignements personnels... parce
que je pourrais les avoir collectés via un tiers aussi qui pourrait les avoir
collectés.
Comme là, 65, ça met en action un tiers,
puis 64 aussi, ça mettait dans l'action un tiers, mais il n'est pas dit à nulle
part, puis peut-être qu'on pourrait le dire, je nous lance ça, là, que l'organisme
public qui détient des renseignements personnels doit s'assurer d'être capable
de communiquer en temps efficace et efficacement à la personne notamment visée
à 63.7, parce qu'il va falloir que vous l'avisiez d'une manière ou d'une autre.
M.
Caire
: Bien,
je vous dirais que ce n'est pas explicite dans la loi, à moins que je me
trompe, là, il n'y a pas... même dans la loi actuelle, il n'y a pas cette
disposition-là explicite, mais c'est implicite. Et je vous dirais que, <dans
la...
M. Tanguay
: ...et
efficacement
à la personne notamment visée à 63.7, parce qu'il va falloir que vous l'avisiez
d'une manière ou d'une autre.
M.
Caire
:
Bien, je vous dirais que ce n'est pas explicite dans la loi, à moins que je me
trompe, là, il n'y a pas... même dans la loi actuelle, il n'y a pas cette
disposition-là explicite, mais c'est implicite. Et je vous dirais que, >dans
la pratique, généralement, le gouvernement qui a besoin de rejoindre un
citoyen, je pense qu'il y a tous les moyens à sa disposition pour y arriver, là.
Ce n'est pas...
M. Tanguay
: L'ensemble
du gouvernement, mais lorsqu'on parle d'un organisme tout seul dans son coin,
là...
M.
Caire
: Non,
c'est ça que je vous expliquais, M. le député, dans l'état actuel de la
loi, c'est chaque organisme public qui a cette prérogative-là, dans une
perspective de prestation de services évidemment, on s'entend. Puis c'est ce
que la loi dit, là, de collecter ces informations-là et d'avoir cette
capacité-là qui est individualisée à chaque organisme. Puis c'est même, à mon
humble avis, puis j'ai en tête l'éditorial de notre collègue de
La Pinière, là, d'il y a trois semaines, avec lequel j'étais tout à fait
d'accord, c'est même un problème, si vous voulez mon humble avis, mais dans...
M. Tanguay
: Parce
qu'il n'y a pas de guichet unique.
M.
Caire
:
Pardon?
M. Tanguay
: Parce
qu'il n'y a pas de guichet unique.
M.
Caire
: Bien,
c'est ça. Puis là, bien, ça reste la prérogative et la responsabilité de chaque
organisme public de le faire, de les détenir, de les mettre à jour, de les
sécuriser, ce qui cause plus de problèmes que d'autres choses, à mon humble
avis.
M. Tanguay
: Chacun est
tout seul dans son coin, là.
M.
Caire
:
Absolument, mais c'est l'état de nos lois actuelles.
M. Tanguay
: Puis vous
avez un plan pour...
M.
Caire
:
Absolument, que je vais vous déposer dans les prochains jours.
M. Tanguay
: En trois ans,
il n'a pas été déposé encore?
M.
Caire
:
C'est-à-dire que, sur cet événement-là très précis, je vais avoir des choses à
vous proposer.
M. Tanguay
:
Incessamment.
M.
Caire
: Ah!
très. Je brûle de vous le communiquer.
M. Tanguay
: O.K., mais
vous voyez... Puis je ne sais pas si on peut entendre
Me Miville-Deschênes, là.
M.
Caire
: Oui,
oui, absolument.
M. Tanguay
: Parce
qu'encore une fois on dit tout comment marcher aux organismes : Vous devez
faire ci, vous devez faire ça, puis on est précis, on est pointu, mais il me
semble que d'avoir l'obligation de vous assurer de pouvoir communiquer... parce
qu'il va y arriver des cas d'espèce où : Bien, voyons donc, la commission
va taper sur la tête d'un organisme.
63.7, je reprends cet exemple-là parce que
c'est l'exemple... vous devez avoir une ligne de communication, puis il y a une
certaine urgence, là, si c'est un préjudice sérieux. Il y a-tu l'expression
«sans délai», là? Ou, en tout cas, il y a une certaine expression d'urgence,
bien, vous devez vous assurer... Puis on va vous le dire, parce que le but, ce
n'est pas de piéger les organismes puis dire : Ah! tu as mal fait, c'est
de leur dire, dans la loi, le livre de recettes.
Ça fait que je ne veux pas qu'on dise :
Bien, voyons donc, le gâteau sans sucre, tu n'as pas mis de sucre dans la
recette. Bien, moi, j'ai suivi la recette, tu n'as pas dit de mettre de sucre. Bien,
il coulait de source que, dans un gâteau, on met du sucre. Alors, tu sais, à un
moment donné... Alors, il n'y aurait pas lieu de le dire, ne serait-ce que pour
remplir, encore une fois, 63.7, son obligation de façon efficiente?
M. Miville-Deschênes (Jean-Philippe) :
Bien, je ne le sais pas. Je vais vous faire un petit état, dans le fond, des
exigences qu'il y a dans la loi, là. Évidemment, au début, bon, il y a une
exigence d'information, là, l'article 65, où le citoyen doit être informé
de <différents...
M. Tanguay
: ...
il
n'y aurait pas lieu de le dire, ne serait-ce que pour remplir, encore une fois,
63.7, son obligation de façon efficiente?
M. Miville-Deschênes
(Jean-Philippe) :
Bien, je ne le sais pas. Je vais vous faire
un petit état, dans le fond, des exigences qu'il y a dans la loi, là.
Évidemment, au début, bon, il y a une exigence d'information, là,
l'article 65, où le citoyen doit être informé de >différents
éléments par rapport à ses renseignements personnels.
Puis on est dans une situation où... Bien,
on vient de voir 64, tu sais, l'organisme public recueille des renseignements
pour ses attributions, soit la mise en oeuvre de programmes ou... Ça fait que
je pense qu'il y a toujours une relation, là, entre l'organisme public et le citoyen,
puis l'organisme public a aussi l'obligation de tenir à jour, là, ses... Je
vais vous sortir l'article, là, il doit s'assurer que les renseignements qu'il
détient sont à jour, complets et exacts. Donc, il a une obligation quand même
proactive de s'assurer que les renseignements qu'il a sur le citoyen sont quand
même à jour, là, pour... notamment quand c'est le temps de prendre une décision
à son sujet.
Donc, c'est un peu ça, mais évidemment le citoyen
aussi à un droit d'accès et de rectification, là, mais je n'ai pas entendu,
dans la pratique, de problème par rapport à un organisme public qui n'avait pas
le renseignement qui lui permettait de communiquer avec le citoyen, mais, dans
la loi, il n'y a comme pas cette obligation générale, là, là, de... exemple,
que l'organisme détienne tous les renseignements nécessaires pour communiquer
avec le citoyen, ou quelque chose comme ça, là.
M. Tanguay
: Sur votre
point, je vais à l'article 113 de la loi. Ça, c'est rendu au privé, je
pense. À 113, on est rendu au privé, hein, je pense, Me Miville-Deschênes?
M. Miville-Deschênes (Jean-Philippe) :
Oui, mais...
M. Tanguay
: Oui?
M. Miville-Deschênes (Jean-Philippe) :
Excusez-moi. Bien, en fait, pour la mise à jour, c'est l'article 72 de la
loi actuelle. L'article 72, là, si c'est ce que vous cherchiez, c'est :
«Un organisme public doit veiller à ce que les renseignements personnels qui le
concernent soient à jour, exacts et complets pour servir aux fins pour
lesquelles ils sont recueillis ou utilisés.» Donc, il y a une exigence quand
même que l'organisme s'assure d'avoir tous les renseignements, là, à jour, notamment
si, dans la prestation de services, il doit communiquer avec les citoyens de
façon régulière, là.
• (16 h 20) •
M. Tanguay
: Puis les
personnes concernées... des renseignements peut exiger qu'une personne...
diffusion des renseignements... Puis, dans le contexte à jour, dans le contexte
de ce qu'on va ajouter... parce que c'est intéressant, ce qu'on fait là, on
fait des liens, 113, puis je veux dire, on travaille, là, même si on dit :
Aïe! On n'est pas sur l'article. Non, non, je veux dire, on travaille, puis il
y a des liens. C'est parce qu'on va mélanger les oeufs, la farine puis le lait
tantôt, ça fait qu'il faut parler des... on ne parlera pas juste du lait puis,
à un moment donné, après ça, on va dire : On va aller chercher des oeufs
au dépanneur.
L'article 113, 28.1, on dit, dans le
contexte des privés : «Dans l'évaluation des critères du deuxième alinéa,
il est tenu compte, notamment : du fait que le renseignement est à jour et
exact;». Alors, il y a cette notion-là. Puis vous disiez : «72. Un
organisme public doit veiller à ce que les renseignements personnels qu'il
conserve soient à jour, exacts et complets pour servir aux fins...» Ça, ça veut
dire... O.K., 63.7, ça veut dire, pour servir aux fins, s'il faut que tu
envoies un avis, assure-toi que : Aïe! J'ai une liste de
35 000 courriels puis j'ai 28 000 retours qui sont
«undelivered», ça ne va pas bien.
M.
Caire
: Ça ne
va pas bien.
M. Tanguay
: Je pense
qu'il y a un meeting lundi matin, à 8 heures. C'est bon.
Sur l'amendement, M. le Président, je
pense que vous aviez hâte qu'on revienne à l'amendement, mais quand même c'est
intéressant, ce qu'on fait là, <puis...
M. Tanguay
: ...j'ai
28 000 retours qui sont «undelivered», ça ne va pas bien.
M.
Caire
: Ça
ne va pas bien.
M. Tanguay
: Je
pense qu'il y a un meeting lundi matin, à 8 heures. C'est bon.
Sur l'amendement, M. le Président, je
pense que vous aviez hâte qu'on revienne à l'amendement, mais quand même c'est
intéressant, ce qu'on fait là >puis on travaille pour l'avenir des
articles. Qu'est-ce qu'on veut faire? On dit : Remplacer, dans le deuxième
alinéa...
M.
Caire
: Bien,
en fait, ça se lirait... le premier paragraphe se lirait, donc : «Sur
demande [...] l'informer du nom de l'organisme public au nom de qui la collecte
est faite et du nom des tiers à qui il est nécessaire de communiquer les
renseignements aux fins visées au paragraphe 2° du premier alinéa et...»
Après ça, on enchaîne avec le paragraphe 2°.
M. Tanguay
: O.K. Moi,
j'avais vu aussi... O.K., c'est ça, puis ça répondait à ma question, parce que
j'avais fait, à 65 tel que rédigé... À 65, là, de la loi actuelle, pas du 64, il
y avait le 3° : «des catégories de personnes qui auraient accès à ce
renseignement». J'ai dit : Ah! il n'est pas listé. Lui, on l'a isolé dans
un deuxième alinéa : «...la personne concernée est informée du nom du
tiers qui recueille», donc... et par «nom du tiers à qui il est nécessaire de
communiquer les renseignements», donc on ajoute... On n'a pas enlevé : «Le
cas échéant, la personne concernée est informée du nom du tiers qui recueille»,
on fait juste ajouter «du nom du tiers à qui il est nécessaire de
communiquer les renseignements».
M.
Caire
: C'est
ça.
M. Tanguay
: Autrement
dit, si j'ai un sous-contractant qui collecte pour moi, la personne qui va
donner son renseignement personnel va connaître l'identité du sous-contractant
puis il va connaître que c'est pour Revenu Québec ou pour...
M.
Caire
: C'est
pour... au nom de qui, c'est ça, c'est ça.
M. Tanguay
: De qui
c'est fait. O.K. C'est ça, le but de... O.K. Ça me va, M. le Président, sur
l'amendement.
Le Président (M. Bachand) :
Merci. Interventions sur l'amendement à l'article 17? S'il n'y a pas
d'autre intervention, nous allons procéder à sa mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement à l'article 17 est adopté. On revient
maintenant à l'article 17, tel qu'amendé, pour discussion. M. le député de
LaFontaine.
M. Tanguay
: Oui, merci
beaucoup, M. le Président. Dans la nouvelle mouture de l'article 65, je
vais au troisième alinéa, celui qui commence... le dernier nouveau, là, sur
demande de la personne concernée : «Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes...» Donc : «Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle», ça
veut dire quoi, ça? C'est bizarre un peu.
M.
Caire
: J'essaie
de la retrouver, là.
M. Tanguay
: Le dernier
alinéa nouveau, là, le troisième : «Sur demande...» Quatrième
avant-dernier du nouvel article, là : «Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle...»
Comment devons-nous lire ça? Peut-être Me Miville-Deschênes, il a de l'air
à être...
M. Miville-Deschênes (Jean-Philippe) :
Bien, en fait, c'était pour viser les cas où des renseignements <sont...
M. Tanguay
:
…quatrième
avant-dernier du nouvel article, là : «Sur demande, la
personne concernée
est également informée des renseignements personnels
recueillis auprès d'elle...» Comment devons-nous lire ça? Peut-être Me
Miville-Deschênes,
il a de l'air à être...
M. Miville-Deschênes
(Jean-Philippe) :
Bien, en fait, c'était pour viser les cas où
des renseignements >sont collectés... Oui, consentement?
M. Tanguay
: Oui,
consentement.
Le Président (M. Bachand) :
Consentement, toujours pour la séance au complet.
M. Miville-Deschênes (Jean-Philippe) :
Ils sont collectés notamment suite à la navigation de la personne ou un peu à
son insu. Tu sais, il y a des renseignements qu'on donne, qu'on fournit, mais
il y a d'autres renseignements qui sont collectés à l'insu de la personne, dans
le fond, là, notamment par la navigation d'un site internet ou par
l'utilisation d'un service. Donc, c'est des renseignements qui sont collectés
par l'organisme sur nous mais qu'on n'a pas nécessairement conscience. C'est un
peu pour viser ces situations-là, là.
M. Tanguay
: Ça, c'est
intéressant, parce que, ce matin, j'ai été instruit sur les cookies. Là, on
cherchait le nom sur, justement... Puis ça, on ne parle pas des cookies, ça, c'est
d'autre chose. Là, on parle... Je ne le savais pas que les organismes publics
s'adonnaient, peut-être, sûrement oui, là, à collecter des renseignements sur,
par exemple, la navigation qui est faite sur leur site. J'imagine, c'est de ça
dont on parle.
M. Miville-Deschênes (Jean-Philippe) :
Bien, je pense que la carte Inspire est peut-être un bon exemple aussi, là.
M. Tanguay
: La carte Inspire,
ça, c'est la...
M. Miville-Deschênes (Jean-Philippe) :
La SAQ.
M. Tanguay
: La SAQ.
Oui, oui, O.K.
M. Miville-Deschênes (Jean-Philippe) :
Ah oui! Puis je sais que vous ne l'utilisez pas, là.
M. Tanguay
: Non, je ne
l'utilise pas. Tu sais, c'est contradictoire, j'ai un témoignage
contradictoire, à matin j'ai dit : Je l'utilisais même pour plein d'autres
mais pas pour moi. Témoignage... Pas crédible, le témoin.
Carte Inspire, O.K. Donc, la SAQ peut
collecter des renseignements, évidemment, sur la consommation de la personne
qui utilise la carte, c'est ça? Et donc, ce qu'on dit ici, c'est que, si c'est
fait sans qu'on demande le consentement, il faut l'en informer, c'est ça? Parce
que là j'ai dit une hérésie, il va falloir qu'il y ait un consentement.
M. Miville-Deschênes (Jean-Philippe) :
Oui, mais la... Bien, en fait, tu peux demander. Dans le fond, la personne
concernée peut demander. Je dis : Je veux savoir quels sont les
renseignements collectés sur moi. Parce qu'il y a des situations où il ne les a
pas nécessairement tous fournis par écrit ou verbalement.
M. Tanguay
: O.K., mais,
M. le ministre, la nouvelle logique, ce n'est pas de dire : On demande des
consentements à tout bout de champ puis spécifiques? Il ne devrait pas y en
avoir un là?
M. Caire : Pas
nécessairement.
M. Tanguay
: Non?
M.
Caire
: La
nouvelle logique, c'est de demander un consentement lorsqu'il y a des finalités
différentes dans un service, mais on va voir plus tard, M. le député, qu'il y a
des consentements qui seront implicites ou qui seront... bien, c'est ça,
implicites. Je ne veux dire en bloc, là, parce que je n'aime pas l'expression, mais
il ne faut pas non plus... Comment je dirais ça? Lorsque je collecte des
informations personnelles sur vous, je vous avise de ce que je veux faire avec,
dans la mesure où ces choses-là peuvent être éloignées les unes des autres par
rapport à ce que je vous ai dit. Puis on a pris l'exemple, là, de la paire de
jeans qu'on s'achète, là, où on nous demande le courriel.
M. Tanguay
: Oui.
M.
Caire
: Bon, bien,
parfait, si c'est pour m'envoyer une facture par courriel, c'est oui. Si c'est
pour me mettre sur une liste de télémarketing, c'est non, mais, si c'est pour
m'envoyer une facture par courriel puis que, dans la facture, il s'adonne <que...
M.
Caire
: ...
puis
on a pris l'exemple, là, de la paire de jeans qu'on s'achète, là, où on nous
demande le courriel.
M. Tanguay
: Oui.
M.
Caire
:
Bon, bien, parfait, si c'est pour m'envoyer une facture par courriel, c'est
oui. Si c'est pour me mettre sur une liste de télémarketing, c'est non, mais,
si c'est pour m'envoyer une facture par courriel puis que, dans la facture, il
s'adonne >que vous me faites part d'une promotion, O.K., c'est correct,
tu sais.
M. Tanguay
: O.K.,, c'est ça. Puis, dans la logique des entreprises,
c'est pour servir la relation contractuelle, c'est toujours une finalité ou un objectif
qui sert la... Exemple, puis je prends un exemple peut-être un peu boiteux,
mais le «do not call list», ça ne s'applique pas si j'ai une relation
contractuelle. Moi, je peux vous appeler, si je suis votre assureur, je vais
prendre le téléphone, je vais vous appeler...
M.
Caire
: Bien,
dans ce cas-ci, on parle d'un organisme public.
M. Tanguay
: C'est ça. C'est
ça, c'est la même logique.
M.
Caire
: Donc,
dans un contexte de prestation de services,
je suis l'Agence de revenu, je dois entrer en
contact avec vous, je vais le faire.
M. Tanguay
: Oui.
D'ailleurs, il faut que je les rappelle. M. le Président...
M.
Caire
: C'est
rarement une bonne nouvelle.
M. Tanguay
: Non, non,
c'était... «de la durée de conservation de ces renseignements», je me demande,
est-ce que ça, ça tient la route? Autrement dit, est-ce qu'il... Je comprends
l'objectif, mais est-ce que les organismes publics peuvent ne serait-ce que
dire : O.K., parfait, vous leur faites la demande, je vous informe, puis on
va garder ça un an, deux ans ou trois ans? Ils vont pouvoir le dire? Est-ce que
de facto... O.K., là, je vais revenir à une fondamentale, tout renseignement...
Le fait de détenir un renseignement personnel doit avoir une date de péremption,
ça, c'est impératif?
M.
Caire
: Non,
pas tout renseignement personnel qui a une date de péremption. Par contre... Puis
on va reprendre l'Agence du revenu, normalement, vous avez l'obligation de
garder vos états de cotisation cinq ans. Bien, on peut penser qu'après x nombre
d'années, c'est une information qu'on peut supprimer.
C'est quand on établit le cycle de vie
d'une information qu'on se dit : Cette information-là, je la conserve.
Vous pouvez avoir une politique... Par exemple, je vous donne un exemple, un
autre exemple : J'ai un fichier... J'ai une politique, si le fichier n'est
pas ouvert pour une durée de tant d'années, après tant d'années, je supprime le
fichier. Donc, ce fichier-là n'a plus d'utilité, je dois le supprimer. Donc... Et
ça, je vous dirais que le problème qu'on a actuellement, ce n'est pas de
supprimer trop de données, c'est d'en garder trop, de la donnée qui est, on va
le dire, là, un peu passée date, là.
M. Tanguay
: Mon point,
c'est qu'il faut lire «de la durée de conservation de ces renseignements»... le
cas échéant, ça pourrait très bien en arriver, puis probablement dans bien des
cas, que la durée de conservation ne soit pas déterminée, autrement dit qu'elle
soit... Il n'y a pas de date de péremption, monsieur.
M.
Caire
: Tout
à fait.
M. Tanguay
: Vous allez
garder ça combien de temps? Bien, monsieur, aujourd'hui, je vous dis qu'on va
le garder toujours.
• (16 h 30) •
M.
Caire
: Je
vous donne un exemple : votre adresse. Je ne peux pas mettre une date de
péremption sur votre adresse. Bien, peut-être que, dans un an, vous allez
déménager, peut-être que vous allez passer votre vie à la même adresse, il n'y
a pas... Je ne peux pas établir un cycle de vie précis pour cette
information-là. Par contre, vos données fiscales, bien, je le sais, qu'après
cinq ans il n'y a plus de <recours...
>
16 h 30 (version révisée)
<485
M.
Caire
: ...votre adresse...
M. Tanguay
: ...
aujourd'hui,
je vous dis qu'on va le garder
toujours.
M.
Caire
: Je
vous donne un
exemple, votre adresse, je ne peux pas mettre une date de
péremption sur votre adresse.
M. Tanguay
: C'est
ça.
M.
Caire
:
Bien,
peut-être que, dans un an, vous allez déménager,
peut-être
que vous allez passer votre vie à la même adresse, il n'y a pas... je ne peux
pas établir un cycle de vie précis pour cette
information-là. Par
contre, vos données fiscales, bien, je le sais qu'après cinq ans il n'y a plus
de >recours, puis normalement, c'est cinq ans qui est le délai prévu.
M. Tanguay
: Autrement
dit, il ne faut pas lire «de la durée de conservation» comme prévenant un organisme,
comme interdisant un organisme de dire : Bien, je n'ai pas prévu de date
de destruction. Il peut le faire, il peut le dire.
M.
Caire
: Oui,
oui.
M. Tanguay
: Parfait.
Quand on dit... et tout de suite, à la fin, «ainsi que des coordonnées du
responsable de la protection des renseignements personnels», ça, c'est le
responsable auprès de l'organisme public ou le responsable, le cas échéant,
auprès de celui qui collecte, qui pourrait être par ailleurs public, privé?
M.
Caire
: Le
responsable de l'organisme... bien, dans ce cas-ci, de l'organisme public
puisqu'on parle de l'organisme public.
M. Tanguay
: Du
mandant.
M.
Caire
: C'est
ça.
M. Tanguay
: Et non du
mandataire.
M.
Caire
: Celui
dont on a parlé à l'article 8.
M. Tanguay
: O.K. Et on
le verra, que ce soit... parce qu'on a vu à l'article 64 précédent, qui
pouvait tantôt être... le mandataire pouvait être un public et tantôt pouvait
être un privé. Ces sous-traitants-là, ces mandataires-là, nécessairement, eux
aussi, ils vont avoir des comités tant sur la loi publique que sur la loi
privée, et des responsables normalement?
M.
Caire
: Le
privé, il y a...
Une voix
: ...
M.
Caire
: Il y
a un responsable, il n'y a pas de comité, hein?
Une voix
: Oui. On
ajoute un responsable dans le projet de loi.
M.
Caire
: Oui,
c'est ça, c'est ça. C'est ça, il n'y a pas de comité, mais il y a un
responsable...
M. Tanguay
: Il y a un
responsable.
M.
Caire
: ...au
niveau du privé, oui.
M. Tanguay
: Mais ici,
on parle du responsable, pas du mandataire du mandant.
M.
Caire
: C'est
ça.
M. Tanguay
: O.K. Là,
ça me va, M. le Président. Ça me va.
Le Président (M.
Bachand) : Interventions? M. le député de Gouin.
M. Nadeau-Dubois : Dans le
champ des informations qui sont à divulguer quand il y a collecte de données,
on n'indique pas notamment... on ne dit pas aux gens à qui ces
renseignements-là seront partagés. On n'informe pas, par exemple, des
catégories de personnes qui vont avoir accès à ces renseignements-là, pourquoi?
M. Miville-Deschênes
(Jean-Philippe) : En fait, c'est l'amendement...
M.
Caire
:
Vas-y.
M. Miville-Deschênes
(Jean-Philippe) : Bien, j'allais dire que c'est l'amendement qui vient
d'être déposé, qui ajoutait...
M.
Caire
: C'est
parce que je le cherchais.
M. Nadeau-Dubois : Du nom des...
oui, c'est les tiers.
M.
Caire
: Au
«nom des tiers à qui il est nécessaire de communiquer les renseignements aux
fins visées au paragraphe 2° du premier alinéa». Puis je le cherchais, je
m'excuse, c'est parce que je scrollais puis...
M. Nadeau-Dubois : Mais ça,
c'est... Donc, c'est les tiers qui sont... donc, ce n'est pas l'organisme public
ni la personne qui consent, ça serait un organisme, donc un autre organisme
public, par exemple.
M.
Caire
: Bien,
on a le nom de l'organisme public au nom de qui la collecte est faite.
M. Nadeau-Dubois : Mais est-ce...
M.
Caire
: Mais
on ajoute à ça... avec l'amendement, on a ajouté le nom des tiers à qui il est
nécessaire de communiquer les renseignements.
M. Nadeau-Dubois : Oui, mais
je vais... Ma question portait plutôt sur : à l'intérieur de l'organisme
public, est-ce que ce ne serait pas pertinent d'informer <la personne...
M.
Caire
:
...nom
de l'organisme public au nom de qui la collecte est faite.
M. Nadeau-Dubois : Mais,
est-ce...
M.
Caire
:
Mais on ajoute à ça... avec l'amendement, on a ajouté le nom des tiers à qui il
est nécessaire de communiquer les renseignements.
M. Nadeau-Dubois : Oui,
mais je vais... Ma question portait plutôt sur : à l'intérieur de
l'organisme public, est-ce que ce ne serait pas pertinent d'informer >la
personne de qui aura accès aux informations?
M.
Caire
: Vous
voulez dire... là on parle d'individus qui composent l'organisme public.
M. Nadeau-Dubois : Ça pourrait
être des... évidemment, pas une liste, là. M. Stéphane Tremblay,
Mme Magalie...
M.
Caire
: Non,
non, non, mais je veux dire, mettons, le responsable de, le directeur de.
M. Nadeau-Dubois : Voilà, des
catégories de personnes, par exemple. Est-ce que ça peut... et c'est vraiment
une question, est-ce que ça peut ne pas faire partie d'éléments qui peuvent
être pertinents pour que les gens expriment un consentement qui soit éclairé?
M.
Caire
:
Me Miville-Deschênes brûle du désir de vous répondre.
M. Nadeau-Dubois : C'est ce
que je constate.
M.
Caire
: Je ne
saurais le priver de ce plaisir.
M. Miville-Deschênes
(Jean-Philippe) : C'est gentil. Présentement, au troisième alinéa,
dans le fond, c'est une information qui est donnée sur demande dans
l'article 65 tel qu'il est déposé. Donc, on dit : «Sur demande, la
personne concernée est également informée des catégories de personnes qui ont
accès à ces renseignements au sein de l'organisme public.» Donc, c'est une
information, dans l'article présentement, qui est donnée à la personne
concernée si elle le demande.
M. Nadeau-Dubois : Bien, en
fait, moi, je lis : «...lors de leur collecte et par la suite sur
demande.» Ma lecture, c'était que c'était automatique dès la collecte et pour
d'autres communications subséquentes sur demande. Est-ce que je lis mal
l'article?
M. Miville-Deschênes
(Jean-Philippe) : Non, vous lisez bien l'article. Dans le fond, dans
les six premiers paragraphes, ça, c'est... on est obligé de donner lors de la
collecte et aussi sur demande.
M. Nadeau-Dubois : C'est ça.
M. Miville-Deschênes
(Jean-Philippe) : Pour ce qui est du troisième alinéa, là, il y a
d'autres renseignements qu'on donne uniquement sur demande. Donc, il n'y a pas
d'obligation, pour le point que vous soulignez, les catégories de personnes,
dans la mouture actuelle, il n'y a pas d'obligation d'informer la personne
concernée des catégories des personnes. Il y a obligation uniquement s'il le
demande.
M. Nadeau-Dubois : Donc,
l'information elle serait donnée, mais elle ne fait pas partie du bouquet
initial d'informations qui est transmis. Ça, c'est un type d'informations qui
va être seulement transmis si la personne est particulièrement intéressée par
la question, puis de dire : Moi, j'aimerais savoir qui exactement va avoir
accès à mes informations dans l'organisme public, par exemple? Est-ce que je
comprends bien votre réponse?
M. Miville-Deschênes
(Jean-Philippe) : Exact. Tout à fait.
M. Nadeau-Dubois : Est-ce
qu'il ne serait pas pertinent, quand un organisme public demande des
renseignements personnels et sollicite le consentement de la personne à cet
effet, de l'informer de qui est la personne responsable?
M.
Caire
: Mais
c'est dit. On doit l'informer de qui est le responsable.
M. Nadeau-Dubois : «...ainsi
que les coordonnées du responsable de...» Parfait, ça répond à ma question.
Le Président (M.
Bachand) : Interventions sur 17 amendé? S'il n'y a pas d'autre
intervention, nous allons procéder à la mise aux voix. Mme la secrétaire, s'il
vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour
La Secrétaire
: Pour les
membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
:
<Pour...
Le Président (M.
Bachand) : ...
Interventions sur 17 amendé? S'il n'y a
pas d'autre intervention, nous allons procéder à la mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
:
Pour, contre, abstention. M. Caire (La Peltrie)?
M.
Caire
:
Pour
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) :
Pour
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: >Pour.
Le Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 17, tel qu'amendé,
est adopté. M. le ministre, s'il vous plaît.
M.
Caire
:
Article 18 se lit comme suit :
Cette loi est modifiée par l'insertion,
après l'article 65, des suivants :
«65.0.1. En plus des informations devant
être fournies suivant l'article 65, quiconque recueille des renseignements
personnels auprès de la personne concernée en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou
d'effectuer un profilage de celle-ci doit, au préalable, l'informer :
«1° du recours à une telle technologie;
«2° des moyens offerts, le cas échéant,
pour désactiver les fonctions permettant d'identifier, de localiser ou
d'effectuer un profilage.
«Le profilage s'entend de la collecte et
de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques
d'une personne physique, notamment à des fins d'analyse du rendement au
travail, de la situation économique, de la santé, des préférences personnelles,
des intérêts ou du comportement de cette personne.
«65.0.2. Toute personne qui fournit ses renseignements
personnels suivant l'article 65 consent à leur utilisation aux fins visées
au paragraphe 2° du premier alinéa de cet article.»
Donc, M. le Président, cet article
introduit les articles 65.0.1 et 65.0.2 à la Loi sur l'accès des documents
des renseignements publics et sur la protection des renseignements personnels.
Le nouvel article 65.0.1 de la Loi sur l'accès aux documents des
organismes publics et sur la protection des renseignements personnels prévoit
l'information devant être communiquée à la personne auprès de qui des renseignements
personnels sont recueillis en ayant recours à une technologie comprenant des
fonctions permettant de l'identifier, de la localiser ou d'effectuer un
profilage de celle-ci. Il définit également la notion de profilage.
Le nouvel article 65.0.2 de la Loi
sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels prévoit que toute personne qui fournit ces renseignements
personnels, suivant l'article 65 de cette loi, consent à leur utilisation
aux fins visées par le paragraphe... du premier alinéa de cet article.
Et, M. le Président, j'ai un amendement à
déposer.
Le Président (M.
Bachand) : Allez-y, M. le ministre.
M.
Caire
:
Alors : Insérer, dans l'article 65.0.2 de la Loi sur l'accès aux
documents des organismes publics et sur la protection des renseignements
personnels proposé par l'article 18 du projet de loi et après
l'«utilisation», «et à leur communication».
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M. Nadeau-Dubois : J'imagine
qu'on va traiter d'abord de l'amendement du ministre.
Le Président (M.
Bachand) :L'amendement. Après ça, on va
faire comme on a fait à 14, on va y aller par les articles introduits.
M. Nadeau-Dubois : O.K. Bien,
moi, je vais laisser le ministre nous parler de son amendement puis
j'interviendrai après sur l'article.
M.
Caire
: Bien,
M. le Président, c'est juste de dire que l'article suit un... les personnes... voyons,
«toute personne qui fournit ses renseignements personnels suivant
l'article 65 consent <à leur utilisation...
Le Président (M.
Bachand) :...on va y aller par les
articles introduits.
M. Nadeau-Dubois : O.K.
Bien, moi, je vais laisser le ministre nous parler de son amendement puis
j'interviendrai après sur l'article.
M.
Caire
:
Bien, M. le Président, c'est juste de dire que l'article suit un... les
personnes... voyons, «toute personne qui fournit ses renseignements personnels
suivant l'article 65 consent >à leur utilisation et à leur
communication aux fins visées par le paragraphe 2° du premier alinéa de cet
article.» Donc, c'est de rajouter le fait que les renseignements pourraient
être communiqués.
Le Président (M.
Bachand) : Donc, interventions sur l'amendement du ministre? M.
le député de LaFontaine.
M. Tanguay
: ...on
vient juste d'avoir sur Greffier, bien, il y a 43 secondes, là,
l'amendement. Alors, on essaie d'être le plus efficaces possible, M. le
Président, là.
Après «utilisation», «et à leur
communication». Alors, après... «Toute personne qui fournit ses renseignements
personnels suivant l'article 65 consent à leur utilisation et à leur
communication...»
M.
Caire
: Aux
fins visées...
• (16 h 40) •
M. Tanguay
: Pourquoi
c'était le «à leur utilisation»? Utilisation n'incluait pas communication, à ce
moment-là?
M.
Caire
: Bien
là, je vais laisser Me Miville-Deschênes compléter la réponse, mais l'utilisation,
c'est lorsque le renseignement sert à la prestation de services de l'organisme.
La communication, j'imagine que, là, quand on parle de collecter pour un tiers,
qu'on puisse communiquer les informations.
M. Miville-Deschênes
(Jean-Philippe) : Oui, bien, bref retour en arrière, là, en matière de
consentement, on a prévu que le consentement devait être distinct par finalité,
un consentement vraiment qui ne peut pas être en bloc. Puis il y a eu des
commentaires et des questions à l'effet... à savoir : Est-ce que ça veut
dire qu'il faut qu'on... je consens à une utilisation puis si... mettons que
j'adhère à un service, puis ça implique une utilisation et une communication,
parce que, souvent, il y a les deux, est-ce que je dois consentir à la fois
pour l'utilisation et pour la communication? Ce qui serait assez problématique,
là.
Donc, l'objectif, c'est de dire : Tu
es informé, citoyen, tu es informé, d'une part... bien, de plusieurs éléments,
mais d'une part de quelle façon... à quelles fins on va utiliser ton
renseignement, à qui il va être communiqué pour cette fin-là, puis, une fois
que tu es informé, bien, tu as consenti à cette utilisation et à cette
communication. Je ne sais pas si...
M. Tanguay
: Autrement
dit, c'est une présomption de consentement, on n'a pas à le demander si...
c'est une présomption de consentement.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est un peu une technicalité, parce que, dans
la loi actuelle, il n'y a pas de consentement rattaché à la collecte. Dans le
fond, on dit : La collecte, je t'informe, puis après, bien, je peux
l'utiliser, etc. On trouve que c'est important de clarifier que c'était un
consentement à la collecte, d'une part, pour clarifier que c'était un
consentement à l'utilisation et à la communication, mais aussi pour permettre
le retrait du consentement. Un peu plus loin, on arrive avec la notion de
retirer le consentement, mais pour le retirer, il fallait s'assurer que ça soit
clair dès le début que quand, moi, je donne mes renseignements à un organisme
public, je consens à cette collecte-là.
M. Tanguay
: ...ça va
être spécifique pour le retrait, mais quand... Ce que dit 65.02, puis avec
l'amendement on fait «utilisation et communication», c'est que, lorsque la
personne fournit, bien, de facto, en vertu de fiction de la loi, c'est comme si
c'était un <consentement aussi qui...
M. Miville-Deschênes (Jean-Philippe) :
...mes renseignements à un organisme public, je consens à cette collecte-là.
M. Tanguay
: ...ça
va être spécifique pour le retrait, mais quand... Ce que dit 65.02, puis avec
l'amendement on fait «utilisation et communication», c'est que, lorsque la
personne fournit, bien, de facto, en vertu de fiction de la loi, c'est comme si
c'était un >consentement aussi qui coule de source pour l'utilisation et
la communication, sans qu'on ait à le demander. C'est ça?
M. Miville-Deschênes (Jean-Philippe) :
Bien, en fait, il y a déjà, à 65, l'exigence de l'informer de plusieurs
éléments. Ça fait qu'effectivement c'est un peu une fiction, mais, en même
temps, on lui a donné tous les éléments pour que son consentement soit éclairé.
M. Tanguay
: O.K. C'est
bon. Merci.
Le Président (M.
Bachand) :Interventions sur l'amendement
du ministre? M. le député de Gouin.
M. Nadeau-Dubois : Oui.
J'essaie juste de suivre la cascade des références, là. Donc, quand on dit «au paragraphe
2° du premier alinéa de cet article», c'est l'article actuel, l'article 65
dans la loi actuelle.
M. Miville-Deschênes
(Jean-Philippe) : Bien, dans la loi telle qu'amendée par notre projet
de loi.
M. Nadeau-Dubois : Oui, mais
c'est l'article 65 de la loi, pas du... on s'entend.
M. Miville-Deschênes
(Jean-Philippe) : Oui, oui, de la loi. Exact.
M. Nadeau-Dubois : Et les fins
en question, est-ce qu'on peut me les rappeler?
M. Miville-Deschênes (Jean-Philippe) :
Bien, en fait, tout organisme public qui collecte doit l'informer... les
fins : Je collecte pour t'offrir le service de... ou pour pouvoir t'offrir
une prestation, RQAP, etc. Donc, c'est une exigence, lors de la collecte,
d'informer la personne des finalités. Puis une fois informée, bien, la personne
a consenti... 65.02, il dit : Bien, elle a consenti à l'utilisation pour
cette finalité-là.
M. Nadeau-Dubois : Et là on
ajoute... on vient ajouter la notion de communication. Puis c'est quoi, l'impact?
Qu'est-ce que ça change d'ajouter cette notion de communication?
M. Miville-Deschênes
(Jean-Philippe) : Bien, pour plusieurs produits, services, etc., il y
a une utilisation et une communication à un sous-traitant ou un autre organisme
public. Donc, une fois qu'on a informé la personne de l'utilisation qu'on va en
faire et de la communication que ça nécessite, bien, 65.02, il dit : La
personne a consenti à ces éléments-là.
M. Nadeau-Dubois : Parfait.
Merci.
Le Président (M. Bachand) :
D'autres interventions sur l'amendement? S'il n'y a pas d'autre intervention,
nous allons procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M.
Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement à l'article 18
est adopté. Alors, si vous êtes d'accord, nous serions à l'article introduit,
65.0.1. Interventions? M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : J'ai envie
de reprendre où je l'avais laissé un peu plus tôt. À 65.0.1, on peut lire, donc
«des moyens offerts, le cas échéant, pour désactiver les fonctions permettant
d'identifier, de localiser ou d'effectuer <un profilage»...
M. Nadeau-Dubois : ...je
l'avais laissé un peu plus tôt. À 65.0.1, on peut lire, donc «des moyens
offerts, le cas échéant, pour désactiver les fonctions permettant d'identifier,
de localiser ou d'effectuer >un profilage». Plus tôt, on a introduit
dans la loi le principe du plus haut niveau de confidentialité par défaut qui
implique que l'utilisateur doit faire le choix d'activer ces fonctions-là. Là, l'article
vient plutôt dire qu'il faut informer des moyens pour les désactiver.
Est-ce qu'il n'y a pas un potentiel hiatus
entre les deux qu'il faudrait combler en disant plutôt que, par exemple,
l'utilisateur doit être informé, puisqu'on prend pour acquis que, par défaut,
tout va être décoché, là? Est-ce que ça ne vient pas être périmé, cette
disposition-là? Je ne sais pas si le ministre comprend ce que je veux dire.
M.
Caire
: C'est
parce que, dans ce cas-ci, ce que l'article dit, c'est que, si je recueille des
renseignements personnels auprès d'une personne concernée en ayant recours à
une technologie comprenant des fonctions, donc c'est que là, c'est
l'utilisation de la technologie qui est inhérente au fait que j'utilise ça.
La différence avec tout à l'heure, c'est
que, tout à l'heure, je disais : D'entrée de jeu, je dois vous offrir un
environnement qui offre le maximum de la sécurité paramétrable. Parce que vous
êtes dans cet environnement-là, vous n'avez pas nécessairement connaissance de
ce fait-là. Que le site collecte des informations, vous ne le savez pas, puis
là ça se fait un peu à votre insu. Puis ça, on ne veut pas ça.
Dans le cas qui nous préoccupe, on dit «la
personne concernée en ayant recours à une technologie comprenant», donc c'est
que c'est inhérent... la technologie que j'utilise, c'est inhérent à son
fonctionnement, que j'utilise ça. Alors là, je dois vous en informer.
Le Président (M.
Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Mais le
principe de plus haut niveau de confidentialité par défaut, s'il vaut pour les
exemples qu'on a donnés plus tôt, là, un site Internet, une application,
pourquoi est-ce qu'il ne... ne devrait-il pas valoir aussi pour les
technologies? En quoi... Je ne suis pas sûr de comprendre la distinction que le
ministre a faite. Il me semble qu'on est dans deux cas de figure extrêmement
similaires. Parce que la technologie à laquelle on a recours, ça pourrait être
une application, non?
M.
Caire
: Oui,
oui, oui. Tout à fait.
M. Nadeau-Dubois : Et donc
pourquoi, dans ce cas-là, ça ne vaut pas le principe de confidentialité par
défaut? Puis pourquoi est-ce qu'on ne pourrait pas simplement <changer...
M. Nadeau-Dubois : ...
dans deux cas de figure extrêmement similaires. Parce que la technologie à
laquelle on a recours, ça pourrait être une application, non?
M.
Caire
:
Oui, oui, oui. Tout à fait.
M. Nadeau-Dubois : Et donc
pourquoi, dans ce cas-là, ça ne vaut pas le principe de confidentialité par
défaut? Puis pourquoi est-ce qu'on ne pourrait pas simplement >changer
«désactiver» pour «activer»?
M.
Caire
: Parce
que... Bon, bien, je vais reprendre l'exemple que vous avez pris tout à l'heure,
M. le député. Vous dites : Je vais sur le site de la SAQ, je m'en vais
voir si le vin préféré du député de LaFontaine est disponible à telle ou telle
succursale, espérant pouvoir écouler ses points. Je ne m'en vais pas nécessairement...
c'est-à-dire que je m'en vais faire une navigation sur un site, chercher une
information, et là l'application, elle, est paramétrée pour collecter de
l'information ou non. Donc, moi, je dois vous offrir, d'entrée de jeu, cet
environnement-là qui vous offre le plus haut niveau de sécurité.
Dans le cas qui nous concerne, là, je suis
dans une collecte d'information, donc je ne suis pas dans une application de
services, où il y a des paramètres de sécurité qui pourraient vous géolocaliser
ou... Comprenez-vous ce que je veux dire? Là, je suis... «En plus des informations
devant»... relisez l'article, vous allez voir. «En plus des informations devant
être fournies suivant l'article 65, quiconque recueille des renseignements
personnels auprès [d'une] personne concernée en ayant recours à une technologie...»
Donc là, je suis dans une collecte d'information,
je suis en train de collecter... Vous n'êtes pas... On n'est pas dans une
navigation générale, où vous entrez sur un site... Vous n'êtes pas en
interaction avec qui que ce soit, là. Vous êtes en train de naviguer sur un
site, vous voulez acheter une bouteille de vin. Vous vous promenez sur le site,
vous faites votre transaction, vous vous faites livrer votre bouteille de vin.
Donc là, il y a un certain nombre d'informations personnelles qui sont nécessaires
pour ça. Quand j'entre d'emblée dans le site, je peux peut-être juste aller
voir si tel ou tel vin est disponible, mais je ne veux pas nécessairement
acheter, je ne veux pas... Donc, si je clique sur telle bouteille de vin, bien,
je ne veux pas que ce soit enregistré, parce que vous dites : Ah! ça,
c'est une préférence de la personne qui visite le site, ou je ne veux pas... ou
si j'achète une bouteille, bien, je ne veux pas que vous enregistriez ça puis
dire : O.K., bien, ça, il aime tel type de vin. Là, on est dans une
collecte qui pourrait se faire à votre insu.
• (16 h 50) •
Donc, ce qu'on dit, c'est que, si c'est
ça, le cadre dans lequel vous naviguez, je dois vous offrir que ces informations-là
ne soient pas collectées, à moins que vous posiez des gestes pour dire :
Oui, oui, ça ne me dérange pas, garde mon adresse en mémoire, oui, fais...
garde en mémoire mon profil de consommateur, je n'ai aucun problème avec ça, ça
ne me dérange pas.
Alors que là, on est dans une collecte d'information.
Donc, vous, vous êtes dans une relation avec le gouvernement, il y a une
prestation de services, je dois collecter des <informations...
M.
Caire
: ...oui,
oui, ça ne me dérange pas, garde mon adresse en mémoire, oui, fais... garde en
mémoire mon profil de consommateur, je n'ai aucun problème avec ça, ça ne me
dérange pas.
Alors que là, on est dans une collecte
d'information.
Donc, vous, vous êtes dans une relation avec le
gouvernement, il y a une
prestation de services, je dois collecter des >informations. Ce faisant,
j'utilise des technologies qui pourraient me permettre de vous géolocaliser, de
vous identifier, de... etc. Donc, ça... là, je dois vous le dire : Bien,
j'utilise telle application, et cette application-là pourrait avoir pour effet
de vous géolocaliser. Ça vous dérange-tu? Et sinon, voici comment la
désactiver. Mais là je suis dans une collecte d'information. On n'est pas dans
une navigation où vous vous promenez sur un site comme vous allez vous promener
dans une succursale de la SAQ, là.
M. Nadeau-Dubois : Je
comprends ce que le ministre me dit, mais je n'ai pas l'impression que c'est ça
qui est écrit, c'est-à-dire que, dans les commentaires, on lit : «Le
nouvel article prévoit l'information devant être communiquée à la personne
auprès de qui des renseignements personnels sont recueillis en ayant recours à
une technologie comprenant des fonctions d'identification, de localisation
et de profilage.»
Moi, quand je lis ça, ce que je lis,
c'est : Cet article prévoit qu'est-ce qu'on doit dire à la personne quand
une personne utilise une technologie qui recueille des renseignements
personnels. Et donc notre fameux exemple qui est pratique, parce que c'est un
exemple qu'on connaît tous, par exemple, de l'application d'un organisme public
comme la SAQ, quand je lis l'article et les commentaires, l'article m'apparaît
s'appliquer, puisque l'application, c'est une technologie. En y ayant recours,
la technologie recueille des renseignements personnels sur moi. Cette
technologie-là comprend des fonctions d'identification, de localisation et de
profilage, et donc l'article me semble s'appliquer. Et donc il me semble y
avoir une contradiction entre ce qui est écrit ici, c'est-à-dire : Dites
aux gens que vous... par exemple, que vous les localisez et dites-leur comment
désactiver la localisation, alors que, plus tôt, on a adopté le contraire, on a
adopté : Vous devez informer les gens du contraire, c'est-à-dire comment
activer la fonction. Donc, il me semble y avoir une contradiction entre cet
article puis celui qu'on a adopté tantôt. On pourrait faire le même exemple
avec un... je ne sais pas, l'application de la... Je présume qu'Hydro-Québec a
une application également.
Donc, j'ai comme l'impression qu'il y a une
tension ici, là, parce que... D'ailleurs, tu sais, les fonctions comme
identification, localisation, profilage sont comme... c'est des fonctions qu'on
peut juger plus invasives que d'autres, que, par exemple, juste donner
volontairement son adresse. Donc, je ne suis pas sûr de comprendre la
distinction que fait le ministre <entre...
M. Nadeau-Dubois :
D'ailleurs,
tu sais, les fonctions comme identification, localisation, profilage sont
comme... c'est des fonctions qu'on peut juger plus invasives que d'autres, que,
par exemple, juste donner volontairement son adresse. Donc, je ne suis pas sûr
de comprendre la distinction que fait le ministre >entre... le ministre
parlait de navigation générale puis là d'une technologie précise. Il me semble
que...
M.
Caire
: Non,
je disais juste que, là, on est dans... on parle de... là, on parle vraiment de
collecte d'information. Je ne suis pas dans une application où vous allez...
Bon, j'essaie de trouver un exemple. Mettons, je renouvelle mon permis de
conduire puis là j'essaie de voir une application pratique versus la SAQ, tu
sais, où je m'en vais...
M. Nadeau-Dubois : Oui. Bien,
mettons, j'appelle pour renouveler mon permis de conduire, là, au téléphone.
M.
Caire
: Non,
mais je vais sur le site de la SAAQ, là.
M. Nadeau-Dubois : Parce que
ça dit... ça parle, quand même... «en ayant recours à une technologie».
M.
Caire
: Oui,
oui, c'est ça.
M. Nadeau-Dubois : Donc, ça ne
fait pas référence à une interaction humaine, par exemple. Tu sais, on parle de
technologie.
M.
Caire
: Non,
non, je ne m'en vais pas à un guichet de la... on s'entend, là, je ne suis pas
au guichet de la SAAQ, là. Je m'en vais sur le site de la SAAQ, je renouvelle
mon permis de conduire puis je dois transmettre ma photo, je dois donner... je
dois passer par l'application de paiement, donc, pour payer mon permis de
conduire. Et donc, avec... je transmets ma photo, bien, on s'entend que la
photo, c'est biométrique, biométrique, profilage.
Est-ce que je peux désactiver cette... Ce
n'est pas la même... c'est parce que ce n'est pas la même finalité, là, quand
on collecte de l'information versus quand on offre un service... un site où on
offre un service plus général.
M. Nadeau-Dubois : Tu sais, je
comprends, mais ça me semble... il me semble que ce n'est pas écrit dans la
loi, ça, tout le contexte que le ministre rajoute. Moi, ce que je lis, à
65.0.1, c'est : «En plus des informations devant être fournies suivant
l'article 65...» Quand on est dans des... ça semble être un cas spécifique
du cas général, pas un autre cas. Moi, ce que je lis, c'est : Il y a, à
l'article 65, des dispositions pour prévoir quelles...
M.
Caire
: Ce
que je dois vous donner comme informations.
M. Nadeau-Dubois : Exactement,
quelles informations doivent être données. Et là on dit, cas spécifique de ce
cas plus général, 65.0.1. Donc, de manière générale, vous devez communiquer les
informations suivantes dans toutes les situations où il y a collecte de
renseignements personnels.
M.
Caire
: C'est
ça.
M. Nadeau-Dubois : 65.0.1,
moi, je le comprends comme un cas plus spécifique où, ah, attention, là, quand
on est dans des situations spécifiques où il y a technologie qui permet
d'identifier, de localiser ou de profiler, là, on rajoute une exigence de plus,
puisque c'est un cas plus... puisqu'on est dans des situations qui peuvent être
potentiellement plus invasives, et on ajoute... Là, il faut informer qu'il y a
une technologie comme celle que je viens de décrire, et vous devez dire aux
gens comment désactiver la localisation si ça ne fait pas leur affaire.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : Mais le
concept de confidentialité par défaut, c'est le contraire. C'est qu'on devrait
dire aux gens : Il y a une technologie, <vous...
M. Nadeau-Dubois : Là, il
faut informer qu'
il y a une
technologie comme celle que je viens
de décrire, et vous devez dire aux gens comment désactiver la localisation si
ça ne fait pas leur affaire.
M.
Caire
:
Voilà.
M. Nadeau-Dubois : Mais le concept
de confidentialité par défaut, c'est le contraire. C'est qu'on devrait dire aux
gens : Il y a une technologie, >vous entrez dans un environnement
numérique qui va vous profiler. Si vous voulez que ce soit le cas, activez-le.
La logique de la confidentialité par défaut, il me semble que c'est celle-là,
alors que, là, on dit non, ce qu'on va dire aux gens, c'est : Nous allons
vous profiler. Si vous ne voulez pas que ça arrive, désactivez-le. Il me semble
qu'on est en train de renverser la logique de la confidentialité par défaut
dans un cas spécifique de la règle plus générale.
M.
Caire
: Non,
mais je ne dis pas... Mais comprenons-nous bien, puis je vais laisser
Me Miville-Deschênes... mais oui, ce que je vous dis, c'est que c'est le
contexte qui est différent dans le sens où, dans un premier cas, c'est un site
de navigation, de service, et on veut s'assurer que vous êtes... dans cette navigation-là,
dans cet univers numérique là, on veut s'assurer qu'ils vous offrent le
meilleur niveau de sécurité. Dans le cas précis ici, c'est que je suis dans une
collecte d'information. Je me sers d'un outil. Cet outil-là, qui me permet de
collecter cette information-là, peut aussi me permettre de faire le profilage,
la, la, la. Si vous ne voulez pas, je dois vous en informer et vous donner
l'opportunité de le désactiver. Bon, est-ce qu'on aurait pu dire : Je le
désactive puis je te demande de l'activer?
M. Nadeau-Dubois : Bien, il me
semble que c'est ça, la logique de... ma compréhension de la logique de la
confidentialité par défaut, c'est qu'il faut qu'il y ait un geste actif de la
personne pour l'activer.
M.
Caire
: Mais
ça, je le comprends. Je veux juste... pour les fins de la discussion, je veux
juste que mon collègue comprenne qu'on n'est pas dans le même contexte. On
n'est pas dans un contexte où, de façon candide, j'entre dans un site puis là
je me fais ramasser de l'information personnelle à mon insu, puis ça, je ne
veux pas ça.
M. Nadeau-Dubois : Oui, oui,
mais ça...
M.
Caire
: Mais
ce que je veux dire, c'est qu'il n'y a quand même pas la notion, ici, de :
ceci va se passer à votre insu. C'est pour ça, je dis : Ce n'est pas la
même chose.
Maintenant, on peut avoir le débat. Est-ce
qu'on veut pousser plus loin puis dire : Bien, il faut qu'il soit
désactivé par défaut puis on va vous demander de l'activer? Là-dessus, je vais
demander à Me Miville-Deschênes de peut-être compléter parce qu'il y a peut-être
des raisons juridiques à tout ça, mais ce que je veux dire, c'est qu'on n'est
pas dans le même univers. Ce n'est pas quelque chose qui va être fait à votre
insu.
M. Nadeau-Dubois : Non, je
comprends parce qu'on est dans... puisqu'il y a collecte, il y a eu demande de
consentement.
M.
Caire
: C'est
ça.
• (17 heures) •
M. Nadeau-Dubois : Mais je
vais donner un exemple. Reprenons notre fameux exemple de l'application de la
SAQ, là. Moi, je m'inscris volontairement à cette application-là, je m'ouvre un
compte. Donc, j'inscris déjà mon courriel, je me crée un mot de passe, je me
crée un profil. Bon. Donc, j'ai déjà consenti à l'utilisation de l'application
puis j'ai déjà donné certaines informations, à commencer, toujours bien, par
mon nom, mon <courriel pour m'ouvrir un compte. Bon...
>
17 h (version révisée)
<16827
M.
Nadeau-Dubois : ...je m'inscris volontairement à cette
application-là,
je m'ouvre un compte. Donc, j'inscris déjà mon courriel, je me crée un mot de
passe, je me crée un profil, bon. Donc, j'ai déjà consenti à l'utilisation de
l'application
puis j'ai déjà donné certaines
informations, à commencer
toujours
bien par mon nom, mon >courriel pour m'ouvrir un compte.
Bon, honnêtement, tu sais, je ne connais
pas comment est programmée la fameuse application qu'on utilise comme exemple
depuis tantôt, mais, si j'arrive dans une situation où je fais une certaine
action sur l'application, par exemple un achat... Non, en fait, je vais prendre
un exemple qui existe vraiment. Je veux savoir si un produit est disponible
dans une succursale près de moi, et cette fonctionnalité-là, elle existe sur l'application.
Je clique : Informez-moi s'il y en a proche de moi. Pour me fournir cette information-là,
l'application doit me géolocaliser, on en convient? Le principe de plus haut
niveau de confidentialité par défaut, ce qu'il veut dire, c'est que l'application
devrait me dire : Pour faire ça, je vais devoir te géolocaliser. Et là il
faudrait que moi, je clique : Oui, géolocalise-moi. L'impression que j'ai...
Et ça, ce serait... Et ça, tout le petit récit que je viens de faire, ce serait
respectueux du principe de «privacy by design».
Moi, ce que je lis là, c'est que ce n'est
pas exactement ça. Ce que je lis là, c'est : Il faudrait que l'application
m'informe des moyens pour désactiver la fonction de géolocalisation, et ça
pourrait se faire, donc, sans que je fasse un geste volontaire pour l'accepter.
Il pourrait me dire : Si vous ne voulez pas qu'on vous géolocalise, allez
le désactiver dans x, y, z, le menu à droite, à gauche, trois onglets, machin,
machin, machin, ce qui représenterait un obstacle supplémentaire pour
l'utilisateur.
Donc, et c'est tout ça, la logique du
«privacy by design», c'est de dire : Il faut que ça soit l'option la plus
simple, la plus facile par défaut, comme ça, la personne qui a le moins de
littératie numérique, qui s'y connaît moins dans l'environnement, si elle
manipule mal l'objet, tout ça, il n'y a pas de risque... on minimise les
risques que ces technologies soient actives de manière plus ou moins
consciente.
Donc, est-ce qu'en vertu du «privacy by
design» on ne devrait pas juste venir faire cette précision, subtile, j'en
conviens, mais, puisqu'on ne sait toujours pas, bien, quelles applications
vont être développées par les organismes publics dans les 10, 15, 20, 30 premières
années, être plus clair que clair sur le fait que : Non, non, vous ne
demandez pas aux gens de le désactiver, vous demandez aux gens de l'activer, la
fonction, parce qu'elle est plus invasive? C'est un peu ça, ma question.
M.
Caire
: Bien,
la réponse à ça, c'est oui, M. le Président. Puis c'est ce que je disais tantôt
à l'article 14, on pourra le modifier. La seule chose que moi, je voulais
faire, ce n'était pas de dire : C'est une mauvaise idée, ne faisons pas
ça. C'est dire que ce n'est pas un même contexte, le contexte est différent.
Puis la raison pour laquelle on l'a libellé comme ça, c'est qu'on est vraiment
dans...
Puis là on le lit dans 65, là. Il faut
lire 65. Donc, 65, je communique avec vous, je le fais dans un but avoué de
collecter des informations sur <vous...
M.
Caire
: ...
contexte,
le contexte est différent. Puis la raison pour laquelle on l'a libellé comme
ça, c'est qu'on est vraiment dans...
Puis là on le lit dans 65, là. Il faut
lire 65. Donc, 65, je communique avec vous, je le fais dans un but avoué de
collecter des informations sur >vous et je dois vous dire, bon, tout ce
que 65 prévoit, les six paragraphes de 65 : à qui, s'il y a un tiers,
pourquoi, qu'est-ce que je vais faire avec ça, ça va être... Alors, c'est tout
ça, la mise en contexte, là.
On n'est pas dans le contexte où je m'en
vais sur le site de la SAQ, là. On est dans un contexte où vous devez
renouveler votre permis de conduire, il arrive à échéance, puis là je prends
cet exemple-là, ce n'est peut-être pas le meilleur exemple, mais bon, et là je
dois collecter de l'information sur vous, je dois collecter des renseignements
biométriques, parce que je dois avoir votre photo sur le permis de conduire. Et
donc je vous dis... je dois vous dire, si j'utilise une technologie pour
collecter ces informations-là, que cette technologie-là peut m'amener aux
éléments dont nous avons discuté, je dois vous en aviser, donc je ne peux pas
le faire à votre insu.
Alors, ceci étant, M. le Président, puis
je l'ai dit à 14, là, je ne suis pas hostile à ce qu'on le modifie, mais il
faut juste comprendre qu'on n'est pas dans le même contexte, ce n'est pas la
même finalité. Et, dans 14, on voulait s'assurer qu'il n'y avait pas quelque
chose qui se faisait à l'insu de la personne qui va naviguer, alors que ça, on
le sait que ça ne se fera pas à son insu. Maintenant, est-ce qu'on pourrait
aller plus loin et dire qu'on doit l'en aviser et lui permettre de l'activer?
Bien, je ne suis pas hostile à ça, M. le Président, là, puis, si les collègues
veulent soumettre un amendement dans ce sens-là, je leur dis d'emblée que je ne
serai pas hostile à ça du tout, là, mais on n'est pas dans le même contexte, et
c'est sûr qu'il faut comprendre que ça a un impact pour nos organismes publics parce
qu'on change la dynamique, mais je ne pense pas que ce soit dramatique.
Le Président (M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Oui, bien, c'est
ça. C'est que je pense qu'une des raisons qui expliquent le niveau
d'abstraction de la conversation qu'on a en ce moment, c'est qu'on essaie de
mettre des règles pour des technologies qui existent, mais on essaie aussi de
se dire : Bon, qu'est-ce qui pourrait exister comme technologie
prochainement? Puis ça nous... Puis c'est pour ça qu'on tourne autour du même
exemple. Il faudrait se donner le défi d'en trouver un autre pour notre prochaine
séance de commission, mais... parce qu'on pourrait créer des imbroglios.
Mais moi, je me dis : Ce n'est pas
impossible de penser que des organismes publics développent des technologies ou
des applications dans leur interaction avec les citoyens et citoyennes où il y
a, par exemple, de la localisation plus fréquente, tu sais : trouvez un
point de service près de chez vous. Grâce à votre profil de consommation, nous
allons vous aider à... on va personnaliser le service à la clientèle quand vous
allez appeler dans tel organisme public. Je ne sais pas, moi, tu sais. Bon, ça
fait que c'est ça qu'on parle quand qu'on parle de profilage, de localisation, bon.
C'est dans ces cas-là où c'est encore plus
important, il me semble, le «privacy by design», parce que c'est encore plus
invasif qu'une simple... qu'une collecte générale de <renseignements...
M. Nadeau-Dubois : ...on
va
personnaliser le service à la clientèle quand vous allez appeler dans tel
organisme public. Je ne sais pas, moi, tu sais. Bon, ça fait que c'est ça qu'on
parle quand qu'on parle de profilage, de localisation, bon.
C'est dans ces cas-là où c'est encore
plus important, il me semble, le «privacy by design», parce que c'est encore
plus invasif qu'une simple... qu'une collecte générale de >renseignements
personnels. Donc, je vais déposer l'amendement pour qu'on continue la
conversation. Ça a été envoyé, M. le Président, à la commission.
Le Président (M. Bachand) :
Si vous voulez en faire la lecture, on va le mettre sur Greffier, s'il vous
plaît.
M. Nadeau-Dubois : Parfait.
Donc : Remplacer, dans le deuxième paragraphe de l'article 65.0.1
proposé par l'article 18 du projet de loi, «désactiver» par «activer».
Le Président (M. Bachand) :
Parfait. Donc, il va être sur Greffier dans quelques instants, si ce n'est pas
déjà fait.
M. Nadeau-Dubois : Simple de
même.
M.
Caire
: On va
prendre une petite minute, M. le Président.
Le Président (M. Bachand) :
O.K., on va suspendre quelques instants. Merci beaucoup.
(Suspension de la séance à 17 h 07)
17 h 30 (version révisée)
(Reprise à 17 h 43)
Le Président (M. Bachand) :À l'ordre, s'il vous plaît! La commission reprend ses travaux. M.
le ministre, s'il vous plaît.
M.
Caire
: Après
des débats, O.K.
Le Président (M. Bachand) :
Donc, interventions sur l'amendement?
M. Tanguay
: O.K. à
quoi, là?
M.
Caire
: À l'amendement.
Le Président (M. Bachand) :
À l'amendement du député de Gouin.
M. Nadeau-Dubois : C'était le
passage de la deuxième opposition comme opposition officielle à l'Assemblée
nationale.
M.
Caire
: Tant
que ce n'est pas le gouvernement, moi, ça va.
M. Nadeau-Dubois : Non,
c'était l'amendement... Mon amendement, pour le bénéfice de tout le monde qui
en a discuté, était de remplacer «désactiver» par «activer» dans
l'article 65.0.1, là, au deuxième : «des moyens offerts, le cas
échéant, pour — donc, ça deviendrait — activer les
fonctions permettant d'identifier, localiser ou d'effectuer un profilage.»
M. Tanguay
: O.K. Maintenant,
le débat... Parfait, c'est un pas dans la bonne direction. Maintenant, l'impact
du «cas échéant», quant à la valeur systémique ou systématique de ce «activer»,
il y a la Commission d'accès à l'information qui, dans le contexte où c'était
marqué «le cas échéant, pour désactiver», disait : Bien là, «le cas
échéant», ça veut dire : Quand ça sera offert. Ça veut dire que, dans
certains cas, ça ne sera pas offert. Elle le disait : retirez «le cas
échéant» parce que ça devrait être offert partout. Alors, «des moyens offerts
pour activer», on pourrait peut-être terminer notre cheminement en enlevant «le
cas échéant».
M.
Caire
: Non,
ça, là-dessus, sur le «activer», «désactiver», j'ai fait... mais «le cas
échéant», c'est qu'il va y avoir des applications où ce ne sera pas possible.
M. Tanguay
: O.K. Ça
fait que ça, on est «back to square one».
M.
Caire
: Ça
fait que... puis là, puis c'est le débat que nous avons eu sur le «activer», «désactiver»,
il pourrait arriver que 63.6.1 ne couvre pas tous les cas de figure, notamment
une technologie où ce ne serait pas possible, auquel cas, là, avec la notion de
«activer», il faut que je te donne, le cas échéant, la possibilité de
l'activer.
M. Tanguay
: O.K.
Autrement dit, l'amendement du collègue de Gouin est un pas dans la bonne
direction. On n'a pas 100 %, mais, en <changeant...
M.
Caire
:
…une technologie où ce ne serait pas possible, auquel cas, là, avec la notion
de «activer», il faut que je te donne, le cas échéant, la possibilité de
l'activer.
M. Tanguay
: O.K.
Autrement dit, l'amendement du collègue de Gouin est un pas dans la bonne
direction. On n'a pas 100 %, mais, en >changeant «désactiver» par
«activer», ça veut dire, à ce moment-là, que, quand c'est technologiquement
possible, il faut qu'on puisse... qu'on se fasse demander de l'activer, là,
qu'on se fasse demander...
M.
Caire
: Oui,
puis ce que ça veut dire, c'est que, par défaut, je vais le désactiver. Donc,
c'est ça, «le cas échéant», c'est : si c'est possible, si ça se fait, il
sera désactivé, et je vais vous offrir la possibilité de l'activer. Si j'enlève
«le cas échéant», ça veut dire qu'il faut que, dans toutes les circonstances,
ce soit possible. Puis là, si l'application ne le permet pas, bien, on fait
quoi?
M. Tanguay
: Quelle
surveillance va être faite pour que de bonne foi, tout le monde est présumé de
bonne foi, ça soit technologiquement possible de demander pour activer les
fonctions mais que l'organisme dit : Ah! c'est marqué «le cas échéant»,
moi, je ne le demande pas? Quel sera...
M.
Caire
: Bien,
c'est la beauté de l'amendement du collègue de Gouin parce que... Voilà, hein?
Non, mais je suis bon prince quand même. Non, mais sérieusement, parce que, «le
cas échéant, de l'activer», ça, ça veut dire que moi, comme organisme, là,
c'est désactivé. Donc, mon intérêt de recueillir cette information-là par un
moyen technologique, je ne l'ai pas, à moins que vous alliez l'activer. Ça fait
que l'incitatif est plus du côté de l'utilisateur que de celui de qui on collecte
les informations.
M. Tanguay
: Je
reprends votre même exemple. Vous êtes l'organisme et vous voulez... vous êtes
technologiquement capable d'aller chercher cette fonction-là. Qu'est-ce qui va...
Mon point est très, très terre-à-terre, là. Qu'est-ce qui va vous... Parce que
oui, si vous avez l'option... Vous vous dites : Moi, j'ai une obligation
de le demander si je suis capable de le demander. Si je le veux et que je suis
technologiquement capable d'aller chercher le consentement pour que ce soit
activé, je dois faire ça, mes obligations en vertu de la loi, mais il va
falloir que mon organisme soit tout à fait de bonne foi pour me dire :
Bien, je vais le collecter sans demander le consentement de l'activer même si
je sais... ou prétendant que je ne peux pas le faire autrement
technologiquement.
M.
Caire
: Non,
non, non, je comprends. Je comprends le point du député. Non, non, non, ce que
la loi dit, c'est que je dois vous informer. Premièrement, je dois vous
informer que j'ai recours à cette technologie-là. Et ce que ça dit, c'est que
je dois vous indiquer comment... parce que ce <paramètre-là...
M.
Caire
: ...
comprends
le point du député. Non, non, non, ce que la loi dit, c'est que je dois vous
informer. Premièrement, je dois vous informer que j'ai recours à cette
technologie-là. Et ce que ça dit, c'est que je dois vous indiquer comment... parce
que ce >paramètre-là doit être désactivé. Puis on le lit dans la
perspective de 63.6.1 qui dit que je dois offrir le plus haut niveau de
sécurité à la navigation dans le paramétrage. Donc, ici, je dis que je dois
aussi vous indiquer comment l'activer, le cas échéant, «le cas échéant» étant
si cette possibilité-là, l'application le permet, mais ce n'est pas si l'application...
C'est parce que l'application ne peut
pas... Tu sais, vous ne pouvez pas arriver puis dire : Bien, non, mais
c'est parce que moi, je n'ai pas le choix, je veux dire, c'est actif, puis ça
ne se désactive pas. Non, parce que... puis c'est le débat que nous avons eu.
L'état d'un paramètre, ça se change, c'est sûr. Donc, la question est de savoir :
Est-ce que, par défaut, on veut le mettre dans un état inactif ou on veut le
mettre dans un état actif? Ici, l'interprétation à faire, au vu et au su de
63.6.1 combiné à ça, c'est que l'état, par défaut, on souhaite qu'il soit
inactif et si une telle possibilité existe. Si elle n'existe pas, je ne peux
pas vous le demander, elle n'existe pas. Il n'y a pas... Ce paramètre-là
n'existe pas. Ce n'est pas paramétrisable. Ça, ça se peut que ce ne soit pas
paramétrisable, ce n'est pas impossible. Et c'est d'où la proposition des
juristes de dire actif ou... activer ou désactiver, parce qu'ils se disaient :
Bien, c'est parce que là je veux couvrir l'ensemble des cas. Et je disais :
Si je peux l'activer, je peux le désactiver.
Donc, ce n'est pas comme ça qu'on va
couvrir l'ensemble des cas, mais la notion de cas échéant, là, elle prend
encore plus d'importance, au contraire, parce que là je dis d'entrée de jeu :
Si une telle possibilité existe, ce paramètre-là doit être inactif, et ce
que... je dois poser un geste concret envers vous pour le rendre actif. Donc,
ça, je dois vous informer que ça existe et je dois vous informer comment le
rendre actif. Ce que je ferai, si cette collecte d'information là, elle m'est nécessaire,
bien là, j'ai, moi, le fardeau de vous indiquer comment le faire, de vous le
demander, ce qui ajoute une couche de plus parce que ça devient une forme de
consentement explicite.
• (17 h 50) •
M. Tanguay
: À la collecte.
M.
Caire
: À la
collecte.
M. Tanguay
: Et pas à
l'utilisation. Parce que, plus tard, on pourra en parler, dans le dernier... plus
bas, là, dans la définition de profilage, on parle de collecte et utilisation.
On pourra en reparler, mais là je vais rester sur l'amendement du collègue.
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bien, je
salue l'ouverture du ministre puis je <pense que...
M.
Caire
: ...
explicite.
M. Tanguay
: À la
collecte.
M.
Caire
: À
la collecte.
M. Tanguay
: Et pas
à l'utilisation. Parce que, plus tard, on pourra en parler, dans le dernier...
plus bas, là, dans la définition de profilage, on parle de collecte et
utilisation. On pourra en reparler, mais là je vais rester sur l'amendement du
collègue.
Le Président (M.
Bachand) :
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Bien, je
salue l'ouverture du ministre puis je >pense que c'est normal qu'on
prenne le temps de bien comprendre ce qu'on est en train de faire, là. Parce
que je l'ai répété à plusieurs reprises puis j'ai l'occasion de le faire
encore, là, tu sais, c'est des enjeux qui sont nouveaux technologiquement, puis
on écrit la loi pour encore de nombreuses années.
La Commission d'accès à l'information
avait parlé du problème de l'expression «le cas échéant», puis ce qu'elle nous
disait, c'est : «Les mots "le cas échéant" laissent entendre
qu'il n'est pas obligatoire pour une entreprise ou un organisme public d'offrir
aux personnes la possibilité de désactiver ces fonctions.» Donc, eux
recommandaient qu'on retire le mot «le cas échéant» parce qu'ils se disaient :
Il faut que dans tous les cas, ils disaient, sauf dans certains cas
exceptionnels, ça devrait être permis de désactiver.
M.
Caire
: Mais
si je peux me permettre, M. le député...
M. Nadeau-Dubois : Là, ce
qu'on... en changeant désactiver pour activer...
M.
Caire
: On
applique la même logique.
M. Nadeau-Dubois : ...on vient
d'atteindre le même objectif que celui de la Commission d'accès à l'information...
M.
Caire
: Absolument,
mais je réitère...
M. Nadeau-Dubois : Et, dans ce
cas, ça ne devient plus problématique de conserver l'expression «le cas échéant»,
puisque l'idée, c'est de dire : Si c'est possible de demander l'activation
de ces fonctions, vous devez le faire.
M.
Caire
: Bien,
oui, puis je n'y vois pas d'objection, mais c'est surtout que l'interprétation...
parce que là je comprends qu'il pouvait potentiellement, selon la CAI, y avoir
un problème d'interprétation. Là, je pense que ce problème d'interprétation là
ne se pose plus parce que «le cas échéant», du point de vue de ce que nous, on
voulait faire, était vraiment : lorsque la technologie le permet. C'était
ça, le point, bon, en phrasé juridique.
Maintenant, comme il s'agit d'activer,
bien, on comprend qu'il n'y a plus de possibilité pour un organisme de dire :
Bien, je vais l'activer en douce puis... Non, là, là, par défaut, tu dois le
désactiver. C'est ça, la logique de l'article.
Le Président (M. Bachand) :Interventions sur l'amendement du député de Gouin? S'il n'y a
pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention, M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lévesque
(Chapleau)?
M. Lévesque (Chapleau) : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est adopté. Donc, nous sommes toujours à
l'article introduit, 65.0.1. M. le député de LaFontaine.
M. Tanguay
: Oui, merci,
M. le Président. À la fin de 65.0.1 : «Le profilage s'entend de la
collecte — on vient d'en parler ad nauseam, de la collecte — et
de l'utilisation de renseignements — donc, j'en suis au niveau de
l'utilisation — personnels afin d'évaluer certaines caractéristiques
d'une personne physique, notamment — puis là on donne des exemples, notamment,
c'est des exemples — à des fins d'analyse du rendement au travail...»
Ça, j'imagine que c'est le rendement au travail, évidemment, <des...
M. Tanguay
:
...parler ad nauseam, de la collecte
— et de l'
utilisation
de
renseignements
— donc, j'en suis
au niveau de
l'utilisation
— de renseignements personnels afin d'évaluer
certaines caractéristiques d'une personne physique, notamment — puis
là on donne des exemples, notamment, c'est des exemples — à des fins
d'analyse du rendement au travail...» Ça, j'imagine que c'est le rendement au
travail, évidemment, >des personnes qui travaillent au sein d'organisme
public.
Donc, pour des fins autres que pour servir
le citoyen qui nous a donné, on veut utiliser ça pour faire des... tester des
affaires puis atteindre d'autres objectifs que de servir le citoyen. Alors :
«...des situations économiques, de la santé, des préférences personnelles, des
intérêts ou du comportement de cette personne.»
Ne pourrions-nous pas ajouter, M. le
Président, un amendement qui dirait textuellement ce qui suit : Le
consentement de la personne est nécessaire pour l'utilisation de renseignements
personnels à des fins de profilage? Parce que là c'est des fins autres, et je
pourrais, moi, pouvoir décider de ne pas être dans des statistiques qui vont
analyser mon comportement, notamment, là.
M.
Caire
: Bien,
je vous dirais, M. le député, que l'amendement qu'on vient d'adopter... En
fait, dans l'état initial, je vous aurais dit : Oui, effectivement,
regardons ça, mais, avec l'amendement du député de Gouin, le fait d'activer les
technologies qui me permettent de faire ça, pour moi, puis je laisserai
Me Deschênes me corriger, mais, pour moi, c'est un consentement explicite.
C'est un peu ce que je vous disais tantôt,
M. le député, c'est qu'on vient effectivement de faire d'une pierre deux coups,
dans le sens où on dit à la personne : Je vais faire ça, si tu es
d'accord, vas à tel endroit, active l'application. Et ça, ça devient un
consentement,et un consentement explicite. Puis ça relève de ce qu'on disait à
65, en disant : Si tu me donnes les informations, dans le contexte où je
te dis pour quoi je les collecte, à quelles fins je les collecte, bien, ça
revient à me donner le consentement de les utiliser, ce pour quoi je t'ai dit
que je les collectais. Donc, il y a une...
M. Tanguay
:
Excusez-moi. Quand on dit à 65, «les fins auxquelles ces renseignements sont
recueillis», je ne... on ne peut pas, je crois, le lire comme étant
l'obligation de tout lister les fins à titre de profilage pour lesquelles
j'utiliserais l'information. Les fins de 65, 2°, là, paragraphe 2°, c'est :
Je collecte tel, tel, tel renseignement, moi, organisme public, vous concernant
puis je vais utiliser ça afin de vous émettre un permis, afin de vous donner
une carte d'assurance maladie, tati, tata. Mais les fins de profilage, je
pense, ne seront jamais divulguées en vertu de 65, 2°, parce qu'elles sont
multiples, elles sont changeantes et elles sont autres par <définition...
M. Tanguay
: ...de
vous
donner une carte d'assurance maladie, tati, tata. Mais les fins de profilage,
je pense, ne seront jamais divulguées en vertu de 65, 2°, parce qu'elles sont
multiples, elles sont changeantes et elles sont autres par >définition.
M.
Caire
: Bien,
en fait, c'est parce que le paragraphe 1° et 2°... Vous dites : Moi,
je... Donc, en plus des informations, si vous recueillez «des renseignements
personnels auprès de personne concernée en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou
d'effectuer du profilage de celle-ci», on doit l'informer que... je dois vous
informer que je fais ça. Puis non seulement je dois vous informer que je fais
ça, mais vous devez aller... puis pour reprendre l'exemple du député de Gouin,
vous devez aller dans tel onglet, à telle case, activer telle case à cocher
pour me permettre d'activer ces outils-là qui vont me permettre de faire ce
dont je viens de vous informer.
M. Tanguay
: Autrement
dit... puis je suis le ministre. Je suis le ministre jusqu'à un certain point. Autrement
dit, puis là on pourrait suivre totalement, c'est qu'en activant de façon
proactive, moi, je suis l'utilisateur, là, on a changé «désactiver» par «activer»,
en activant... Comme dirait Jean Lapierre, là, j'achète un cochon dans un sac,
je ne l'ai pas vu, je ne sais pas ce qu'on va faire avec ça, mais on va faire
du profilage.
M.
Caire
: Non,
non, non, parce que moi, je vous ai informé de ça, là. Ça, c'est paragraphe 1°,
je vous informe.
M. Tanguay
: Mais
l'utilisation pourra être...
M.
Caire
: Non,
mais je vous dis : Écoutez, là, moi, là, je collecte ces informations-là,
bon, 65, je décline le pourquoi, le qui, le quand, le où et, en plus, je vous
le dis, là, les outils que j'utilise, ça ve me permettre peut-être de vous
identifier, de faire du profilage et/ou de vous géolocaliser. Et là, dans la
loi... puis là vous allez me dire : Tout le monde ne lira pas la loi, là,
je suis bien d'accord, mais quand même, ça me donne les exemples de ce que
c'est, le profilage, mais moi, je vous informe de ça, là.
M. Tanguay
: C'est ça,
mon point. Profilage, «sky is the limit», le profilage, l'utilisation.
M.
Caire
: Je
comprends, mais ça reste que vous avez l'opportunité de ne pas l'activer puis
de dire : Bien, écoute, moi, non, je ne suis pas sûr que... je ne sais pas
trop, là, tu veux faire du profilage... Parce que ça, je vous le dis, là, c'est
du profilage, c'est de la géolocalisation, c'est de l'identification. Ça,
paragraphe 1°, je vous dis que j'ai recours à cette technologie-là, je
vous informe comment l'activer. Vous ne l'activez pas? Parfait. Vous l'activez?
Bien, vous me posez trois, quatre questions avant, là : O.K., tu vas faire
quoi avec ça, là?
• (18 heures) •
M. Tanguay
: Parce que
le collègue de Gouin avait un autre exemple aussi, si on veut sortir de la SAQ,
l'exemple, le cas échéant, d'une passe de transport en commun électronique, qui
va être une mine d'informations extraordinaire pour la collectivité, savoir si
tel le circuit... Avant, rappelez-vous, on était sur le quai de gare puis on
faisait des sondages : Bonjour, madame. Bonjour, monsieur. D'où vous venez?
Quelles sont vos habitudes de transport? Là, ça va être en temps réel, si vous
cochez «activer», puis ça va être extraordinaire, mais il y a des enjeux,
évidemment, de vie privée là-dedans aussi, là.
Mon point est que, tel qu'illustré, les <utilisations
de profilage...
>
18 h (version révisée)
<11789
M.
Tanguay
: ...on faisait des sondages : Bonjour, madame.
Bonjour, monsieur. D'où vous venez? Quelles sont vos habitudes de transport?
Là,
ça va être en temps réel, si vous cochez «activer», puis
ça
va être
extraordinaire, mais
il y a des enjeux,
évidemment,
de vie privée
là-dedans aussi, là.
Mon point est que, tel qu'illustré, les
>utilisations de profilage seront tellement... puis les exemples, je
pense que les exemples ne sont pas anodins et ne sont pas candides. Ça pourrait
même être du profilage, pas pantoute pour dire : Aïe! il y a du monde sur
cette ligne-là, le matin, là, il va falloir mettre deux autobus à l'heure,
parce qu'il y a réellement trop de monde. Ça, je vais embarquer à 100 milles
à l'heure là-dessus, mais ça pourrait même être pour le comportement, oui, de
cette personne, mais ça pourrait être pour des caractéristiques à des fins de
rendement au travail. Tu sais, quand vous dites l'analyse du rendement au
travail, des personnes pour qui ils travaillent, tout ça, là, c'est réellement,
là, 365 degrés, là.
M.
Caire
: Bien,
en tout cas, là-dessus, je suis moins d'accord avec le collègue, mais, comme je
dis, il n'en demeure pas moins que le fait d'avoir la possibilité ou non
d'activer les technologies en question, pour moi, c'est l'arme ultime. C'est
que, dans le fond, tout le reste, oui, on peut, mais, tu sais, c'est...
M. Tanguay
: Mais rien
n'empêcherait, ceci dit... mais rien n'empêcherait, de façon spécifique, de
demander l'autorisation spécifique en vue d'améliorer le service de transport.
Nous permettez-vous, de façon spécifique... On peut, de façon ad hoc, aller
chercher un organisme. On pourrait construire une façon d'aller chercher la
donnée.
M.
Caire
: C'est
juste que, dans les circonstances où, vraiment, là, on active le... de le
mettre dans la loi, c'est parce que je me dis, il y a des cas, puis c'est là où
je vais rejoindre mes collègues juristes...
M. Tanguay
: ...vous
réconcilier avec eux autres, parce que tantôt, ça brassait, puis on s'est
dit : Aïe! on n'interviendra...
M.
Caire
: On a
des discussions cordiales, mais viriles, mais cordiales. Mais bref, tout ça
pour dire, M. le Président, que là je pense, compte tenu du fait qu'on a
quasiment donné l'arme nucléaire, là, le reste, je me dis : Il me semble,
là, qu'on commence à rajouter des couches, puis là, c'est là que ça devient
bureaucratique, ça devient lourd, ça devient... Ça fait que, dans le fond, le
contrôle ultime, c'est la personne qui l'a en disant : Bien, moi, non, je
ne vais pas activer ça, là. Je ne sais pas qu'est-ce que tu vas faire avec ça,
là, ça fait que je ne l'active pas.
Le Président (M.
Bachand) :Député de Gouin? O.K. Donc, il
y a un vote. M. le député de Gouin, on va suspendre pour vous permettre d'aller
voter. Merci beaucoup.
(Suspension de la séance à 18 h 03)
>
(Reprise à 18 h 14)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. Interventions? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: M. le
Président, on est... là, on est sur l'article 18, qui introduit 65.0.1
puis 65.0.2, c'est ça? On ne saucissonne pas les deux, là. La conversation est
sur les deux, puis il n'y a pas d'autre article. Moi, ça me va, il n'y a pas
d'autre commentaire.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Nous
parlions de profilage, d'identification et de localisation tout à l'heure,
sujets bien importants, à la fois dans le public, puis on aura des discussions
similaires dans le privé, là, dans le privé, c'est-à-dire dans la partie du projet
de loi qui porte sur le secteur privé. Dans son mémoire, la Commission d'accès
à l'information recommande plusieurs choses relativement aux dispositions qui
portent sur le profilage. Une de ses recommandations, c'est d'interdire carrément
l'utilisation de renseignements personnels sensibles à des fins de profilage.
J'ai déposé un amendement un peu plus tôt
dans l'étude détaillée pour préciser la définition de ce qu'est un
renseignement personnel <sensible...
M. Nadeau-Dubois : ...de
renseignements
personnels sensibles à des fins de profilage.
J'ai déposé un amendement un peu plus
tôt dans l'étude détaillée pour préciser la définition de ce qu'est un
renseignement personnel >sensible. Et ce que recommande la CAI, pour des
raisons qui, moi, m'apparaissent assez évidentes, là, c'est d'interdire l'utilisation
de renseignements sensibles à des fins de profilage, sauf en cas de
consentement exprès de la personne concernée ou dans les cas où la loi l'autorise
expressément.
J'aimerais savoir... le ministre a dit à plusieurs
reprises qu'il avait eu des conversations avec la CAI, qu'il trouvait l'avis de
la CAI vraiment important dans l'élaboration du projet de loi. Je voulais
savoir quelles sont ses réflexions sur cette recommandation de la CAI. Puis, en
toute transparence, on a un amendement qu'on pourrait présenter pour donner
suite à cette recommandation-là, qui n'est pas une porte fermée à double tour,
hein, mais qui est de dire : Par défaut, c'est interdit de profiler avec
des renseignements sensibles, tels que nous les avons collectivement ici
définis un peu plus tôt, sauf quand il y a un consentement exprès. Qu'en pense
le ministre?
M.
Caire
: Bien,
je vous dirais que j'ai... peut-être à cause de mon mandat, j'ai peut-être un
peu moins d'a priori. Je m'explique, M. le Président. Ce que nous vivons au Québec
présentement, ce n'est pas une utilisation... Puis là je parle des organismes
publics, parce que, là, on est... puis comme le collègue de Gouin l'a précisé,
on parle des organismes publics. Nous aurons une conversation sur les entreprises
privées, le cas opportun, mais dans nos organismes publics, on n'est pas dans
une dynamique d'utilisation pernicieuse de renseignements personnels, renseignements
sensibles. Et aux fins de la discussion, je vais parler de renseignements
personnels en englobant les renseignements sensibles, si le collègue le permet.
Ce qu'on vit, c'est exactement le
contraire, c'est-à-dire que, tout à l'heure, je parlais avec le député de LaFontaine
puis je lui disais : L'état du droit fait en sorte que tous nos organismes
publics sont propriétaires et détenteurs des renseignements qu'ils collectent.
Il n'y a pas ou peu... «pas», le mot est trop fort, mais il y a peu de possibilités
de s'échanger des informations, justement, au nom de la protection, je dirais justement
au nom d'un concept de la protection des renseignements personnels qui veut que
je dois garder ça le plus serré possible.
L'impact de ça, M. le député, c'est une
médiocre qualité de service à nos concitoyens, médiocre, <et le mot,
je...
M.
Caire
:
...qui veut que je dois garder ça le plus serré possible.
L'impact de ça,
M. le député,
c'est une médiocre qualité de service à nos concitoyens, médiocre, >et
le mot... je pèse mes mots. L'impact de ça, c'est une offre de services
anémique. Services numériques, on s'entend. Quand je parle de l'offre et de la
qualité, c'est les services numériques.
Je donne un exemple que j'aime bien
reprendre pour les fins de la discussion. Mon fils... j'inscris mon fils le
plus jeune au secondaire pour l'année prochaine, ce qui, outre le fait de me
faire sentir encore plus vieux, me permet de tester l'état des lieux en termes de
services numériques. Donc, je vais à une école X, dont je tairai le nom, pour
inscrire mon fils. Cette école me demande les bulletins de mon fils de l'année
dernière. Or, la question : Pourquoi une entité du ministère de
l'Éducation me demande de communiquer avec le ministère de l'Éducation pour
demander au ministère de l'Éducation de me procurer un document que je vais
donner à cette entité du ministère de l'Éducation? Pourquoi ils ne se parlent
pas? Pourquoi je suis obligé de... Pourquoi, moi, je suis obligé de jouer à
l'intermédiaire entre deux entités du ministère de l'Éducation pour fournir une
information au ministère de l'Éducation qui est produite par le ministère de
l'Éducation? Comme citoyen, c'est ça. C'est ça, ma vision des choses.
Alors là, on pousse un peu plus loin. On
me demande aussi un original de son certificat de naissance. Donc, je vais
aller à l'État civil, entité du gouvernement, lui demander de produire un document,
papier évidemment que je vais amener à l'école en question, qui va prendre une
copie dudit document et qui va retourner à l'État civil pour demander à l'État
civil d'attester qu'il s'agit bien d'un document produit par l'État civil.
C'est fou, là. C'est d'une inefficacité honteuse, honteuse. Ça me met hors de
moi qu'au XXIe siècle les Québécois soient au quotidien pris, je dis bien
«pris», à jouer les intermédiaires entre deux organismes, deux organisations
publiques du gouvernement du Québec parce que ces organisations publiques là ne
sont pas capables de se parler. On pollue l'existence de nos concitoyens, alors
qu'on a juré de les servir.
• (18 h 20) •
Ça, M. le député, c'est la vision du
ministre délégué à la Transformation numérique, qui se dit : Au XXIe siècle,
là, ce n'est pas normal, ce n'est pas acceptable. <Or, les organismes...
M.
Caire
: ...
de
les servir.
Ça,
M. le député, c'est la
vision du ministre délégué à la Transformation numérique, qui se dit : Au
XXIe siècle, là, ce n'est pas normal, ce n'est pas acceptable. >Or,
les organismes publics en question vont vous dire : M. le député, je
voudrais bien faire ce que vous me demandez, je n'ai pas le droit. La loi ne me
le permet pas. Puis là je pourrais vous donner, M. le député de Gouin, nombre
d'exemples où on a demandé à nos concitoyens de poser des gestes totalement
inutiles. Je pourrais vous donner nombre d'exemples où on a demandé à des
employés de l'État de poser une panoplie de gestes totalement inutiles et
injustifiables au XXIe siècle, parce qu'ils ne se parlent pas, parce que
la loi dit qu'ils n'ont pas le droit de se parler.
Bien, comme législateur... puis moi, je
renvoie la balle au collègue. Je renvoie la balle au collègue, comme
législateur, est-ce qu'on se sent interpelés par ça? Est-ce qu'il ne serait pas
temps d'aborder la loi dans une perspective où nous avons une obligation, oui,
de protéger les renseignements personnels qui nous sont confiés, clairement,
mais où nous avons aussi une obligation de donner des services à la population,
de faciliter la vie de nos concitoyens, de rendre le service aussi convivial,
et disponible, et simple à utiliser que possible, et jamais le contraire?
Alors, je dis à mon collègue : Ce que
j'en pense?, bien, j'en pense, M. le Président, qu'on doit trouver... à chaque
fois qu'on prend une décision, on doit trouver un équilibre. Le rôle de la
Commission d'accès à l'information, pour qui j'ai le plus grand respect, n'est
pas de faire ces arbitrages-là. Le rôle de la Commission d'accès à
l'information, c'est de s'assurer de veiller à ce que la loi soit respectée
dans une perspective où on a une protection adéquate des renseignements
personnels de nos concitoyens. Ça, c'est son rôle et elle le joue très bien, à
mon avis.
Maintenant, pour aller plus précisément à
la question du collègue, ce que j'en pense, je ne suis pas d'accord. Je ne suis
pas d'accord qu'on devrait l'interdire. Je suis d'accord qu'on doit mettre des
mécanismes en place pour s'assurer que ces renseignements-là, sensibles,
personnels, pas sensibles, soient utilisés aux fins pour lesquelles ils sont
collectés. Je suis de ceux qui pensent qu'on doit prendre tous les moyens
possibles et nécessaires pour en assurer la protection d'une utilisation
malveillante, frauduleuse, négligente. J'en suis. Mais l'interdiction
systématique sous-entend que je ne peux pas utiliser ces renseignements-là à
des fins bénéfiques pour le citoyen, sauf si le citoyen y consent, alors qu'on
a amené tout à l'heure, avec <Me Miville-Deschênes, la...
M.
Caire
: ...
sous-entend
que je ne peux pas utiliser ces renseignements-là à des fins bénéfiques pour le
citoyen, sauf si le citoyen y consent, alors qu'on a amené tout à l'heure, avec
>Me Miville-Deschênes, la situation où l'intérêt manifeste est quelque
chose qu'on peut aussi considérer dans l'utilisation des renseignements
personnels. Et, pour moi, le renseignement sensible ne fait pas exception à ça,
dans le sens où, si je les utilise dans l'intérêt manifeste d'un citoyen, bien,
je devrais pouvoir le faire.
Donc, avoir une vision rigide, une vision
en tunnel parce que ce sont des renseignements sensibles, c'est de dire qu'il
ne peut pas y avoir une utilisation... Bien non, là, je vais trop loin. C'est
de présumer que, outre le consentement, il n'y a pas une utilisation légitime
qui peut être faite de ces informations-là, et je ne loge pas à cette
enseigne-là.
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M. Nadeau-Dubois : Bien,
j'apprécie le plaidoyer du ministre, c'est juste que ce n'est pas l'objet ni de
l'article ni de l'amendement que je dépose, c'est-à-dire que la...
M.
Caire
: Mais,
si je peux me permettre, je faisais un commentaire général à l'invitation du
député de Gouin...
M. Nadeau-Dubois : Oui, oui,
non, c'est correct, c'est juste que... puis on pourrait... c'est parce que moi,
je pourrais répondre sur le commentaire général, et de commentaire en
commentaire général, on pourrait avoir une discussion philosophique ou de politique
générale, mais bon.
M.
Caire
: 120,
c'est moins.
M. Nadeau-Dubois : Pardon?
M.
Caire
: 120,
c'est moins.
M. Nadeau-Dubois : Oui, c'est
ça, sans profilage de la part de la SAQ pour nous conseiller les bons achats de
vins, ces déductions qui sont moins le fun. Mais non, mais plus sérieusement,
là, ici, la recommandation de la CAI, ce n'est pas, comme disait le ministre,
là, une interdiction systématique. Là, c'est d'exiger un consentement plus
exigeant pour ce type de renseignement personnel, les renseignements personnels
sensibles, que pour d'autres renseignements personnels.
M.
Caire
: Mais
on le fait, M. le député.
M. Nadeau-Dubois : Donc, c'est
de dire... bien, j'y arrive, c'est-à-dire qu'on a défini, notamment suite à mon
amendement... on a bien cerné ce qu'est un renseignement personnel sensible, c'est-à-dire
un renseignement qui, de par sa nature... et là on avait ajouté «notamment
médical, biométrique ou autrement intime, ou en raison du contexte de son
utilisation ou de sa communication suscite un haut degré d'attente raisonnable
en matière de vie privée», critère qui nous a été expliqué par nos juristes, un
critère qui existe déjà, notamment défini par des décisions de la Cour suprême
sur les fouilles abusives. Donc, on a déjà défini dans le projet de loi qu'il y
a une certaine catégorie de renseignements personnels qui sont plus sensibles
que d'autres. À partir...
Le Président (M.
Bachand) : ...M. le député de Gouin. Vous parlez de votre amendement,
aimeriez vous le déposer?
M. Nadeau-Dubois : Bien, on y
viendra, là, je parlais... je répondais au commentaire général du ministre.
Le Président (M.
Bachand) : Parfait. C'est beau. C'est juste parce que le temps
file, je voulais juste m'assurer...
M. Nadeau-Dubois : Oui, bien,
sinon, je le déposerai.. je veux dire, la prochaine fois, là, je...
Le Président (M.
Bachand) : Parfait. Merci.
M. Nadeau-Dubois : Vous allez
avoir le plaisir d'avoir ma compagnie mercredi prochain, <M. le
Président.
Le Président (M. Bachand) :
...vous parlez de votre
amendement, aimeriez vous le déposer?
M. Nadeau-Dubois : Bien, on
y viendra, là, je parlais... je répondais au commentaire général du ministre.
Le Président (M.
Bachand) : Parfait. C'est beau. C'est juste parce que le temps
file, je voulais juste m'assurer...
M. Nadeau-Dubois : Oui,
bien, sinon, je le déposerai, je veux dire, la prochaine fois, là, je...
Le Président (M.
Bachand) : Parfait. Merci.
M. Nadeau-Dubois : Vous
allez avoir le plaisir d'avoir ma compagnie mercredi prochain, >M. le
Président.
Donc, on s'est entendu sur le fait qu'il y
a certains types de renseignements personnels qui sont plus sensibles que
d'autres. Bon, à partir de ça... et si on a défini ça dans le projet de loi,
c'est bien parce qu'ils méritent d'être traités différemment s'ils sont plus
sensibles. On n'aurait pas pris la peine de créer cette catégorie dans le projet
de loi si nous n'avions pas comme intention de, plus loin dans le projet de loi,
les considérer différemment des renseignements personnels qui ne sont pas
sensibles. Je pense que la... sinon, on n'aurait écrit une définition. On a
écrit une définition parce qu'ils sont particuliers puis qu'on veut les traiter
de manière particulière. C'est juste ça, mon commentaire.
Et donc la CAI recommandait, à la
page 23 de son mémoire, d'interdire l'utilisation des renseignements
sensibles à des fins de profilage. Donc, ce n'est pas interdire toute
utilisation des renseignements sensibles, c'est d'interdire leur utilisation à
des fins de profilage. Et la CAI faisait une grosse exception, c'est-à-dire
sauf en cas de consentement exprès de la personne concernée ou dans les cas où
la loi l'autorise expressément. Donc, ce n'était ni dans l'intention de la CAI
ni dans mon intention d'interdire systématiquement l'utilisation des
renseignements personnels sensibles par les organismes publics ni même
d'interdire systématiquement leur utilisation à des fins de profilage. Donc, il
y a deux niveaux de nuance : de un, personne ne dit qu'ils ne doivent pas
être utilisés; de deux, personne ne dit qu'ils ne doivent pas être utilisés à
des fins de profilage, ni moi, ni la CAI.
Ce que la CAI dit et que je reprends à mon
compte, c'est : Pour qu'ils puissent être utilisés à des fins de
profilage, ces renseignements sensibles, on devrait demander un consentement
exprès de la personne concernée ou prévoir dans la loi, de manière explicite,
les moments où c'est possible pour les organismes publics d'utiliser les
renseignements personnels à des fins de profilage. Là-dessus spécifiquement,
qu'est-ce qu'en pense le ministre?
Le Président (M.
Bachand) : En quelques secondes, M. le ministre.
M.
Caire
: Oui.
Bien, je dirai qu'on le fait déjà. Quand on a parlé... abordé les
renseignements sensibles dans les articles précédents, on a dit que, dans ce
cas-là... parce que, souvenez-vous, là, il y avait des cas de consentement
où... on a établi les cas de consentement, mais dans le cas des renseignements
sensibles, on a dit que le consentement devait être donné expressément. Donc,
ça, on l'a déjà fait ça dans la loi et...
M. Nadeau-Dubois : Juste, à
quel article, juste pour mon... pour que mes réflexions, d'ici mercredi
prochain, soient productives.
M.
Caire
:
Me Deschênes...
M. Miville-Deschênes
(Jean-Philippe) : Il y a 65.1, en fait, c'est le 19, par rapport à
l'utilisation.
M.
Caire
: Mais
dans la définition des renseignements sensibles puis du...
M. Miville-Deschênes
(Jean-Philippe) : C'était à 59, article 12.
M.
Caire
: Oui,
c'est ça, article 12. C'est-tu ça, 12?
• (18 h 30) •
M. Miville-Deschênes
(Jean-Philippe) : Les renseignements sensibles <dans le privé...
M. Nadeau-Dubois : ...
d'ici mercredi prochain, soient productives.
M.
Caire
:
Me Deschênes...
M. Miville-Deschênes
(Jean-Philippe) :
Il y a 65.1, en fait, c'est le 19, par
rapport à l'utilisation.
M.
Caire
:
Mais dans la définition des renseignements sensibles puis du...
M. Miville-Deschênes
(Jean-Philippe) :
C'était à 59, article 12.
M.
Caire
:
Oui, c'est ça, article 12. C'est-tu ça, 12?
• (18 h 30) •
M. Miville-Deschênes
(Jean-Philippe) :
Les renseignements sensibles >dans le
privé...
M.
Caire
: Article 12.
M. Miville-Deschênes
(Jean-Philippe) : Article 12 du projet de loi, 59 de la loi sur
l'accès..
M.
Caire
: C'est
ça, où on dit : «Un organisme public ne peut communiquer un renseignement
sans le consentement de la personne concernée. Ce consentement doit être
manifesté de façon expresse dès qu'il s'agit d'un renseignement personnel
sensible.» Article 12, qui introduit l'article 59.
Le Président (M.
Bachand) :Merci beaucoup à tout le monde.
Compte tenu de l'heure, la commission
ajourne ses travaux sine die. Merci.
(Fin de la séance à 18 h 31)