Journal des débats de la Commission des institutions
Version préliminaire
42e législature, 1re session
(27 novembre 2018 au 13 octobre 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Le
mercredi 12 mai 2021
-
Vol. 45 N° 148
Étude détaillée du projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Aller directement au contenu du Journal des débats
11 h (version non révisée)
(Onze heures dix-sept minutes)
Le Président (M.
Bachand) : Bon matin. Ayant constaté le quorum, je déclare la
séance de la Commission des institutions ouverte. Avant de débuter les travaux
de la commission, je vous rappelle que le port du masque de procédure est
obligatoire en tout temps hormis au moment de prendre la parole durant nos
travaux.
La commission est réunie afin de
poursuivre l'étude détaillée du projet de loi n° 64, Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels.
Avant de débuter, Mme la secrétaire, y
a-t-il des remplacements?
La Secrétaire
: Oui, M.
le Président. M. Birnbaum (D'Arcy-McGee) est remplacé par M. Barrette
(La Pinière); M. Zanetti (Jean-Lesage) par M. Nadeau-Dubois (Gouin);
et Mme Hivon (Joliette) par M. Ouellet (René-Lévesque).
Le Président (M.
Bachand) : Merci. Je vous rappelle qu'il avait été convenu de
suspendre le titre des amendements visant à introduire l'article 36.1
proposé par le ministre. Nous avions également suspendu les articles 78 à
85 inclusivement et 93 du projet de loi.
Lors de l'ajournement de nos travaux,
hier, nous venions d'adopter l'amendement visant à introduire le nouvel article 94.1.
Donc, M. le ministre, je vous invite donc à lire l'article 95 du projet de
loi.
M.
Caire
: Oui. Merci,
M. le Président. Écoutez, j'espère que vous êtes patient, parce que celui-là,
il est assez costaud. Donc, l'article 95 : Cette loi est modifiée par
l'insertion, après l'article 3, de la section suivante :
«Section...
Le Président (M.
Bachand) : …visant à introduire le nouvel article 94.1. Donc, M.
le ministre, je vous invite donc à lire l'article 95 du projet de loi.
M.
Caire
: Oui.
Merci, M. le Président. Écoutez, j'espère que vous êtes patient parce que
celui-là, il est assez costaud.
Donc, l'article 95 : Cette loi est
modifiée par l'insertion, après l'article 3, de la section suivante :
«Section I.1
«Responsabilités relatives à la protection
des renseignements personnels
«3.1. Toute personne qui exploite une
entreprise est responsable de la protection des renseignements personnels
qu'elle détient.
«Au sein de l'entreprise, la personne
ayant la plus haute autorité veille à assurer le respect et la mise en oeuvre
de la présente loi. Elle exerce la fonction de responsable de la protection des
renseignements personnels; elle peut déléguer cette fonction par écrit, en tout
ou en partie, à un membre du personnel.
«Le titre et les coordonnées du
responsable de la protection des renseignements personnels sont publiés sur le
site Internet de l'entreprise ou, si elle n'a pas de site, rendus accessibles
par tout autre moyen approprié.
«3.2. Toute personne qui exploite une
entreprise doit établir et mettre en oeuvre des politiques et des pratiques
encadrant la gouvernance à l'égard des renseignements personnels et propres à
assurer la protection de ces renseignements. Celles-ci doivent notamment
prévoir l'encadrement applicable… la conservation et… la destruction de ces
renseignements, prévoir les rôles et les responsabilités des membres de son
personnel tout au long du cycle de vie de ces renseignements et un processus de
traitement des plaintes relatives à la protection de ceux-ci. Elles doivent également
être proportionnées à la nature et à l'importance des activités de l'entreprise
et être approuvées par le responsable de la protection des renseignements
personnels.
«Ces politiques sont publiées sur le site
Internet de l'entreprise ou, si elle n'a pas de site, rendues accessibles par
tout autre moyen approprié.
«3.3. Toute personne qui exploite une
entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée
de tout projet de système d'information ou de prestation électronique de
services impliquant la collecte, l'utilisation, la communication, la
conservation ou la destruction de renseignements personnels.
«Aux fins de cette évaluation, la personne
doit consulter, dès le début du projet, son responsable de la protection des renseignements
personnels.
• (11 h 20) •
«La personne doit également s'assurer que
ce projet permet qu'un renseignement personnel informatisé recueilli auprès de
la personne concernée soit communiqué à cette dernière dans un format
technologique structuré et couramment utilisé.
«3.4. Le responsable de la protection des
renseignements personnels peut, à toute étape d'un projet visé à l'article 3.3,
suggérer des mesures de protection des renseignements personnels applicables à
ce projet, telles que :
«1° la nomination d'une personne chargée
de la mise en oeuvre des mesures de protection des renseignements personnels;
«2° des mesures de protection des
renseignements personnels dans tout document relatif au projet;
«3° une description des responsabilités des
participants au projet en matière de protection des renseignements personnels;
«4° la tenue d'activités de formation sur
la protection des renseignements personnels pour les participants au projet.
«3.5. Une personne qui exploite une
entreprise et qui a des motifs de croire que s'est produit un incident de
confidentialité impliquant un renseignement personnel qu'elle détient doit
prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit
causé et éviter que de nouveaux incidents de même nature ne se produisent.
«Si l'incident présente…
M.
Caire
: …et
qui a des motifs de croire que s'est produit un incident de confidentialité
impliquant un renseignement personnel qu'elle détient doit prendre les mesures
raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter de
nouveaux incidents de même nature… que des incidents de même nature ne se
produisent.
Si l'incident présente un risque qu'un
préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission
d'accès à l'information instituée à l'article 103 de la Loi sur l'accès
aux documents des organismes publics et sur la protection des renseignements
personnels (chapitre A-2.1). Elle doit également aviser toute personne
dont un renseignement personnel est concerné par l'incident, à défaut de quoi
la Commission peut lui ordonner de le faire. Elle peut également aviser toute
personne ou tout organisme susceptible de diminuer ce risque, en ne lui
communiquant que les renseignements personnels nécessaires à cette fin sans le
consentement de la personne concernée. Dans ce dernier cas, le responsable de
la protection des renseignements personnels doit enregistrer la communication.
Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête faite par
une personne ou un organisme qui, en vertu de la loi, est chargé de prévenir,
détecter ou réprimer le crime ou les infractions aux lois. Un règlement du
gouvernement peut déterminer le contenu et les modalités des avis prévus au
présent article.
«3.6. Pour l'application de la présente
loi, on entend par "incident de confidentialité" :
1° l'accès non autorisé par la loi à un
renseignement personnel;
2° l'utilisation non autorisée par la loi
d'un renseignement personnel;
3° la communication non autorisée par la
loi d'un renseignement personnel;
4° la perte d'un renseignement personnel
ou toute autre atteinte à la protection d'un tel renseignement.
«3.7. Lorsqu'elle évalue le risque qu'un
préjudice soit causé à une personne dont un renseignement personnel est
concerné par un incident de confidentialité, la personne qui exploite une
entreprise doit considérer notamment la sensibilité du renseignement concerné,
les conséquences appréhendées de son utilisation et la probabilité qu'il soit
utilisé à des fins préjudiciables. Elle doit également consulter son
responsable de la protection des renseignements personnels.
«3.8. La personne qui exploite une
entreprise doit tenir un registre des incidents de confidentialité. Un règlement
du gouvernement peut déterminer la teneur de ce registre. Sur demande de la
Commission, une copie de ce registre lui est transmise.».
Donc, M. le Président, petite
explication à tout ça. Donc, l'article introduit les
articles 3.1 à 3.8 à la Loi sur la protection des renseignements
personnels dans le secteur privé. Cet article prévoit que toute personne qui
exploite une entreprise est responsable de la protection des renseignements
personnels qu'elle détient. Il prévoit aussi que la personne ayant la plus
haute autorité au sein de l'entreprise veille à y assurer le respect de la loi
et y exerce des fonctions de responsable de l'accès aux documents et celle de
responsable de la protection des renseignements personnels en plus de prévoir
que ces fonctions peuvent être déléguées. Cet article prévoit que toute
personne qui exploite une entreprise doit mettre en oeuvre des politiques et
des pratiques encadrant la gouvernance à l'égard des renseignements personnels
et propres à assurer la protection de ces renseignements en plus de prévoir le
contenu de celles-ci. Cet article prévoit qu'une personne qui exploite une
entreprise doit procéder à une évaluation des facteurs relatifs à la vie…
M.
Caire
:
…déléguées.
Cet article prévoit que toute personne qui
exploite une entreprise doit mettre en oeuvre des politiques et des pratiques
encadrant la gouvernance à l'égard des renseignements personnels et propre à
assurer la protection de ces renseignements en plus de prévoir le contenu de
celle-ci.
Cet article prévoit qu'une personne qui
exploite une entreprise doit procéder à une évaluation des facteurs relatifs à
la vie privée de tout projet de système d'information ou de prestation
électronique de services impliquant la collecte, l'utilisation, la communication,
la conservation ou la destruction de renseignements personnels. Elle prévoit
également qu'aux fins de cette évaluation le responsable de la protection des
renseignements personnels, prévu à l'article 3.1 de la loi, doit être consulté.
Il exige enfin que tout nouveau système d'information de prestation
électronique de services permette qu'un renseignement personnel informatique
recueilli auprès de la personne concernée soit communiqué à sa dernière dans un
format technologique structuré et couramment utilisé.
Cet article prévoit que le responsable de
la protection des renseignements personnels, prévu à l'article 3.1 de la loi,
puisse à toute étape d'un projet de système d'information ou de prestation
électronique de services suggérer des mesures de protection des renseignements
personnels applicables à ce projet.
Cet article prévoit qu'une personne qui
exploite une entreprise et qui a des motifs de croire qu'il s'est produit un
incident de confidentialité impliquant un renseignement personnel qu'elle
détient doive prendre les mesures raisonnables pour diminuer les risques qu'un
préjudice soit causé et éviter que de nouveaux incidents de même nature ne se
produisent. Il prévoit également que, si l'incident présente un risque qu'un
préjudice sérieux soit causé, l'entreprise doit avec diligence aviser le
Commission d'accès à l'information ainsi que toute personne dont le
renseignement personnel est concerné par l'incident. Cet article définit ce que
l'on entend par un incident de confidentialité
Cet article prévoit ce qui doit être
considéré par une personne qui exploite une entreprise lorsque celui-ci évalue
le risque qu'un préjudice soit causé à une personne dont un renseignement
personnel est concerné par un incident de confidentialité.
Cet article prévoit qu'une personne qui
exploite une entreprise doive tenir un registre des incidents de
confidentialité.
M. le Président, j'ai aussi des
amendements à présenter à cet article. Je ne sais pas, M. le Président, si vous
souhaitez que je les lise maintenant, je pourrais lire les amendements en
question.
Le Président (M.
Bachand) : Un amendement à la fois.
M.
Caire
: Un
amendement à la fois. Je vous épargnerai mes talents de chanteur.
Le Président (M.
Bachand) : Mais juste avant d'aller plus loin, parce que
l'article est très, très, très long… il fait miroir des dispositions légales.
Ça fait que je ne sais pas s'il y aurait peut-être une discussion plus générale
avant d'aller à l'amendement. M. le député de LaFontaine.
M. Tanguay
: …M. le
Président. Juste au niveau de l'organisation de nos travaux, la dernière fois,
cet article-là, quand on l'avait vu dans le contexte des organismes publics, on
l'avait abordé quand même de façon un peu plus systématique. 3.1, 3.2, dans le
cas-ci, ça serait les… Est-ce que les amendements du ministre… Je peux voir
qu'il y en a un à 3.1. Donc, je ne sais pas, mon collègue de Gouin, si, je ne
veux pas l'empêcher de parler, s'il veut parler de façon générale, mais on
pourrait peut-être y aller, là, 3.1, puis y aller de façon systématique sur ces
amendements. Mais peut-être une question d'abord, puis c'est ce que je faisais
avec Sophie, là, on a adopté… on a eu de grandes discussions à l'époque, qui
était l'article 1, de grandes discussions, puis il y a eu des amendements qui
ont été adoptés. Est-ce que le ministre peut nous confirmer que ces amendements
sont…
M. Tanguay
: …sur ces
amendements. Mais peut-être une question d'abord, puis c'est ce que je faisais
avec Sophie, là. On a eu de grandes discussions à l'époque, qui était
l'article 1, de grandes discussions puis il y a eu des amendements qui ont
été adoptés. Est-ce que le ministre peut nous confirmer que ces amendements
sont… et reprennent l'entièreté des amendements qui avaient été adoptés
précédemment?
M.
Caire
: Bien,
essentiellement, oui. Parce que notamment, là, sur les évaluations des facteurs
relatifs à la vie privée, là, on fait un effet miroir par rapport à ce qu'on a
vu au privé. On va aussi moduler, là, quand on parlait de tout projet pour
parler de projets qui sont plus de nature d'une refonte, un nouveau projet ou…
Donc, essentiellement, les amendements reprennent… bien, l'article en tant que
tel est pas mal un miroir de ce qu'on a fait au niveau du public.
Le Président (M.
Bachand) : …amendement à 3.1. M. le ministre, s'il
vous plaît.
M.
Caire
:
Hum-Hum.
(Interruption) Je suis d'accord, mais en
pleine gorgée de café, M. le Président. Donc, l'article 3.2 de la Loi
sur la protection des renseignements personnels dans le secteur privé, proposé
par l'article 95 du projet de loi, remplace le deuxième alinéa par le
suivant : «La personne qui exploite une entreprise doit rendre accessibles,
par un moyen approprié et en termes simples et clairs, des informations
détaillées au sujet des politiques et des pratiques encadrant sa gouvernance à
l'égard des renseignements personnels.».
Donc, ces modifications visent à ajuster
l'exigence de transparence concernant les règles de gouvernance à l'égard des
renseignements personnels. Une entreprise devra rendre accessibles, en termes
simples et clairs, des informations détaillées au sujet de celle-ci. Ceci
facilitera la compréhension par les citoyens des politiques et des pratiques
adoptées par l'entreprise. Ces modifications laissent également une liberté aux
entreprises de choisir le moyen de diffuser des informations concernant les
règles de gouvernance, par exemple, elles pourraient publier les informations
sur leur site Internet et elles pourraient également offrir des brochures, des
affiches, etc.
Le Président (M.
Bachand) : M. le ministre, peut-être… vous avez lu
l'amendement à 3.2, alors donc il faudrait peut-être…
M.
Caire
:
Est-ce que j'ai erré, M. le Président?
Le Président (M.
Bachand) : (S'exprime en espagnol). Alors donc, j'allais dire…
(s'exprime en espagnol), mais ça, je laisse ça au député de LaFontaine. Donc,
c'est tout simplement de, peut-être, de lire 3.1.
Une voix
: …
M.
Caire
: Non
mais je… 3.1.
Une voix
: …
M.
Caire
:
Pourquoi? Je n'ai pas d'amendement à 3.1, moi.
Une voix
: …
M.
Caire
: Bien,
écoutez, est-ce qu'on peut suspendre quelques instants?
Le Président (M. Bachand) :
Oui, on va suspendre quelques instants. Merci beaucoup.
M.
Caire
: Le
ministre va se démêler.
(Suspension de la séance à 11 h 29)
11 h 30 (version non révisée)
(Reprise à 11h 38
)
Le Président
(M. Bachand) :À l'ordre, s'il vous
plaît! La commission reprend ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
:
Oui, merci, M. le Président. Donc, cette pause salutaire, gracieuseté du gouvernement
du Québec, m'a permis de retrouver l'amendement à l'article 3.1 que
je vous lis à l'instant, et qui se lit comme suit :
Remplacer, dans le deuxième alinéa de
l'article 3.1 de la Loi sur la protection des renseignements personnels
dans le secteur privé proposé par l'article 95 du projet de loi, «un
membre du personnel» par «toute personne».
Donc, la modification au deuxième alinéa
vise à permettre, en plus de la délégation qui peut être faite à un membre du
personnel, d'utiliser les services d'une personne externe. Cela permettrait,
par exemple, à un regroupement d'entreprises, de désigner une seule personne
responsable. Cette approche peut permettre l'utilisation des services d'une personne
spécialisée en protection des renseignements personnels. Par conséquent, les
entreprises bénéficieront d'une plus grande souplesse en ce qui concerne la
délégation.
Le Président (M.
Bachand) : Des interventions sur l'amendement? M. le député de LaFontaine,
s'il vous plaît.
M. Tanguay
: Oui. Je
pense que c'est une bonne chose parce qu'effectivement souplesse est le bon
mot, et c'est du cas par cas. Puis si l'entreprise veut déléguer, bien, c'est
ça, elle va payer une ressource externe, puis tant mieux... tant mieux...
M.
Caire
:
...par conséquent, les entreprises bénéficieront d'une plus grande souplesse en
ce qui concerne la délégation.
Le Président
(M. Bachand) :Des interventions sur
l'amendement? M. le député de LaFontaine, s'il vous plaît.
M. Tanguay
: Oui.
Je pense que c'est une bonne chose parce qu'effectivement souplesse est le bon
mot, et c'est du cas par cas. Puis si l'entreprise veut déléguer, bien, c'est
ça, elle va payer une ressource externe, puis tant mieux, tant mieux s'il y a
des spécialisations qui se développent et des gens qui sont à la fine pointe.
Entre autres, on le demande, là : Soyez à la fine pointe. Alors, je n'ai
pas de problème. Puis je pense même que c'était miroir avec ce qu'on avait ce
qu'on avait fait aux organismes publics. Il me semble qu'ils pouvaient aller à
l'extérieur.
M. Caire
: Oui. En
fait, ce qu'on avait dit, c'est que plusieurs organismes publics pouvaient...
• (11 h 40) •
M. Tanguay
: 172.
M. Caire
: Mais c'est-à-dire
que c'était une politique qui était interne à l'organisme, mais que plusieurs
organismes pouvaient partager cette même...
M. Tanguay
:
Ressource.
M.
Caire
:
Ressource, c'est ça.
M. Tanguay
: O.K.
M. Caire
: Mais on
avait parlé, à ce moment-là, plus du volet MRC ou... parce qu'évidemment, au
niveau du gouvernement du Québec, on est dans une autre dynamique, là.
M. Tanguay
: Mais
je pensais qu'on avait eu la conversation entre... ils pouvaient aller à l'extérieur
pour...
M. Caire
: Pas
pour le responsable des renseignements personnels.
M. Tanguay
: O.K.
M. Caire
: C'était
pour les... comme membres du comité sur la protection des...
M. Tanguay
: Oui,
oui, oui, qu'ils pouvaient avoir un spécialiste.
M. Caire
: ...là,
on pouvait avoir. Mais comme le responsable des renseignements personnels dans
un organisme public doit être un membre interne à l'organisme.
M. Tanguay
: Je
comprends. Moi, je n'ai pas d'autre intervention sur l'amendement.
Le Président
(M. Bachand) : M. le député de... M. le ministre.
M. Caire
: Bien,
M. le Président, je veux juste être sûr, là, qu'au niveau de... juste un petit
signe de tête.
M. Tanguay
: On peut
suspendre, peut-être.
M.
Caire
:
Sur cet amendement-là, est-ce qu'il y avait des enjeux ou est-ce qu'on peut
l'adopter?
Le Président
(M. Bachand) : Il y aura toujours possibilité pour le
député de Gouin de revenir avec un sous-amendement. De toute façon, l'article
n'est pas fermé, là, encore, là, donc il n'y a pas...
M. Caire
: O.K.
Parfait.
Le Président
(M. Bachand) : S'il y a lieu, là.
M. Caire
: Alors,
ça va, M. le Président.
Le Président
(M. Bachand) : C'est beau.
M. Tanguay
: C'est
bon.
Le Président
(M. Bachand) : Donc, s'il n'y a pas d'autre intervention,
on va procéder à la mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention, M. Caire (La Peltrie)?
M. Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président
(M. Bachand) : Abstention. Donc, l'amendement est adopté.
Donc, on revient, tel que discuté plus tôt, sur la sous-section 3.1. M. le
député de LaFontaine.
M. Tanguay
: À
3,1, là, comme vous dites, M. le Président, on n'est pas forclos. Si des fois,
il dit : Ah!... Là, on passe à 3.2, on pourra revenir puis tout ça parce
que je pense que, pour l'ensemble de l'article, on aurait trois jours
techniquement de possibles si on voulait faire du temps. Mais c'est une idée
qui, depuis 2012, ne m'est jamais passée par l'esprit.
«Toute personne qui exploite qui exploite
une entreprise est responsable de la protection des renseignements personnels
qu'elle détient.» J'essaie de faire les analogies, mais je le sais qu'il faut
que j'en prenne puis que j'en laisse parce que public n'est pas privé, et
vice-versa.
Et après on parle d'«au sein de
l'entreprise, la personne ayant la plus haute autorité veille à assurer», ça,
je comprends ça. La personne, la plus haute autorité au sein du privé, ça, je
comprends ça, et c'est comme ça qu'on commençait l'article 1 du projet de
loi n° 64, l'article 8, pour les publics : «La personne ayant la
plus haute autorité.»
Le petit bout qu'on met au départ, là, me
fait me questionner : «Toute personne qui exploite une entreprise est
responsable de la protection des renseignements personnels qu'elle détient.»
Qui on vise là, qui ne serait pas suffisant, uniquement, en commençant avec le
deuxième alinéa en disant : Bien, dans le privé, c'est la plus haute
autorité qui est responsable...
M. Tanguay
: …me fait me
questionner : «Toute personne qui exploite une entreprise est responsable
de la protection des renseignements personnels qu'elle détient.» Mais qui on
vise là, qui ne serait pas suffisant, uniquement, en commençant avec le
deuxième alinéa en disant : Bien, dans le privé, c'est la plus haute
autorité qui est responsable?
M.
Caire
: Bien,
je vais laisser Me Miville-Deschênes compléter ma réponse, mais j'en
comprends que, par exemple, une entreprise qui serait le fait d'un
actionnariat, hum, à ce moment-là, peut-être… Bien, mettons… Je veux dire, je
ne veux pas personnaliser mon exemple, mais on peut penser que l'actionnaire
majoritaire dans une entreprise ou d'un consortium, qui a plusieurs entreprises,
pourrait être désigné par le premier paragraphe alors que le
deuxième paragraphe viserait plus le président ou le président directeur
général d'une telle entreprise, là, de la société, à proprement parlé.
M. Tanguay
: …du ministre.
M. le Président, je vais revirer ça de bord.
M.
Caire
: Puis
là je me tourne vers Me Miville-Deschênes puis je ne vois pas de
convulsion, donc j'imagine que je n'ai pas dit de…
M. Tanguay
: J'en ai,
là, je convulse, hum…
M.
Caire
: Vous
cachez bien ça.
M. Tanguay
:
«exploite», je ne pense pas que l'actionnaire exploite l'entreprise, je pense, justement,
l'exploitant, c'est la personne qui a les deux pieds sur le… dans la bâtisse de
l'entreprise. «Toute personne qui exploite une entreprise», est-ce qu'on peut
dire qu'on vise les actionnaires? Mon point, là, je crois, mais détrompez-moi,
qu'il aurait suffi de commencer ici comme on commençait pour les publics :
«Au sein de l'entreprise, la personne ayant la plus haute autorité veille à
assurer le respect et la mise en oeuvre de la présente loi. » Là on
dit : «Toute personne qui exploite»… parce que je veux savoir… «toute
personne qui exploite», je veux… pourquoi c'est un important qu'on se pose la question?
Parce que les gens devront savoir : Ça me vise-tu moi ou pas? Alors, qui
on vise ici qu'on nécessite de nommer ici puis que l'on ne ferait pas suffisamment
oeuvre utile avec juste le deuxième alinéa? Je ne suis pas en train de
dire que je propose ça, là.
M.
Caire
: Mais,
si vous allez au registre des entreprises, celui qui exploite l'entreprise,
c'est celui qui en est propriétaire au sens du registre des entreprises.
M. Tanguay
: Mais je ne
sais pas si au sens légal…
M.
Caire
: Mais
il n'est pas nécessairement le plus haut dirigeant de cette… Parce que quelqu'un
peut en avoir plusieurs, des entreprises, là.
M. Tanguay
: C'est qui
ça, «toute personne qui exploite»?
Une voix
: …
Le Président (M.
Bachand) : …prendrait consentement… début d'une nouvelle
séance. Est-ce qu'il y aurait consentement pour donner la parole à Me Miville-Deschênes?
M.
Caire
: Bof!
oui, c'est correct.
M. Tanguay
: Consentement,
sous réserve de la question.
M.
Caire
: Mais…
Oui, sous réserve de la réponse.
Le Président (M.
Bachand) :O.K. Donc, consentement.
Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : Bien, dans la loi sur le secteur privé, on utilise
l'expression «personne qui exploite une entreprise» pour dire «l'entreprise», dans
le fond. Donc, dans les articles actuels, c'est déjà comme ça, on dit : La
présente loi s'applique à l'égard de toute personne qui communique, utilise des
renseignements à l'occasion de l'exploitation d'une entreprise. Puis, dans la loi
actuelle et dans le projet de loi, quand on parle de «personne qui exploite une
entreprise», dans le fond, on parle de l'entreprise à titre d'entité juridique.
M. Tanguay
: …deux personnes,
c'est l'entreprise, la «personne morale».
M. Miville-Deschênes
(Jean-Philippe) : Oui, c'est ça.
M. Tanguay
: O.K. Et ça
exclut «personne physique».
M. Miville-Deschênes
(Jean-Philippe) : Bien, la personne… ça pourrait être une entreprise
enregistrée, là. Mais on se comprend, si je suis incorporée, c'est la «personne
morale». «Toute personne qui exploite une entreprise», c'est l'entité juridique
«entreprise», donc personne morale ou autre type de…
M. Tanguay
: …O.K. Et ça
exclus «personne physique».
M. Miville-Deschênes
(Jean-Philippe) : Bien, la personne… ça pourrait être une entreprise
enregistrée, là. Mais on se comprend, si je suis incorporé, c'est la personne
morale. Toute personne qui exploite une entreprise, c'est l'entité juridique
entreprise, donc personne morale ou autre type de, comment dire… ça peut être
une personne seule qui exploite une entreprise aussi, là.
M. Tanguay
: O.K. Donc,
«Toute personne qui exploite une entreprise est responsable de la protection des
renseignements personnels qu'elle détient.» Autrement dit, ça, c'est l'entité
juridique qui va être dans la très, très grande majorité des cas, une personne
morale qui exploite l'entreprise. Ça va être ABC inc., ça va être
A.D. enr., ça va être avocat, société en nom collectif à responsabilité
limitée. C'est ça qu'on vise, là, autrement dit, l'entité juridique, personne
morale qui exploite l'entreprise est responsable.
M. Miville-Deschênes
(Jean-Philippe) : C'est exactement ça.
M. Tanguay
: Autrement
dit, ça veut dire que, moi, si j'ai une fuite de données, bien, je vais pouvoir
poursuivre évidemment l'entité juridique, là. C'est ça qu'on vise, là.
M. Miville-Deschênes
(Jean-Philippe) : Exact.
M. Tanguay
: … Et,
deuxième alinéa, je vais pouvoir aussi peut-être mettre dans le débat, là,
la plus haute autorité, là. Quelle est la responsabilité de la plus haute
autorité? Est-ce qu'on veut ici faire naître une responsabilité personnelle de
la plus haute autorité? Parce que, la plus haute autorité, on s'entend, c'est
une personne physique, n'est-ce pas?
M. Miville-Deschênes
(Jean-Philippe) : Oui.
M. Tanguay
: Alors,
est-ce qu'on veut faire naître sa responsabilité personnelle, lever le voile
corporatif?
M. Miville-Deschênes (Jean-Philippe) :
Ce n'est pas tant l'objectif. L'objectif, c'est de lui attribuer des fonctions,
notamment, de traiter les demandes d'accès aux renseignements personnels qui
sont faites par des personnes. Dans la loi, elle a une responsabilité de
traiter les demandes d'accès puis elle a aussi une responsabilité générale, là,
bien, d'assurer le respect des obligations en matière de protection des
renseignements personnels.
M. Tanguay
: Oui. Mais
ça n'exclut pas que je peux la poursuivre personnellement.
M. Miville-Deschênes
(Jean-Philippe) : Bien, il va falloir démontrer une faute. Ça ne
l'exclut pas, là. Mais l'objectif n'est pas de lever le voile corporatif pour
qu'elle soit responsable en lieu et place de l'entreprise, là.
M. Tanguay
: O.K.
Le Président (M.
Bachand) : …M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Avec le
consentement du ministre, juste revenir sur l'amendement qui vient d'être adopté,
sur 3.1. Là, on venait changer «membre du personnel» par «toute personne».
Tu sais, juste nous expliquer. Est-ce que c'est pour permettre que ça soit
sous-traité à d'autres entreprises, par exemple? Qu'est-ce que ça a comme
effet?
M.
Caire
: C'est
pour permettre effectivement que plusieurs entreprises puissent partager une
ressource commune, pour qu'elles puissent embaucher quelqu'un de l'externe, un
spécialiste par exemple en matière de protection des renseignements personnels.
Parce qu'il faut comprendre que toutes les entreprises n'ont pas nécessairement
la même taille donc elles auront… Puis c'est un petit peu le débat qu'on avait
eu, si mon collègue de Gouin se souvient, avec les municipalités où on disait,
tu sais, il y a des très petites municipalités qui pourraient avoir besoin de
partager les ressources, compte tenu de leur taille, compte tenu de leur
importance en termes de capacité financière. Donc, ça vise, oui, à pouvoir
partager une ressource et ou engager cette ressource-là à l'externe, si on n'a
pas l'expertise à l'interne.
M. Nadeau-Dubois : Puis ça ne
change en rien les obligations des entreprises.
M.
Caire
: Pas
du tout, pas du tout.
M. Nadeau-Dubois : Ça…
M.
Caire
:
...compte tenu de leur taille, compte tenu de leur importance en termes de
capacité financière. Donc, ça vise, oui, à pouvoir partager une ressource et/ou
engager cette ressource-là à l'externe si on n'a pas l'expertise à l'interne.
M. Nadeau-Dubois : Puis
ça ne change en rien les obligations des entreprises.
M.
Caire
:
Pas du tout, pas du tout.
M. Nadeau-Dubois : Ça
n'affecte pas leur responsabilité légale.
M. Caire
: Pas du
tout. En fait, ce qu'on fait justement avec le débat qu'on a avec le député de
LaFontaine, c'est d'établir que l'entreprise est responsable, donc elle peut
déléguer la tâche, mais elle ne peut jamais déléguer sa responsabilité.
M. Nadeau-Dubois : Merci.
Le Président
(M. Bachand) : D'autres interventions sur la
sous-section 3.1? Sinon, on pourrait aller peut-être avec l'amendement à
3.2. M. le député de LaFontaine.
M. Tanguay
: Oui,
merci, M. le Président. Est-ce qu'il y avait d'autres amendements à 8 qui était
grosso modo l'équivalent de 3.1 : «Quand elle exerce la fonction de
responsable de la protection des renseignements personnels, elle peut déléguer
cette fonction par écrit en tout ou en partie à un membre du personnel»? Je ne
sais pas. On n'avait pas eu d'amendement là-dessus, hein?
(Consultation)
Le Président
(M. Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Quand
on a examiné l'article un peu correspondant dans la loi sur le public, et on
est venu inscrire par amendement, ici, la notion d'autonomie en disant qu'il
était souhaitable que la personne responsable des renseignements personnels
dans les organismes publics puisse exercer ses fonctions de manière autonome.
Est-ce que ce ne serait pas pertinent — je pose la question,
là — de venir faire apparaître cette notion-là ici aussi dans loi sur
le privé?
• (11 h 50) •
M. Caire
: J'ai
plus de difficultés à le faire au niveau du privé pour simple raison que, là,
on est dans une gestion d'une entreprise privée. Par contre, je pense qu'on
peut se garantir que les choses seront faites du fait de responsabiliser
l'entreprise comme entité juridique. Donc, quelle sera la façon dont
l'entreprise va interagir avec son responsable? Parce qu'il faut comprendre que
les conséquences pour une entreprise privée d'une gestion chaotique des
renseignements personnels compte tenu des articles qui vont suivre sur les
sanctions pécuniaires administratives, sanctions pénales qui sont conséquentes,
je pense que tout le monde va être d'accord, seront de nature à assurer cette
autonomie.
Dans le cas du public, bon, on peut
imposer des sanctions, c'est vrai, mais, tu sais, c'est le fonds consolidé qui
paye, là. Donc, je pense qu'il y avait une pertinence à le faire au niveau du
public. Je ne pense pas que ce soit la même chose au...
M.
Caire
:
...bon, on peut imposer des sanctions, c'est vrai, mais, tu sais, c'est le
fonds consolidé qui paye, là. Donc, je pense qu'il y avait une pertinence de le
faire au niveau du public. Je ne pense pas que ce soit la même chose au niveau
du privé quant à l'autonomie. Je pense que ce qui vient nous garantir d'une
gestion responsable des renseignements personnels va être beaucoup plus les
sanctions que nous allons voter, en tout cas, si tant est que... Évidemment, je
ne peux pas présumer du choix des collègues, là, mais j'ai cru comprendre que,
sur ces enjeux-là, on était pas mal tous à la même page. Donc, je pense que ça
et la...
Donc, il faut s'assurer que l'entreprise
est bien désignée comme responsable, qu'il n'y ait pas d'échappatoire de ce
côté-là et que les conséquences soient conséquentes, de ne pas avoir une
gestion des renseignements personnels. Après ça, comment l'entreprise va
décider de gérer et d'interagir avec son responsable des renseignements
personnels, je ne pense pas qu'on ait une garantie supplémentaire d'efficacité.
Puis on vient se donner comme un droit de gérance sur une entreprise privée,
puis, ça, j'ai peut-être un peu plus de difficulté avec ça, que ne n'ai pas
avec le public pour des raisons assez évidentes, là.
M. Nadeau-Dubois : Autrement
dit, si l'entreprise... s'il y a ingérence dans le travail, par exemple, de la
personne qui est responsable des renseignements personnels puis que ça provoque
un incident, bien, ce sera l'entreprise qui sera responsable, point final.
M.
Caire
:
L'entreprise va payer. Je veux dire, l'entreprise n'a pas intérêt, compte tenu
des pouvoirs qu'on donne à la CAI, compte tenu des sanctions encourues, qui
sont très sévères, l'entreprise n'a pas intérêt a entraver le travail de son
responsable des renseignements personnels, parce que les conséquences pour
l'entreprise seront importantes.
Et je rappelle aussi qu'on avait mis des
critères, aussi. Au moment de déterminer les conséquences, on avait mis des
critères sur le fait que, s'il y avait eu entrave, s'il y a des gestes qui ont
été posés qui ont favorisé ça, bien, c'est des circonstances aggravantes. Donc,
je pense qu'on peut aussi aller dans cette direction-là, mais de dire qu'il
doit être autonome... Écoutez, faites ce que vous voulez avec, puis, s'il ne
fait pas son travail, ça risque d'être à votre détriment.
Le Président (M.
Bachand) : Interventions? Alors donc, on continue. Alors, M. le
ministre.
M.
Caire
: Oui.
Alors, cette fois c'est la bonne : L'article 3.2 de la Loi sur la
protection des renseignements personnels dans le secteur privé, proposé par l'article 95
du projet de loi, remplacer le deuxième alinéa par le suivant :
«La personne qui exploite une entreprise
doit rendre accessibles par un moyen approprié et en termes simples et clairs
des informations détaillées au sujet des politiques et des pratiques encadrant
sa gouvernance à l'égard des renseignements personnels.»
Donc, comme j'ai dit, M. le Président,
ça...
M.
Caire
:
...remplacer le deuxième alinéa par le suivant :
«La personne qui exploite une entreprise
doit rendre accessibles par un moyen approprié et en termes simples et clairs
des informations détaillées au sujet des politiques et des pratiques encadrant
sa gouvernance à l'égard des renseignements personnels.»
Donc, comme j'ai dit, M. le Président,
ça vise à modifier les exigences de transparence concernant les règles de gouvernance
à l'égard des renseignements personnels. Une entreprise devra les rendre
accessibles en termes simples et clairs... des informations détaillées au sujet
de celle-ci. Ceci facilitera la compréhension par les citoyens des politiques
et des pratiques adoptées.
Mais aussi les modifications laissent également
une liberté aux entreprises de choisir le moyen de diffuser les informations
concernant les règles de gouvernance, par exemple, elles pourraient publier les
informations sur leurs sites Internet, mais elles pourraient également décider
d'offrir des brochures, des affiches et tout autre support pour communiquer ces
informations. C'est une souplesse que les entreprises ont...
Le Président (M.
Bachand) : Juste... M. le ministre, parce que je pense
qu'on n'a pas le bon amendement. Alors donc...
M.
Caire
: Bien
voyons, toi.
Le Président (M.
Bachand) : Juste... J'essayais de trouver le bon amendement
puis je...
M.
Caire
: Bien
oui, M. le Président, vous avez bien raison. Ça va bien, mes affaires, ce
matin. Alors, M. le Président, je vais vous lire l'amendement qui a été
déposé, effectivement : Dans le deuxième alinéa de l'article 3.2
de la Loi sur la protection des renseignements personnels dans le secteur
privé, proposé par l'article 95 du projet de loi, remplacer «Ces
politiques sont» par «Des informations détaillées au sujet de ces politiques et
de ces pratiques, sont, en termes simples et clairs,».
Donc, M. le Président, j'ai
sensiblement le même commentaire que j'ai fait mais avec un libellé différent.
Le Président (M.
Bachand) : Merci. Interventions sur l'amendement? M. le
député de LaFontaine.
M. Tanguay
: Oui. Quand
on parle... Le ministre pourrait, de façon générale, nous indiquer... on a vu
beaucoup la Commission d'accès à l'information. La Commission d'accès à
l'information, là, question bien, bien, bien de base, là, est-ce qu'elle va
interagir avec les entreprises?
M.
Caire
: Oui.
M. Tanguay
: Au même
titre, avec la même force qu'elle va le faire avec les organismes?
M.
Caire
: Au
même titre. Elle a les mêmes pouvoirs dans le respect de la loi sur l'accès à
l'information, protection des renseignements personnels et la Loi sur la
protection des renseignements personnels dans le privé. Ces deux lois-là sont
sous sa juridiction.
M. Tanguay
: O.K. Et
quand on disait... peut-être parce qu'on le voit plus loin, là, on parlait...
mais ça, c'était pour le comité, là : L'organisme doit, dès que possible,
aviser la commission... la date d'entrée... Moi, je ne vois pas dans... Donc,
sur l'organisme public, on voyait que la Commission d'accès à l'information
avait un rôle entre autres à jouer avec les coordonnées des membres du comité,
mais dans la responsabilité relative à la protection des renseignements
personnels, la juridiction de la commission n'a pas besoin d'y faire jouer un
rôle ici quant à la surveillance des responsabilités relatives à la protection
M.
Caire
: Bien
non, d'autant plus qu'elle peut émettre maintenant des directives, elle a un
pouvoir de surveillance qui est accru. Donc, au niveau de l'entreprise privée,
la commission a toute latitude, là, pour s'assurer que la loi...
M. Tanguay
: …quant
à la surveillance des responsabilités relatives à la protection.
M.
Caire
:
Bien non, d'autant plus qu'elle peut émettre maintenant les directives, elle a
un pouvoir de surveillance qui est accru. Donc, au niveau de l'entreprise
privée, la commission a toute latitude, là, pour s'assurer que la loi, elle est
respectée.
M. Tanguay
: Et la
commission n'a pas… comme législateurs, on ne voudra pas que la commission soit
informée, le cas échéant, que la plus haute autorité, je reviens à 3.1, là, a
délégué tout ou partie de ses responsabilités, la commission n'a pas besoin de
tenir d'un projet, ça a, cet effet-là.
M.
Caire
:
Alors : «Les titres et les coordonnées du responsable de protection des renseignements
personnels sont publiés sur le site Internet de l'entreprise ou, si elle n'a
pas de titre, rendu accessible par tout autre moyen.» Donc, il y a une
obligation de rendre publique cette information-là.
Le Président
(M. Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Sur l'amendement...
on est bel et bien sur l'amendement?
Le Président
(M. Bachand) : Oui.
M. Nadeau-Dubois : À 3.2.
Le Président
(M. Bachand) : Oui.
M. Nadeau-Dubois : Tous
au même endroit. Je perçois l'intention qui m'apparait être bonne, mais je me
demande s'il n'y a pas un enjeu de rédaction. C'est-à-dire, dans la version initiale
de l'article 3.2, on dit, on émet une obligation pour les entreprises de
publier les politiques en question, donc on peut présumer, dans leur
intégralité. Je perçois, dans l'amendement du ministre, une volonté de dire
qu'il faut que ça soit de l'information qui soit simple, claire, accessible,
pas un PDF qui fait... c'est... ah! oui...
M.
Caire
: ...résumé,
là.
M. Nadeau-Dubois : Oui,
c'est parce que, moi, j'allais dire 75, 80.
M.
Caire
: Le
sommaire exécutif à 18 pages, là.
M. Nadeau-Dubois : Oui,
le sommaire... la table des matières, 18 pages. Non, mais plus sérieusement,
et là il y a un amendement qui vient dire : Mettez des informations
détaillées au sujet de ces politiques et de ces pratiques. Donc, il n'y a plus
d'obligation de divulguer la politique ou les politiques.
M.
Caire
: Oui,
exact.
M. Nadeau-Dubois : Ça devient
une obligation de donner des informations simples et claires au sujet de la
politique. Est-ce qu'il n'y aurait pas moyen de remplir les deux objectifs à la
fois? Parce que là, ça ouvre la porte... Puis je suis plutôt persuadé que ce
n'est pas l'intention, là, et on me corrigera, mais que là, ça permettrait à
une entreprise de dire : On a une politique, qui fait 80 pages. Sur notre
site, on va seulement afficher une espèce de résumé, qu'on va rédiger
nous-mêmes, où on va donner les grandes lignes, les grandes informations
principales. Et là on fait peut-être un gain de clarté, on fait peut-être un
gain de concision, mais là on a une perte de transparence parce que la
politique au complet n'est plus disponible, alors qu'il me semble qu'on devrait
viser les deux, tu sais.
• (12 heures) •
M.
Caire
: En
fait, on avait aussi un enjeu, parce que c'est des… Puis je ne vous le cache
pas, M. le député, c'est des représentations qu'on nous a faites où on a
dit : Bien, les politiques de confidentialité, dans certains cas,
pourraient nous amener à révéler des informations...
12 h (version non révisée)
M. Nadeau-Dubois : …parce que
la politique au complet n'est plus disponible, alors qu'il me semble qu'on
devrait viser les deux, tu sais.
M.
Caire
: On
avait aussi un enjeu… parce que c'est des… puis je ne vous le cache pas, M. le
député, c'est des représentations qu'on nous a faites où on a dit : Bien,
les politiques de confidentialité, dans certains cas, pourraient nous amener à
révéler des informations sur la nature de nos opérations qui seraient nuisibles
à l'entreprise. Alors, c'est pour ça qu'on a choisi… parfait, on a dit :
O.K. Bon, si vous le dites, mais on veut des informations détaillées, à ce
moment-là, parce qu'il faut que les citoyens connaissent la politique de
l'entreprise qui les impacte, il faut que ce soit, puis je pense que vous
l'avez bien résumé, en termes simples et clairs, donc on ne veut pas être noyés
sous une tonne de documentation. Il faut que le responsable des renseignements
personnels soit connu, qu'on puisse le contacter, qu'on puisse interagir avec
lui, qu'on puisse le questionner.
Donc, je vous dirais que c'est un
compromis dans cette volonté de dire : Parfait, on ne veut pas nuire aux
opérations d'une entreprise en la forçant à révéler des informations qui
pourraient être nuisibles, mais ce qui est clair, c'est que le citoyen qui
interagit avec l'entreprise doit savoir pourquoi, à quelles fins on collecte
des renseignements personnels, quels sont ses droits et ses prérogatives,
comment il peut interagir quand le tout ne se passe pas à sa satisfaction.
Donc, il y a quand même une obligation d'informer le citoyen sans nuire à
l'entreprise et de le faire de façon compréhensible, là, c'est-à-dire que
quelqu'un qui va lire la politique, effectivement, ne se tape pas le
18 pages juste de table des matières. Parce que ça, ça peut être aussi…
quand on veut cacher une aiguille, on la met dans une botte de foin, là.
M. Nadeau-Dubois : Je
comprends, puis ça, là-dessus, tu sais, j'en suis, là, de forcer les
entreprises à ne pas noyer le poisson dans des requêtes de consentement ou des
politiques qui sont tellement touffues qu'on…
M.
Caire
:
Exagérément touffues.
M. Nadeau-Dubois : Qu'on n'y
distingue plus rien, là, ça, j'en suis, là. Mais, comme je disais, là, il y a
un… tu sais, pour moi, on n'a pas à faire l'un ou l'autre, on pourrait avoir le
même gain d'efficience, de clarté, de simplicité, de concision, et dire :
Bien, vous devez aussi rendre disponible la politique au complet. Parce que, je
veux dire, les renseignements personnels des gens, on leur demande le… parce
que tout le pilier… le ministre le sait, là, toute l'économie interne de ce
projet de loi là, un de ses principes fondamentaux, c'est le consentement
éclairé, pour qu'on donne les renseignements personnels à une fin spécifique.
Puis là tout l'édifice est construit là-dessus. Pour que le consentement soit
valide, une des conditions, c'est que les gens savent exactement à quoi ils
consentent. Puis ça, c'est contenu, dans le cas du privé, dans la politique
qu'on leur demande, par la loi, de faire.
Moi, qu'on ait une version abrégée, une
version vulgarisée pour M., Mme Tout-le-monde…
M. Nadeau-Dubois : …soit
valide, une des conditions, c'est que les gens savent exactement à quoi ils
consentent. Puis ça, c'est contenu, dans le cas du privé, dans la politique
qu'on leur demande, par la loi, de faire. Moi, qu'on ait une version abrégée,
une version vulgarisée pour M., Mme Tout-le-monde qui n'a pas le temps ou
l'intérêt de lire la politique complète, ça me… tu sais, je veux bien, mais là
j'ai l'impression qu'il y a un petit recul ici par rapport à la première
version de l'article, qui disait : Vous devez…
En fait, il y a une avancée sur un plan,
celui de la concision, de la clarté, de la facilité, et un recul sur un autre,
celui de la transparence, où avant on demandait quand même la totalité de la
politique, tu sais. Puis, pour s'assurer que les consentements donnés soient
valides, ça m'apparaît important que ça reste possible pour les citoyens et
citoyennes, quand ils contractent avec une entreprise, de connaître exactement
la politique, puis peut-être… En fait, plutôt convaincu que ce n'est pas tout
le monde qui va lire la politique complète, mais ça, ce n'est pas grave si, au
moins, c'est possible puis c'est une information qui est accessible. Ce n'est
pas la même chose que de choisir consciemment de ne pas lire quelque chose qui
est disponible plutôt que de ne pas y avoir accès.
Ça fait que moi, je pense que ces
politiques-là devraient être connues. Puis est-ce qu'on peut atteindre les deux
objectifs en même temps? Je pense que ce serait possible.
M.
Caire
: Bien,
je ne suis pas... on n'est pas tellement loin, M. le député de Gouin et moi. Par
contre, il faut aussi, je pense, tenir compte des commentaires que les entreprises
nous ont faits en disant : Écoutez, c'est parce qu'on ne veut pas... ce
n'est pas qu'on ne veut pas divulguer notre politique, c'est qu'on ne veut pas
se ramasser à avoir une obligation légale de divulguer des informations qui
pourraient nuire à l'entreprise.
Puis je vous ramène à la discussion qu'on
vient d'avoir. Je veux dire, les obligations d'une entreprise en matière de protection
des renseignements personnels vont demeurer les mêmes. Donc, il est de
l'intérêt d'une entreprise de bien informer le citoyen, je le pense, compte
tenu des conséquences puis compte tenu du fait que ce qu'ils peuvent faire avec
un renseignement personnel... puis je nous rappelle le débat que nous avons eu
hier avec le député de La Pinière, là, sur le fait d'avoir des dossiers
médicaux électroniques qui collectaient de l'information à l'insu, et des
médecins, et des patients. C'est inacceptable. Et le fait qu'une politique le
dise ou ne le dise pas ne changera rien au fait que c'est inacceptable, que
nous ne l'acceptons pas, puis, comme législateurs, je pense qu'on a le devoir
d'empêcher ça.
Donc, la politique, elle vise
effectivement à informer le citoyen, mais elle n'a pas pour objectif de
dédouaner l'entreprise publique, privée de ses obligations en regard de la loi.
Donc, c'est pour ça qu'on a… Puis c'est pour ça que j'ai… Bon, on a accepté...
M.
Caire
: …à
informer le citoyen, mais elle n'a pas pour objectif de dédouaner l'entreprise
publique, privée de ses obligations en regard de la loi. Donc, c'est pour ça
qu'on a… Puis c'est pour ça que j'ai… Bon, on a accepté de dire : O.K.,
c'est correct, on ne veut pas nuire aux opérations d'une entreprise, ce n'est
pas l'objectif. L'objectif, c'est qu'il y ait une responsabilisation par
rapport à l'utilisation de renseignements personnels dans toutes ses facettes,
qu'il y ait… qu'on prenne ça au sérieux puis qu'on n'ait plus l'impression que
c'est quelque chose avec lesquels ont peut jouer comme bon nous semble. C'est
ça, l'objectif.
M. Nadeau-Dubois : Mais,
mettons, un exemple, là, d'une politique, d'une disposition dans une politique
de confidentialité ou de gestion des renseignements personnels, qui serait
préjudiciable pour une entreprise, pour ses opérations… J'essaie vraiment de… Parce
que j'essaie d'examiner l'argument, vraiment, pour ce qu'il est, là, puis voir
de quoi est-ce qu'on parle comme préjudice, puis… Parce qu'ici juste… Et en
terminant, l'exercice-ci, c'est de regarder quel est, en effet,
potentiellement, le préjudice pour l'entreprise par rapport à l'intérêt du
citoyen, de la citoyenne de transparence. Puis, pour faire ce rapport-là, bien,
j'ai besoin de comprendre c'est quoi le risque pour les entreprises.
M.
Caire
: Et,
avec le consentement, je… parce que Me Miville-Deschênes, comme vous le
voyez, brûle du désir de s'adresser à nous.
Le Président (M.
Bachand) : Me Miville-Deschênes.
M. Miville-Deschênes (Jean-Philippe) :
Je ne veux pas répondre à la question. Malheureusement, je voulais juste
remettre en perspective que l'article, on étudie 3.2, il vise l'obligation
d'avoir un cadre de gouvernance. Les politiques de confidentialité sont prévues
à… excusez-moi, 8.2. C'est-à-dire que, puis je vais faire la distinction, là,
lorsqu'une entreprise collecte des renseignements, elle doit donner de
l'information à la personne. Ça, c'est prévu à l'article 8. À quelle fin…
collègues? À qui je vais le communiquer? Le droit d'accès de rectification.
Est-ce que ça va être communiqué hors Québec? Donc, il y a des obligations que
tu es obligé de fournir avant la collecte. Puis la politique de confidentialité
contient ces informations-là qui ont un objectif d'information du citoyen… sont
prévues à 8.2. Puis à 8.2, pour l'instant, on dit : «La politique de
confidentialité doit être diffusée».
Le cadre de gouvernance, c'est différent
parce que le cadre de gouvernance, c'est les… De quelle façon à l'intérieur de
l'entreprise, elle va assurer le respect des obligations de loi? Donc, de
quelle façon qu'elle va s'assurer qu'exemple qui a accès au sein de
l'entreprise? Qui va avoir accès aux renseignements? De quelle façon on va
communiquer pour assurer la sécurité? Quelles sont les mesures de sécurité qui
vont s'appliquer? Quel type de formations qu'on va faire? Ça fait que c'est
vraiment un encadrement interne à l'entreprise sur la façon que lui va
s'assurer de respecter les exigences puis de sensibiliser son personnel. Ça
fait que c'est dans ce contexte-là où les entreprises ont soulevé le fait qu'il
y a des parties de ces cadres de gouvernance là en matière de sécurité, comment
on gère les pourriels ou les courriels qui pourraient être malveillants, qui
pourraient créer des risques à la sécurité.
Ça fait que c'est deux choses distinctes,
là.
M. Nadeau-Dubois : Donc, c'est
moins…
M. Miville-Deschênes
(Jean-Philippe) : C'est pour ça que je brûlais, là.
M. Nadeau-Dubois : …pour ça
que vous brûliez. Parce qu'en effet là, ça… on vient de déplacer le débat, là.
On n'est plus sur, ça va nous…
M. Miville-Deschênes
(Jean-Philippe) : …de sécurité, comment on gère les pourriels ou les
courriels qui pourraient être malveillants, qui pourraient créer des risques à
la sécurité.
Ça fait que c'est deux choses distinctes,
là.
M. Nadeau-Dubois : Donc, c'est
moins…
M. Miville-Deschênes
(Jean-Philippe) : Oui, c'est ça. C'est pour ça, je brûlais, là…
M. Nadeau-Dubois : C'est pour
ça que vous brûliez, parce qu'en effet, là, ça… on vient de déplacer le débat,
là. On n'est plus sur, ça va nous… Ce n'est pas un préjudice… En tout cas, ce
que j'entends, c'est davantage une réponse sur le plan de la sécurité que sur
le plan de «ça va nous faire perdre un avantage avec un concurrent, on va faire
moins d'argent», là. Moi, ce que j'entends, c'est plus…
• (12 h 10) •
M.
Caire
: …je
faisais référence non plus, par exemple.
M. Nadeau-Dubois : O.K. Bien,
en tout cas, parce que là, ce que j'entends…
M.
Caire
: Bien,
je l'ai mal… Je comprends que je me suis mal exprimé, mais effectivement,
c'était préjudiciable pour l'entreprise dans ses opérations.
M. Nadeau-Dubois : D'un point
de vue de sécurité.
M.
Caire
: D'un
point de vue de sécurité, tout à fait.
M. Nadeau-Dubois : O.K.
J'essaie de me rappeler de la commission parlementaire… par ce qu'on a reçu des
experts en sécurité, est-ce que c'est des préoccupations qui ont été émises
également par les experts en sécurité qui sont venus nous voir en commission?
M.
Caire
: Bien,
moi, je n'étais pas à la commission parlementaire, comme vous le savez, là. Je
me permets de souligner ma propre absence. Mais c'est, oui, dans les
discussions que j'ai eues, suite à la prise en charge de cette responsabilité-là.
C'est des discussions que j'ai eues avec différents organismes qui
représentent, oui, les chambres de commerce, mais qui ont des intérêts en
matière de… Bien, des intérêts, qui oeuvrent dans le domaine de la sécurité. Ce
qui explique qu'on fait écho à la demande.
M. Nadeau-Dubois : Je relis le
3.2, là, puis je perçois peut-être un petit hiatus entre l'explication qu'on me
fait et ce que je lis dans la mesure où on dit : «Celles-ci, en parlant
des politiques de gouvernance, doivent notamment prévoir l'encadrement
applicable à la conservation et à la destruction de ces renseignements…» Ça,
c'est… Est-ce que ce n'est, par exemple… Puis je continue, là : «…prévoir
les rôles et les responsabilités des membres de son personnel…» Bon, ça, c'est vraiment
de la gouvernance, là. «…tout au long du cycle de vie de ces renseignements et
un processus de traitement des plaintes…» Il me semble que quand on parle de
processus de traitement des plaintes, ça peut être intéressant — pas
juste intéressant, là — c'est pertinent pour les citoyens et
citoyennes de savoir, si jamais j'ai un problème avec l'entreprise, voici
comment ma plainte va être gérée. Quand on parle, là, d'encadrement applicable
à la conservation puis à la destruction des renseignements, c'est quand même
une information pertinente pour donner notre consentement. Je…
M.
Caire
: …je
rappelle quand même au collègue, là…
M. Nadeau-Dubois : Peut-être
qu'on pourrait le dire que ces informations-là doivent être rendues publiques
sauf si cela met en risque… Tu sais, peut-être qu'on pourrait l'écrire que, si
l'entreprise démontre qu'il y a un risque à la sécurité… Parce que je comprends
qu'il ne faut pas, par transparence, comme, pointer du doigt les brèches…
M. Nadeau-Dubois : ...sauf si
cela met en risque... tu sais, peut-être qu'on pourrait l'écrire que, si l'entreprise
démontre qu'il y a un risque à la sécurité... Parce que je comprends qu'il ne
faut pas, par transparence, comme, pointer du doigt les brèches potentielles ou
les failles. Ça, je l'entends. Il y a aussi un droit des citoyens, citoyennes
de savoir ce qui est fait avec leurs données personnelles, notamment sur le
plan du traitement des plaintes, par exemple, là. Ça, c'est quand même
pertinent pour le monde de savoir, s'il y a un problème, qu'est-ce qui va
arriver.
M.
Caire
: Je ne
suis pas sûr. Je souligne au collègue, là, que ce qu'on dit, c'est que «Ces
politiques»... on remplace «Ces politiques sont» par «Des informations
détaillées au sujet de ces politiques et de ces pratiques sont, en termes
simples et clairs — bon — publiées sur le site
Internet...», ta, ta, ta. C'est parce que ce que je vois dans la proposition du
collègue, puis j'entends sa préoccupation, mais je pense que, dans le libellé,
on vient implicitement aussi dire : Écoutez, là, il faut que vous donniez
quand même des détails aux citoyens, puis on entend votre préoccupation de
sécurité.
C'est parce que, si on va sur le chemin de
dire : L'entreprise doit démontrer qu'il y a un enjeu de sécurité avant de
dire si, oui ou non, une politique est publiée ou non, on a combien, quoi, 200
et quelques 1 000 entreprises au Québec? Je ne vois pas comment la
Commission d'accès à l'information pourrait répondre adéquatement à une telle
demande, en plus de ses autres charges, on s'entend.
Donc, je pense que le libellé qu'on a là
indique l'intention du législateur de dire : Écoutez, là, il faut que vous
informiez les citoyens sur ce qui est pertinent à savoir avant d'interagir, de
donner un consentement, etc., qui va dans le sens de... En plus, vous devez
l'expliquer de façon très claire, vous devez le rendre public. On amène quand
même, là... par rapport à l'existant, on amène quand même un fardeau important
mais justifié — entendons-nous, là, je ne suis pas en train de verser
des larmes, là — important mais justifié à l'entreprise pour qu'elle
informe correctement le citoyen.
Mais, en même temps, réalistement, tu
sais, on ne veut pas, puis je pense que le collègue de Gouin a bien exprimé
qu'il était d'accord avec le principe qu'une entreprise n'a pas à exposer ses
vulnérabilités ou en tout cas à exposer des processus qui pourraient être
nuisibles à ses opérations, je pense qu'on s'entend là-dessus. Ce n'est pas un
équilibre qui est simple à trouver, j'en conviens, mais entre... Puis ne pas non
plus surcharger la Commission d'accès à l'information, qui se fera
éventuellement taxer de ne pas être assez rapide, puis l'entreprise va
dire : Bien, écoutez, moi, je veux bien la publier, ma politique, mais je
suis en attente d'une décision de la Commission d'accès à l'information avant
de la publier. Puis, bien là, on ne peut pas...
M.
Caire
:
...j'en conviens, mais entre... puis ne pas non plus surcharger la Commission
d'accès à l'information, qui se fera éventuellement taxer de ne pas être assez
rapide, puis l'entreprise va dire : Bien, écoutez, moi, je veux bien la
publier, ma politique, mais je suis en attente d'une décision de la Commission
d'accès à l'information avant de la publier. Puis, bien là, on ne peut pas
demander à l'entreprise de ne pas continuer ses opérations le temps que la commission
soit capable d'évaluer si ce qu'elle publie est correct, ou non, ou...
Comprenez-vous?
Je comprends votre préoccupation, M. le
député, je pense que je vous exprime aussi que je suis d'accord, mais j'essaie
de voir comment on peut trouver un équilibre le bon fonctionnement de l'entreprise,
mais son obligation envers le citoyen.
M. Nadeau-Dubois : Bien, si
l'argument, c'est la sécurité, moi, je l'entends, cet argument-là, parce qu'en
effet ce serait complètement contreproductif... transparence de rendre
vulnérables des entreprises et, par extension, les renseignements personnels
que les entreprises détiennent. J'en suis. Mais, admettons, le processus de
traitement des plaintes, là, ce n'est pas de la sécurité, ça.
M.
Caire
: Non.
Je suis d'accord.
M. Nadeau-Dubois : Tu sais, il
y a-tu... on peut-u faire travailler l'article ou envoyer, pardonnez mon
langage familier qui va hérisser les poils des juristes, mais envoyer des
choses à l'article 8? Parce qu'il y a des trucs, à l'article 3.2, ça, c'est les
trucs qu'on ne veut-être pas qu'ils soient 100 % transparents, et il y a
des trucs, à l'article 8, qui, là, sont des choses qu'on affirme dans la loi,
que les gens doivent connaître. Et moi, j'ai sous les yeux l'article 3.2, je
vois «processus de traitement des plaintes», je me dis : Me semble que ça,
ce n'est pas dans la catégorie des choses qui mettent en péril la sécurité des entreprises.
M.
Caire
: Non.
Je suis d'accord.
M. Nadeau-Dubois : Et ça
m'apparaît plutôt être dans la catégorie des informations pertinentes pour
exprimer un consentement éclairé, c'est-à-dire, si jamais j'ai un problème, ça
va être quoi mes recours au sein de l'entreprise. Après ça, il y a des recours
à la commission, là, mais je me demande... puis je comprends bien, là, que le
principe de 3.2, c'était de dire les éléments de gouvernance, on les met là puis
on met les autres éléments à 8, mais il faut trouver l'équilibre entre la transparence
puis la sécurité. Puis moi, ce qui me saute aux yeux, là, c'est que le processus
de traitement des plaintes, ça, c'est... je ne vois pas en quoi on affaiblit la
sécurité d'une entreprise. L'entreprise dit : Si jamais vous avez un
problème, voici quel sera le processus, puis là les entreprises, selon leur
taille, auront soit des processus très timides soit des processus plus
structurés, structurants... s'il pourrait y avoir des politiques de
compensation, là, financière, je veux dire, je ne sais pas, les entreprises se gouverneront
comme elles veulent, mais il me semble que ça, ça fait plus partie de ce que
les gens doivent savoir que ce qui représente des risques pour la sécurité.
M.
Caire
: Bien
oui, je ne suis pas en désaccord avec le collègue sur le fait qu'un processus
de traitement de plaintes n'est pas quelque chose qui met en péril les... et qu'il
m'apparaît que...
M. Nadeau-Dubois : ...plus
partie de ce que les gens doivent savoir que ce qui représente des risques pour
la sécurité.
M.
Caire
: Bien
oui, je ne suis pas en désaccord avec le collègue sur le fait qu'un processus
de traitement de plaintes n'est pas quelque chose qui met en péril les... et
qui m'apparaît que les informations détaillées devraient effectivement inclure
un processus de traitement de plaintes. Par contre, le traitement du cycle de
vie de la donnée, ça, ça m'apparaît être effectivement... il y a un potentiel
là qui est plus... il y a peut-être un potentiel là de vulnérabilité sur la
façon de traiter. Ça, ça veut dire : Est-ce qu'on donne des informations
sur les systèmes, ce qui n'est pas souhaitable. Aussi, les mesures
proportionnées à la valeur de la donnée, ça non plus, je pense qu'il ne
faudrait pas aller dans un détail qu'est-ce qu'on a mis comme mesure de
protection pour qu'on soit proportionnels à la donnée. C'est quoi nos
politiques en cette matière? Ça aussi, je pense qu'on peut avoir une marge de discrétion.
Sur le traitement des plaintes, je suis
d'accord avec le collègue. Ceci étant dit, est-ce que le fait qu'on parle des informations
détaillées dans l'amendement au sujet de ces politiques et ces pratiques, ça,
en termes simples et clairs, est-ce qu'ils tombent sous le sens que les
politiques de traitement des plaintes devraient être publiées?
M. Nadeau-Dubois : Tu sais,
moi, dans le fond, là... C'est parce que je... moi, je... c'est qu'il faut
faire aussi, je pense... il faut rédiger l'article en étant conscient que, oui,
la grande majorité des entreprises vont être de bonne foi, mais qu'il faut
prévoir le coût d'entreprise qui dirait : Ah! information claire à
détaillée, on va dire ce qu'on veut dire, puis il y a des trucs... peut-être
qu'on... peut-être que ça va être moins clair et moins détaillé sur d'autres
affaires, tu sais, c'est-à-dire des entreprises qui pourraient, pour rassurer
les consommateurs, dorer la pilule puis présenter les informations qui sont
avantageuses puis qui ne sont peut-être pas fidèles à ce qui se passe. Et puis
je pense... et donc, tu sais, comment on s'assure que ça soit juste assez contraignant
pour qu'au moins sur les éléments où il n'y a clairement pas de risque de
sécurité, bien, on a une transparence maximale, tu sais. Parce que je comprends
que l'argument que je fais, il est comme invalidé par la question de la
sécurité, sur plusieurs affaires, mais sur...
• (12 h 20) •
M.
Caire
: Pour
ne pas invalider.
M. Nadeau-Dubois : En tout
cas, il est affaibli par l'argument de la sécurité...
M.
Caire
:
Nuancé, nuancé...
M. Nadeau-Dubois : ...mais sur
d'autres éléments, là, il me semble qu'on peut se dire : Vu qu'il n'y a
pas d'enjeu de sécurité, on ne prend pas de chance, transparence maximale.
M.
Caire
: Mais
en même temps, je vous soumets respectueusement qu'au fond, c'est dans
l'intérêt de l'entreprise, puis ça, pour moi, c'est garant de bien des choses,
c'est dans l'intérêt de l'entreprise sur les informations qui ne sont pas
hypothécables pour ces opérations de les rendre publiques. Parce que la vérité,
c'est, vous le savez comme moi, M. le député, là, le responsable de la
protection des renseignements personnels, étant affiché publiquement ainsi que
ses coordonnées, si on a... cette économie de clarté qu'on a dans nos
politiques de gouvernance va nous faire...
M.
Caire
: …et
vous le savez comme moi, M. le député, là, le responsable de la protection des renseignements
personnels étant affiché publiquement, ainsi que ses coordonnées, si on a cette
économie de clarté qu'on a dans nos politiques de gouvernance, va nous faire dépenser
du temps en interaction avec… en tout cas, à mon avis, là, puis je ne vous dis
pas que c'est l'argument massue, là, mais notamment sur le processus des
plaintes. Moi, je veux dire, je suis insatisfait, tu me donnes le nom et les
coordonnées de ton responsable de la protection des renseignements personnels
puis je ne sais pas trop… je veux me plaindre mais je ne sais pas trop comment,
bien, je l'appelle, puis je dis : Là, je veux me plaindre. Ça fait que, tu
sais, ce n'est pas dans l'intérêt de l'entreprise parce qu'au fond, ce qu'ils
gagnent à ne pas écrire les choses, ils vont le perdre en téléphones, échanges
de courriels, explications et autres, ce qui ne veut pas dire, ceci étant, que
le fait de le rendre public et de le diffuser va empêcher le responsable en
question d'avoir des clarifications ou des questions, mais ça va peut-être
diminuer sa charge de travail, puis un document sur internet, ça coûte moins
cher qu'un employé salarié. Donc, si je me mets du point de vue de l'entreprise
privée, je pense que mon intérêt est de fournir, si elles ne sont pas
préjudiciables à mes opérations, bien évidemment, c'est de fournir le plus
d'informations possibles aux citoyens, parce que tout ça va se traduire en
question à quelqu'un que je paye à l'heure ou à la semaine ou… puis qui ne fait
pas d'autre chose pendant ce temps-là.
Parce qu'il faut comprendre que pour
beaucoup d'entreprises, le responsable de la protection des renseignements
personnels ne sera potentiellement pas quelqu'un qui va faire ça à temps plein.
C'est probablement une charge qui va être déléguée à quelqu'un qui va avoir
toute autre tâche connexe, et, donc, pendant qu'il fait ça, bien, il ne fait
pas les tout autres tâches connexes, donc, moi, je pense qu'on a un intérêt,
sauf dans les grandes entreprises qui auront peut-être suffisamment de volume
pour justifier des gens à temps plein, mais dans des plus petites entreprises,
j'ai le sentiment que cette publication-là, de toute façon, va être de nature à
servir les intérêts de l'entreprise, et donc aura un intérêt à avoir plus de
détails que moins de détails. Puis, en fait, je crois tellement à ce que je
vous dis là que ça motive le fait qu'on veut que ce soit des termes simples et
clairs, justement parce que la crainte, à mon avis, est beaucoup plus qu'on
aille dans beaucoup trop de détails que pas assez de détails.
Le Président (M.
Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Oui. En
même temps, c'est qu'il y a un aspect préventif, là, au fait de divulguer
certaines informations pour bien informer le consentement, là, ça fait que, tu
sais, il y a l'intérêt de l'entreprise à, oui, comment être exemplaire, pour
des raisons qui sont très élémentaires…
M.
Caire
:
Pécuniaires.
M. Nadeau-Dubois : …et pécuniaires,
mais il y a aussi la vertu préventive d'être le plus transparent possible
d'entrée de jeu pour que le consommateur fasse un choix qui est éclairé, là,
puis ça, c'est toujours ça qui est une des conditions du consentement, que… Peut-être
suspendre quelques instants. Je vais proposer un amendement au ministre pour peut-être
faire la part des choses.
M.
Caire
: O.K…
M. Nadeau-Dubois :
...élémentaires.
M.
Caire
:
Pécuniaires.
M. Nadeau-Dubois : Et
pécuniaires. Mais il y a aussi la vertu préventive d'être le plus transparent
possible, d'entrée de jeu, pour que le consommateur fasse un choix qui est
éclairé, là, puis ça, c'est toujours ça, une des conditions du consentement,
que...
Peut-être suspendre quelques instants. Je
vais proposer un amendement au ministre pour peut-être faire la part des
choses.
Le Président (M.
Bachand) : Consentement pour suspendre? Alors, on suspend
quelques instants. Merci.
(Suspension de la séance à 12 h 24)
12 h 30 (version non révisée)
(Reprise à 12 h 57)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. M. le ministre, s'il vous plaît.
M.
Caire
:
Merci, M. le Président. Donc, suite aux discussions qu'on a eues, le député de
Gouin et moi, je demande le consentement pour retirer l'amendement que j'ai
déposé à 3.2.
Le Président (M.
Bachand) :Est-ce qu'il y a consentement?
Des voix
:
Consentement.
Le Président (M.
Bachand) : Consentement. Merci beaucoup. Et pour la suite des
choses, M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Donc, je vais déposer un amendement à l'article 3... à l'article
95. Donc :
Dans le deuxième alinéa de l'article 3.2
de la Loi sur la protection des renseignements personnels dans le secteur privé
proposé par l'article 95 du projet de loi, remplacer «ces politiques sont» par
«des informations détaillées au sujet de ces politiques et de ces pratiques, notamment
en ce qui concerne le contenu exigé au premier alinéa sont, en termes simples
et clairs». Fin de la citation et de l'amendement.
La réflexion a évolué quelque peu, M. le
Président, au gré des discussions avec le ministre et son équipe. Dans le fond,
ce que je propose ici, c'est qu'on s'assure que les informations détaillées en question
vont couvrir l'ensemble des éléments qui sont mentionnés au premier alinéa de
l'article 3.2, pour ne pas qu'on échappe aucun élément du côté des entreprises
quand on publie ces informations-là détaillées. J'ai toujours les mêmes préoccupations,
en ce qui a trait à la communication la plus transparente possible des éléments
du processus de plainte pour obtenir un consentement éclairé, mais on traitera
de cette question-là un peu plus loin, quand on travaillera sur l'article 8,
qui est introduit par l'article 99. Donc, on va y aller comme ça, comme ça, je
pense qu'on va mieux respecter la structure interne, ce qui est toujours important.
Voilà.
Le Président (M.
Bachand) :Intervention sur l'amendement déjà
député de Gouin? S'il n'y a pas d'intervention, nous allons procéder à sa mise
aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Tanguay (LaFontaine)?
M. Tanguay
: Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté.
Donc, on revient rapidement... Ah bien,
vous savez quoi? Compte tenu de l'heure, je suspends les travaux jusqu'à
14 h 30. Merci. Bon lunch.
(Suspension de la séance à 12 h 59)
14 h 30 (version non révisée)
(Reprise à 14 h 36)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La Commission
des institutions reprend ses travaux. Nous poursuivons l'étude détaillée du projet
de loi n° 64, Loi modernisant des
dispositions législatives en matière de protection des renseignements
personnels.
Lors de la suspension de nos travaux cet avant-midi,
nous étions rendus à l'étude de l'article 95, amendé. Interventions? M. le
ministre.
M.
Caire
:
...d'amender, à l'article 95, le 3.2...
Le Président (M.
Bachand) : …Loi modernisant des dispositions
législatives en matière de protection des renseignements personnels.
Lors de la suspension de nos travaux, cet
avant-midi, nous étions rendus à l'étude de l'article 95, amendé.
Interventions? M. le ministre.
M.
Caire
:
…d'amender, à l'article 95, le 3.2. Et on était à l'étape de savoir s'il y
avait des commentaires — corrigez-moi si je me trompe — de
la part de mes collègues des oppositions suite à l'amendement qu'on avait
déposé, bien, que le député de Gouin a déposé et que nous avions adopté.
Une voix
: …
M.
Caire
: Oui.
Donc, on serait sur 3.2, tel qu'amendé.
Le Président (M.
Bachand) :Est-ce qu'il y a des
interventions, sinon, on peut continuer? M. le député de Gouin.
M. Nadeau-Dubois : Juste me
laisser le temps de… comme, il n'y en a pas. Juste me laisser le temps de me
réorganiser. Non, je pense qu'on avait fait le tour, en effet.
Le Président (M.
Bachand) : Parfait. Donc, M. le ministre, peut-être poursuivre
dans l'étude de la section.
M.
Caire
: Bien,
si les collègues sont à l'aise, moi, je serais à l'étape de l'amendement à
l'article 3.3, M. le Président.
Le Président (M.
Bachand) : Merci. M. le ministre, s'il vous plaît.
M.
Caire
: D'accord.
Alors, il se lit comme suit : À l'article 3.3 de la Loi sur la
protection des renseignements personnels dans le secteur privé, proposé par
l'article 95 du projet de loi :
1° insérer, dans le premier alinéa
et après «tout projet», «d'acquisition, de développement, de refonte»;
2° ajouter, à la fin, l'alinéa
suivant :
«La réalisation d'une évaluation des
facteurs relatifs à la vie privée en application de la présente loi doit être
proportionnée à la sensibilité des renseignements concernés, à la finalité de
leur utilisation, à leur quantité, à leur répartition et à leur support.»
Donc, là, on est vraiment dans le miroir
de ce qu'on a fait au niveau du public. Parce qu'on se souvient, on avait dit
qu'une évaluation relative aux facteurs de la vie privée pour tout projet
informatique, ça devenait exagéré. On l'a accordé au public, cet
aménagement-là, donc on fait la même chose pour le privé.
Et ce qu'on avait dit aussi, ce que je
préconise, en fait, M. le Président, c'est que cette évaluation-là, il faut
qu'elle soit proportionnée. Je prenais l'exemple de la personne qui va avoir
des contrats de déneigement et qui va avoir un nombre très, très, très limité,
un, de clients et donc, conséquemment, de renseignements personnels, à qui on
demanderait de faire une évaluation des facteurs relatifs à la vie privée
exhaustive. Comme si, par exemple, Desjardins allait d'une refonte complète de
son système AccèsD, bien, on comprend que ça ne peut pas… Tu sais, ce n'est pas
les mêmes impacts, ce n'est pas les mêmes enjeux, ça ne peut pas être traité de
la même façon.
Donc, M. le Président, c'est dans la même
optique que nous faisons au privé ce que nous avons fait au public.
Le Président (M.
Bachand) : Merci beaucoup. Interventions sur l'amendement? S'il
n'y a pas… M. le député de Gouin.
M. Nadeau-Dubois : Je voulais
juste prendre le temps de lire convenablement. Donc, le ministre dit :
C'est grosso modo un équivalent de ce qu'on a fait au public.
M.
Caire
: …ce
n'est pas l'équivalent, M. le député…
M.
Caire
: ...au
public.
Le Président (M.
Bachand) :Merci beaucoup. Interventions
sur l'amendement? S'il n'y a pas... M. le député de Gouin.
M. Nadeau-Dubois : Je voulais
juste prendre le temps de lire convenablement. Donc, le ministre dit :
C'est grosso modo un équivalent de ce qu'on a fait au public.
M.
Caire
: ...ce
n'est pas l'équivalent, M. le député, c'est vraiment un miroir de ce qu'on a
fait au public.
M. Nadeau-Dubois : Donc, encore
une fois, bon, on a eu le débat à l'époque, là, c'est sur la distinction entre
les projets qui sont déjà là, on ne veut pas forcer à tout refaire, et les
nouveaux projets.
• (14 h 40) •
M.
Caire
: Puis
c'est un commentaire qu'on a entendu et du public et du privé, là, que, dans sa
forme initiale, on avait peut-être une exigence exagérée. Il fallait vraiment
mieux le cibler à quel moment... Parce que l'idée n'est pas de dire : Ne
faites pas d'évaluation des facteurs relatifs à la vie privée. Mais l'idée est
de dire : Faites-le lorsque ce que vous faites a un impact, c'est-à-dire
lorsqu'il y a une modification qui le justifie, d'une part. Et, d'autre part,
cette évaluation-là doit être proportionnelle à ce que vous avez comme renseignement
personnel, là.
Le Président (M.
Bachand) :M. le député de Gouin, ça va?
M. Nadeau-Dubois : Non, c'est
bon. Merci, M. le Président.
Le Président (M.
Bachand) :Est-ce qu'il y a d'autres
interventions sur l'amendement? S'il n'y a pas d'autre intervention, nous
allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
:
M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
:
M. Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. Merci.
Donc, on revient sur 3.3, la sous-section, avec l'amendement qu'on vient
d'adopter. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : À la fin,
on parle de format technologique structuré et couramment utilisé. Qu'est-ce que
ça veut dire?
M.
Caire
: Bien,
c'est...
M. Nadeau-Dubois : Non, mais
c'est-u un vocabulaire habituel? Tu sais...
M.
Caire
: Non,
j'allais faire une blague en disant : C'est pour éliminer les fax. Mais
non, en fait, c'est... Excusez-moi. La tentation était beaucoup trop forte.
Bien, c'est de s'assurer que, quand on communique des renseignements, on le
fait d'une façon où ça peut être utilisé par le citoyen, donc d'y aller...
justement, on parle de courriel, on va parler de PDF, on va parler de ces
formats-là que tout le monde utilise et qui sont facilement accessibles.
Le Président (M.
Bachand) : ...continuer comme ça, on peut aller à une autre
sous-section aussi. Mais comme je vous dis, l'article 95 est ouvert, on
essaie juste d'y aller d'une façon progressive et organisée. Donc, est-ce qu'on
irait à 3.4? Est-ce qu'il y a des interventions? M. le député de Gouin, oui,
s'il vous plaît.
M. Nadeau-Dubois : À 3.4, dans
le fond, j'essaie de comprendre. On formule une obligation pour le responsable
de la protection des renseignements personnels à toute étape d'un projet visé à
3.3...
M. Nadeau-Dubois : À 3.4, dans
le fond — j'essaie de comprendre — on fait… on formule une obligation
pour le responsable de la protection des renseignements personnels à toute
étape d'un projet visé à 3.3. 3.3, maintenant, s'applique seulement pour les
nouveaux projets. Comment est-ce que les deux articles s'articulent les uns
avec les autres? Parce que, là, on vient d'amender, dans le dernier alinéa de
3.3, si j'ai bien... Non. Dans le premier, si j'ai bien compris, on a changé
«tout projet» par «tout nouveau projet».
M.
Caire
: C'est
les projets…
M. Nadeau-Dubois : Là, à 3.4,
on parle… «à toute étape d'un projet». Donc, est-ce que c'est seulement les
nouveaux ou c'est tous les projets?
M.
Caire
: Bien,
en fait, c'est les projets tels que l'article… L'article étant amendé, on va
parler de quand on fait des… une acquisition, un développement ou une refonte. Parce
que l'idée, c'est de dire qu'en complément aux facteurs relatifs à la vie
privée, donc, vous pouvez aussi… Donc, c'est en addition. Le responsable
pourrait aussi dire : Bon, bien, nommez quelqu'un qui est chargé de la protection
des renseignements personnels. Donc, l'idée, c'est d'avoir des mesures de protection
des renseignements personnels lorsqu'un projet de système d'information amène
cette nécessité-là. Et la discussion qu'on a eue est à l'effet que ce qui va
nécessiter des mesures de protection, c'est des projets qui amènent un
changement dans la nature dont on va les utiliser, les structurer, etc. C'est
pour ça qu'on limite les évaluations des facteurs relatifs à la vie privée, et
la prérogative de 3.4, on la limite aux projets d'acquisition, de développement
ou de refonte, parce que, si je fais une mise à jour d'un système, je passe de
la version 2.0 à 2.1, bien — puis je suis convaincu que le député de Gouin
comprend ce que je veux dire — bien, c'est sûr que, là, je n'ai pas
besoin de faire une évaluation des facteurs à la vie privée.
Je donne un exemple. On a un produit pour
lequel une vulnérabilité a été trouvée, je vais installer une rustine qu'on
appelle en bon français une patch. Bien, tu sais, je ne ferai pas une évaluation
des facteurs relatifs à la vie privée. J'ai une application. Il y a une version
3. J'étais à la version 2, je suis à la version 3. Donc, on comprend que c'est
une version qui est plus performante, qui amène différentes fonctionnalités
supplémentaires, mais, sur le fond, c'est le même système que j'utilise. Par
exemple, au gouvernement du Québec et dans le déploiement du système SAGIR, il
y a différents modules, donc chaque module amène, lui, par contre, une
utilisation particulière. Donc, là, on va faire une évaluation des facteurs à
la vie privée. Mais, si je prends un système pour lequel je fais une mise à
jour…
M.
Caire
: ...Québec
est dans le déploiement du système SAGIR. Il y a différents modules, donc
chaque module amène, lui, par contre, une utilisation particulière. Donc là, on
va faire une évaluation des facteurs à la vie privée. Mais si je prends un
système pour lequel je fais une mise à jour, bien là c'est le même système,
donc je n'ai pas besoin de mesurer est-ce que mon système... est-ce qu'il a un
impact sur les facteurs relatifs à la vie privée. Bien non, je n'ai pas changé
le système. C'est le même système.
Donc, c'est un peu la même chose pour les
mesures de protection, dans le sens où je ne vais pas nommer un responsable chargé
de la mise en oeuvre de la protection des renseignements personnels parce que
je vais dans une version plus évoluée d'un même produit. C'est un petit peu ça,
le principe. Bien, en fait, ce n'est pas un petit peu ça. C'est ça, le
principe.
Le Président (M.
Bachand) : Alors, on continue sur 3.4. M. le député de
La Pinière, s'il vous plaît.
M. Barrette : ...
Le Président (M.
Bachand) : Oui, mais on peut changer, là. On va à 3.4, oui.
M. Barrette : On peut changer,
là? Écoutez, c'est une question... c'est une intervention, plutôt qu'une question,
qui est très, très simple. Pourquoi, à 3.4, on parle... on dit «peut»... à 3.4,
le quatrième paragraphe, là, pourquoi ce n'est pas «doit»?
M.
Caire
:
Pour...
M. Barrette : Pour la
formation?
M.
Caire
: Oui,
bien, parce qu'il faut laisser la possibilité que ce n'est pas nécessaire.
M. Barrette : Ça, je
comprends, mais on pourrait...
M.
Caire
:
Alors, si on met «doit», bien là, il n'y a plus cette notion-là pour... le
responsable de la protection des renseignements personnels n'a plus cette
latitude-là de décider : Est-ce que c'est nécessaire? Est-ce que le
contexte le justifie?
M. Barrette : Je comprends...
J'essaie de concilier les expériences récentes qu'on a vécues, déplorables, et
je ne parle pas des activités du ministre, mais bien de ce que l'on connaît.
Là, je vais arrêter de les nommer, parce qu'il paraît que, quand je les nomme,
ça les vexe, ça leur fait de la peine, alors je ne nommerai personne, alors,
mais on a vécu des situations déplorables qui ont été rendues publiques.
M.
Caire
: Comme
quoi?
M. Barrette : Hein?
M.
Caire
: Comme
quoi?
Des voix
: Ha, ha, ha!
M. Barrette : Vous savez,
quand je viens, j'amène toujours de l'humour avec moi. Alors, je ne les
nommerai pas, mais je vois que le ministre sait de quoi je parle. Et il a quand
même été, sinon parfaitement clairement établi, il a quand même... très... pas
mal assez clairement établi qu'il y avait un problème de mise à jour. Alors, il
y a deux mises à jour qu'on peut avoir, évidemment, en termes de protection,
une mise à jour technologique et une mise à jour soit de formation, là, ou soit
de gestion.
M.
Caire
: D'habiletés.
Tout à fait.
M. Barrette : Ce sont des
cousins, là, parce qu'on est dans les ressources humaines. Là, d'abord, ça
m'amène donc à deux questions, à 3.4, quatrième paragraphe. Un, pourquoi ce
n'est pas «doit». Je comprends l'argument du ministre, puis il est correct,
l'argument du ministre, mais peut-être qu'on pourrait essayer de le formuler du
genre «doit, lorsqu'il y a un changement significatif». Et quand on dit
«formation sur la protection des renseignements personnels pour...
M. Barrette : ...à 3.4,
quatrième paragraphe. Un, pourquoi ce n'est pas «doit»? Je comprends l'argument
du ministre, puis il est correct, l'argument du ministre, mais peut-être qu'on
pourrait essayer de le formuler du genre «doit, lorsqu'il y a un changement
significatif». Et quand on dit «formation sur la protection des renseignements
personnels pour les participants au projet», on parle de théorie, là, ou on
parle de pratiques technologiques?
M.
Caire
: Bien,
en fait, on parle de connaissance des obligations qui sont faites. On va parler
effectivement, disons, dans un contexte où il y a une évaluation des facteurs
relatifs à la vie privée... bien, pas «si», là, mais nous sommes dans un
contexte où une évaluation des facteurs relatifs à la vie privée a été faite.
Elle amène des conclusions, ces conclusions-là devraient être communiquées aux
gens qui vont travailler sur le projet, évidemment. Donc, ça fait partie des
formations qui pourraient être requises.
Évidemment, on n'est pas... ici, compte
tenu du fait qu'on parle d'un développement de projets, on n'est pas sur
l'utilisation, parce qu'on développe le projet ou on le déploie, donc on n'est
pas dans le contexte d'utilisateur, on est dans le contexte d'un développement
d'une acquisition ou d'une refonte.
M. Barrette : Donc, on est
plus dans la théorie. Je pense que le ministre comprend où je veux aller, là.
M.
Caire
: Oui,
oui, oui. Absolument.
M. Barrette : Ce n'est peut-être
pas la bonne place, mais je ne l'ai pas vu encore, puis peut-être qu'il y a des
raisons évidentes pour lesquelles je ne l'ai peut-être pas vu, si c'est en quelque
part, mais l'obligation de formation, si on ne la retrouve pas là, on va la
retrouver où, dans le privé, dans l'espace... dans le projet de loi? Parce
qu'on s'entend, là...
M.
Caire
: En
fait, à ma connaissance, puis je vous le dis, là, en ouvrant une porte, là, d'abord
parce que vous prêchez à un converti.
M. Barrette : Oui, je le sais.
M.
Caire
: Celui
qui vous parle a demandé à l'Académie de transformation numérique de produire
des formations et suit pas à pas l'avancement des ces formations-là au niveau
de nos employés, parce que nous savons que nonobstant les événements récents,
le vol de données par une introduction technologique, par un hacker, c'est une
minorité par rapport à ce qui se fait. La majorité... les pirates informatiques
vont attaquer les individus, vont berner les individus, parce que c'est...
• (14 h 50) •
M. Barrette : D'où
l'importance de la formation.
M.
Caire
: D'où
effectivement le besoin de formation, ce que le gouvernement du Québec fait,
présentement. Maintenant, Me Miville-Deschênes me corrigera, fidèle à son
habitude, si je me trompe, mais il n'y a pas... ce type d'obligation là n'est
pas prévu à la loi.
M. Barrette : Mais ça
m'apparaît...
M.
Caire
: Oh!
Oh! Oh! Eh! je vais peut-être me faire corriger.
Le Président (M.
Bachand) : Me Miville-Deschênes, oui.
M. Barrette : Bien, alors,
justement, c'est tellement un moment de grâce qu'on va le laisser parler.
M.
Caire
:
Absolument. De toute façon, ça lui démangeait d'intervenir.
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît...
M.
Caire
: Je
pense qu'il commence à aimer ça.
M. Barrette : Prenez votre
temps, Me Miville-Deschênes, puis...
M.
Caire
: …ce
type d'obligation là n'est pas prévu à la loi…
M. Barrette : Maisi ça
m'apparaît…
M.
Caire
: Oh!
Oh! Oh! Je vais peut-être me faire corriger.
M. Miville-Deschênes
(Jean-Philippe) : …
Le Président (M.
Bachand) : Me Deschênes.
M. Barrette : Oui. Alors, justement,
c'est tellement un moment de grâce qu'on va le laisser parler.
M.
Caire
: Absolument,
bien oui. De toute façon, ça le démangeait d'intervenir.
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Miville-Deschênes
(Jean-Philippe) : …
M.
Caire
: Je
pense qu'il commence à aimer ça.
M. Barrette : Prenez votre
temps, Me Miville-Deschênes, puis appuyez fort.
M.
Caire
: On
vous écoute.
M. Miville-Deschênes
(Jean-Philippe) : Non, mais dans le secteur public, il y a des
obligations. Il y a une obligation actuellement dans le règlement sur la
diffusion, une obligation, le sous-ministre ou le dirigeant d'un organisme
public doit veiller à la sensibilisation et à la formation des membres du
personnel…
M. Barrette : Au privé…
M. Miville-Deschênes
(Jean-Philippe) : Non, excusez, c'est au public, parce que le privé,
il n'y en a pas effectivement.
M. Barrette : Les événements
qu'on a vus étaient…
M.
Caire
: Me
permettez-vous de le taquiner, M. le député?
M. Barrette : Bien sûr.
M.
Caire
: Vous
manquez une belle game, là, on parlait des articles sur le privé.
M. Miville-Deschênes
(Jean-Philippe) : Non, je sais, mais je n'étais pas sûr si…
M. Barrette : D'ailleurs, d'ailleurs,
je me rappelle l'avoir dit.
M.
Caire
: Puis
si jamais vous voulez en rajouter un peu, M. le député de La Pinière, là,
gênez-vous pas.
M. Barrette : Bien oui, je
vais en rajouter. Me Miville-Deschênes, vous faites partie… vous êtes un des
rédacteurs de la loi, comment ça que nous n'avez pas pensé à ça?
Une voix
: Point…
M. Barrette : Blague à part,
on ne devrait pas avoir ça.
M.
Caire
: Ce
n'est pas prévu au privé, ce n'est pas prévu d'avoir des obligations de formation
sur ce qu'on pourra appeler la cyberhygiène, là, qui est le nouveau mot.
M. Barrette : Oh! un nouveau
mot.
M.
Caire
: Oui, absolument,
on essaie d'être créatif, mais parce que…
M. Barrette : Après il y a le
cybersanitaire.
M.
Caire
: …puis
je vous dirais que c'est un peu… parce qu'effectivement on le fait au public,
puis je pense que c'est correct qu'on se l'impose à nous-mêmes. De l'imposer à
l'entreprise privée…
M. Barrette : Je vais rappeler
des souvenirs au ministre, M. le Président, dans le projet de loi n° 14
qui était l'initial, c'est ça. Je me rappelle avoir fait une intervention en
disant que même… je me rappelle exactement ce que j'ai dit, et ce que j'avais
dit, c'est… Quand je suis cet environnement-là aux États-Unis, j'avais raconté
que j'avais assisté à une conférence virtuelle où des grandes entreprises
souhaitaient que le gouvernement mette en place des règles, parce qu'eux autres
mêmes constataient que… eux autres, d'abord, les grandes entreprises, pas
simplement le TI, les grandes entreprises, c'est ce que j'avais raconté,
disaient : Nous, là, dans le monde économique, là, notre ennemi numéro un,
c'est le vol de données, parce que c'est la perte de confiance du public, puis
surtout aux États-Unis, les poursuites, les coûts, et ainsi de suite.
Et eux autres avaient dit au gouvernement
américain dans ce colloque-là : Écoutez, légiférez, parce que nous qui
faisons bien les choses, on est pénalisés vis-à-vis ceux qui sont les mauvais
élèves qui se font hacker, et là ça donne une mauvaise réputation, puis tout le
monde perd là-dedans. L'entreprise, elle-même disait au gouvernement :
Légiférez, mettez les règles pour nous forcer à être bons. Alors, c'est dans
cet esprit-là, moi, que j'avais dit ça à l'époque puis je le redis encore
aujourd'hui, j'ai de la misère à concevoir pourquoi on est frileux. Là, ce que
je constate, ce que je souhaite au public, on ne le met pas au privé. Bien,
pourquoi on ne le met pas au privé?
M.
Caire
: Ça va
me faire plaisir. Parce que…
Le Président (M.
Bachand) : M. le ministre…
M. Barrette : ...cet
esprit-là, moi, que j'avais dit ça à l'époque, puis je le redis encore aujourd'hui,
j'ai de la misère à concevoir pourquoi on est frileux. Là, ce que je constate,
c'est qu'on a... ce que je souhaite au public, puis on ne le met pas au privé.
Bien, pourquoi on ne le met pas au privé?
M.
Caire
: ...parce
que...
Le Président (M.
Bachand) :M. le ministre, parce qu'il y a
un vote au salon bleu. Alors donc, on va libérer nos amis... le député de Gouin.
Alors, on suspend quelques instants.
Merci.
(Suspension de la séance à 14 h 54)
15 h (version non révisée)
(Reprise à 15 heures)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La
commission reprend ses travaux.
Alors, on était sur 95, toujours. Alors, M.
le député de La Pinière.
M. Barrette : Oui. Non, M. le
Président, avant qu'on quitte, je disais au ministre que la situation qui est
proposée, je la comprends, là. Je comprends très bien ce que le ministre veut
faire. Et je trouvais qu'il y avait un débat de faisable, parce que, dans ce
qui est proposé actuellement, on a régime qui est un peu… pas deux poids, deux
mesures, ce n'est pas le bon mot, mais on a un régime qui est différent entre
le public et le privé. Or, je comprends que le public, là, c'est important,
puis c'est important, mais c'est tout aussi important du côté du privé. Puis on
met en place des règles, actuellement, au public qui sont plus fortes qu'au
privé. Et moi, c'est le débat que je fais : Pourquoi au privé, on leur met
des règles moins strictes, moins contraignantes qu'on le fait pour le public?
En passant, M. le Président, bon, pour ceux qui nous écoutent, c'est quand même
pas pire, là, c'est rassurant. Là ils apprennent, ils ont la certitude qu'on
est plus sévères au public qu'au privé. Bonne nouvelle. Mais pourquoi pas au
privé?
M.
Caire
: Bien,
en fait, ce que j'expliquais au député de La Pinière, c'est qu'au public
c'est notre entreprise, donc on s'impose des règles de prévention. On laisse
une flexibilité à l'entreprise privée de faire ses choix. Mais, comme
j'expliquais aussi, si l'entreprise privée a plus de latitudes sur ses choix,
elle n'en a pas plus sur les obligations et n'en a pas plus sur les
conséquences de ne pas avoir fait face à ses obligations. Donc, ce que l'on
souhaite faire, c'est, oui, donner une certaine souplesse, bien que, moi, je
crois beaucoup, comme le député de La Pinière à la formation — j'y
crois, j'y crois tellement, comme je l'ai dit, qu'on se l'impose à nous-mêmes
et on est dans ce processus-là — je crois que le gouvernement doit toujours
avoir en tête : Est-ce que je suis en… Bien, je veux dire, moi, je ne veux
pas gérer l'entreprise privée à la place de l'entreprise privée. Par contre,
les obligations, ça, nous sommes intraitables. Il y a des obligations sur la
protection des renseignements personnels et il y a des conséquences, puis des
conséquences qui sont quand même importantes, là, on le voit plus loin, à ne
pas faire face à ses responsabilités…
M.
Caire
: …les
obligations, ça, nous sommes intraitables. Il y a des obligations sur la
protection des renseignements personnels et il y a des conséquences, puis des
conséquences qui sont quand même importantes, là, on le voit plus loin, à ne
pas faire face à ses responsabilités.
M. Barrette : Là, M. le
Président, pour que ce soit bien clair, là, dans l'esprit du ministre, là,
c'est une figure qui a un coût qu'il choisit de ne pas imposer à l'entreprise
privée. Ce faisant, pour ne pas l'imposer, il y va par une autre voie qui est celle
de la dissuasion due aux amendes, qui passe par les amendes.
M.
Caire
: Oui,
on peut le voir comme ça. Oui, je pense que le député de La Pinière résume
bien.
M. Barrette : Ça fait que là…
M.
Caire
: Si
vous n'investissez pas en formation et que, de ce fait, découle un incident et
que, de ce fait, il y a… puis on est tous dans le «si», évidemment, là, il y
avait soit des sanctions pécuniaires ou on serait plus dans le pénal à ce
moment-là, j'imagine, là, bien, l'entreprise pourra se demander s'il n'aurait
pas été mieux… s'il n'aurait pas mieux valu investir en formation, en
prévention. Mais oui, on peut le voir comme ça.
M. Barrette : Bon, ce qui fait
que deux philosophies s'opposent, la mienne et celle du ministre, alors la
mienne étant prospective, donc avant l'événement, et celle du ministre, elle
est rétrospective, parce qu'elle est après le fait. Je veux dire, c'est deux
philosophies, là.
M.
Caire
: Oui,
bien, c'est parce que l'intention du législateur est claire sur la protection
des renseignements personnels. Puis ça, là-dessus, moi, je pense qu'on est tous
d'accord. Donc, l'objectif, pour l'entreprise publique, privée, il est clair.
Les moyens pour y parvenir peuvent être différents, mais les conséquences de ne
pas atteindre ces objectifs-là sont les mêmes aussi.
Ce que je dis, c'est juste que, pour
l'entreprise privée, comme il y a une notion de gestion, je pense que le gouvernement
ne doit pas gérer l'entreprise privée, ce que nous pouvons faire avec nos
organismes publics, et donc c'est pour ça que moi, je n'ai pas d'a priori à ce
qu'on mette ces obligations-là de formation pour nos entreprises publiques.
Parce que moi, comme ministre, puis je suis convaincu que le collègue de La Pinière
est dans la même lignée, là, c'est ce que j'entends de son discours, je préfère
former les employés puis éviter les accidents plutôt que de prendre la chance
qu'il en arrive un puis de subir des conséquences, puis ça, pour moi, c'est
clair.
Maintenant, pour l'entreprise privée,
c'est de la gestion interne. Nous, ce qu'on dit ici, c'est que le responsable
pourrait tenir des activités de formation, il peut le faire dans le contexte, évidemment,
de 3.3, là. Là, je comprends que notre débat de départ, 3.3, parce qu'on est
dans l'utilisation, au sens très large, des technologies, mais ça s'applique
quand même à 3.3. Donc, dans ce contexte-là, ils peuvent le faire, mais entre
pouvoir le faire et l'obliger, moi, je pense qu'il y a un pas à franchir que je
préfère…
M.
Caire
: …notre
débat de départ, 3.3, parce qu'on est dans l'utilisation, au sens très large,
des technologies, mais ça s'applique quand même à 3.3. Donc, dans ce
contexte-là, ils peuvent le faire, mais entre pouvoir le faire et l'obliger,
moi, je pense qu'il y a un pas à franchir que je préfère ne pas franchir.
M. Barrette : Écoutez, je vais
préciser, nuancer un peu ma position, que je maintiens. Je peux comprendre le
ministre quand il nous dit que dans une loi éventuelle, là — elle est
là, on l'étudie, on essaie peut-être de la modifier ou non — on peut
arriver et penser que : Ah! Si j'impose ça, là, ça va causer plus de tort
que de bien pour une p et même une m, dans les PME. Bon, maintenant, cet
argument-là tient beaucoup moins la route, à mon sens, pour les grandes
entreprises. Et là peut-être qu'il y aurait possibilité, je ne sais pas si le
ministre serait ouvert à ça, à nuancer ça. Puis là je ne sais pas, là, je n'ai
pas d'amendement de préparé là-dessus, M. le Président, là, on discute, là.
Mais les grandes entreprises, eux autres,
là, les banques, les compagnies d'assurance, et ainsi de suite, là, les grandes
organisations privées, elles, on ne devrait pas faire ça? Parce que moi, M. le
Président, là, par déformation professionnelle, je suis toujours enclin à
regarder la nature humaine, la nature humaine, elle est faite de même. Il y a
toujours quelqu'un qui prend une chance à quelque part, là. En général, les
gens… pas toujours, mais pas en général, souvent il y a des gens qui vont poser
des gestes parce qu'ils sont obligés de le faire. Puis, des fois, s'ils ne sont
pas obligés, ils ne le font pas. Alors là, est-ce qu'il y aurait moyen
pour le ministre d'envisager la possibilité d'un article ou d'un amendement qui
fasse en sorte… puis là je ne le sais pas, je ne vais pas déposer des
amendements pour le fun, là, de faire en sorte que les grandes entreprises,
elles, ça soit une obligation?
M.
Caire
: Bien,
en fait, le principe que j'évoquais, c'était de dire que je ne souhaitais pas
imposer un moyen que… puis ça, c'est indépendamment de la grosseur ou de
l'importance en termes de volume d'affaires de l'entreprise, là, c'est un peu…
Je comprends ce que le député de La Pinière dit, puis c'est vrai que la
grande entreprise a probablement plus de moyens financiers de faire ça, il y a
plus d'employés aussi.
À la limite, on pourrait dire : Le
prix va être proportionnel, mais je ne veux pas embarquer dans ce débat-là,
parce que je pense que ce n'est pas ça, l'essence du débat. L'essence du débat,
c'est de dire… puis la vision que j'en ai est de dire : Écoutez,
l'intention du législateur sur les objectifs à atteindre est claire, et les
conséquences sont claires si la responsabilité n'est pas assumée par
l'entreprise en fonction de ces objectifs-là. C'est clair. À partir de là,
laissons les entreprises se gérer elles-mêmes, donc on met quand même certains
paramètres, là, ce n'est pas…
M.
Caire
: ...du
législateur sur les objectifs à atteindre et clairs, et les conséquences sont
claires si la responsabilité n'est pas assumée par l'entreprise en fonction de
ces objectifs-là. C'est clair. À partir de là, laissons les entreprises se
gérer elles-mêmes. Donc, on met quand même certains paramètres, là. Ce n'est
pas un bar ouvert, là. Mais sur dire : Vous devez former vos employés,
vous devez... J'ai plus d'a priori à faire ça pour une entreprise privée, parce
que, là, on entre dans la gestion de l'entreprise puis, pour moi, c'est peut-être
allé un peu loin, donc, a priori, je pense que ce que nous proposons dans le
3.4, c'est cet équilibre-là, je pense, qu'il faut rechercher comme
législateurs.
Le Président (M.
Bachand) :M. le député de La Pinière.
• (15 h 10) •
M. Barrette : Bon, je pense
qu'on a fait le tour du sujet, là. Comme j'ai dit, M. le Président, là-dessus,
je ne suis pas d'accord. Puis je pourrais, ad vitam aeternam... des amendements,
là. Je comprends... Il se défend, le point du ministre, M. le Président. Je
pense que ma position est meilleure, c'est normal, puis le ministre pense que
la sienne l'est. Alors, on va en rester là.
Le Président (M.
Bachand) : Merci. Interventions? Donc, on continue. On pourrait
aller à 3.5. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : C'est un
gros morceau, 3.5. Il y a plusieurs éléments dedans, M. le Président. On va
commencer par le début. Premier élément, là, 3.5 : «Une personne qui
exploite une entreprise et qui a des motifs de croire que s'est produit un
incident de confidentialité impliquant un renseignement personnel qu'elle
détient doit prendre les mesures raisonnables pour diminuer les risques qu'un
préjudice soit causé et éviter que de nouveaux incidents de même nature ne se
produisent».
Pourquoi est-ce que le ministre a fait le
choix de ne pas, ici, inscrire de délai? Comment on fait pour s'assurer que les
entreprises agissent rapidement quand ça se produit?
M.
Caire
: Bien,
en fait, ça, c'est ce qu'on... pas mal miroir de ce qu'on a fait au public
aussi. Puis on avait eu cette conversation-là et c'est un peu le même argument,
à savoir que, bon, quand on se rencontre qu'il y a un incident de
confidentialité, il y a des mesures à prendre, il y a une espèce de séquence.
Puis je me souviens même qu'avec le député de Gouin on en était arrivé à la
conclusion qu'il y a des choses qui pouvaient se faire de façon concomitante,
là. On pouvait continuer à éteindre l'incendie puis, de l'autre main, appeler
l'assureur, là. Dans ma mémoire, c'était l'exemple qu'on s'était donné
mutuellement. Puis c'est la même logique qui soutient cet article-là de dire
que, dans la séquence, il est important de s'assurer que la cause du
préjudice... Puis je pense qu'un des bons exemples qu'on peut prendre, c'est
l'exemple qu'on a vécu récemment...
M.
Caire
: …qu'on
s'était donné mutuellement. C'est la même logique qui soutient cet article-là
de dire que dans la séquence, il est important de s'assurer que la cause du
préjudice, puis je pense qu'un des bons exemples qu'on peut prendre c'est
l'exemple qu'on a vécu récemment où il était impératif de s'assurer que la
fuite soit… la brèche soit colmatée par tous les moyens nécessaires. Suite à
quoi, là, il y avait quand même des choses à faire. Des… il fallait divulguer
l'incident. Il faut en parler à la Commission d'accès à l'information. Il faut
que les gens qui en font l'objet soient avisés. Puis je trouve que l'exemple
est bon parce que pour aviser les gens encore faut-il savoir qui a été impacté.
Puis ce n'est pas toujours… on a une information puis on gratte puis on se rend
compte que ça évolue dans le temps. Alors, le délai, dans le fond, c'est de
dire : Bien, écoutez, allez chercher l'information. Vous avez
l'information et après ça, communiquez-la. Puis la parade pour empêcher que
quelqu'un décide d'abuser c'est que la Commission d'accès à l'information peut
forcer cette divulgation-là aux individus qui sont impactés. Donc, la notion de
raisonnabilité dans le temps, bien, il y a toujours le souffle de la Commission
d'accès à l'information dans le cou des individus, pour dire : Là, je veux
bien être patient, là, mais, à un moment donné, il va falloir que vous le
fassiez.
M. Nadeau-Dubois : On
reviendra à la question d'aviser les individus. Ça vient plus loin. Je vais
aussi avoir des questions là-dessus. Mais là, à ce stade-ci, c'est vraiment, tu
sais, les mesures que doivent prendre les entreprises. Comment on fait en sorte
qu'elles soient prises rapidement? Puis c'est intéressant parce qu'au
paragraphe suivant, là, on dit tout de suite : Si l'incident présente un
risque d'un préjudice sérieux, qu'un préjudice sérieux soit causé, elle doit,
donc, l'entreprise, avec diligence aviser la Commission d'accès à
l'information. Donc, ici, on vient mettre quand même un marqueur temporel,
celui de la diligence. On ne le fait pas juste avant quand vient le temps de
prendre les mesures. Pourquoi?
M.
Caire
: Bien,
en fait, ce que le premier alinéa dit c'est que vous prenez les mesures
raisonnables pour diminuer les risques qu'un préjudice soit causé et éviter de
nouveaux incidents de même nature ne se produisent. Donc, on comprend qu'on est
dans l'instantanéité, là. Si vous voulez éviter un préjudice, bien, si vous
tardez vous n'évitez pas le préjudice. Et donc, là, ce à quoi vous vous exposez
c'est que votre laxisme vous met en contradiction avec le fait que vous n'avez
pas évité le préjudice. Ce que je veux dire c'est que si vous avez… bon,
prenons l'exemple très récent. Vous vous apercevez que quelqu'un de sympathique
a réussi à percer vos défenses…
M.
Caire
:
...c'est que votre laxisme vous met en contradiction avec le fait que vous
n'avez pas évité le préjudice.
Ce que je veux dire, c'est que, si vous
avez accès... Bon, prenons l'exemple très récent. Vous vous apercevez que quelqu'un
de sympathique a réussi à percer vos défenses, il entre dans le système, il
part avec de l'information, vous vous en rendez compte, vous ne faites rien, et
le lendemain il recommence, mais là vous avez eu connaissance d'un incident de
confidentialité et vous n'avez pas pris les mesures raisonnables pour diminuer
les risques qu'un préjudice soit causé et éviter de nouveaux incidents de même
nature. Vous ne l'avez pas fait.
M. Nadeau-Dubois : Je ne
suis pas juriste, mais est-ce qu'on pourrait... est-ce que des gens puis des
entreprises ne pourraient pas plaider : Oui, bien, on était en train
encore d'évaluer s'il y a eu un préjudice? Parce que c'est ça aussi, là, c'est
pour diminuer les risques qu'un préjudice soit causé. Donc, est-ce qu'il n'y a
pas ici une porte à ce qu'une entreprise fasse valoir que, bien, ils étaient en
train de le faire, ils n'ont pas eu le temps. Puis là ça peut prendre combien
de temps, quelques jours, quelques semaines?
Tu sais, comment on fait pour que le
message soit compris par les entreprises, comme l'exemple que le ministre vient
de donner, que, quand il se produit un incident de confidentialité, on s'attend
à ce que, dans les plus brefs délais, là, de manière quasi immédiate, quand
vous vous en rendez compte, vous agissez maintenant, pas dans une semaine, pas
dans deux semaines?
Puis le ministre sait comme moi qu'il y a
des cas documentés d'entreprises... Puis on reviendra plus tard sur la question
de la divulgation parce que ça aussi, il y a des cas documentés d'entreprises
qui se rendent compte qu'il y a un problème, et qui se rendent compte qu'ils
sont dans le trouble, et qui attendent, et... parce qu'ils savent qu'ils sont
dans le trouble, notamment envers leurs clientèles. Bon, on reviendra à cette
partie-là de l'article quand on y viendra.
Mais juste sur le fait d'agir dès qu'on a connaissance
des faits, il me semble qu'il y a des pratiques documentées d'entreprises qui
tardent puis que ce ne serait pas ici inutile de venir installer... de venir
faire apparaître une notion temporelle pour dire aux entreprises, comme le ministre
vient lui-même de le dire : C'est immédiat, là. Vous vous rendez compte qu'il
y a un problème. Ça ne peut pas aller à la semaine d'après, là. Vous agissez maintenant.
M.
Caire
: Si je
peux me permettre, c'est parce qu'on a utilisé le même libellé. Puis
corrigez-moi si je me trompe, Me Miville-Deschênes, mais on a le même libellé au
niveau du public. Donc...
M. Nadeau-Dubois : ... l'article
dans le public aussi, si finalement on s'entend.
M.
Caire
: Non,
bien non. Non, c'est parce que pour...
M. Nadeau-Dubois : Ça va
prendre trois minutes de consentement.
M.
Caire
: Non,
mais, M. le député, c'est parce qu'on dit, bon : «Une personne qui
exploite une entreprise qui a des motifs de croire qu'il s'est produit un
incident», donc il faut qu'elle en ait connaissance. Puis ce qui est intéressant,
justement, c'est l'exemple récent, où l'entreprise a appris par un journaliste
qu'elle s'était fait voler des données. Donc, dans ce cas-là, difficile de lui
dire que tu aurais dû prendre des moyens, parce qu'elle n'en a pas eu connaissance.
Et c'est plausible. Il est possible d'être victime d'une attaque informatique
qui se veut discrète et pour laquelle vous n'avez pas connaissance.
Mais partons du principe que vous en avez connaissance,
bon...
M.
Caire
:
…difficile de lui dire que t'aurais dû prendre des moyens, parce qu'elle n'en a
pas eu connaissance, et c'est plausible, il est possible d'être victime d'une
attaque informatique qui se veut discrète et pour lesquelles vous n'avez pas
connaissance. Mais partons du principe que vous en avez connaissance, bon…
qu'elle doit, c'est une obligation de prendre les mesures raisonnables pour
diminuer les risques qu'un préjudice soit causé et éviter de nouveaux
incidents. À partir de là, vous évaluez ce qui s'est passé, vous évaluez les
mesures qui ont été prises et vous êtes, je veux dire, quand même capable
d'évaluer si vous avez fait ce qui est raisonnable, donc dans un cas où
l'entreprise jouerait à l'autruche, je doute qu'un tribunal jugerait que c'est
une mesure raisonnable.
M. Nadeau-Dubois : …est-ce
qu'il y a des parallèles dans d'autres lois, des précédents de ce type
d'interprétation là, où, quand il y a une obligation de prendre certains
moyens… parce que, dans le fond, moi, ce que… la manière dont j'interprète la
réponse du ministre, ce qu'il dit, c'est implicite, la notion est… la notion de
temporel est implicite au fait de prendre les moyens. Ça fait que ma question
pour les juristes serait peut-être : Est-ce que c'est une interprétation
qu'on voit dans d'autres lois, que, dès qu'il y a une obligation de moyens,
c'est implicite que ça doit se faire au moment de la connaissance?
Le Président (M.
Bachand) : …Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Bien, là, rapidement, je ne pourrais pas vous nommer
de loi, mais effectivement, comme le ministre l'a dit, quand on dit «les
mesures raisonnables», ça vient teinter le délai. Donc, quand une entreprise
doit prendre les mesures raisonnables pour éviter, bien, pour diminuer le
risque, bien, là, les mesures raisonnables pour diminuer un risque en cas
d'incident, c'est des mesures rapides, là. Donc, ça vient qualifier un peu le
délai pour… dans lequel les mesures doivent être prises. En même temps, est-ce
que les mesures raisonnables pour éviter un nouveau… pour la deuxième
obligation, pour éviter que des nouveaux incidents de même nature, là, peut-être
que ça va être un peu plus long, parce que prendre le temps, en même temps, de
voir quelle est la faille et de quelle façon qu'on la corrige. Donc,
effectivement, «mesures raisonnables», c'est l'interprétation qu'on en a, là,
je ne pourrais pas vous nommer de loi mais je pourrais vous revenir avec ça si
nécessaire, là.
M. Nadeau-Dubois : Donc, c'est
implicite qu'il y a une certaine rapidité, diligence qui est exigée des
entreprises, puis une entreprise qui prendrait un mois à le faire serait en
contradiction avec la loi. Merci.
• (15 h 20) •
Le Président (M.
Bachand) : Merci. Autre intervention sur le bloc 3.5? Allez-y,
M. le député de Gouin.
M. Nadeau-Dubois : …morceau de
3.5 : «Si l'incident présente un risque qu'un préjudice sérieux soit
causé, elle doit avec diligence aviser la commission.» C'est quoi, ici, la
diligence, c'est combien de temps ici, la diligence?
M.
Caire
: Je
vous dirais…
M. Nadeau-Dubois : Parce que
là, là, on est au coeur… disons que, mes premières interventions…
M.
Caire
: Bien,
ce qu'on avait, c'était aussi vite qu'il est raisonnable…
M. Nadeau-Dubois : …mes
premières interventions étaient plus préventives, là. Là, ici, là, il y a des
cas documentés qu'on connaît tous, d'entreprises qui ont tardé à divulguer,
soit au public, soit aux forces policières, et/ou à la CAI…
M.
Caire
:
…correspond, qui ne correspondait pas à la notion de diligence.
M. Nadeau-Dubois : Bien, c'est
quoi, c'est parce qu'elle est polysémique, là.
M.
Caire
: Bien,
juridiquement, je vais laisser Me Miville-Deschênes…
M. Nadeau-Dubois : …d'entreprises
qui ont tardé à divulguer soit au public soit aux forces policières, et/ou à la
CAI.
M.
Caire
: …qui
ne correspondait pas à la notion de diligence.
M. Nadeau-Dubois : Bien, c'est
quoi? C'est parce qu'elle est polysémique, là.
M.
Caire
: Bien,
juridiquement, je vais laisser Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Bien, la diligence, il y a deux volets, mais
c'est le soin et l'empressement qui sont apportés à l'exécution d'une tâche ou
rapidité et efficacité. Donc, avec diligence, il y a la notion de bien faire la
tâche, le soin, mais la rapidité, l'empressement. Ça vient avec, dans le fond,
avec une notion du plus rapidement possible, un peu, là, sauf qu'il y a les
deux aspects.
M. Nadeau-Dubois : Donc, une
institution financière réalise qu'il y a eu fuite de données, et que ça prend
quelques semaines, voire quelques mois, hum, après la connaissance de
l'institution à divulguer que c'est arrivé, on n'est pas dans un cas de
diligence.
M.
Caire
:
D'ailleurs, si je peux me permettre, la présidente de la Commission d'accès à
l'information avait clairement indiqué que, si 64 avait été adopté, certaines
situations, et je m'inspirai du député de La Pinière, je vais terrer les
noms, mais certaines situations se seraient passées bien autrement et les
conséquences auraient été très différentes.
M. Nadeau-Dubois : Puis,
mettons, dans… entre «avec diligence» puis «dans les plus brefs délais»,
juridiquement, est-ce qu'il une différence?
M.
Caire
: C'est
une bonne question, ça. Ça m'intéresse, la réponse.
Le Président (M.
Bachand) : Me Miville-Deschênes.
M. Miville-Deschênes
(Jean-Philippe) : Oui, oui, la diligence, c'est le plus rapidement
possible, mais il y a aussi la caractéristique de bien faire le travail et le
soin donné à la tâche. Ça fait que c'est juste ça. Je dirais que «le plus rapidement
possible», on exige un délai seulement. Avec «diligencence», on exige un délai
qui est grosso modo le même, et c'est pour ça que, dans les lois, on utilise
«avec diligence», et je vais juste donner la définition officielle, là.
M.
Caire
: «Dans
les plus brefs délais», tu peux botcher, mais il faut que tu fasses ça vite.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça, exactement. Un soin ou une efficacité dans
l'exécution de la tâche, ça fait que, c'est ce qu'il y a d'ajouter dans la
diligence par rapport uniquement à une notion de délai.
M. Nadeau-Dubois : Prochaine question,
un peu plus loin, on dit : «Elle doit également aviser toute personne dont
un renseignement personnel est concerné par l'incident, à défaut de quoi la
commission peut lui ordonner de le faire.» Et là il n'y a pas de marqueur
temporel, il n'y a pas d'obligation de diligence ici, pourquoi? Puis, encore
une fois, là, ce n'est pas de la science-fiction, il y a des citoyens, des citoyennes
au Québec qui ont été victimes de fuite de données et qui ont été avertis dans
des délais qui n'ont aucun sens. Aucun sens. Ça fait que pourquoi ici il n'y a
pas de diligence, par exemple? On pourrait juste le réécrire.
M.
Caire
: Bien,
en fait, encore une fois, on est dans les mêmes libellés que ce qu'on a fait au
public. Bien, l'idée, puis c'est un petit peu ce que je vous expliquais peut-être
un peu prématurément tout à l'heure, c'est qu'une attaque vous pouvez être
pendant des mois à investiguer puis à trouver des nouveaux cas. Et donc ça
devient un peu difficile de mettre un marqueur de temps. Mais c'est pour ça
que… Non, mais je… C'est pour ça que la commission doit être saisie. Parce que,
dans le fond…
M.
Caire
: ...des
nouveaux cas. Et donc ça devient un peu difficile de mettre un marqueur de
temps. Mais c'est pour ça que... Non, mais je... C'est pour ça que la commission
doit être saisie. Parce que, dans le fond, ce que nous ne précisons pas par un
marqueur de temps, on vient l'encadrer par l'action de la commission. Et la commission...
Puis là-dessus je vous dirais que... là-dessus
je suis assez ferme, puis je vous explique, M. le député. Là, c'est peut-être
plus l'informaticien qui parle, mais vous pouvez un an après découvrir des
nouveaux cas. Ce n'est pas impossible. Ce n'est pas impossible. Donc, je vous
donne quoi, comme marqueur? Aussitôt que vous le savez? Tu sais, c'est comme...
ça...
Alors, pour moi, c'est clair que, quand
vous avez connaissance des faits, il y a des gestes à poser. Puis la commission
devient l'espèce de chien de garde qui va s'assurer que c'est fait. Et c'est
pour ça qu'on dit : «La commission peut ordonner de le faire». Donc, si
vous omettez de le faire, bien, la commission va vous dire de le faire. Et la commission
doit avoir en tête en faisant ça qu'on est dans un contexte... comme le stipule
le début de l'article, là... «un incident qui présente un risque de préjudice
sérieux», là. Donc, la commission, je pense, a la l'attitude, elle, pour
dire : Un instant, là, il y a des mesures de protection qui...
Puis les cas récents qu'on a vécus, je
vous dirais que, s'il y a une chose qui n'a pas fait défaut, là, à date, c'est,
au moment où les incidents sont connus, la divulgation aux individus et la protection
des individus. S'il y a une chose qui a fait défaut, c'est la connaissance de
l'événement. Puis là-dessus on a des critères...
M. Nadeau-Dubois : Mais
le ministre disait tantôt : On peut découvrir juste un an plus tard qu'il
y a des nouvelles personnes qui sont concernées. Ça, c'est sûr. Puis, à ce
moment-là, on l'avise... On ne peut pas aviser les gens quand on ne le sait
pas, donc on avise les gens au moment où on en prend connaissance. Ça fait que,
si on pense qu'il y a 10 000 personnes qui ont été touchées par un
incident de confidentialité, on avise les 10 000. On se rend compte six
mois plus tard que, hé boy! finalement, c'est 20 000, bien, on informe la
dizaine de milliers supplémentaires. Tu sais... je veux dire, je ne vois pas de
problème à demander aux entreprises... Il y a une obligatoire légale dans la
loi pour les entreprises d'informer avec diligence la commission. Puis ça,
c'est clair, c'est avec diligence.
M.
Caire
: Oui.
M. Nadeau-Dubois : Quand
même pas fou de ma part de constater que, trois lignes plus loin, quand il
vient le temps d'informer les individus qui sont les «victimes», entre
guillemets, de la situation, là, la notion de diligence disparaît. Il me semble...
M. Nadeau-Dubois : ...puis ça,
c'est classé avec diligence.
M.
Caire
: Oui.
M. Nadeau-Dubois : Quand même
pas fou de ma part de constater que, trois lignes plus loin, quand il vient le
temps d'informer les individus qui sont les victimes, entre guillemets, de la
situation, là la notion de diligence disparaît. Il me semble... Puis le ministre
dit : Oui, oui, mais, s'ils ne le font pas, la commission peut les forcer.
Oui, mais là il y a des délais à ça, il faut que la commission enquête, se
rende compte. Êtes-vous averti? Non, non. Parfait, ordonnance.
M.
Caire
: Non,
non, non. Je...
M. Nadeau-Dubois : Il y a quand
même un minimum de délai pour que la commission s'implique dans le dossier, là,
ce n'est pas instantané, là.
M.
Caire
: Avec
respect, la commission... aviser les gens qu'ils sont victimes d'un incident de
confidentialité préjudiciable ne relève pas des résultats, des conclusions de
l'enquête de la commission. La liste des victimes d'une fuite de données, c'est
quelque chose. À savoir qu'est-ce qui est arrivé avec ça, le niveau de
préjudice, pourquoi c'est arrivé, comment ça c'est passé, qui est responsable,
si tant est qu'il y a quelqu'un qui est responsable, ça, effectivement, il y a
une notion d'enquête.
Mais, oui, et c'est la raison justement
pour laquelle il faut aviser la commission avec diligence, parce qu'après ça,
la commission peut entrer au dossier et s'assurer que les personnes qui sont
victimes ne sont pas doublement victimes, donc victimes d'une fuite, et, après
ça, victimes d'une négligence ou de laxisme, ou etc.
• (15 h 30) •
M. Nadeau-Dubois : Je n'ai
peut-être pas choisi le meilleur mot, peut-être qu'«enquête» était trop musclé,
mais c'est-à-dire, la commission est informée d'un incident, là, quand même...
avant de juger est-ce que l'entreprise devrait informer les gens, quand même
faire un minimum de vérification, là. Tu sais, ils ne recevront pas... Ça ne
sera pas à l'instant où ils reçoivent le courriel, à l'instant ils disent à
l'entreprise : Informez les gens. Bon, il y a un délai pour faire les
vérifications de base, d'usage avant de dire : O.K., oui, là, on est dans
un cas où on va demander à l'entreprise de communiquer parce qu'on constate
qu'elle ne l'a pas fait.
C'est un truc qui a été vécu par des gens
au Québec, c'est une frustration réelle qui a été vécue par bien du monde, de
réaliser qu'ils ont été victimes d'une fuite de données puis de ne pas avoir
été informés en temps et lieu. Là, on vient, c'est un pas en avant, mettre une
obligation d'informer les gens. Puis, s'il y a... si, du même incident, on a
une obligation d'obliger avec diligence la commission, pour le même incident,
là notre obligation est qualifiée différemment dans la loi, ça envoie un
message, là. Ça envoie un message parce qu'on prend la peine de dire pour la
commission : Faites-le avec diligence. Puis là trois lignes... Tu sais, je
me mets dans la tête de quelqu'un qui doit interpréter cette loi-là, il
dit : O.K., avec la... pour informer la commission, là, le législateur
nous a dit : Faites-le avec diligence...
15 h 30 (version non révisée)
M. Nadeau-Dubois : ...est
qualifiée différemment dans la loi, ça envoie un message, là. Ça envoie un
message parce qu'on prend la peine de dire pour la commission : Faites-le
avec diligence. Puis là trois lignes... Puis, tu sais, je me mets dans la tête
de quelqu'un qui doit interpréter cette loi-là, dire : O.K., avec la...
pour informer la commission, le législateur nous a dit : Faites-le avec
diligence, puis, quand ils nous disent d'informer les gens, ah! là, ce n'est
pas avec diligence. Ça fait que ce n'est pas banal.
Tu sais, on dit toujours... Comment qu'on
dit ça? Le législateur ne parle pas pour rien dire, je pense, une affaire de
même, la loi... en tout cas. Puis, à l'inverse aussi, là, on ne parle pas pas
pour ne rien dire, là. Le fait qu'il y ait une absence, ici, de la notion de
diligence, il me semble, ce n'est pas banal. Ça fait que je ne sais pas...
M.
Caire
: Je
dois dire que là je ne partage pas le point de vue du député de Gouin. Je pense
qu'on s'entend sur beaucoup de choses dans ce projet de loi là, mais là-dessus
je ne suis pas d'accord, parce que, comme je l'ai dit, d'abord, c'est la même
formulation qu'au public. Et pour moi il est clair que les deux situations
doivent être traitées de la même façon. Parce qu'au fond, qu'on se fasse voler
nos informations personnelles par une entreprise publique ou par une entreprise
privée, du point de vue de celui qui se fait voler ses renseignements personnels,
ça ne change fichtrement rien. Donc, on a le même libellé
Et pour moi l'élément qui est très fort
là-dedans, c'est que, oui, il faut que la Commission d'accès à l'information
soit au dossier assez rapidement, très rapidement, d'où la notion de diligence.
Et, après ça, il est important que la commission ait le pouvoir d'imposer le
fait que cette divulgation-là se fasse.
Mais, à partir de là, moi, j'ai... puis
c'est peut-être là où on a une petite divergence, puis je ne veux pas que le
député de Gouin interprète mal mes propos. Moi, j'ai confiance au jugement de
la commission. Puis je ne dis pas que le député de Gouin n'a pas confiance à la
commission, je pense qu'il a fait de nombreuses professions de foi envers la
commission qui sont très claires. Mais là-dessus, là, j'aurais tendance...
Parce que c'est des situations qui ont
tellement de variables que c'est pour ça que je pense que ça prend quelqu'un
qui est rapidement au dossier, oui, pour s'assurer justement, à la genèse, que
les intérêts des victimes sont quand même pris en compte. Mais, à partir de là,
on lui donne une latitude de décider, là, à quel moment... Parce que, tu sais,
ce qui est raisonnable... Oui, mais c'est quoi qui est raisonnable dans cette
situation-là? Il y a beaucoup de variables qui rentrent en ligne de compte dans
ce genre de situation là. Et, à la limite, ultimement, ce qui me rassure, c'est
qu'elle a le pouvoir, la commission, de dire : Non, là, là, là, vous le
divulguez, vous le faites.
Alors, je ne vois pas de scénario où une
entreprise ne remplirait pas cette obligation-là, parce que ça suggère que la
commission cautionnerait ça. Puis c'est un scénario que je n'entrevois pas, là.
M. Nadeau-Dubois : On est ici
dans une question de délai, hein? Il ne s'agit pas de prêter des intentions à
la commission en disant :Si elle ne rappelle pas à l'ordre l'entreprise,
ça... Non, c'est juste, sur ce genre d'affaires là, il y a des pratiques
d'entreprises qui prennent...
M.
Caire
:
...puis ça, c'est un scénario que je n'entrevois pas, là.
M. Nadeau-Dubois : ...on est
ici dans une question de délai, hein? Il ne s'agit pas de prêter des intentions
à la commission en disant : Si elle ne rappelle pas à l'ordre l'entreprise,
ça va être... Non, c'est juste, sur ce genre d'affaires là, il y a des
pratiques d'entreprise qui prennent trop leur temps pour se protéger. Ça
existe. Ça fait que...
M.
Caire
: Oui,
je l'entends, mais mon collègue concédera que ces articles-là...
M. Nadeau-Dubois : ...la
commission, elle, elle fait du mieux qu'elle peut dans tous les dossiers, là,
puis elle va... Tu sais, si elle juge de bonne foi que, là, on est dans un cas
où les personnes devraient être informées : Avez-vous informé les gens?
Réponse : Non, on ne l'a pas fait. Faites-le. O.K., on va le faire. Je
veux dire, cette interaction-là prend un certain temps qui, pendant... puis ça,
c'est des... c'est une période de temps où il y a un préjudice qui est causé
puis les gens ne sont pas au courant. Alors, c'est juste... ici, il y a une
différence entre deux morceaux du même article qui m'apparaît envoyer un
mauvais message. Ça fait que, M. le Président, on va suspendre quelques
instants, je vais déposer un amendement.
Le Président (M.
Bachand) : ...on va suspendre quelques instants, merci.
(Suspension de la séance à 15 h 34)
(Reprise à 15 h 39)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Je vais déposer un amendement à l'article 95. Donc :
Modifier le deuxième alinéa de l'article 3.5 proposé par l'article 95
du projet de loi par l'insertion, après «Elle doit aviser», de «, avec
diligence,».
M. le Président, je pense que c'est une
bonne pratique que d'inviter les entreprises à informer avec diligence les
individus qui sont concernés par un incident de confidentialité. J'ai eu
l'occasion de l'expliquer au ministre en détail, mais c'est important pour moi
d'en faire la proposition formelle. Parce que, je le répète puis je m'arrête
ensuite, c'est des situations qui ont existé au Québec dans les dernières
années, c'est des pratiques qui existent.
Je pense que le législateur doit envoyer
un signal clair que ce n'est pas acceptable puis qu'on souhaite que les
entreprises agissent avec beaucoup plus, justement, de diligence quand vient le
temps d'informer les gens. Non seulement la commission, c'est vraiment une
bonne chose, là, mais également les individus concernés qu'il y a eu fuite de
leurs données personnelles. Voilà.
• (15 h 40) •
Le Président (M.
Bachand) : Merci. Interventions? M. le ministre.
M.
Caire
: Oui,
bien, M. le Président, je vais réexprimer mon désaccord avec collègue de Gouin
sur cette question-là. Peut-être deux éléments, à mon avis, importants. Le
premier, c'est que ce libellé-là est le même que nous avons utilisé, et qu'il
semblait convenir à tout le monde, là, je tiens à le préciser… avec le public.
Pour moi, il n'y a pas de raison. Quand on parle d'incident de confidentialité
et de préjudice, que l'entreprise soit publique ou privée, il faut les traiter
de la même façon. Donc, il n'y a pas de raison d'avoir cet élément-là
supplémentaire pour le privé, parce que l'événement n'est pas plus grave parce
que c'est une entreprise privée, il n'est pas moins grave parce que c'est une
entreprise publique, c'est le même libellé, d'une part. Et non, je n'ai pas
l'intention de réouvrir les articles qui ont été adoptés.
Et, d'autre part, M. le Président, puis je
vais me répéter, mais je pense que ça vaut la peine d'être dit, dans les bonnes
pratiques qu'on voit, d'avoir cette… une institution comme la CAI qui est
impliquée dans les événements rapidement, c'est dans les bonnes pratiques, d'où
l'idée de la diligence dans la divulgation à la CAI. Mais à partir de là, la
CAI a les pouvoirs, a tous les moyens qu'il faut pour s'assurer que la
situation que le député de Gouin décrit… à raison, et je suis d'accord avec
lui, c'est des situations qui sont inacceptables et pour lesquelles on ne
souhaite pas que ça se reproduise. Et ma conviction…
M.
Caire
:
...dans la divulgation à la CAI. Mais à partir de là, la CAI a les pouvoirs, a
tous les moyens qu'il faut pour s'assurer que la situation que le député de
Gouin décrit, à raison, et je suis d'accord avec lui, c'est des situations qui
sont inacceptables et pour lesquelles on ne souhaite pas que ça se reproduise.
Et ma conviction profonde, c'est que l'article 3.4 va faire en sorte qu'une
telle situation ou aurait fait en sorte qu'une telle situation ne se serait pas
produite, tel qu'on l'a connu. Ça laisse la latitude à la CAI d'évaluer la
pertinence de l'action, non seulement dans le geste, mais dans le temps, et
moi, je pense que c'est la bonne façon de faire.
Donc, je suis très confortable avec le
libellé tel qu'il est présentement puis je ne pense pas que ça envoie un
message de laxisme, à savoir que de divulguer l'information aux gens concernés,
ça peut attendre. Ce n'est pas une question que ça peut attendre, c'est une question
qu'il y a quand même des éléments qui rentrent en ligne de compte, qui doivent
être évalués, qui sont différents pour chaque cas. Et dans ce sens-là, c'est important
d'avoir un tiers neutre, mais qui a à coeur l'intérêt du citoyen puis l'intérêt
du respect de la loi, avec les pouvoirs pour la faire respecter. Et c'est ce
qu'on a avec l'article présentement.
Le Président (M.
Bachand) :M. le député de La Pinière.
M. Barrette : Je ne peux pas
m'empêcher de citer précisément ce que vient de dire le ministre : On doit
traiter les entreprises et le public de la même façon. Je n'ai pas d'autre commentaire.
Le Président (M.
Bachand) : Merci. M. le député de Gouin.
M.
Caire
: Il y
a des exceptions à la règle.
M. Barrette : Oui,
manifestement.
Le Président (M. Bachand) :M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui, en
effet, il y a énormément d'exceptions. Je me demande même s'il n'y a pas plus
d'exceptions que de règles, mais, bon, ça, c'est une autre chose.
Une voix
: ...
M. Nadeau-Dubois : Il est sous
surveillance, le ministre. Non, mais plus sérieusement, on a des avis
différents là-dessus, on ne fera pas du surplace, là, tout l'après-midi à cause
de ça. Je veux juste dire une chose au ministre. Là, plus on va avancer dans la
loi sur le privé, plus on va se retrouver dans cette situation où il y a des
dispositions qui sont, appelons ça miroir, là, dans la loi sur le privé et sur
le public. Moi, je l'invite à considérer que peut-être qu'au fil de nos
discussions, dans les prochaines heures, puis les prochains jours, puis les
prochaines semaines, ça se peut qu'on réalise ensemble, de bonne foi, qu'il y a
des choses qui peuvent être améliorées, puis tant que la loi n'est pas finie,
elle n'est pas finie, puis, si d'aventure, on réalise que c'est vrai, la loi
serait meilleure comme ça, juste par principe, qu'il n'y ait pas d'objectif à
ce qu'on fasse un petit saut de puce à l'arrière, dans la loi sur le public
puis qu'on aille peut-être corriger un élément qu'on a peut-être sous-estimé ou
oublié quand on a travaillé, il y a quelques semaines, sur la loi dans le
public. Parce que, sinon, ça va nous empêcher d'avoir des débats sur le
fond puis on va juste avoir un débat de forme, c'est-à-dire : S'il va dans
le public, on ne le met pas dans le privé, puis ça va juste être une discussion
peu intéressante, si on se limite à ça. Ça fait que... Puis là, là-dessus,
j'entends, il y a un argument de forme mais aussi un argument de fond. Les
positions sont exposées. On va passer au vote. Mais tu sais, c'est que ça va
revenir, ça fait que laissons-nous la possibilité puis l'ouverture...
M. Nadeau-Dubois : …forme,
c'est-à-dire… dans le public, on ne le met pas dans le privé puis ça va juste
être une discussion peu intéressante, si on se limite à ça. Ça fait que, là,
là-dessus, j'entends, il y a un argument de forme mais aussi un argument de
fond, les positions sont exposées, on va passer au vote. Mais, tu sais, c'est
que ça va revenir ça fait que laissons-nous la possibilité puis l'ouverture d'y
aller si jamais ça devient nécessaire. C'est juste ça.
M.
Caire
: Je
veux rassurer le député de Gouin, là. Mon argument, puis je le remercie de le
reconnaître, c'est un argument de fond. Il a tout à fait raison. Si, advenant
le cas qu'on se rend compte effectivement qu'il y a une bonification, que cette
bonification-là peut se refléter dans ce que nous avons fait, je le rassure, on
réouvrira les articles, on apportera les bonifications, il n'y a aucun
problème.
M. Nadeau-Dubois : …c'est
qu'on l'a fait à l'inverse. On a eu des discussions dans le public, on s'est
rendu compte que c'étaient des bonnes idées puis là, on est en aval ça fait
qu'on amende dans le privé.
M.
Caire
: Puis
il y a des choses qu'on a faites dans le public qu'on va refaire dans le privé
parce que c'étaient des bonnes idées. Il a bien raison. Non, non, je le veux
rassurer, là-dessus, ce n'est pas… Puis je me suis mal exprimé puis je
comprends sa réaction, là. Ce n'est pas une question… Je ne reviendrai pas sur ce
qui est fait, ce qui est fait est fait, non. Si on peut l'améliorer, on va
l'améliorer.
Ce que je veux dire, c'est que là-dessus,
je pense qu'on est au bon endroit. Puis effectivement, on peut avoir des
divergences d'opinion mais, tu sais, on a une divergence d'opinion qui, à mon
sens, est mineure parce que, tu sais, c'est sur la notion de diligence dans un
cas où, moi, je dis : Bien, laissons la CAI décider de ça.
Mais sur le fond, je veux le rassurer, là,
sur le fait que quand des individus sont victimes d'un incident de
confidentialité, en aucun temps, en aucun temps il est pensable dans mon esprit
qu'on cache ça aux individus, en aucun temps. Ça, c'est clair. Puis je peux
vous dire, M. le député, qu'une expérience récente, ça a été notre ligne de
conduite. Nous n'avions pas l'obligation, nous l'avons fait parce que
personnellement, je me dis ça fait partie des responsabilités qu'on a à assumer
quand on est victime d'un incident de confidentialité, les gens qui en sont
victimes doivent, doivent impérativement en être avisés.
M. Nadeau-Dubois : Le plus
rapidement possible.
M.
Caire
:
Aussitôt que c'est possible de le faire effectivement, oui, tout à fait.
M. Nadeau-Dubois : L'intention
du législateur est clairement exprimée, M. le Président, on va pouvoir
passer au vote sur mon amendement.
M.
Caire
:
Voilà. Et je compte sur la CAI pour qu'il en soit ainsi.
Le Président (M.
Bachand) : Alors, s'il n'y a pas d'autre intervention, nous
allons procéder à la mise aux voix de l'amendement. Mme la secrétaire,
s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on
va continuer sur le bloc III.V. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Prochain
morceau de cet article 3.5. Malgré le deuxième alinéa, une personne
dont un renseignement personnel est concerné par l'incident n'a pas à être
avisée tant que cela serait susceptible d'entraver une enquête. Le Barreau et
la Ligue des droits et…
Le Président
(M. Bachand) : ...donc on continue sur le bloc 3.5. M.
le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Le
prochain morceau de cet article 3. : «Malgré le deuxième alinéa, une
personne dont un renseignement personnel est concerné par l'incident n'a pas à
être avisée tant que cela serait susceptible d'entraver une enquête.»
Le Barreau et la Ligue des droits et
libertés sont venus nous voir en commission et ont produit des mémoires dans
lesquels ils s'inquiètent de ce passage. Et je sais qu'il y a un passage
équivalent dans le public, mais puisque nous avons maintenant convenu que ce
n'était pas en soi une raison, je dis bien en soi une raison, pour contourner
la discussion ou faire l'économie de la discussion, j'aimerais ça entendre le
ministre là-dessus.
Ce que la Ligue des droits et le Barreau
disent, grosso modo c'est la même chose, c'est : Ça peut être long une
enquête. Ça peut être même très, très, très long, une enquête. Comment on fait
pour que cette disposition-là du projet de loi ne devienne pas un prétexte pour
des entreprises pour éviter de divulguer, dans la mesure où : «Ah! il y a
toujours une enquête en cours — je cite le mémoire de la Ligue des
droits — l'enquête sur une fuite ou sur un vol de renseignements peut
s'avérer longue, priver les personnes intéressées du droit d'être informées est
difficilement justifiable, sans compter que celles-ci sont souvent les mieux
placées pour agir en vue de limiter les dégâts. En effet, malheureusement,
tristement, c'est souvent les individus eux-mêmes sur lesquels repose le
fardeau, après ça, de réparer les pots cassés, puis souvent le plus tôt sera le
mieux.»
De son côté, le Barreau... puis le Barreau
faisait le commentaire pour l'article équivalent dans le public, mais le même
commentaire me semble valoir pour le privé : «Ce troisième alinéa, bla,
bla, bla, risque de devenir un prétexte servant à bloquer toute communication
aux personnes concernées. Il permet en effet aux organismes publics et aux
entreprises — en fait, ça valait pour les deux — de se
dérober à leurs obligations. Nous craignons qu'il soit invoqué de manière
systématique alors qu'il excite une panoplie de situations où informer les
personnes visées n'aura aucun impact sur l'enquête. On n'a qu'à penser à un
piratage d'un système informatique où des données auraient été volées par des
agents malveillants à l'étranger. En quoi informer une personne que ses
renseignements ont été compromis pourrait entraver l'enquête?» Et là, je saute
un morceau et je continue la citation du Barreau : «Ainsi cet article
pourrait être modifié afin de le limiter aux seuls cas où la divulgation serait
préjudiciable à une enquête.» Et là on poursuit : «La CAI pourrait se voir
octroyer le pouvoir de déterminer s'il est justifié d'attendre avant de rendre
l'incident de confidentialité public durant quelques jours.»
• (15 h 50) •
J'ai tendance à avoir une oreille
attentive pour ces deux groupes qui nous font des recommandations similaires.
Comment on fait pour que cette disposition-là ne soit pas, comme l'a dit le
Barreau, un prétexte? Comment on fait pour que ça ne soit pas... parce que ça
peut être long, une enquête, là, puis il y en a qui seraient... il y a des
enquêtes qui ne se concluent jamais tristement. Puis, dans ce domaine-là, on
peut redouter que ce sera le cas, là, des enquêtes qui ne vont finalement
jamais donner de résultat ou vont donner très peu...
M. Nadeau-Dubois : …le Barreau,
un prétexte. Comment on fait pour que ce ne soit pas… parce que ça peut être
long, une enquête, là, puis il y en a qui… il y en a des enquêtes qui ne se
concluent jamais tristement. Puis, dans ce domaine-là, on peut redouter que ce
sera le cas, là, des enquêtes qui ne vont finalement jamais donner de résultat
ou en donner très peu. C'est quoi, la réponse du ministre à ces deux
intervenants-là qui expriment des craintes très similaires?
M.
Caire
: Bien,
en fait, la réponse, elle est assez simple, alors… et elle réside dans les mots
suivants «tant que cela serait susceptible d'entraver une enquête», donc… Et là
je vous ramène à ce que je disais initialement, la Commission d'accès à
l'information doit être au dossier très rapidement. Et la Commission d'accès à
l'information a un volet juridictionnel, dont on a convenu, vous et moi, qu'il
était quand même assez performant. Et donc il revient à la CAI qui a le pouvoir
d'ordonner, je le réitère, d'ordonner que la divulgation soit faite aux individus
concernés. Il reviendra à la CAI de juger si la divulgation représente
effectivement une entrave, et cette prérogative-là ne revient en aucun temps,
en aucun temps à l'entreprise privée. Ce n'est pas à l'entreprise privée
d'évaluer si la divulgation fait entrave à l'enquête, c'est à la Commission
d'accès à l'information, et la Commission d'accès à l'information, à ce
moment-là, pourra décider que cette divulgation-là n'est pas dans l'intérêt de
l'enquête. Et, tout au long du processus, la Commission d'accès à
l'information aura le pouvoir de déterminer, si on en arrive à un point où la
divulgation n'est plus une… même si elle a décidé préalablement, par exemple,
que, oui, cette divulgation-là, pour des raisons que je ne pourrais pas
imaginer présentement, là, mais, bon, que c'est une entrave à l'enquête, comme
le dit… le député de Gouin a raison, ça peut être long, une enquête, puis il
peut arriver, à un moment donné, où la Commission d'accès à l'information va
dire : Écoutez, là la divulgation n'est plus une entrave à l'enquête, donc
vous divulguez. Donc, c'est vraiment au volet juridictionnel de la Commission
d'accès à l'information de faire cette évaluation-là et d'exercer son pouvoir
de décider si, oui ou non, il y a divulgation parce qu'il y a entrave à une
enquête.
M. Nadeau-Dubois : Donc, la
commission seule sera juge de ce fameux critère là.
M.
Caire
:
Absolument.
M. Nadeau-Dubois : C'est-u
mentionné quelque part, ça? C'est-u implicite, explicite? Parce que, tu sais…
M.
Caire
: Bien,
c'est-à-dire que…
M. Nadeau-Dubois : C'est ça,
je veux qu'on bouche tous les trous, là, s'assurer que ce soit bien, bien
clair, ce n'est pas juste une interprétation, c'est explicite que c'est la commission
qui tranche la question.
M.
Caire
: Bien,
en fait, oui, parce que c'est la commission qui a le pouvoir d'ordonner de le
faire, donc d'ordonner qu'on fasse la divulgation aux personnes concernées, et
donc, à partir de là… et d'où, d'où, puis là je ne veux pas refaire le débat,
là, mais d'où l'importance que la Commission d'accès à l'information soit au
dossier aussi rapidement que possible, pour qu'elle puisse justement, à la
genèse de la situation, faire les évaluations nécessaires. Donc, comme…
M.
Caire
: …à
partir de là… et d'où, puis là je ne veux pas refaire le débat, là, mais d'où
l'importance que la Commission d'accès à l'information soit au dossier aussi
rapidement que possible pour qu'elle puisse, justement, à la genèse de la
situation, faire les évaluations nécessaires. Donc, comme c'est son pouvoir à
elle d'ordonner la divulgation, bien, oui, il est clair que c'est son pouvoir à
elle de vérifier si la divulgation ferait entrave à une enquête. Parce que,
comme vous l'avez dit, M. le député, il est très possible que l'entreprise,
elle, dise : Non, non, non, on n'en parlera pas. Il y a une enquête. Mais
la commission, elle, peut dire : Oui, oui, tu vas en parler parce que oui,
il y a une enquête, mais la divulgation n'y fait pas entrave. Donc, je
t'ordonne de faire cette divulgation-là.
M. Nadeau-Dubois : Juste pour
qu'on se comprenne bien là. L'enquête, ici, en question, là, ça peut être une
enquête d'un service policier…
M.
Caire
: Oui
ou de la CAI elle-même.
M. Nadeau-Dubois : …ça peut
être une enquête de la CAI elle-même.
M.
Caire
: Oui
M. Nadeau-Dubois : Dans le cas
d'une enquête de la CAI, la CAI est bien placée pour savoir ce qui va entraver
sa propre enquête.
M.
Caire
: Oui
M. Nadeau-Dubois : Dans le cas
d'une enquête menée par un service policier c'est… c'est une question en toute
candeur, là, c'est quoi le processus? C'est quoi le… tu sais, dans le fond,
comment la CAI va juger, elle, de si la divulgation va entraver l'enquête policière?
M.
Caire
: Oui
M. Nadeau-Dubois : Si ce n'est
pas elle qui enquête, tu sais, mettons, c'est la GRC qui enquête parce que
c'est un crime pancanadien, mettons.
M.
Caire
: Oui,
c'est possible.
M. Nadeau-Dubois : La
Commission d'accès à l'information… comment, elle, elle va être juge? Elle
sera… tu sais, est-ce que les forces policières vont informer la CAI des pistes
de l'enquête. Tu sais, j'essaie juste de voir, très concrètement, là, comment
la CAI peut juger de ça si c'est elle qui est le juge.
M.
Caire
: Parce
que la CAI, dans son volet juridictionnel, a ces discussions-là avec les… quand
il y a des services policiers qui font enquête, bien, il est possible que les
policiers, effectivement, dans un contexte x, disent… demandent qu'on ne
divulgue pas les… et vous savez, bon, la CAI a aussi un volet tribunal. Donc,
il est possible que les services de police demandent à ce qu'on ne divulgue pas
les noms des personnes pour une raison xy et fassent la démonstration :
Écoutez, ce faisant, vous feriez entrave à notre enquête. Et la CAI va évaluer
la situation comme elle le fait dans d'autres situations qui sont de sa
prérogative. Puis là elle pourra juger, dire : O.K., oui, je pense que là
si on fait cette divulgation-là ça pourrait porter préjudice au travail des
enquêteurs. Donc, nous ne le ferons pas. Mais la CAI a cette expertise-là
d'évaluer les préjudices qui sont causés par une divulgation ou une
non-divulgation ou le respect de la loi. Ça fait quand même partie de son
expertise.
M. Nadeau-Dubois : Donc, ça va
être… ça va se faire dans le cadre du volet juridictionnel et les avocats du
service de police vont aller faire des représentations à la CAI.
M.
Caire
: …les
vérifications, lui, il fait sa… il fait son… c'est le volet vérification est un
volet d'enquêteur, bien, en autres, là, pas exclusivement, mais est un volet
d'enquêteur. Le volet juridictionnel, lui, va apprécier les…
M. Nadeau-Dubois : …ça va se
faire dans le cadre du volet juridictionnel et les avocats du service de police
vont aller faire des représentations à la CAI.
M.
Caire
: …les
vérifications, lui, il fait sa… il fait son… C'est… Le volet vérification est
un volet d'enquêteur, bien, entre autres, là, pas exclusivement, mais est un
volet d'enquêteur. Puis le volet juridictionnel, lui, va apprécier les
démonstrations, les preuves, les… Ça, ça veut dire… C'est ça.
M. Miville-Deschênes
(Jean-Philippe) : …
M.
Caire
: Ça,
ça veut dire : il était dans le champ.
M. Miville-Deschênes
(Jean-Philippe) : Non. Non, pas tant. Mais le volet juridictionnel,
actuellement, il interprète des dispositions par rapport à l'entrave, aux
enquêteurs. Il peut dire : S'il y a une demande d'accès, avec
l'article 28…
Une voix
: …
M. Miville-Deschênes
(Jean-Philippe) : Exactement. Oui, oui, oui, mais c'est… La
clarification s'en vient par la suite. Donc, il va, effectivement, il est
habitué d'interpréter l'entrave au… Je pense que… Mais par contre, dans le cas
d'un incident de confidentialité, c'est le volet surveillance qui est avisé.
C'est sûr que les critères sont connus puisque les décisions, lorsqu'ils sont
juridictionnels, qui ont établi des critères pour savoir s'il y a entrave ou
pas. Mais c'est le volet… Je voulais juste vous mentionner que c'était le volet
surveillance qui allait agir lors d'un incident de confidentialité, en fait.
M.
Caire
: Sur
la divulgation ou non, c'est le volet juridictionnel qui…
M. Miville-Deschênes
(Jean-Philippe) : Non, juridictionnel, c'est vraiment juste quand il y
a une demande d'accès à l'information ou d'accès…
M.
Caire
:
C'était presque ça que j'avais dit.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est des commissaires, en tout les cas.
M.
Caire
: Bon.
M. Nadeau-Dubois :
…commissaires de la section surveillance qui vont être appelés à apprécier si
la divulgation de l'identité des victimes d'un incident de confidentialité
porte préjudice ou non à l'enquête.
M.
Caire
: …M.
le député, de venir à mon secours.
M. Nadeau-Dubois : Non, mais
je… Des fois, on ne reformule pas pour les autres, des fois, on reformule aussi
pour soi.
M.
Caire
: Oui.
M. Nadeau-Dubois : Puis c'est
tout ce que je viens de faire. Puis ça me…
M.
Caire
: Non,
non. Jamais, jamais, jamais, je dirai que le député de Gouin est venu au
secours d'un ministre.
M. Nadeau-Dubois : C'est ce
que Me Miville-Deschênes faisait aussi, reformuler pour lui-même
seulement, hein? Ce n'était pas…
M.
Caire
: Bien,
je vous ai défendu auprès du député de La Pinière, hein, quand même.
M. Nadeau-Dubois : Oui. Non,
je sais. Je sais.
Donc, O.K., bien, je… Et donc c'est des
pratiques qui existent déjà. Est-ce que… que je comprends bien?
M.
Caire
: Non,
non. Vas-y, réponds.
M. Miville-Deschênes
(Jean-Philippe) : Il interprète déjà des dispositions qui visent à
déterminer s'il y a une entrave à une enquête en cours en fonction de l'étape,
des délais qui sont encourus. Donc, il interprète déjà à l'article28, là,
deuxième paragraphe, cette disposition-là depuis 1982.
M. Nadeau-Dubois : D'accord.
Je comprends mieux la mécanique. Je vois. Je vois bien.
Donc, les craintes du Barreau ou de la
Ligue des droits, en ce sens-là, le ministre juge qu'elles ne sont pas fondées.
M.
Caire
: Bien,
en fait, je dirais que c'était légitime de les exprimer, mais elles n'ont pas
lieu d'être.
M. Nadeau-Dubois : Ça
complète, pour moi, le bloc 3.5, M. le Président.
Le Président (M.
Bachand) : Encore une fois, on peut toujours revenir aussi.
Alors, donc, on serait au bloc 3.6.
• (16 heures) •
M. Nadeau-Dubois : …3.6, on
définit ce qu'est un incident de confidentialité. Est-ce que c'est des éléments
de définition qui ont des équivalents dans d'autres lois au fédéral, RGPD?
C'est-u des éléments… C'est-u une définition…
16 h (version non révisée)
Le Président (M.
Bachand) : …au bloc 3.6.
M. Nadeau-Dubois : …3.6, on
définit ce qu'est un incident de confidentialité. Est-ce que c'est des éléments
de définition qui ont des équivalents dans d'autres lois au fédéral, RGPD? C'est-u
des éléments… C'est-u une définition qui est standard inspirée de… ou c'est une
création de nos juristes ici? Juste pour savoir jusqu'à quel point on est
raccord avec les autres définitions qui existent d'un incident de confidentialité.
M. Miville-Deschênes
(Jean-Philippe) : En fait, la définition est calquée sur d'autres législations,
notamment la loi fédérale… grandes entreprises. Il y a une distinction. On a
ajouté dans l'article 3.6 «l'utilisation non autorisée». Ça, c'est un élément qu'il
n'y a pas dans la loi fédérale actuellement, puis l'objectif étant de couvrir
le plus large possible dans la définition, considérant que de toute façon la
divulgation avait lieu lorsqu'il y a un risque de préjudice sérieux dans tous
les cas. Donc, la définition est un peu plus large au Québec par rapport à la
loi fédérale puis à d'autres juridictions.
M.
Caire
:
…pourrait couvrir le fait de gens qui collectent de l'information sous un
prétexte puis les utilisent à d'autres fins.
M. Nadeau-Dubois : Oui. Ou des
gens qui sont à l'intérieur de l'organisation et…
M.
Caire
: Oui,
aussi. Mais je pensais…
M. Nadeau-Dubois : …parce
qu'on sait que c'est…
M.
Caire
: …je
pensais notamment à un cas de figure dont nous avons discuté récemment, M. le
député, où on se disait : Bien, je collecte une information en vous
disant : Je veux faire ceci avec, vous me donnez votre consentement. Finalement,
je fais ceci, mais je fais aussi cela. Cela n'ayant pas eu le consentement,
c'est une utilisation non autorisée.
M. Nadeau-Dubois : Ah! Donc,
ici, l'expression «utilisation non autorisée» couvre le fait d'utiliser un
renseignement personnel qui a été collecté à une fin x et de l'utiliser à une
fin y?
Une voix
: Y.
M.
Caire
: Je
tenais à le souligner, parce que ça m'apparaît être assez important. Parce
qu'on a en tête évidemment le fait de dire : De par ma fonction, j'ai
accès à des renseignements, je les utilise puis je fais des choses… Je pense
que, ça, c'est l'exemple qui vient en tête de tout le monde, puis c'est vrai
aussi. Mais ce qu'il est important de souligner, c'est que ça vient couvrir le
fait qu'on vous demande vos renseignements personnels dans une perspective de
service, puis, moi, par exemple, je constitue une liste que je vends à un
tiers. Mais ça, ce n'était pas autorisé, là, ça, ce n'était pas pour ça que je
te les avais données, là. Puis je pense qu'on a eu, tu sais, quelques
discussions, vous et moi, là-dessus, puis je vous ai dit à quel point cette
pratique-là me levait le coeur. Donc, cette disposition-là vient couvrir le
fait que… Non, non, non, ce n'était pas pour ça que tu m'as demandé mes
renseignements personnels, ça fait que tu ne les utilises pas pour d'autres
fins que celles pour lesquelles tu me les as demandés sans mon consentement.
M. Nadeau-Dubois : J'essaie…
Parce que le ministre… on a eu plusieurs discussions sur plusieurs incidents de
confidentialité, puis c'est dommage, parce que ça veut dire qu'il y en a
beaucoup, ça fait qu'on a beaucoup d'exemples à utiliser. Mais ce qui s'est
passé au Tribunal administratif du logement, là?
M.
Caire
: Non.
Ça, non. Par contre…
M. Nadeau-Dubois : Où, dans le
fond, des renseignements qui étaient collectés à une fin ont été colligés par
un tiers, réorganisés, ils ont fait une liste avec, là, ce qui est devenu
l'espèce de liste noire de locataires. Est-ce qu'on dans ce type…
M.
Caire
: Non…
pas ça, parce que dans ce cas-là, les renseignements ont été rendus disponibles
en conformité de la loi. Le problème qu'on a dans ce cas-là, il est autre. Le
problème qu'on a dans ce cas-là, c'est cette tendance schizophrénique que nous
avons de…
M. Nadeau-Dubois : …est-ce
qu'on est dans ce type…
M.
Caire
: …pas
ça, parce que dans ce cas-là, les renseignements ont été rendus disponibles en
conformité de la loi. Le problème qu'on a dans ce cas-là, il est autre. Le
problème qu'on a dans ce cas-là, c'est cette tendance schizophrénique que nous
avons de catégoriser la sensibilité d'un renseignement sur la base de qui
l'utilise et/ou qui le génère, plutôt que sur la base du renseignement
lui-même.
M. Nadeau-Dubois : Plutôt que
de sa nature.
M.
Caire
: Donc,
un renseignement qui a été rendu public tout à fait légitimement, tout à fait
légalement par le Tribunal administratif du logement se verrait protégé par
quatre lois différentes de régimes particuliers, le même renseignement, mais en
santé. C'est ça qui n'a pas d'allure, là.
M. Nadeau-Dubois : O.K.
Parfait. Merci, M. le Président, c'est bon pour moi.
Le Président (M.
Bachand) : Ça va sur tout le bloc 3.6? On va passer au bloc
3.7. Est-ce qu'il y aurait intervention? Pour l'instant… on peut y revenir
aussi, là, encore une fois. M. le député de Gouin, oui.
M. Nadeau-Dubois : Oui, merci.
Juste pour bien comprendre l'esprit du 3.7. Ça, ici, c'est une explication de
l'obligation qui a été faite un peu plus tôt dans l'article, aux entreprises,
d'évaluer le préjudice, et là on vient dire à 3.7 : Voici ce que vous
devez considérer.
M.
Caire
: …vous
allez évaluer qu'un incident est préjudiciable.
M. Nadeau-Dubois : O.K.
Parfait, merci.
Le Président (M.
Bachand) : Est-ce qu'on irait maintenant au 3.8, dernier bloc?
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Il y a des
gens qui ont fait des représentations pour que ce registre-là des incidents
soit rendu public. Qu'est-ce qui rend le ministre enclin à ne pas aller dans ce
sens?
Le Président (M.
Bachand) : M. le ministre.
M.
Caire
: En
fait, deux choses. La première, c'est un peu la discussion qu'on avait eue sur
le même sujet au niveau du public, qui était que certains… en fait, à moins
d'avoir des critères très chenus, le fait de rendre certains incidents publics
pouvait être préjudiciable, préjudiciable pour les individus, puis si on ne
veut pas un registre qui ne dit rien parce qu'on ne veut pas causer ce
préjudice-là, bien… Puis l'autre chose, c'était que, essentiellement, ce qu'on
souhaite, c'est que la commission puisse avoir cette espèce de journal de bord
pour faire son travail. Dans le fond, c'est un outil qui se veut aussi pour la
commission. Je sais qu'il y a des groupes…
M.
Caire
: ...ce
qu'on souhaite, c'est que la commission puisse avoir cette espèce de journal de
bord pour faire son travail. Dans le fond, c'est un outil qui se veut aussi
pour la commission.
Je sais qu'il y a des groupes qui se
disent... Bon, bien, tu sais, dans une perspective plus large, ça met l'emphase
sur les organismes qui ont peut-être eu des comportements... Mais en même temps,
tu sais... Oui, mais l'erreur de bonne foi... Tu sais, comprenez-vous? Quelqu'un
qui a fait une erreur de bonne foi, puis tu te dis : Wow! je me ramasse
dans le registre public... Il y a des sanctions pour ça, puis je reviens là-dessus.
Mais en même temps, je me dis, bien, le Québec va se donner d'un régime de
sanctions qui est probablement... pas probablement, qui est le plus sévère en Amérique
du Nord, et qui est apparenté à celui du Règlement général de protection des
données européen, donc, qui est très sévère, même, au niveau planétaire.
Donc, l'idée, c'est surtout d'avoir un
outil, pour la Commission d'accès à l'information, sur les incidents de
confidentialité, et pas de rajouter une couche de sanctions et/ou d'avoir un
registre, aussi, avec tellement peu d'information qu'on ne pourrait pas porter
préjudice à ceux qui ont été les victimes de ces incidents de confidentialité
là, qui ne soient pas nécessairement être connus du grand public, là.
M. Nadeau-Dubois : Merci, M.
le Président.
Le Président (M.
Bachand) : Merci beaucoup. Autres interventions sur l'article
95, globalement? M. le député de Gouin, oui, allez-y.
M. Nadeau-Dubois : Avant qu'on
ferme définir c'est quoi, l'article 95, je vais me permettre de revenir sur la
question de la formation. J'ai été témoin de la discussion tantôt, puis je n'ai
pas allumé tout de suite, puis là je voulais attendre à la fin pour revenir,
là. En commission parlementaire, il y a des experts en sécurité qui sont venus
nous mettre en garde contre certaines pratiques, dans certaines entreprises,
de, comment dire, se patenter des expertises en protection des renseignements
personnels. Il y a tout un marché, là, qui va se développer, là... d'un certain
point de vue, c'est une bonne chose... de l'expertise sur la question de la
cybersécurité, de la cyberdéfense. Il y a des gens qui vont avoir des
véritables expertises, puis il va y avoir, comme dans tout domaine, des
charlatans, puis des gens qui se disent experts, puis qui ne le sont pas, bon.
Et le ministre...
M.
Caire
: Il y
en a déjà quelques-uns qui sévissent dans l'espace public, je peux vous le
dire.
M. Nadeau-Dubois : Bon.
Comment on fait pour s'assurer que les gens qui sont responsables des renseignements
personnels… Et là ça vaut pour le public et pour le privé, hein? C'est quoi nos
garanties que ces gens-là soient formés convenablement?...
M. Nadeau-Dubois : …comment on
fait pour s'assurer que les gens qui sont responsables des renseignements
personnels… Et là ça vaut pour le public et pour le privé, hein? C'est quoi nos
garanties que ces gens-là soient formés convenablement? Est-ce qu'on ne
pourrait pas exprimer des exigences législatives à cet égard-là?
M.
Caire
: C'est
une excellente question, et j'y répondrai au meilleur de mes capacités, parce
que je vous dirais que nous sommes même, comme organisation, le gouvernement du
Québec, interpellés par cette question-là. Je ne vous le cache pas. La
cybersécurité, c'est une discipline qui, quoi qu'on en dise, est relativement
récente.
• (16 h 10) •
M. Nadeau-Dubois : Oui, tout à
fait.
M.
Caire
: Et
les vrais experts ne sont pas légion. Alors, les commentateurs, eux, le sont,
mais les vrais experts ne sont pas légion. À partir de là, je pense que, pour
toute organisation, il y a un intérêt, sinon à aller chercher ces experts-là,
d'aller les… de leur offrir des formations. Et là, bien, M. le député, il n'y a
pas de magie. Il faut éviter, justement, là, les experts autoproclamés. On a
des institutions scolaires qui sont reconnues, qui ont des obligations
déontologiques, qui donnent des formations qui ne tournent pas les coins ronds
et qui donnent des formations qui ont des diplômes et/ou des attestations qui
sont reconnus. Oui, c'est plus long, oui, c'est plus cher, mais ça fait des
vrais experts.
M. Nadeau-Dubois : Pourquoi on
n'exigerait pas, par la loi, que les responsables des renseignements personnels
aient certaines qualifications officiellement reconnues?
M.
Caire
: Parce
qu'à mon avis on va tirer à côté de la cible. Je vous explique. J'ai eu cette
discussion-là avec le député de La Pinière. Le dirigeant principal de
l'information du Québec, M. Rodrigue, est un notaire de formation. Donc, si on
se fie à ce critère-là, qu'est-ce qu'il fait là? Pourtant, je peux vous dire
que ça fait quelques années maintenant, plus d'une décennie, ça fait mal de le
dire, mais bon, que je m'occupe des dossiers informatiques soit dans l'opposition,
maintenant au gouvernement, puis c'est probablement une des personnes les plus
compétentes que j'ai vues à ce poste-là. On a la chance au Québec d'avoir
quelqu'un comme dirigeant principal de l'information qui, nonobstant le diplôme
qu'il a, a des années…
M.
Caire
:
...soit dans l'opposition, maintenant au gouvernement, puis c'est probablement
une des personnes les plus compétentes que j'ai vues à ce poste-là.
On a la chance, au Québec, d'avoir quelqu'un
comme dirigeant principal de l'information qui, nonobstant le diplôme qu'il a,
qu'il a des années d'expérience, puis j'espère qu'il ne m'en voudra pas de le
dire parce qu'on parle effectivement en termes de décennies, qui a une
excellente maîtrise des technologies de l'information, qui est extrêmement
compétent, mais si on se fie juste à certains critères... Alors...
M. Nadeau-Dubois : Bien non,
mais je comprends, mais...
M.
Caire
:
...mais ce que je veux dire, M. le député, puis j'ai eu la même discussion avec
le député de La Pinière, je pense que, ce qu'il faut, essentiellement,
c'est de donner des objectifs puis de s'assurer que ces objectifs-là sont
rencontrés. Donc, ça, c'est le rôle de la CAI. Si les objectifs sont
rencontrés, peu importe qui vous a permis de les rencontrer, c'est le résultat
qui compte. Mais si les objectifs ne sont pas rencontrés, bien, tant pis pour
vous, il y aura des conséquences. Il y aura des conséquences.
Donc, ce que je nous invite à faire, c'est
de ne pas juger les moyens, mais de juger des résultats... Me Deschênes...
M. Nadeau-Dubois : Dans le
RGPD, ils ont eux pris la décision, si mes informations sont bonnes, d'affirmer
quand même... c'est l'article 37.5 du RGPD, donc mes informations sont
bonnes, je pense...
M.
Caire
: Oui,
rendu là.
M. Nadeau-Dubois : Le délégué
à la... ils appellent ça le délégué à la protection des données, là, mais bon,
c'est la même chose, le délégué à la protection des données est désigné sur la
base de ses qualités professionnelles et en particulier de ses connaissances spécialisées
du droit et des pratiques en matière de protection des données et de sa
capacité à accomplir les missions visées à l'article 39.
Donc, je sais que le RGPD a été une des
inspirations du projet de loi. Dans le RGPD, on fait cette affirmation qu'on
souhaite que la personne responsable des renseignements personnels soit
désignée. On donne des critères généraux, hein? Ce n'est pas... on ne demande
pas un diplôme en particulier, tout ça, mais... Ça fait que, pourquoi ne pas
avoir repris cet esprit-là dans le RGPD?
M.
Caire
: Bien,
comme je vous dis...
M. Nadeau-Dubois : Parce que
moi, je trouve ça intéressant de donner... Parce que moi, je l'entends,
l'argument du ministre, là, on ne va pas dire : Voici le C.V. que vous
devez avoir pour remplir le poste, c'est contre-productif. Puis on ne dira
pas : Vous devez avoir tel diplôme. Puis il n'y a pas d'ordre
professionnel, aux dernières nouvelles, des... puis ça va... et, si ça arrive
un jour, ce sera dans très longtemps, des gens qui sont responsables en
cybersécurité, mais donner des grands principes comme ceux-là, pourquoi pas?...
M. Nadeau-Dubois : ...pour
remplir le poste, c'est contre-productif. Puis on ne dira pas : Vous devez
avoir tel diplôme. Puis il n'y a pas d'ordre professionnel, aux dernières
nouvelles, des... puis ça va... et, si ça arrive un jour, ce sera dans très
longtemps, des gens qui sont responsables en cybersécurité, mais donner des
grands principes comme ceux-là, pourquoi pas?
M.
Caire
: Bien,
en fait, on le fait, puis on le fait sur comment, quand, qui, pourquoi vous
collectez des renseignements personnels, comment les protéger, quels sont...
Donc, on met vraiment les obligations autour du renseignement personnel, de sa
confidentialité, du respect de la vie privée, des mesures de protection, de
quand est-ce qu'on peut le communiquer, quand est-ce qu'on ne peut pas le
communiquer.
Moi, je... Puis, comme je vous dis, ce
n'est pas que c'est inintéressant dans tous les cas de figure, ça serait faux
de dire ça, mais dans le cas qui nous préoccupe, je pense que les objectifs
sont clairs, les résultats attendus sont clairs, l'organisme qui doit évaluer
si ces objectifs-là sont atteints a les pouvoirs pour le faire. Donc, à partir
de là, je me dis, ça revient un peu à ce qu'on se disait tantôt, je vais
laisser l'entreprise gérer la façon dont l'entreprise veut organiser ça, pour
autant que l'entreprise en question atteigne les résultats attendus.
M. Nadeau-Dubois : ...dans le
public, pourquoi pas?
M.
Caire
: Bien,
dans le public, on l'a fait d'une certaine façon, parce que, bien, la
vice-présidence que nous avons ajoutée à la Commission d'accès à l'information,
il est précisé qu'il y a un profil TI qui est attendu.
M. Nadeau-Dubois : Oui. Non,
mais dans les organismes. Parce que cette personne-là, à la Commission d'accès
à l'information, a juridiction sur le public et le privé, là.
M.
Caire
: Oui,
absolument.
M. Nadeau-Dubois : Donc, ça
vaut pour les deux, mais dans les organismes publics, il y a des responsables
des renseignements personnels?
M.
Caire
: Oui.
Mais... Bien, très souvent, en passant, là, dans l'organisme public, puis
Me Miville-Deschênes pourra en témoigner parce que ça a été son rôle
pendant un certain temps dans sa jeune carrière, les responsables des
renseignements personnels ont plutôt un profil juridique parce qu'il s'agit
d'interpréter la loi au fond.
M. Nadeau-Dubois : Bien,
d'ailleurs, c'est ce que le RGPD dit, là. Donc...
M.
Caire
: Donc,
c'est pour ça que dans certains cas, puis au niveau de la CAI, il y avait comme
une idée de changer la culture de l'organisation, ça a été précisé, parce que
là il y avait un objectif qui était de changer la culture. Dans le cas des
organismes, ils le font déjà. Donc, ils sont en continuité de ce qu'ils font
déjà, donc il n'y avait pas là cette même velléité de changer la culture. Il y
avait la velléité de changer la loi, le cadre juridique, etc., mais il n'y
avait pas cette intention-là... on n'arrive pas avec une nouvelle culture de
l'interprétation de la loi. Donc, dans ce cas-là, je pense que ce n'était pas
pertinent de le faire. Puis, à ce moment-là, bien, je veux dire, c'est...
M.
Caire
: ...de
changer la loi, le cadre juridique, etc., mais il n'y avait pas cette
intention-là... on n'arrive pas avec une nouvelle culture de l'interprétation
de la loi. Donc, dans ce cas-là, je pense que ce n'était pas pertinent de le
faire, puis, à ce moment-là, bien... C'est une vision que je vous partage, M.
le député. Mais je pense que moins on intervient dans les moyens, plus on fait
confiance aux gens sur le terrain. Pourvu que les objectifs, les attentes
soient clairs, je pense que c'est encore la meilleure façon d'aborder les
choses.
Quelquefois, vous avez raison, ça vaut la
peine de dire : Bon, bien là, je vais être plus précis, parce qu'on essaie
de changer une culture, on essaie d'amener une nouvelle façon de faire, on va
légiférer pour obliger les gens à s'attacher parce qu'on veut changer les
cultures. Puis aujourd'hui on pourrait probablement... puis comprenez bien que
je ne dis pas qu'il faut faire ça, là, mais on pourrait potentiellement abolir
la loi. Eh oui, je suis enregistré. Puis les gens s'attacheraient quand même
parce que ça fait maintenant partie des réflexes qu'on a développés. Mais, dans
ce cas-là, je pense qu'il n'y aurait pas de pertinence d'aller jusque-là.
M. Nadeau-Dubois : Est-ce que
je peux demander une suspension de quelques instants aux collègues, juste pour
vérifier la pertinence ou non de faire un amendement sur la question?
Le Président (M. Bachand) :
Parfait. Alors, on va suspendre quelques instants. Merci beaucoup.
(Suspension de la séance à 16 h 19)
(Reprise à 16 h 27)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La
commission reprend ses travaux.
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Donc, je dépose un amendement à l'article 95 : Ajouter,
après le troisième alinéa de l'article 3.1 proposé par l'article 95 du projet
de loi, l'alinéa suivant, donc : «La personne responsable de la protection
des renseignements personnels est désignée sur la base de ses qualités
professionnelles et, en particulier, de ses connaissances sur les pratiques en
matière de protection des données.»
• (16 h 30) •
Donc, c'est un libellé que j'ai fait
volontairement large parce que je partage en partie, en bonne partie les
arguments du ministre quand il dit qu'il ne faut pas restreindre trop pour ne
pas disqualifier des gens, en fait, qui seraient, dans les faits, compétents.
Donc, je fais une proposition qui est large, qui est générale. Et, si le ministre
trouve que c'est important, bien, on pourra revenir dans l'article
correspondant dans la loi sur le public pour venir l'inscrire. Le ministre
semblait d'accord avec moi sur le fait qu'il y a un risque, là, de
charlatanisme, là, ou, en tout cas, d'expertise improvisée qui ne sont pas
sérieuses. J'ai aussi entendu son argument à l'effet qu'il ne fallait pas être
trop restrictif. Ça fait que j'essaie de trouver ici un juste milieu en parlant
de qualités professionnelles au sens large et en précisant «et, en particulier,
de ses connaissances sur les pratiques en matière de protection des données».
Donc, je n'ai pas souhaité être trop précis, trop spécifique, mais je pense que
c'est quand même important d'envoyer le signal aux entreprises et aux organismes
publics, avec le consentement du ministre, que n'importe qui ne peut pas
occuper ce rôle, que c'est un rôle important et qu'on s'attend que ce soit
confié à des gens qui ont certaines connaissances de ces pratiques-là. J'aurais
pu aller beaucoup plus loin, puis il y a des représentations en commission
parlementaire qui nous ont été faites puis qui nous amèneraient beaucoup plus
loin, là. Il y a des gens qui nous ont recommandé qu'on exige certaines
qualifications professionnelles en particulier, là, certaines certifications.
J'ai cru comprendre que le ministre ne souhaitait pas aller là, donc je…
Déposer des amendements dont je suis sûr et certain qui seront battus, ce n'est
pas quelque chose que j'aime faire. Ça fait que j'essaie d'aller à une proposition
qui, il me semble…
16 h 30 (version non révisée)
M. Nadeau-Dubois :
...qualifications professionnelles en particulier, là, certaines certifications.
J'ai cru comprendre que le ministre ne souhaitait pas aller là, donc je...
Déposer des amendements dont je suis sûr et certain qu'ils seront battus, ce
n'est pas quelque chose que j'aime faire. Ça fait que j'essaie d'aller à une proposition
qui, il me semble, pourrait rejoindre le ministre, qu'on trouve un terrain
d'entente. C'est vraiment aussi le signal qu'on envoie, je pense, aussi, qui
est important, le signal qu'on s'attend que ça soit un rôle qui est pris au
sérieux.
Puis je rappelle au ministre qu'on a préalablement
adopté un amendement qui fait en sorte que les petites entreprises qui
n'auraient peut-être pas la taille nécessaire pour avoir quelqu'un dans leur personnel
qui a ces... qui remplit ces critères-là, bien, on leur a donné la possibilité
plus tôt dans le projet de loi, en amendant, de se regrouper puis de faire
affaire avec des ressources externes.
Donc, je pense que ça vient... cet amendement-là
vient peut-être préventivement répondre à l'argument qui pourrait être présenté
qui serait de dire : Oui, mais là ce n'est pas... Il y a beaucoup
d'entreprises au Québec, ce n'est pas toutes les entreprises qui ont quelqu'un
dans leur personnel qui a des connaissances sur les pratiques en matière de protection
des données. Je pense qu'on a déjà colmaté ça avec l'amendement qu'on a adopté
plus tôt puis qu'on pourrait aller avec cette espèce d'énoncé de principes là
qui nous permet de trouver un juste milieu puis qui nous permet d'envoyer le
signal aux organismes qui sont soumis à la loi que c'est un job sérieux, pour
lequel il faut avoir certaines compétences puis certaines connaissances. C'est
mon objectif avec cet amendement.
Le Président (M.
Bachand) :Merci beaucoup. M. le ministre.
M.
Caire
: Oui, merci,
M. le Président. Bien, je comprends la préoccupation de mon collègue de Gouin.
Maintenant, je me dois d'être cohérent
avec ce que j'ai dit et ce que j'ai fait aussi précédemment. C'est un débat
qu'on a eu à l'article 8, précédemment, quand on a parlé des responsables au
niveau des organismes publics. C'est une discussion qu'on a eue avec le député
de La Pinière et pour laquelle je me dois d'être cohérent avec ce que j'ai
dit à ce moment-là, à savoir que ça reste la prérogative du premier dirigeant
de décider qui est son responsable et pourquoi il le nomme. Ça, ça appartient
au premier dirigeant. Puis, pour moi, c'est vrai pour un organisme public. Et
là je suis cohérent en disant : Bien, ça va être vrai aussi pour un organisme
privé.
Je demeure convaincu que la bonne façon de
travailler dans ce type de dossier là, c'est d'être très clair sur l'objectif,
je pense que nous le sommes, qu'il n'y ait pas d'ambiguïté sur ce à quoi on
s'attend en matière de protection des renseignements personnels, que ce soit
d'un organisme public ou d'un organisme privé, je pense que le projet de loi
n° 64 fait ça, et de s'assurer qu'il y a un organisme de surveillance qui
est là pour faire le travail...
Puis ça, j'en profite, j'ouvre et je
referme la parenthèse, parce que c'est quelque chose que j'ai beaucoup apprécié
de Me Poitras, qui a bien indiqué qu'elle avait compris l'intention du législateur
sur le fait qu'on souhaitait qu'elle... que la Commission d'accès à
l'information travaille...
M.
Caire
: …pour
faire le travail. Puis ça, j'en profite, j'ouvre et je referme la parenthèse,
parce que c'est quelque chose que j'ai beaucoup apprécié de Me Poitras, qui a
bien indiqué qu'elle avait compris l'intention du législateur sur le fait qu'on
souhaitait qu'elle… que la Commission d'accès à l'information travaille plus
non seulement en surveillance, mais en prévention et en accompagnement. Donc,
ça, ça me rassure beaucoup de comprendre que la Commission d'accès à
l'information a vraiment enregistré ce rôle-là qu'on souhaite qu'elle joue. Je
ferme la parenthèse.
Et donc, en conséquence, on a des
objectifs qui sont clairs, on a un tiers neutre qui a un mandat qui est clair,
qui est bien compris par l'organisation en question, qui a les pouvoirs pour
assumer ce rôle-là. Et ultimement il y a une possibilité, bien, si l'organisme
ne prend pas ses responsabilités, il y aura des conséquences. Alors, pour cette
raison-là, M. le Président, je pense qu'il n'est pas nécessaire d'aller sur le
terrain, là, de définir le profil de la personne qui est responsable de la protection
des renseignements personnels, parce qu'il est de l'intérêt de l'organisme
public comme privé d'avoir là la personne qui va être la plus compétente
possible. Parce que les conséquences, maintenant, ce qui n'était peut-être pas
le cas avant l'avènement du p.l… bien, ce qui n'est pas le cas avant
l'avènement du p.l. n° 64. Les conséquences peuvent être assez
importantes. Donc, je vais rester cohérent, M. le Président, avec ce que j'ai
dit au député de La Pinière, qui m'en voudrait très certainement d'avoir
deux discours différents. Lui-même, à l'époque où il était ministre, ne se
gênait pas pour le faire à mon endroit. Mais je ne fais pas aux autres ce que
je ne veux pas qu'on me fasse à moi-même. Je trouve ça dommage, parce que le
député de La Pinière ne réagit même pas. C'est plate.
Une voix
: …
M.
Caire
: Ah!
Intérieurement. Mais bref, M. le Président, pour ces raisons-là, je ne peux pas
appuyer l'amendement de mon collègue.
Le Président (M.
Bachand) : M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Avoir deux
discours, c'est un problème si on les tient en même temps. Si c'est parce qu'on
évolue dans notre pensée et qu'on se corrige, c'est loin d'être un défaut,
c'est une qualité. Et tout le monde le reconnaîtrait autour de la table de
cette commission. Mais, M. le Président, j'ai présenté mes arguments. Le
ministre a…
M.
Caire
: …au
député de La Pinière, vous comprendrez que…
M. Nadeau-Dubois : Ça, c'est
le vrai. C'est là, ça accroche pour vrai.
M.
Caire
: Oui.
M. Nadeau-Dubois : Plus
sérieusement, M. le Président, j'ai présenté mes arguments, le ministre a
présenté les siens, je suis prêt à passer au vote.
Le Président (M.
Bachand) : Merci beaucoup. D'autres interventions? Donc, nous
allons procéder à sa mise aux voix. Mme la secrétaire, s'il vous
plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
:
Contre.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Abstention.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est rejeté. Donc, on
revient à l'article 95 tel qu'amendé. Interventions? S'il n'y a pas
d'autre intervention, nous allons…
La Secrétaire
: ...le gouvernement,
M. Lemieux (Saint-Jean)?
M. Lemieux : Contre.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Abstention.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M. Bachand) :
Abstention. Donc, l'amendement est rejeté. Donc, on revient à l'article 95 tel
qu'amendé. Intervention? S'il n'y a pas d'autre intervention, nous allons
procéder à sa mise aux voix. Est-ce qu'il y a d'autres interventions? Je
regarde une dernière fois. Ça va? Allez-y, M. le député de Gouin, là.
M. Nadeau-Dubois : C'est bon,
on a fait le tour, M. le Président, on a pris le temps de bien disséquer cet
article. Je pense que... de mon côté, en tout cas, je suis prêt à passer au
vote.
Le Président (M.
Bachand) : Parfait. Donc, nous allons procéder à sa mise aux
voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention, M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux (Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M.
Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 95, tel qu'amendé, est
adopté. Merci. M. le ministre, s'il vous plaît.
M.
Caire
: Oui. M.
le Président, l'article 96 se lit comme suit :
«L'article 4 de cette loi est remplacé par
le suivant :
«4. Toute personne qui exploite une entreprise
et qui, en raison d'un intérêt sérieux et légitime, recueille des renseignements
personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.»
4.1....oh! excusez, là, je m'en vais vite
un peu. Donc, M. le Président, l'article 4 de la Loi sur la protection des renseignements
personnels dans le secteur privé est modifié en raison de la suppression par le
projet de loi de la plupart des occurrences de la notion de dossier dans cette
loi. Et j'ai un amendement, M. le Président, donc... ah bien, non, l'amendement
c'est d'insérer l'article 4.1. Donc, voilà.
Le Président (M.
Bachand) : Excusez-moi, là, mais...
M.
Caire
: C'est
ce qu'est l'article 4. Désolé, M. le Président, c'est... l'amendement, c'était
d'introduire l'article 4.1, et on va faire 4, puis après ça, j'introduirai 4.1,
ce qui va représenter une séquence plus logique.
Le Président (M.
Bachand) : On va suspendre quelques instants... juste pour la
suite des choses, O.K.? Merci.
(Suspension de la séance à 16 h 38)
(Reprise à 16 h 40)
Le Président (M.
Bachand) : Alors, à l'ordre, s'il vous plaît! Donc, on
recommence. M. le ministre, s'il vous plaît.
M.
Caire
:
Alors, j'avais lu 4, je vous lirai donc 4.1.
Le Président (M.
Bachand) : Donc, l'article 96.
M.
Caire
: L'article 96
se lit comme suit :
«4. Toute personne qui exploite une
entreprise et qui, en raison d'un intérêt sérieux et légitime, recueille des
renseignements personnels sur autrui doit, avant la collecte, déterminer les
fins de celle-ci.
«4.1. Les renseignements personnels
concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de
celui-ci sans le consentement du titulaire de l'autorité parentale, sauf
lorsque cette collecte est manifestement au bénéfice de ce mineur.».
Et j'ai un amendement qui touche 4.1, qui
se lit comme suit : Insérer, dans l'article 4.1 de la Loi sur la
protection des renseignements personnels dans le secteur privé proposé par
l'article 96 du projet de loi et après «titulaire de l'autorité parentale», «ou
du tuteur».
Donc, M. le Président, ça vient en
concordance avec ce qu'on a fait au niveau du secteur public, à la demande du Curateur
public de prévoir que l'autorité parentale peut aussi être le tuteur et donc il
peut consentir au nom du mineur. Ça, c'est la modification à 4.1.
Puis l'article 4 comme tel vient en
concordance avec la notion de dossier qu'on avait.
Le Président (M.
Bachand) : Merci. Interventions sur l'amendement, s'il vous
plaît? S'il n'y a pas d'intervention sur l'amendement, nous allons procéder à
sa mise aux voix. Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement à l'article 86
est adopté. Donc, on revient à 96 tel qu'amendé. M. le député de Gouin, s'il
vous plaît.
M. Nadeau-Dubois : On parle,
dans cet article, d'un enjeu dont j'ai déjà discuté avec le ministre, qui est
la question de la collecte des données personnelles sur les enfants. Ça peut
avoir l'air d'un discours dystopique, mais ce ne l'est pas, il y a des
pratiques commerciales qui ont fait leur apparition, notamment au Québec...
M. Nadeau-Dubois : ...des
données personnelles sur les enfants. Ça peut avoir l'air d'un discours
dystopique, mais ce ne l'est pas. Il y a des pratiques commerciales qui ont
fait leur apparition, notamment au Québec, où de plus en plus d'entreprises
colligent des renseignements personnels auprès d'enfants, et une des manières
les plus pernicieuses de le faire, c'est via ce qu'on appelle des jouets
intelligents qui maintenant meublent les tablettes de nos magasins.
Et il y a eu notamment, là, en 2018,
Option Consommateurs qui a publié un gros dossier franchement troublant
sur les pratiques de ces entreprises-là où via des toutous, des jouets, des
tablettes pour enfant, des petits oursons, toutes sortes de choses, là, il y a
enregistrement de sonore, vidéo, prise de photos, enregistrement également de
messages textes qui sont envoyés par les enfants sur certains de ces
appareils-là.
On estime qu'au Canada, là, il y a près de
300 modèles de jouets intelligents qui ne sont pas tous répréhensibles,
mais ça donne une idée de la gamme de produits qui est en vente et de la
multiplication de ces patentes-là puis de ces produits-là, et il y a eu, même
aux États-Unis, des campagnes pour appeler au boycottage de certains de ces
produits-là. Le FBI s'est impliqué et a émis même un avertissement, en 2015, à
l'égard de certains de ces appareils-là.
Ça fait que, tu sais, je ne veux pas
rentrer dans le discours apocalyptique ou dystopique, là, mais je répète
souvent au ministre qui est d'accord avec moi qu'on écrit cette loi-là aussi
pour l'avenir puis pour ce qui va se développer, et on sait qu'il y a certaines
entreprises... puis ça, souvent, là, c'est vraiment des... souvent, c'est des
très grandes entreprises multinationales qui ont des pratiques qui sont
franchement questionnables.
On a l'occasion, ici, là, de venir
baliser, dans notre loi québécoise à nous, ce qu'on veut mettre en... ce qu'on
veut permettre puis ce qu'on veut interdire comme pratiques, puis on a l'occasion
de venir dire les enfants du Québec, là, comment on les protège. Historiquement,
on a fait un choix de société, au Québec, important puis qui nous distingue,
puis je pense que ça fait partie de notre modèle de société axé sur la justice
sociale, c'est l'interdiction de la publicité pour les enfants. Il y a plutôt
un consensus là-dessus au Québec. Je n'ai jamais personne remettre ça en question.
Donc ça, cette portion-là est déjà couverte.
Ce qui n'est pas couvert dans les
pratiques actuelles par les lois québécoises puis par le projet de loi qu'on a
sous les yeux, c'est l'utilisation à des fins commerciales des données qui sont
récoltées sur les enfants. Par exemple, je viens de le dire, on ne peut pas, au
Québec, faire du ciblage publicitaire...
M. Nadeau-Dubois : …québécoises
puis par le projet de loi qu'on a sous les yeux, c'est l'utilisation à des fins
commerciales des données qui sont récoltées sur les enfants. Par exemple, je
viens de le dire, ne peut pas au Québec faire du ciblage publicitaire sur un
enfant parce que c'est de la publicité pour un enfant, puis on n'a pas le droit
de faire ça au Québec. Mais un jouet intelligent, ça ne choisit pas qui ça
écoute. Ça écoute tout le monde, ça peut écouter plusieurs enfants dans une
pièce, le petit frère, la petite soeur, les parents. Et les données, donc,
récoltées sur des enfants peuvent être utilisées à des fins commerciales, par
exemple du profilage commercial, pour les parents. C'est des pratiques qui sont
documentées.
Et je demande si… En fait, je fais plus
que me le demander, je pense qu'ici on pourrait venir ajouter un amendement qui
dit, sous-texte… Puisqu'au Québec on a fait le choix que la publicité pour les
enfants, c'était quelque chose qui était contre le bien commun, puis qu'au-delà
du consentement ou pas du parent c'était illégal, je pense qu'on devrait venir
ici installer un amendement qui dit : Quand vous collectez, même avec le
consentement… Parce que là le ministre va me dire : Oui, mais déjà, on
vient dire, il faut qu'il y a le consentement du parent pour collecter des données
sur un mineur. O.K. Est-ce qu'on ne devrait pas venir dire ici : Même si
vous avez consentement du parent, là, des renseignements personnels collectés
sur un enfant, sur un enfant, on n'en fait pas d'utilisation commerciale. C'est
notamment une recommandation d'Option Consommateurs.
La CAI, dans son rapport quinquennal, en
2011, en parlait également. La CAI, donc, en 2011… Donc, c'est 2011, ça fait
quand même un petit bout, là, ça fait 10 ans, la CAI disait, faisait
référence à une décision… à une recommandation du Conseil de l'Europe qui,
elle, date de 2010. La CAI, donc, citait cette recommandation du Conseil de
l'Europe, et je cite la commission : «La commission appuie cette idée et
recommande au législateur d'envisager l'ajout d'une interdiction dans les lois
de protection du consommateur ou de protection des renseignements
personnels — ce que nous sommes en train de
faire — concernant le profilage des jeunes.
Je pense qu'il faut viser large,
dire : Les données collectées auprès des mineurs, on ne fait pas d'argent…
on ne fait pas de business avec ça, il n'y a pas d'usage commercial possible de
données personnelles collectées auprès des mineurs, tout comme on a décidé au
Québec d'interdire la publicité ciblée pour les enfants. Je pense qu'à la lueur
des dérapages auxquels on a assisté, là, puis qui sont bien documentés, ça
serait un amendement intéressant. J'aimerais savoir, sur ce sujet-là, qu'est-ce
que pense le ministre.
Le Président (M.
Bachand) : M. le ministre.
M.
Caire
: Dire
au député de que j'ai fait une longue réflexion là-dessus, ça serait lui
mentir, et je me refuse à faire ça. D'entrée de jeu, puis je me donne le droit,
là, de réfléchir à la question, d'entrée de jeu, je dirais, par contre, que je
vois quand même une distinction…
Le Président (M.
Bachand) : ...M. le ministre.
M.
Caire
: Dire
au député que j'ai fait une longue réflexion là-dessus, ce serait lui mentir,
et je me refuse à faire ça. D'entrée de jeu, puis je me donne le droit, là, de
réfléchir à la question, d'entrée de jeu, je dirais, par contre, que je vois quand
même une distinction entre collecter des renseignements personnels avec le
consentement du parent ou au bénéfice du mineur et une publicité qu'on reçoit
sans avoir de contrôle. Je pense, entre autres, à des messages publicitaires à
la télévision. On écoute une émission, la publicité, elle est là, le parent,
bon, tu sais, peut toujours prendre la manette puis fermer la télévision le
temps de la publicité, mais on s'entend que ce n'est pas... Il y a comme une
intrusion, il y a comme une... ce n'est pas une intrusion, parce que, je veux
dire, on écoute la télévision, on laisse les gens entrer chez nous, mais il n'y
a comme pas de contrôle pour le parent à l'exposition de l'enfant à cette
publicité-là. C'est la raison, je pense, principale pour laquelle on l'a
interdit, parce que je ne peux pas contrôler à quoi mon enfant est exposé ou
non dans le cas d'une publicité.
Dans le cas de la collecte de renseignements,
c'est différent, c'est-à-dire que, là, on dit : Il y a quand même... je
dois... dans les paramètres que nous avons fixés, je dois avoir le consentement
du parent — et là on rajoute du tuteur — ou alors la
collecte doit se faire au bénéfice de l'enfant. Donc, on comprend qu'il y a des
situations, puis je sais qu'on a eu cette discussion-là, le député de Gouin et
moi, il y a des situations où le parent et/ou le tuteur ne peut pas et ne doit
pas être informé de la collecte, là, on a tous des exemples en tête, mais ce
n'est pas de ça dont on parle, effectivement, avec le député de Gouin.
• (16 h 50) •
Donc, moi, j'ai toujours une réserve à
dire : Bien, si le parent est consentant, qui suis-je pour aller au-delà
de ce consentement-là? Qui suis-je pour dire au parent : Tu n'as pas
d'affaire... Dans le fond, c'est ça, la discussion, c'est de dire au
parent : Tu n'as pas le droit de consentir à ça. Bien oui, mais là, là,
c'est le parent qui vous parle, dire : J'ai ... puis je ne dis pas... Puis
encore une fois, là, je ne veux pas qu'on interprète, là, je me donne le droit
de réfléchir à cette question-là, je ne prétends pas être en possession de la
vérité, on jase, comme on dit, là. Mais, comme parent, j'ai toujours beaucoup
de difficulté à ce que le gouvernement se substitue à moi. Et je comprends qu'il
y a des situations où c'est incontournable et où ça doit être fait. Je le
comprends, je le comprends. Pour des raisons médicales, pour des raisons de
sécurité de l'enfant, il y a des situations où effectivement l'intérêt de
l'enfant prime sur l'autorité parentale, j'en conviens, là, d'entrée de jeu.
Mais je vous dirais...
M.
Caire
: ...je
le comprends. Pour des raisons médicales, pour des raisons de sécurité de
l'enfant, il y a des situations où effectivement l'intérêt de l'enfant prime
sur l'autorité parentale, j'en conviens, là, d'entrée de jeu, mais je vous
dirais, le moins possible, le moins possible. Quand on dépouille le parent de
son autorité parentale, je pense qu'on doit le faire avec beaucoup de sagesse
et beaucoup de parcimonie.
Alors, à la question : Est-ce que
cette situation-là est une situation où on se dit : Bien, je ne pense pas
que le parent est la meilleure personne pour décider si des renseignements
personnels de son enfant doivent être donnés à une entreprise pour quelque fin
que ce soit, que ce soit à des fins commerciales ou... Je ne le sais pas. Je ne
le sais pas. Honnêtement, je ne peux pas dire que j'ai une opinion arrêtée
là-dessus. Comme je vous dis, là, d'entrée de jeu, moi, j'ai toujours un
préjugé favorable à l'autorité parentale.
Le Président (M.
Bachand) : M. le député de Gouin.
M. Nadeau-Dubois : Il y a
aussi des enjeux qui relèvent des choix de société puis pas du libre arbitre
des parents. Tu sais, demain va être déposée une réforme de la loi 101, la
loi 101, c'est un bel exemple de ça. Loi 101, c'est un puissant
dépouillement de l'autorité parentale, c'est une puissante et forte... un fort
empiétement sur le choix fondamental des parents de dire : Moi, mon enfant
va aller dans quelle école. D'un point de vue strictement libéral, pas au sens
partisan, mais au sens philosophique du terme, la loi 101, c'est un énorme
empiétement sur la liberté individuelle. Du point de vue de la société
québécoise, c'est un choix de société que nous avons fait, pas pour des raisons
ni médicales ni de santé, mais pour... ni de sécurité, mais pour le bien
commun. Puis, le bien commun, dans le cas de la loi 101, c'est quoi? Bien,
c'est la survivance, puis même plus que la survivance, le déploiement dans
l'avenir du français.
Ça fait que, tu sais, des exemples où,
comme société, on choisit de se faire... d'affirmer un principe qui supplante
le principe de l'autorité parentale ou du libre arbitre du parent, il y en a
quand même beaucoup. Puis ce n'est pas juste sur des enjeux de santé puis de
sécurité, c'est souvent dans des enjeux où on juge que là le bien commun
commande qu'on instaure, comme société, un certain environnement puis qu'on
mette certaines balises en disant : Bien, oui, en effet, les parents, ils
n'ont pas ce choix-là, tu sais, tout comme les parents, ils n'ont pas le choix
d'envoyer leurs enfants à l'école française ou anglaise au Québec. On a
dit : Non, les parents n'auront plus ce choix.
Puis moi, personnellement, je pense que
c'est justifié d'avoir retiré ce choix-là, parce qu'on est dans une situation
où le bien commun l'emporte sur le choix individuel. Cas classique de choix
collectif où on affirme quelque chose comme société puis on dit : C'est
plus fort que le strict choix du parent. C'est d'ailleurs une des raisons pour
laquelle beaucoup de gens contestent la loi 101, ce qui n'est pas mon cas,
moi, je juge que c'est un bon calcul.
Donc, il y en a plein, de ça dans une
société...
M. Nadeau-Dubois : ...cas
classique de choix collectif où on affirme quelque chose comme société puis on
dit : C'est plus fort que le strict choix du parent. C'est d'ailleurs une
des raisons pour laquelle beaucoup de gens contestent la Loi 101, ce qui
n'est pas mon cas, moi, je juge que c'est un bon calcul.
Donc, il y en a plein, de ça, dans une
société de droit, des moments où on affirme des principes puis on dit :
C'est plus important que l'autorité parentale. C'est le cas aussi... je donnais
l'exemple de la publicité. Et là quand on arrive dans l'enjeu explosif et sensible
de la collecte des données personnelles des enfants, on est, selon moi, dans ce
gens de situation où, là, c'est un pensez-y-bien, parce que... et on le sait et
le ministre le sait, quand les données sont collectées, à un moment donné,
elles sont conservées. Puis le parent peut consentir à ce que son enfant
interagisse avec un jouet intelligent qui va le prendre en photo, examiner sa
voix, ses mouvements, tout ça. On va dire : Moi, ça ne me dérange pas. Ces
données-là sont conservées. L'enfant vieillit. Les données sont encore
conservées par l'entreprise. Après le consentement qui a été donné par le
parent, l'enfant, par la suite, vit avec toute sa vie, tu sais. Puis c'est pour
ça qu'il y a plein de choix que les parents n'ont pas le droit de faire pour leurs
enfants.
Ça fait que moi, je pense qu'il y a une
réflexion importante à avoir. J'ai cité quand même quelques autorités dans ma
présentation, Option Consommateurs, la CAI elle-même en 2011. Je pense qu'il y
a des balises à venir instaurer ici. On peut suspendre l'article si le ministre
n'est pas prêt à y aller. Moi, je voulais, comme on dit, faire mon pitch, lui
exprimer mes préoccupations. Est-ce que j'embrasse trop large avec toute
utilisation commerciale? Peut-être. Peut-être qu'on peut se concentrer, par
exemple, sur la question du profilage commercial. Parce que, là, on cible une
pratique qui peut nous apparaître spontanément comme problématique. Moi, je
suis ouvert à toutes ces avenues-là.
L'argument fondamental que je présente,
c'est : Attention ici à la question du consentement parce qu'on est exactement
dans le genre de situation où il faut faire une réflexion pour voir qu'est-ce
qui devrait l'emporter entre le consentement parental puis d'autres valeurs
qu'on pourrait vouloir affirmer collectivement. Puis, encore une fois, je ne
veux... tu sais, je ne veux pas avoir l'air du gars qui annonce l'apocalypse à
chaque fois, là, pendant des pratiques de certaines entreprises, mais on le
sait, là, tu sais, que ça existe. J'ai lu beaucoup pour me préparer à cette
commission-là, puis, tu sais, des jouets qui sont munis de caméras puis de
capteurs sonores qui reconnaissent la voix, le visage de l'enfant. Il paraît
qu'il y a un petit robot qui s'appelle Cozmo, qui fait ça. Je l'ai appris. Là,
il y a quelque chose qui devrait nous heurter, pas juste comme parents mais
comme législateurs, en se disant : Du point de vue du bien commun, c'est-u
le genre...
M. Nadeau-Dubois : …des jouets
qui sont munis de caméras puis de capteurs sonores qui reconnaissent la voix,
le visage de l'enfant. Il paraît qu'il y a un petit robot qui s'appelle Cozmo,
qui fait ça. Je l'ai appris. Là, il y a quelque chose qui devrait nous heurter,
pas juste comme parents mais comme législateurs, en se disant : Du point
de vue du bien commun, c'est-u le genre de pratiques qui devraient être
légales? Je pense qu'on a une petite réflexion à faire là-dessus, puis ça tombe
bien parce qu'on travaille dans une commission qui avance bien, où la
collaboration est bonne. Je ne sais pas comment le ministre veut procéder, mais
je pense qu'il faut prendre le temps de réfléchir à ce qu'on veut mettre dans
le projet de loi sur cette question-là.
Le Président (M.
Bachand) : …aussi le député de La Pinière.
M.
Caire
: Bien,
si vous me permettez…
Le Président (M.
Bachand) : Oui, M. le ministre, avant, oui.
M.
Caire
: Je
vais peut-être intervenir sur ce que le député de Gouin vient de dire. Moi, je
suis très sympathique à plusieurs éléments qui ont été amenés par le député de Gouin.
J'ai relaté, M. le Président, et vous me
permettrez de me répéter ou… J'ai eu le privilège de représenter le Québec au
Partenariat mondial sur l'intelligence artificielle à Paris, où j'ai eu le
privilège aussi de discuter avec les gens de la CNIL. Ça m'a inspiré beaucoup
pour les modifications que j'ai proposées aux collègues, notamment sur une
vice-présidence surveillance, mais avec un volet TI très fort. Et ce qui m'a
inspiré ça, c'est une visite des lieux que j'ai faite, où, justement, le
président de la CNIL m'indiquait qu'ils étaient en train d'enquêter sur
certains types de jouets, poupées comme ça, qui filmaient et enregistraient,
pour lesquels ils avaient demandé que ce soit enquêté, où il y avait une
intrusion à la vie privée qui était assez claire, là, parce que ça se faisait à
l'insu des gens. Puis je me disais : Mon Dieu! C'est… Oui, il faut aller
vers ça. Il faut aller vers ça.
Donc, là-dessus, je pense qu'on n'aura pas
de grands débats, là. Tu sais, quand on commence à filmer les gens ou
enregistrer les gens ou… Puis encore… je dis particulièrement les enfants parce
que ça nous touche, on dirait, plus quand c'est des enfants, mais il n'y a pas
de situation où c'est acceptable de filmer quelqu'un à son insu, là. Je veux
juste être clair là-dessus, là. Ou de l'enregistrer à son insu ou de lui
prendre des renseignements personnels à son insu. Il n'y a pas de situation où
c'est acceptable. Mais ça je pense que le projet de loi l'adresse bien parce
que, dans le fond, c'est une collecte de renseignements personnels, et ça ne
peut pas se faire sans le consentement de la personne.
• (17 heures) •
Le député de Gouin amène une autre notion,
indirectement, qui est l'exploitation des enfants, exploitation au sens
commercial, on s'entend, là. Je ne suis pas en train de parler d'esclaves dans
les mines ou… On ne va pas là. Mais pour lesquels j'ai aussi une sensibilité, M.
le Président. Je suis père de quatre enfants, dont certains sont encore
relativement jeunes et influençables, donc j'ai cette sensibilité-là, comme
parent, de dire : Bien, est-ce que je veux qu'on puisse filmer mes enfants
ou les enregistrer ou recueillir des renseignements sur ceux afin de les
profiler puis de…
17 h (version non révisée)
M.
Caire
: …de
quatre enfants, dont certains sont encore relativement jeunes et influençables,
donc j'ai cette sensibilité-là, comme parent, de dire : Bien, est-ce que
je veux qu'on puisse filmer mes enfants ou les enregistrer ou recueillir des renseignements
sur eux afin de les profiler puis de s'assurer que leur prochaine visite sur YouTube
sera ponctuée de publicité de x ou y? Non, évidemment pas.
Et là je vais faire étalage de mon dilemme
sur la place publique, M. le Président, et, suite à ça, donner suite à la
demande de suspension de l'article du député de Gouin, parce que je pense que
c'est un enjeu qui est très large, c'est un enjeu qui nous dépasse, je parle
des députés qui siègent à la commission, pour lesquels, je pense, qu'il ne
serait pas inopportun d'avoir l'occasion de consulter, de mûrir sur cette
réflexion-là avant de poser des gestes parce qu'on est quand même en train de
légiférer. Et donc mon dilemme vient de ce que j'ai dit au député de Gouin,
auquel je crois aussi, parce que, comme parent, j'ai été confronté très souvent
dans la société à des situations où on prenait des décisions pour mes enfants
et où j'avais l'impression de jouer un rôle secondaire, du fait que j'étais un
parent et non pas un expert en ci, un expert en ça, et où je le dis
candidement, où il s'est avéré que leur mère et moi, on a eu raison, au-delà
des expertises, des situations qui amènent beaucoup de frustration, au niveau
des parents, qui sont encore les premiers préoccupés.
Nonobstant, là, les situations qu'on voit
dans l'espace public, moi, je pense que l'immense majorité des parents sont des
gens qui sont dédiés à leurs enfants et qui vont faire tout en leur pouvoir
pour le bien-être de leurs enfants et pour qui le bien-être de leurs enfants
est la seule préoccupation qu'ils ont. Ça, je pense que c'est l'immense
majorité des parents au Québec qui sont dans cette situation-là, donc de
dépouiller ces gens-là de leur prérogative, de leur jugement, de leur droit à
décider pour l'enfant. Puis je parle du droit à décider pour l'enfant, parce
que je pense que c'est non seulement un droit, mais c'est une obligation, c'est
une responsabilité du parent, j'ai toujours beaucoup d'a priori même si la
cause fondamentale me semble juste. Puis l'exemple que le député de Gouin
donne est un bon exemple, c'est vrai qu'au Québec on a décidé de légiférer pour
protéger la langue française, même si je ne suis pas convaincu que la loi
s'adressait particulièrement aux enfants francophones du Québec, ça a quand
même pour effet que les enfants francophones du Québec doivent aller à l'école
française. Et donc, de ce fait, le député de Gouin a tout à fait raison, on a
substitué la raison de l'État à un choix parental. Est-ce qu'on est ici dans la
raison d'État? Je ne sais pas, je ne sais pas. Je suis interpellé par ce que le
député de Gouin dit et, avec l'assentiment des collègues et après
l'intervention, évidemment, du député de La Pinière, je demanderais de
suspendre l'article, M. le Président, parce que c'est le genre de sujet où je
pense qu'il est sage de prendre un peu plus de temps…
M.
Caire
: …je suis
interpellé par ce que le député de Gouin dit, et, avec l'assentiment des
collègues et après l'intervention évidemment du député de La Pinière, je
demanderais de suspendre l'article, M. le Président, parce que c'est le genre
de sujet où je pense qu'il est sage de prendre un peu plus de temps, d'avoir
une réflexion plus large, plus approfondie, de consulter différentes personnes
et après ça de revenir peut-être avec une décision éclairée.
Le Président (M.
Bachand) : Merci. M. le député de La Pinière, s'il vous
plaît.
M. Barrette : Très brièvement,
j'ai écouté l'échange, je vais vous avouer que je penche beaucoup du côté du
député de Gouin dans ce dossier-là, puis j'écoute le ministre, et puis j'ai de
la misère à le suivre, là. Est-ce que le ministre pourrait lui-même nous
donner, là, dans son esprit, un exemple où c'est vraiment nécessaire, là, dans
le contexte qui est décrit par le député de Gouin, là, un exemple où il faut…
ça serait vraiment discutable de retirer le droit parental.
M.
Caire
: Je ne
suis pas sûr que je comprends la question de mon collègue.
M. Barrette : Parce qu'un
moment donné, quand on dit, là, le ministre nous dit qu'il est mal à l'aise
parce qu'on va retirer aux parents le droit de choisir, essentiellement, c'est
ça qu'il nous dit. Le député de Gouin, lui, il dit : Bien, c'est parce
qu'un moment donné il y a des choix de société, puis dans le choix de société,
c'est vrai que, dans bien des circonstances, on retire des droits, là. Le
parent ne peut pas dire à son gars : Regarde… ou à sa fille : Va donc
voler à l'épicerie, là. Tu sais, je veux dire, ça ne se fait pas, là,
j'exagère, je caricature, on s'entend. Maintenant, il y a un malaise dans
l'esprit du ministre de retirer ce droit-là. Alors, je cherche un exemple
pratique où, dans le contexte amené par le député de Gouin, ça semblerait poser
un problème, un malaise, je ne sais pas trop quoi, dans l'esprit du ministre,
je ne le vois pas. Le député de Gouin, je ne pense pas qu'il faisait référence,
je ne pense pas, il aura le choix de… il aura la possibilité de me répondre
s'il le souhaite, en médecine, on fait des enregistrements de données puis on
les garde. Vous avez un enfant de huit ans qui est diabétique, on va lui mettre
une pompe, puis on va pouvoir la suivre à distance, puis c'est bien important,
parce qu'on voit son sucre monter, descendre, puis la télémédecine, là, de ce
type-là, là, pas de la téléconsultation, mais le suivi de données cliniques,
là, numériques, là, comme la pression artérielle, la glycémie, tout ça, à
distance, c'est une grosse, grosse avancée, puis il n'y a personne à qui ça
viendrait à l'esprit de dire : Hé, on va interdire ça, là, parce qu'on
collecte et on enregistre des données. Parce que je ne pense pas que c'est le
contexte que le député de Gouin met de l'avant, là. Ça fait que ce n'est pas ça
qu'on vise. Alors, ça, tout le monde va dire oui à ça, mais à quoi on peut
imaginer… c'est quoi, un exemple, là, qui ferait en sorte, là, que moi, là,
comme parent, là, ou le ministre lui-même, comme parent, il dirait : Bien,
là, là, vous poussez un petit peu le bouchon un peu trop loin, là, en
m'empêchant de faire ça. J'ai de la misère à trouver un exemple, parce que ça,
c'est vraiment un exemple…
M.
Caire
: Bien,
je vous donne un exemple… oui, oui…
Le Président (M.
Bachand) : …de Gouin, là-dessus, complémentaire, oui.
M. Nadeau-Dubois : Je suis
vraiment… je trouve ça vraiment plate…
M. Barrette : …un exemple, là,
qui ferait en sorte, là, que moi, là, comme parent, là, ou le ministre lui-même
comme parent, il dirait : Bien, là, là, vous poussez un petit peu le
bouchon un peu trop loin, là, en m'empêchant de faire ça. J'ai de la misère à
trouver un exemple parce que ça, c'est vraiment un exemple…
M.
Caire
: Bien,
je vous donne un exemple… oui, oui…
Le Président (M.
Bachand) : …de Gouin là-dessus, complémentaire, oui.
M. Nadeau-Dubois : …je trouve
ça vraiment plate parce que c'est une super belle discussion, mais j'ai une
petite… une petite urgence leader à aller m'occuper au bleu. Ce n'est pas un
vote. C'est juste un petit problème à régler. Ça ne sera vraiment pas long. On
peut-tu suspendre trois, quatre minutes? Puis je reviens.
Le Président (M.
Bachand) : Ça va? Alors, on va suspendre quelques instants.
Merci.
(Suspension de la séance à 17 h 6)
(Reprise à 17 h 11)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : …Bien, je
sens que le ministre est intéressé à explorer la question, puis moi, je veux
d'entrée de jeu lui dire, puis je veux lui dire au micro, que, moi, je suis
prêt à travailler avec lui pour qu'on trouve exactement la bonne manière
d'inscrire ça, puis qu'on mette les bonnes balises. L'idée n'est pas de viser
trop large et d'interdire des choses qui ne devraient pas l'être. L'idée, c'est
de trouver exactement, comme société, quelles pratiques on juge qui sont
possibles avec le consentement des parents puis quelles pratiques on juge que,
là, même avec le consentement, il y a quelque chose qui nous heurte puis comme
société on dit non puis on trace une ligne. Ça fait que, moi, j'entends
l'intérêt du ministre à avancer sur ce chemin-là puis à trouver une solution.
Je salue cette ouverture. Puis on peut sans doute suspendre l'article pour se
donner le temps de faire ce travail-là ensemble puis trouver les bonnes balises
à instaurer. Puis nos équipes travailleront ensemble pour trouver… puis avec le
député de La Pinière aussi, qui semble intéressé, ça fait qu'on travaillera
tous ensemble pour trouver la solution. Je pense que c'est important de prendre
le temps.
Le Président (M.
Bachand) : Ça va? Alors, je comprends qu'il y a consentement
pour suspendre l'étude de l'article 96?
M.
Caire
:
Consentement, M. le Président.
Le Président (M.
Bachand) : Consentement. Merci beaucoup. M. le ministre,
s'il vous plaît.
M.
Caire
:
M. le Président, l'article 97 se lit comme suit :
L'article 5 de cette loi est modifié par…
M. Nadeau-Dubois : ...qui
semble intéressé, ça fait qu'on travaillera tous ensemble pour trouver la
solution. Je pense que c'est important de prendre le temps.
Le Président (M.
Bachand) : Ça va? Alors, je comprends qu'il y a consentement
pour suspendre l'étude de l'article 96?
M.
Caire
:
Consentement, M. le Président.
Le Président (M.
Bachand) : Consentement. Merci beaucoup. M. le ministre, s'il
vous plaît.
M.
Caire
: M. le
Président, l'article 97 se lit comme suit : L'article 5 de cette
loi est modifié par le remplacement du premier alinéa par le suivant :
«La personne qui recueille des renseignements
personnels sur autrui ne doit recueillir que les renseignements nécessaires aux
fins déterminées avant la collecte.».
Donc, l'article 5 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le projet de loi de la plupart des occurrences de
la notion de «dossier» dans cette loi. Alors, M. le Président, l'ancien
article, effectivement, faisait référence aux «renseignements nécessaires à
l'objet du dossier». Cette occurrence-là, on tente de la retirer, d'où la
modification que nous proposons à l'article 5.
Le Président (M.
Bachand) : Interventions?
M.
Caire
:
Adopté.
Le Président (M.
Bachand) : M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : ...il
y a deux choses ici, là, il y a le retrait de la notion de «dossier», qui, en
effet, est périmée technologiquement, mais il y a aussi la question... il y a
aussi l'obligation de recueillir seulement les renseignements nécessaires aux
fins qui sont annoncées. Et il y a troisièmement une phrase qui dit : «Ces
renseignements doivent être recueillis par des moyens licites.» Qu'est-ce que
ça veut dire? Pourquoi est-ce que c'est là?
M.
Caire
: Bien,
en fait, je tiens à préciser que ça, c'est déjà dans la loi, cette notion-là.
M. Nadeau-Dubois : Oui,
c'était déjà dans la loi, tout à fait.
M.
Caire
:
Là-dessus, je vais laisser Me Miville-Deschênes donner l'explication
juridique...
M. Nadeau-Dubois : Il ne
peut pas le voler, là.
M.
Caire
:
...aux termes qui ont été utilisés par le législateur à l'époque.
Le Président (M.
Bachand) : ...
M. Miville-Deschênes
(Jean-Philippe) : Bien, «licite», oui, on en avait déjà parlé un peu,
mais c'est un synonyme de «légal» en fait, là. Donc, la collecte doit être
faite par des moyens qui sont légaux, qui sont autorisés par la loi ou, tu
sais, par les chartes, là. Donc...
M.
Caire
: Une
petite caméra sur le «side», ça ne marche pas.
M. Miville-Deschênes
(Jean-Philippe) : Ceci dit, ça contreviendrait aussi à d'autres
dispositions de la loi, là, mais effectivement c'est l'objectif.
Le Président (M.
Bachand) : M. le député de La Pinière.
M. Barrette : Ce qui veut
dire qu'éventuellement on pourrait empêcher une collecte de données par des
jouets.
M.
Caire
:
Oui...
M. Barrette : Ça
deviendrait illicite.
M.
Caire
: Bien,
en fait, on aurait deux raisons de le faire. D'une part, ça prend le
consentement pour le faire. Et, d'autre part, effectivement, ce n'est pas un
moyen qui est reconnu.
M. Barrette : N'est-ce
pas merveilleux? Quelle arme!
M.
Caire
: Mais,
en même temps, cette disposition-là existait déjà.
M. Barrette : Oui, je me
souviens.
M.
Caire
: Donc,
la notion de consentement vient se superposer à ça.
M. Barrette : C'est bon.
Le Président (M.
Bachand) : Merci. M. le député de Gouin, je crois.
M.
Caire
:
Adopté.
Le Président (M.
Bachand) : M. le député de Gouin? Ça va?
M. Nadeau-Dubois :
...commentaire éditorial, c'est curieux de préciser dans une loi que les
renseignements doivent être récoltés par des moyens légaux, mais... C'est un
peu implicite. Je présumais que c'était pour ça qu'on avait une loi qui
détaillait les moyens légaux de récolter des renseignements personnels. Mais
c'est bon, c'est...
M.
Caire
: Le
contraire aurait été encore plus bizarre.
M. Nadeau-Dubois : Bien,
tu sais, c'est parce que je me demande...
M. Nadeau-Dubois : ...de
préciser dans une loi que les renseignements doivent être récoltés par des
moyens légaux, mais c'est un peu implicite. Je présumais que c'était pour ça qu'on
avait une loi qui détaillait les moyens légaux de récolter des renseignements
personnels, mais c'est bon, c'est...
M.
Caire
: Le
contraire aurait été encore plus bizarre.
M. Nadeau-Dubois : Bien, tu
sais, c'est parce que je me demande, tu sais, si c'était vraiment important de
l'écrire. Mais c'est un fait cocasse.
M.
Caire
: Oui,
bon. Mais on n'était pas là, à l'époque, M. le député, donc on est dédouanés
des termes.
M. Nadeau-Dubois : Mais
c'était déjà là, je n'en tiens pas rigueur au député de... au ministre.
Le Président (M.
Bachand) :Merci beaucoup. Alors, s'il n'y
a pas d'autre intervention, nous allons procéder à sa mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 97 est adopté.
Merci. M. le ministre, s'il vous plaît.
M.
Caire
: Oui,
M. le Président.
98. L'article 7 de cette loi est modifié
par le remplacement dans deux premiers alinéas par le suivant :
«La personne qui recueille des
renseignements personnels auprès d'une autre personne qui exploite une
entreprise doit, à la demande de la personne concernée, informer celle-ci de la
source de ces renseignements.».
Alors, M. le Président, encore une fois,
c'est une question d'éliminer l'occurrence des dossiers puisque la version
originale faisait référence à l'inscription qui fait partie du dossier de la personne
concernée. Donc, c'est un article de concordance.
Le Président (M.
Bachand) :Interventions? M. le député de Gouin.
M. Nadeau-Dubois : Dans quel
type de situation est-ce qu'un article comme ça est utilisé? Une personne qui
recueille des renseignements auprès d'une personne qui exploite une entreprise,
donc là, j'imagine, ça peut être une personne physique, une personne morale.
J'essaie juste de comprendre. Ça s'applique dans quel type de circonstance?
M. Miville-Deschênes
(Jean-Philippe) : ...lorsque les communications sont permises. Donc,
une entreprise qui a des renseignements personnels va pouvoir communiquer, il y
a différents... article 18, il y a différentes possibilités de
communiquer, avec le consentement de la personne ou communiquer à une entreprise
quand il y a un contrat de service. Donc, tu communiques, puis l'autre
entreprise qui reçoit les renseignements, elle doit indiquer dans le dossier de
qui elle les a reçus.
Je vais donner un exemple concret, là. Tu
vas chez le concessionnaire automobile. Il te propose du crédit. Il va
communiquer... le concessionnaire automobile, avec ton consentement, va
communiquer à la banque, là, qui va t'offrir le crédit des informations. Bien,
la banque doit inscrire dans ton dossier d'où elle a reçu ces renseignements-là.
Comme ça, si tu fais une demande d'accès à la banque, elle va non seulement te
donner tes renseignements, mais pouvoir t'informer d'où ils proviennent.
Ça fait que, pour chaque entreprise qui
reçoit des renseignements, il doit indiquer la provenance de ces
renseignements-là. Ce n'est pas clair suffisamment?
M. Nadeau-Dubois : Non, je
réfléchis. Et je comprends bien.
Le Président (M.
Bachand) : Merci beaucoup. Interventions? S'il n'y a pas
d'autre intervention, nous allons procéder à sa mise aux voix. Mme la
secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 98 est adopté.
Merci beaucoup. M. le ministre, s'il vous plaît.
M.
Caire
: Oui,
M. le Président. Article 99, relatif...
La Secrétaire
: …pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: Pour
les membres de l'opposition officielle, M. Barrette (La Pinière)?
M. Barrette : Pour.
La Secrétaire
: M.
Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M.
Bachand (Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'article 98 est adopté.
Merci beaucoup. M. le ministre, s'il vous plaît.
M.
Caire
: Oui,
M. le Président. Article 99, relatif au très attendu article 8 de
cette loi : est remplacé par le suivant :
«8. La personne qui recueille des
renseignements personnels auprès de la personne concernée doit, lors de la
collecte et par la suite sur demande, l'informer :
«1° des fins auxquelles ces renseignements
sont recueillis;
«2° des moyens par lesquels les
renseignements sont recueillis;
«3° des droits d'accès et de rectification
prévus par la loi;
«4° de son droit de retirer son
consentement à la communication ou à l'utilisation des renseignements
recueillis.
«Le cas échéant, la personne concernée est
informée du nom du tiers pour qui la collecte est faite et de la possibilité
que les renseignements soient communiqués à l'extérieur du Québec.
«Sur demande, la personne concernée est
également informée des renseignements personnels recueillis auprès d'elle, des
catégories de personnes qui ont accès à ces renseignements au sein de
l'entreprise, de la durée de conservation de ces renseignements, ainsi que des
coordonnées du responsable de la protection des renseignements personnels.
«L'information doit être transmise à la
personne concernée en des termes simples et clairs, quel que soit le moyen
utilisé pour recueillir les renseignements.»
Donc, M. le Président, l'article 8…
l'article 99 de cet article introduit les nouveaux articles 8… Oh!
Oh! Oh! J'ai-tu manqué quelque chose? Oui, excusez-moi, M. le Président, je
n'avais pas fini, parce que…
Une voix
: …
• (17 h 20) •
M.
Caire
: Non,
non, j'avais coupé court un peu, là. Donc : «8.1. En plus des informations
devant être fournies suivant l'article 8, la personne qui recueille des
renseignements personnels auprès de la personne concernée en ayant recours à
une technologie comprenant des fonctions permettant de l'identifier, de la
localiser ou d'effectuer un profilage de celle-ci doit, au préalable,
l'informer :
«1° du recours à une telle technologie;
«2° des moyens offerts, le cas échéant,
pour désactiver les fonctions permettant d'identifier, de localiser ou
d'effectuer un profilage.
«Le profilage s'entend de la collecte et
de l'utilisation de renseignements personnels afin d'évaluer certaines
caractéristiques d'une personne physique, notamment à des fins d'analyse du
rendement au travail, de la situation économique, de la santé, des préférences
personnelles, des intérêts ou du comportement de cette personne.
«8.2. La personne qui recueille par un
moyen technologique des renseignements personnels doit publier sur le site
Internet de l'entreprise, le cas échéant, et diffuser par tout autre moyen
propre à atteindre les personnes concernées une politique de confidentialité
rédigée en termes simples et clairs. Elle fait de même pour l'avis dont toute
modification à cette politique doit faire l'objet.
«8.3. Toute personne qui fournit ses
renseignements personnels suivant l'article 8 consent à leur utilisation
aux fins visées au paragraphe 1° du premier alinéa de cet article.»
Bon, cette fois, M. le Président, c'est
vrai. Cet article introduit les nouveaux articles 8 à 8.3 à la Loi sur la
protection des renseignements personnels du secteur privé. L'article 8 de
la Loi sur la protection des renseignements personnels dans le secteur privé
est modifié en raison de la suppression par le projet de loi de la plupart des
occurrences de la notion de «dossier» dans cette loi…
M.
Caire
: …cette
fois, M. le Président, c'est vrai. Cet article introduit les nouveaux
articles 8 à 8.3 à la Loi sur la protection des renseignements personnels
du secteur privé.
L'article 8 de la Loi sur la
protection des renseignements personnels dans le secteur privé est modifié en
raison de la suppression par le projet de loi de la plupart des occurrences de
la notion de «dossier» dans cette loi. Il est également modifié afin de
préciser davantage l'information devant être communiquée à la personne auprès
de qui ces renseignements personnels sont recueillis.
Le nouvel article 8.1 de la Loi sur
la protection des renseignements personnels dans le secteur privé prévoit
l'information devant être communiquée à la personne auprès de qui des
renseignements personnels sont recueillis en ayant recours à une technologie
comprenant des fonctions permettant de l'identifier, de la localiser ou
d'effectuer un profilage de celle-ci. Il définit également la notion de
profilage.
8.2 de la Loi sur la protection des
renseignements personnels dans le secteur privé prévoit que l'entreprise qui
recueille par un moyen technologique des renseignements personnels doit publier
sur son site Internet et diffuser par tout autre moyen propre à atteindre les
personnes concernées une politique de confidentialité rédigée en termes simples
et clairs.
Et 8.3 sur la Loi de la protection des
renseignements personnels dans le secteur privé prévoit que toute personne qui
fournit ses renseignements personnels suivant l'article 8 consent à leur
utilisation aux fins visées par le paragraphe 1 du premier alinéa de
cet article.
Voilà, M. le Président.
Le Président (M.
Bachand) : Je crois que vous avez un amendement aussi… des
amendements, plutôt, potentiels.
M.
Caire
:
Effectivement, M. le Président. Donc là, je veux juste être sûr que j'oublie
les…
Le Président (M.
Bachand) : Et ici juste… Si vous êtes d'accord, on va
fonctionner de la même façon, un peu comme tantôt, on va y aller par… L'article
est ouvert, on va y aller par sections, par blocs de sections.
M.
Caire
: Donc,
un premier amendement, M. le Président, que je vais déposer, parce qu'il y en a
un qui sera déposé par mon collègue de Gouin, je tiens à le spécifier, là, pour
que ce soit clair pour tout le monde. Donc, celui-ci… Remplacer… Donc, à
l'article… de l'article 8 : Remplacer, dans le deuxième alinéa de l'article 8
de la Loi sur la protection des renseignements personnels dans le secteur
privé, proposé par l'article 99 du projet de loi, «et» par «,du nom des
tiers à qui il est nécessaire de communiquer les renseignements aux fins visées
au paragraphe 1° du premier alinéa et».
Donc, l'amendement proposé au
deuxième alinéa de l'article 8 de la Loi sur la protection des
renseignements personnels dans le secteur privé vise à ce que les personnes
concernées soient informées lors de la collecte de leurs renseignements
personnels du nom des tiers à qui seront communiqués ces renseignements pour
atteindre des finalités déclarées.
Le Président (M.
Bachand) : …sur l'amendement. Interventions sur l'amendement?
M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Juste bien
comprendre, là. On vient changer le «et» qui est, comme, au milieu de l'alinéa
pour… Qu'est-ce qu'on… Dans le fond, entre la version initiale de l'article
puis la version amendée, au fond, le changement, c'est on vient inscrire la
notion de finalité déclarée. On vient dire : La communication à
l'extérieur du Québec doit se faire pour les fins qui ont été déclarées
lorsqu'on est allés chercher le consentement en fonction des critères du
premier alinéa…
M. Nadeau-Dubois : ...la
version initiale de l'article puis la version amendée, au fond, le changement,
c'est... vient inscrire la notion de finalité déclarée. On vient dire : La
communication à l'extérieur du Québec doit se faire pour les fins qui ont été
déclarées, lorsqu'on est allés chercher le consentement, en fonction des
critères du premier alinéa, si je comprends bien?
M.
Caire
: Bien,
en fait, là, si on parle de l'amendement...
M. Nadeau-Dubois : Oui, l'amendement.
M.
Caire
:
...là, ce qu'on dit, c'est qu'on va... En fait, l'article se lirait : La
personne qui recueille des renseignements personnels auprès de la personne
concernée doit, lors de la collecte... et... Non.
M. Nadeau-Dubois : Non, c'est
dans le deuxième alinéa.
M.
Caire
: Non,
c'est ça, c'est dans le deuxième alinéa. Je vais juste vous retrouver le...
Oui, c'est ça, «le cas échéant, la personne concernée...
M. Nadeau-Dubois : ...«le cas
échéant»...
M.
Caire
:
«...est informée du nom du tiers pour qui la collecte est faite et...»
Excusez-moi. «...et du nom du tiers à qui il est nécessaire de communiquer des renseignements
personnels aux fins visées du paragraphe 1° du premier alinéa.» Oui, c'est ça.
La réponse à votre question, c'est oui.
M. Nadeau-Dubois : Donc, «et
de la possibilité que les renseignements soient communiqués à l'extérieur du
Québec».
M.
Caire
:
«Communiqués à l'extérieur du Québec».
M. Nadeau-Dubois : Donc, au
fond, dans la première version, on disait : «La personne concernée doit
être informée du tiers — c'est quoi, son nom — et de la
possibilité que ce soit communiqué à l'extérieur du Québec». Là, on vient
dire... on vient renforcer, au fond, en disant...
M.
Caire
: Qui
ont des tiers...
M. Nadeau-Dubois : ...en
précisant que les tiers en question, la communication à ces tiers-là doit être
faite pour atteindre les fins visées au premier alinéa.
M.
Caire
:
Voilà. Me Miville-Deschênes va...
M. Miville-Deschênes
(Jean-Philippe) : Je veux juste reformuler... Dans le fond, ce qu'on
ajoute, c'est que la personne va être informée du nom des tiers qu'il est
nécessaire de communiquer, que ce soit à l'extérieur du Québec ou pas. Donc,
ici, pour atteindre une finalité, tu dois communiquer à des tiers...
M. Nadeau-Dubois : Ah! c'est
ça.
M. Miville-Deschênes
(Jean-Philippe) : ...tu dois informer la personne du nom des tiers,
mais même s'il n'est pas à l'extérieur du Québec.
M. Nadeau-Dubois : Puis
ensuite, le reste de l'article, c'est «et de la possibilité que ce soit
communiqué à l'extérieur du Québec», le cas échéant, si c'est communiqué à
l'extérieur du Québec.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça.
M. Nadeau-Dubois : O.K. Donc,
on vient renforcer en disant que, si des tiers reçoivent des renseignements
personnels, il faut qu'on communique à la personne l'identité de ces tiers-là,
et puis on vient préciser que la communication doit être faite aux fins visées
par le premier alinéa.
M. Miville-Deschênes
(Jean-Philippe) : C'est ça.
M. Nadeau-Dubois : O.K. C'est
un bon amendement, M. le Président, on va voter pour.
Le Président (M.
Bachand) : Député de La Pinière.
M. Barrette : C'est moi? O.K.
Le Président (M.
Bachand) : Oui, c'est vous.
M. Barrette : Regardez, M. le
Président, c'est parce que ça revient tout le temps, là, ce n'est pas tant sur
l'amendement, mais je vais poser la question ici parce que ça revient à chaque
fois, puis peut-être qu'il n'y a aucun intérêt, là, mais je veux juste avoir
une précision juridique, là.
Le 8, tel qu'il est écrit, là, c'est
toujours «la personne». Puis, à un moment donné, dans les explications, là,
dans les commentaires, à un moment donné, c'est «la personne ou l'entreprise».
Il y a-tu un enjeu, là?
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Barrette : Parce que moi,
je me serais attendu que ça soit, dans l'article 8, là...
M. Barrette : ...dans les commentaires,
à un moment donné, c'est la personne ou l'entreprise. Il y a-tu un enjeu là?
Le Président (M.
Bachand) : Me Miville-Deschênes, s'il vous plaît.
M. Barrette : Parce que moi,
je me serais attendu que ça soit... dans l'article 8, là, que ça soit
partout «la personne ou l'entreprise», mais là c'est toujours «la personne»
puis ce n'est jamais «l'entreprise». Dans les commentaires, à un moment donné,
c'est «la personne ou l'entreprise». Ça fait que, si on se sent obligés de dire
«la personne ou l'entreprise», c'est peut-être qu'il y a une différence
juridique.
M. Miville-Deschênes
(Jean-Philippe) : Bien, en fait, la loi vise les personnes qui
exploitent une entreprise, parce qu'elle réfère à l'article 1525 du Code
civil qui parle des personnes qui exploitent une entreprise. Donc, toutes les
obligations de la loi sur le secteur privé s'appliquent aux personnes qui
exploitent une entreprise, donc de là l'utilisation du mot «personne» dans tous
les articles de la loi.
M. Barrette : C'est
automatique que «personne»... Bien, c'est vraiment une question purement
technique, là, parce qu'il n'y a pas de M. Alphabet, hein, il n'y a pas de
M. Google, là, il n'y a pas de M. Cookie, là, c'est des entreprises
qui recueillent. Et là, moi, le fait de voir... Il est bon, là, cet article-là,
ce n'est pas ça, là, c'est bon, c'est bien écrit, ça fait... je ne sais pas si
c'est tout applicable, ça, on en reparlera peut-être à un autre moment, là,
mais le fait de toujours relier ça à la personne, moi, là, non-juriste, moi, je
me dis : O.K., c'est un gars qui a sa petite entreprise, là, puis c'est
lui qui fait ça. Et ce qui m'a titillé, c'est à la lecture des commentaires, à
un moment donné c'est «la personne ou l'entreprise» dans les commentaires. Ça
fait que s'il y a «personne ou entreprise», c'est parce que c'est deux entités
juridiques différentes.
M.
Caire
:
...personne morale versus personne physique.
M. Barrette : Bien, c'est ça
je veux préciser, là.
M.
Caire
: Oui,
bien, c'est ça, c'est une bonne question.
M. Miville-Deschênes
(Jean-Philippe) : Bien, c'est sûr que quand on parle de «personne qui
exploite une entreprise», ça peut être un des deux, là. La personne...
M. Barrette : Oui, mais implicitement,
ça veut dire que c'est deux entités juridiques différentes?
M. Miville-Deschênes
(Jean-Philippe) : Bien, la loi s'applique aux personnes qui exploitent
une entreprise, ça fait que ce soit une personne morale enregistrée de façon
individuelle, qui exploite une entreprise, ou une personne… ou une personne
physique, excusez, ou une personne morale, bien, la loi s'applique à cette
personne-là, qui exploite une entreprise. Donc, on a maintenu un peu, là, la
qualification, là, de la personne, qui peut être physique ou morale, mais qui
dans tous les cas exploite une entreprise.
M. Barrette : Là, je fais un
excès de zèle, là, je fais exprès, là. Est-ce que la personne peut nous mener
dans une situation juridique ou c'est une personne dans une entreprise puis
c'est la personne qui est responsable, mais pas l'entreprise?
• (17 h 30) •
M.
Caire
: Mais
ce que j'ai compris, puis on a eu cette discussion-là avec le député de LaFontaine,
je vais me risquer une explication, puis de toute façon Me Deschênes est toujours
là pour me corriger quand je me trompe, ce qui arrive très rarement, mais comme
on parle de la personne qui exploite une entreprise, dépendamment de la forme
juridique dans laquelle l'entreprise est constituée, ça va être la personne, si
elle est enregistrée, donc la personne physique, et la personne morale, si elle
est incorporée, mettons que la notion…
17 h 30 (version non révisée)
M.
Caire
: …et
comme on parle de la personne qui exploite une entreprise, dépendamment de la
forme juridique dans laquelle l'entreprise est constituée, ça va être la
personne, si elle est enregistrée, donc la personne physique, et la personne
morale, si elle est incorporée. Mais donc la notion de personne va s'adapter à
la forme juridique que l'entreprise a prise au moment de sa constitution.
Est-ce que j'ai bien compris, Me Miville-Deschênes? Fort, hein? Sérieux,
hein?
M. Barrette : Je suis encore
inconfortable, là. Puis, encore là, j'insiste, là, il est bien écrit,
l'article, il fait ce qu'on veut faire. C'est juste qu'à la case départ,
regardez, là, un moment donné, là, quand vous dites, dans les
commentaires : Par ailleurs, il ne sera plus exigé que la personne soit
informée à chaque collecte des catégories de personnes qui ont accès aux
renseignements au sein de l'entreprise. Ça fait qu'on a une personne qui
collecte, la personne dont les informations sont collectées. Là, on vient de
dire essentiellement qu'elles sont collectées par une personne et… dans une
entreprise puis on ne saura pas les personnes. Ça fait que moi… c'est dans les
commentaires, ce n'est pas dans la loi mais tout ce que je vois dans les
commentaires me mène à conclure qu'il y a deux catégories juridiques là,
là, pour ça. Et ça, c'est un article crucial, là, c'est un article «heavy», là,
celui-là, là. Ça fait que, là, moi, je cherche à m'assurer qu'il n'y a pas une
échappatoire.
M.
Caire
: Mais
dans l'interprétation, ce que j'en comprends, c'est que la notion de personne
va référer à la forme juridique de l'entreprise. Parce que c'est pour ça qu'on
parle de personne physique ou de personne morale.
M. Barrette : Bien, moi, ça ne
m'apparaît pas clair de même, là, pourquoi qu'on ne met pas «la personne ou
l'entreprise»?
M.
Caire
: Oui,
mais c'est pour ça que vous êtes médecin et pas avocat.
M. Barrette : Ce n'est pas
clair parce que… bien… Bon. Mais pourquoi on ne met pas «la personne ou
l'entreprise»? Ça pose-tu un problème?
M. Miville-Deschênes
(Jean-Philippe) : Dans le fond, l'article 1 qui indique qui sont
les personnes ou entités assujetties à la loi vise les personnes qui
recueillent, détiennent, utilisent ou communiquent des renseignements à
l'occasion de l'exploitation d'une entreprise. Puis, bon, il réfère à
l'article 15.25. Donc, le premier article vise les personnes qui
exploitent une entreprise, donc ce terme-là est réutilisé partout dans la loi.
Une voix
: …
M. Miville-Deschênes
(Jean-Philippe) : Parfait.
Le Président (M.
Bachand) : …amendement? S'il n'y a pas d'autre intervention sur
l'amendement, nous allons procéder à sa mise aux voix. Mme la secrétaire,
s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Caire (La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: M. Nadeau-Dubois
(Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. Merci.
Donc, si on veut garder un petit peu la méthodologie, je ne sais pas…
M.
Caire
: …sur
l'article 8.
Le Président (M.
Bachand) : Sur le bloc huit.
M.
Caire
: Bien,
en fait, on pourrait faire le débat sur 8. Après ça, en tombant à 8.1, mon collègue
de Gouin sera celui qui déposera l'amendement.
Le Président (M.
Bachand) : Donc, interventions sur le bloc huit…
Le Président
(M. Bachand) : ...merci. Donc, si on veut garder un petit
peu la méthodologie, je ne sais pas...
M. Caire
: ...sur
l'article 8.
Le Président
(M. Bachand) : Sur le bloc 8.
M.
Caire
:
Bien, en fait, on pourrait faire le débat sur 8. Après ça, en tombant à 8.1,
mon collègue de Gouin sera celui qui déposera l'amendement.
Le Président
(M. Bachand) : Donc, interventions sur le bloc 8 pour
lequel on vient d'adopter un amendement, bien sûr. Ça va pour l'instant? On
peut y revenir aussi. Il n'y a pas de souci, là, si jamais... O.K. Donc, on
serait prêt pour changer de bloc, hein?
M. Caire
: À ce
moment-là, je...
Le Président (M.
Bachand) : 8.1. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Oui,
M. le Président. J'aimerais déposer un amendement. Je pense qu'il vous a déjà
été envoyé, M. le Président. Est-ce que c'est possible?
Le Président
(M. Bachand) : Je vérifie. O.K. On va suspendre quelques
instants. On ne l'a pas encore reçu.
(Suspension de la séance à 17 h 34)
(Reprise à 17 h 36)
Le Président (M.
Bachand) :À l'ordre, s'il vous plaît! La commission
reprend ses travaux. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Donc, je dépose un amendement à l'article 99 :
Remplacer, dans le paragraphe 2 du premier
alinéa de l'article 8.1 de la Loi sur la protection des renseignements
personnels dans le secteur privé proposé par l'article 99 du projet de loi, «le
cas échéant, pour désactiver» par «pour activer».
Le Président (M.
Bachand) :Merci beaucoup. Oui?
M. Nadeau-Dubois : Donc, l'objectif
de l'amendement, M. le Président, est de venir inscrire ici un principe qui est
généralement considéré comme un bon principe, celui de la confidentialité par
défaut. Ça, ce que ça veut dire, c'est que quand on interagit avec, par exemple,
une application, bien, l'application devrait être configurée d'une telle
manière à ce que ses fonctions les plus invasives, donc dans le cas de
l'article qui nous occupe, de localisation, d'identification et de profilage,
soient, par défaut, désactivées, et que ce soit par un geste actif que
l'utilisateur les active. En anglais, on va souvent dire «opt-in», plutôt que
le contraire. C'est-à-dire que l'utilisateur, le citoyen se retrouve dans une situation
où il télécharge une application — puis on va prendre cet exemple-là
parce que c'est une des situations que les gens connaissent le mieux — où
ils téléchargent une application, ils se disent : Ah! c'est juste une
application pour la météo. C'est banal, ça, la météo. Mais sans le savoir,
parce que, par défaut, il y a des fonctions de localisation, de profilage et
d'identification qui sont activées, bien, l'application se met à collecter
toutes sortes de renseignements personnels auxquels la personne n'a pas
consenti, parce que, par défaut, les fonctions de localisation et de profilage
étaient activées.
En venant faire l'amendement, ici, on
renverse la logique puis on va demander aux entreprises de solliciter un
consentement actif, un geste actif de la part de l'utilisateur pour choisir
d'activer ces fonctions-là. Et là, donc, à ce moment-là, on peut dire qu'il y a
réellement consentement à ce qu'il y ait une collecte des renseignements
personnels puis à ce qu'il y ait, en fait, pour être plus précis, là,
identification, localisation ou profilage. Ça fait que c'est un changement de
mots, là, «activer» pour «désactiver», mais c'est un changement important,
parce qu'on vient vraiment s'assurer de protéger les gens.
D'ailleurs, commentaire éditorial, Apple,
récemment, a fait une mise à jour de ses systèmes pour s'en aller, grosso modo,
dans cette direction-là. Ce n'est pas exactement ça, parce qu'on donne l'option
oui ou non, pour ce qui est du traçage des applications, mais c'est un pas dans
la bonne direction puis c'est intéressant de constater que des... qu'une entreprise
comme Facebook, dont tout le modèle d'affaires repose sur la captation...
M. Nadeau-Dubois : ...ce n'est
pas exactement ça, parce qu'on donne l'option oui ou non pour ce qui est du
traçage des applications, mais c'est un pas dans la bonne direction puis c'est
intéressant de constater que des... qu'une entreprise comme Facebook, dont tout
le modèle d'affaires repose sur la captation massive et souvent inconsidérée de
données personnelles, a très mal réagi à l'annonce d'Apple. A contrario, on
peut dire qu'ils étaient très fâchés de ces mises à jour là parce qu'ils ont
bien vu que c'était une attaque à leur modèle d'affaires. Donc, ce n'est pas exactement
ça, l'amendement que je présente, mais ça va quand même dans la même direction.
Je pense, ça nous... Puis de manière intéressante, je pense que la réaction de
Facebook nous permet de voir à quel point ce n'est pas banal, parce que, si ça
réagit comme ça, c'est parce qu'il y a vraiment là un frein qui est mis à la
captation massive et invasive de données personnelles.
• (17 h 40) •
Là, on va se donner, au Québec, une loi où
on dit aux entreprises privées : Par défaut, vous allez désactiver les
fonctions puis c'est les Québécois puis les Québécoises qui vont choisir de
vous donner leurs données pour identification, localisation ou profilage. Ça
fait que c'est un amendement que je tenais à présenter parce que je le trouve
important. Je pense que c'est significatif comme changement dans la loi. Puis
je suis content de savoir d'avance, parce qu'il me l'a déjà dit, que le ministre
est d'accord avec ça. Puis je pense qu'on vient vraiment mettre une pierre
importante, là, dans l'édifice du projet de loi n° 64 avec cet amendement-là
de désactivation par défaut. Ça peut avoir l'air technique, mais c'est
important, puis bien fier de présenter cet amendement, M. le Président.
Le Président (M.
Bachand) :Merci beaucoup. Interventions?
M.
Caire
: Tout
a été dit, M. le Président.
Le Président (M.
Bachand) : Merci. Donc, nous allons procéder à sa mise aux voix.
Mme la secrétaire, s'il vous plaît.
La Secrétaire
: Pour,
contre, abstention. M. Nadeau-Dubois (Gouin)?
M. Nadeau-Dubois : Pour.
La Secrétaire
: M. Caire
(La Peltrie)?
M.
Caire
: Pour.
La Secrétaire
: Pour
les membres du groupe parlementaire formant le gouvernement, M. Lemieux
(Saint-Jean)?
M. Lemieux : Pour.
La Secrétaire
: M. Bachand
(Richmond)?
Le Président (M.
Bachand) : Abstention. Donc, l'amendement est adopté. Donc, on
revient à l'étude du bloc 8.1. M. le député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : J'aimerais
aborder un deuxième sujet, lui aussi sensible, la question du profilage.
Puisque l'article 8.1, son deuxième alinéa, là, porte sur la question du
profilage, on vient définir ce qu'est le profilage, c'est-à-dire la collecte et
l'utilisation de renseignements personnels pour évaluer certaines
caractéristiques d'une personne.
Et souvent, le profilage est la première
étape pour faire par la suite du ciblage publicitaire. C'est souvent pour ça
qu'on va parler de profilage commercial, c'est un peu un raccourci pour dire
qu'on effectue un... on construit un profil d'une personne à partir de certaines
de ses caractéristiques et on va lui proposer de la publicité en fonction de
ces caractéristiques-là. Bon, c'est une forme de marketing, de publicité, qui
est dorénavant largement répandue et ce serait cavalier, voire naïf de ma part,
de dire : Le profilage...
M. Nadeau-Dubois : …certaines
de ses caractéristiques et on va lui proposer de la publicité en fonction de
ces caractéristiques-là. Bon, c'est une forme de marketing, de publicité, qui
est dorénavant largement répandue et ce serait cavalier, voire naïf de ma part,
de dire : Le profilage commercial, en soi, il faut l'interdire. Ce n'est
pas mon intention. Je pense, néanmoins, qu'il faut mettre des balises. Sur
quelles pratiques de profilage commercial on juge acceptables. Quelles balises
on juge qu'elles ne sont pas acceptables. Puis surtout à partir de quels types
de renseignements personnels est-ce qu'on peut faire du profilage commercial?
Je pense que c'est, en fait, vraiment là le noeud de la question. À partir de
quels types de renseignements les entreprises privées devraient-elles avoir le
droit de se… de faire un tel profilage commercial?
Je soumets au ministre que les données
biométriques qui ont, donc… qu'on a défini plus tôt, là, à très hautes
caractéristiques intimes et physiques de la personne. Je soumets au ministre
que c'est le genre de renseignements personnels où même, encore une fois, avec
le consentement, il ne m'apparaît pas acceptable que des entreprises privées
fassent du profilage commercial. Puis je vais donner un exemple : la
reconnaissance faciale. Il y a des pratiques qui ont été documentées où la
reconnaissance faciale est utilisée pour, et c'est des trucs en développement
incontrôlé en ce moment, là, sont utilisés pour faire du profilage commercial
pour ajuster les promotions en fonction de ce qui est capté par les caméras qui
font de la reconnaissance faciale. Puis je répète, ici, ce que j'ai souvent
dit, puis je trouve important de le répéter parce que c'est toujours un rappel,
là, on n'écrit pas la loi juste pour les 5 prochaines années, on l'écrit
pour les 10, 15, 20 prochaines années. Puis ces technologies-là évoluent vite.
Le phénomène de la reconnaissance faciale est en explosion. Il y a des villes,
notamment Boston, Portland aux États-Unis qui ont carrément interdit cette
technologie-là dans les espaces publics. Ce n'est pas l'objet de notre débat
ici, mais juste pour dire que je ne suis pas le seul à m'inquiéter de cette
situation-là. Mais là on est dans un article qui porte sur le profilage
commercial et je me demande en vertu de quoi est-ce qu'on pourrait juger que
c'est acceptable pour une entreprise de faire du profilage commercial à partir
de données biométriques du genre : La personne nous donne des
renseignements personnels biométriques, genre la personne est enceinte, et, là,
en fonction de ça, on profile commercialement?
M. Nadeau-Dubois : ...du
genre la personne nous donne des renseignements personnels biométriques, genre
la personne est enceinte, et là, en fonction de ça, on profite commercialement,
même chose sur les caractéristiques médicales d'une personne, les caractéristiques
physiques. Il y a là une pratique commerciale extrêmement invasive dans la vie
privée des gens. Il m'apparaît qu'on devrait ici, là, tracer une ligne
collectivement puis dire : On ne peut pas collecter ou utiliser des renseignements
biométriques pour faire du profilage commercial. J'aimerais savoir ce que le
ministre en pense
Le Président
(M. Bachand) : M. le ministre.
M. Caire
: Bien,
là-dessus, on va peut-être avoir un désaccord plus marqué, M. le Président.
Autant j'étais sensible à l'argument de mon collègue quand on parle des
enfants, collecter des renseignements personnels sur des enfants, puis le
député de Gouin avait un bon argument notamment avec la loi 101, notamment
avec le fait aussi qu'il disait : Écoutez, c'est les enfants, mais ces
données-là, elles vont traverser le temps, les enfants vont devenir des
adultes, mais la donnée, elle va rester.
Là, on parle d'adultes, d'adultes qui
donnent leur consentement et qui donnent leur consentement en connaissant la
finalité pour laquelle on collecte des renseignements personnels. Donc, toute
la notion de collecter des renseignements à l'insu de la personne, toute la
notion de collecter des renseignements sur un... pour une finalité et les
utiliser pour une autre finalité, ces notions-là, elles sont évacuées, là, et
c'est pour ça que j'ai pris la... bien, c'est pour ça, pas pour ça, j'ai pris
la peine tout à l'heure de bien spécifier qu'une utilisation non autorisée de
renseignements personnels était considérée comme un incident de confidentialité.
Alors, si moi, on m'appelle ou on a un
échange, on collecte des informations sur moi, que ce soient des renseignements
personnels biométriques, en me disant : Écoute, voici ce que je vais faire
avec, et ça, ça inclut un profilage pour raffiner les publicités que je
pourrais t'envoyer parce que tu as consommé tel produit parce que, x, y, puis,
bien, on pense que, si on a des promotions, ça pourrait t'intéresser, et que je
dis oui, bien, M. le Président, je viens de dire oui. Alors là, la loi… et là…
et c'est là où je vais dire que là… puis là, là-dessus, je ne suivrai pas mon
député de Gouin. La loi, elle, viendrait dire : Bien, toi, tu veux, mais
la loi ne veut pas. Non, là-dessus, je ne peux pas. Mais j'espère que le
collègue de Gouin...
M.
Caire
: …M. le
Président, je viens de dire oui. Alors là, la loi… Et là… Et c'est là où je
vais dire que là… Là, là-dessus, je ne suivrai pas mon député de Gouin. La loi,
elle, viendrait dire : Bien, toi, tu veux, mais la loi ne veut pas. Non,
là-dessus, je ne peux pas… Mais j'espère que le collègue de Gouin comprend bien
que je dis non, mais je dis non dans un contexte où la personne est un adulte
consentant à qui on demande des informations, des renseignements personnels,
biométriques ou autres, en lui expliquant parfaitement ce qu'on va faire avec, pourquoi
on le fait, puis que la personne dit oui. Bien, elle a dit oui.
Alors, je suis… Moi, je ne ferais pas… Là,
je pense qu'on va un peu trop loin parce que la personne est la propriétaire de
ses informations. C'est sa propriété privée, puis elle a le droit d'en disposer
à sa guise. Même si on n'est pas d'accord avec la finalité, ça demeure que ce
sont ses renseignements personnels, puis la personne a le droit d'en disposer à
sa guise.
Le Président (M. Bachand) :
M. le député de Gouin, s'il vous plaît.
• (17 h 50) •
M. Nadeau-Dubois : Je
respecte, bien sûr, la position du ministre. Juste porter à son attention le
fait que je ne suis pas le seul à proposer ça. La CAI, dans le cadre d'une
récente consultation sur l'intelligence artificielle disait la chose suivante,
suggérait, en fait, d'interdire l'utilisation de certains types de
renseignements personnels afin d'effectuer du profilage. Elle faisait une liste
d'exemples, d'ailleurs, des exemples beaucoup plus nombreux que moi, la CAI
voulait aller beaucoup plus loin. La CAI disait : Renseignements
concernant l'origine raciale ou ethnique, les croyances, les opinions politiques,
la santé, l'orientation sexuelle, les renseignements financiers ou biométriques.
Donc, la CAI proposait une interdiction beaucoup plus large en disant : Le
profilage — qui est une pratique déjà particulièrement invasive, sur
le plan de la vie privée, là. La CAI disait : Il faut que tous ces
renseignements-là ne puissent pas être utilisés pour faire du profilage. Ils
peuvent être utilisés pour faire d'autres choses, pas pour faire du profilage.
Et les renseignements biométriques, c'était seulement un des éléments.
Ça fait que l'amendement que je vais
déposer — je vais le faire — c'est déjà une version diluée
de ce que la CAI proposait, parce que la CAI proposait d'embrasser beaucoup
plus large. La CDPDJ, la commission des droits de la personne et de la
jeunesse, dans un mémoire que la commission avait déposé à la Commission
d'accès à l'information, en mai 2020, c'était au sujet de l'intelligence
artificielle, faisait une recommandation similaire et recommandait de son côté,
je cite, «de tenir compte de la totalité des motifs de discrimination prohibés
par la charte dans l'encadrement du profilage». Donc, ce que la CDPDJ, elle,
proposait, c'est que tout ce qui, selon la charte québécoise…
M. Nadeau-Dubois : …faisait une
recommandation similaire et recommandait de son côté, et je cite, «de tenir
compte de la totalité des motifs de discrimination prohibés par la charte dans
l'encadrement du profilage». Donc, ce que la CDPDJ, elle, proposait, c'est que
tout ce qui, selon la charte québécoise des droits et libertés de la personne,
est un motif de discrimination, bien que tous les renseignements qui sont
relatifs à ces motifs de discrimination ne puissent pas être utilisés pour
faire du profilage.
Donc, la CDPDJ aussi allait pas mal plus
loin. Peut-être, et je ne mets aucun mot dans la bouche du ministre, mais ma
proposition peut avoir l'air intense ou radical, mais comme disait ma
grand-mère, elle a peut-être l'air mais elle n'a pas la chanson. Parce qu'il y
a des acteurs bien crédibles et bien posés dans ces débats-là, la CAI et la
CDPDJ, qui proposaient d'aller, en fait, beaucoup plus loin. Moi, déjà, la
proposition que je fais ici, là, elle est déjà modérée par rapport à ce que ces
acteurs-là recommandaient. Bon, Option Consommateurs, groupe de défense des
consommateurs, faisait la même recommandation, en fait, d'interdire le
profilage sur la base des motifs qui sont considérés comme discriminatoires en
vertu de la charte, donc Option Consommateurs faisait une recommandation
similaire à la CDPDJ.
Parce que la question se pose. Si on fait
du profilage commercial en utilisant des caractéristiques biologiques des gens,
que ce soit intentionnel ou non, c'est l'avis de tous ces acteurs-là, ça
revient, au fond à… c'est une pratique commerciale discriminatoire. C'est
l'avis de ces acteurs-là qui disent : Si tu n'as pas le droit de
présenter… si tu n'as pas le droit de discriminer selon les caractéristiques
biologiques de quelqu'un, tu ne devrais pas pouvoir profiler commercialement,
sur cette base-là. Et là, on est au-delà de la question du consentement, on est
vraiment au-delà de la question du consentement. Quelles pratiques commerciales
sont acceptables?
Donc, voilà la très humble et brève revue
des différentes recommandations qui ont été exposées sur cette question-là. Et
ceci étant dit, M. le Président, on pourrait suspendre quelques instants
pour que je dépose mon amendement.
Le Président (M.
Bachand) : M. le ministre.
M.
Caire
: Avec
la permission, je vais quand même peut-être me permettre un commentaire, puis
après ça, oui, on pourra discuter autour de l'amendement. Mais il y a certains
éléments que mon collègue de Gouin a amenés que je veux quand même relever.
D'une part, quand on parle de profilage, moi, je ne pense pas qu'on puisse
parler de discrimination. Parce que l'objectif d'une entreprise n'est très
certainement pas d'interdire la vente de ces produits à tel ou tel groupe. Ce
que le profilage en question…
M.
Caire
:...
d'une part, quand on parle de profilage, moi, je ne pense pas qu'on puisse
parler de discrimination, parce que l'objectif d'une entreprise n'est très certainement
pas d'interdire la vente de ses produits à tel ou tel groupe. Ce que le
profilage en question fait, c'est dire : Bien, écoutez, faire de la
publicité, ça coûte quand même quelque chose, puis on veut s'assurer d'avoir un
maximum d'efficacité, un maximum de pénétration des marchés potentiels, c'est
ça, l'idée. Donc, je vais essayer de cibler les marchés qui sont susceptibles
d'être intéressés par mon produit.
On comprend qu'à mon âge on ne va pas me
vendre du Pablum. Bon, peut-être bientôt, mais pas là. Donc, ce n'est pas de la
discrimination au sens où on prive quelqu'un de son droit plutôt que de
dire : Je vais m'assurer de m'adresser à des clients potentiels.
Alors, sur la question de la discrimination,
je ne pense pas que je pourrais suivre le raisonnement qui nous a été proposé.
Sur la question de la discrimination à
proprement parler, c'est déjà balisé par les lois et les chartes. Donc, je
pense que là-dessus, c'est assez clair.
Et, sur la notion d'invasif, là non plus,
je ne peux pas aller sur ce terrain-là pour une raison fort simple. C'est que
la notion d'invasif sous-entend que ça se fait soit à mon insu soit contre mon
gré. Mais, du moment où je suis consentant, ce n'est pas invasif, j'ai
consenti. Alors, si vous entrez chez moi par effraction, c'est invasif. Mais,
si vous entrez chez moi parce que je vous y ai invité, ce n'est pas invasif.
Donc, la notion de consentement, non
seulement elle ne peut pas être occultée, M. le Président, mais elle est
fondamentale. Maintenant, ce consentement-là, et on y a vu dans les articles
précédents, doit être donné de façon libre et éclairée. On doit savoir à quoi
on consent. Ça, là-dessus, je suis d'accord. Je suis d'accord que, si vous
collectez des informations sur moi, que ce soit des caractéristiques physiques,
des marqueurs biométriques, des renseignements personnels, je dois y consentir
et je dois y consentir en sachant ce que vous entendez faire exactement avec
ça, puis qu'est-ce que vous entendez faire à court, à moyen et à long terme
s'il y a court, moyen et long terme.
Donc, ça, là-dessus, moi, je suis prêt à
suivre. Puis, de toute façon, le projet de loi le prévoit déjà, donc on a déjà
couvert ces aspects-là. Alors, à partir de là, ce qui, à mon avis, prédomine
dans ce débat-là, c'est le fait de : Puis-je disposer à ma guise de mes
renseignements personnels? Est-ce qu'ils m'appartiennent? Et, de ce fait,
est-ce que je peux en disposer selon ma volonté? Ma réponse à ça, c'est oui,
bien sûr, bien sûr qu'un individu est libre de faire ce qu'il veut de ses
renseignements personnels, qu'ils soient des renseignements biométriques ou
non.
Je reconnais que le débat est légitime.
Ceci étant, là, jamais...
M.
Caire
: …ma
volonté. Ma réponse à ça, c'est oui, bien sûr, bien sûr qu'un individu est
libre de faire ce qu'il veut de ses renseignements personnels, qu'il soit des renseignements
biométriques ou non. Je reconnais que le débat est légitime. Ceci étant, jamais
il ne m'est venu à l'idée de taxer la proposition du collègue de Gouin
d'extrême. Pas du tout. Le débat est légitime. Il me demande mon opinion, puis
humblement, c'est ce que moi j'en pense, et de ce fait, évidemment, je
comprends que j'ai un désaccord avec les organismes qui se sont prononcés, qui
sont effectivement des organismes pour lesquels j'ai le plus grand respect.
Ceci étant, mais une fois qu'on a dit ça, je ne penche pas… je ne suis pas
d'accord avec ce qui est proposé.
Le Président (M. Bachand) :
Merci. M. le député de Gouin.
M. Nadeau-Dubois : Oui. Bien, M.
le Président, je vous propose qu'on poursuive cette discussion après le dépôt
de mon amendement.
M.
Caire
: À
défaut d'une bière, nous prendrons un amendement.
Le Président (M.
Bachand) : Merci. Alors, on va suspendre quelques instants, s'il
vous plaît. Merci.
(Suspension de la séance à 17 h 58)
18 h (version non révisée)
(Reprise à 18 h 3)
Le Président
(M. Bachand) :À l'ordre, s'il vous
plaît! La commission reprend ses travaux. M. le député de Gouin, s'il vous
plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Alors, je dépose un amendement à l'article 99 :
Ajouter, après le deuxième alinéa de
l'article 8.1 proposé par l'article 99 du projet de loi, l'alinéa
suivant : «La collecte et l'utilisation de renseignements personnels
biométriques à des fins de profilage commercial sont interdites.»
Le Président
(M. Bachand) : ...M. le député de Gouin, allez-y, oui.
M. Nadeau-Dubois : Donc,
je peux peut-être me permettre de poursuivre parce que je ne répéterai pas ce
que j'ai déjà dit, mais...
M. Nadeau-Dubois : …du projet
de loi l'alinéa suivant :
«La collecte et l'utilisation d'un renseignement
personnel biométrique à des fins de profilage commercial sont interdites.»
Donc…
Le Président (M.
Bachand) :M. le député de Gouin, allez-y,
oui.
M. Nadeau-Dubois : …je peux peut-être
me permettre de poursuivre, parce que je ne répéterai pas ce que j'ai déjà dit.
Mais, dans le fond, l'objectif de mon amendement, c'est de venir dire qu'on ne
peut pas collecter des renseignements biométriques à des fins de profilage.
Puis je pense qu'il faut, pour bien entamer ce débat-là, se rappeler à quel
point la liste des comportements ou des caractéristiques qui peuvent servir à
la biométrie est presque infinie, puis dans son mémoire la Commission d'accès à
l'information nous le rappelait, page 25. Elle parlait donc des comportements
ou des caractéristiques qui peuvent servir à la biométrie puis elle
disait : «Certains sont plus connus...» Je cite : «Certains sont plus
connus, comme les empreintes digitales, le visage, l'iris, la voix, la démarche
et la signature, alors que d'autres sont plus nichés, comme les odeurs, les
battements cardiaques, la manière de conduire un véhicule, le mouvement des
lèvres, la façon de déplacer la souris, les clignements d'yeux ou le style de
rédaction d'un texte. Fin de la citation.
Ma première question, ce serait :
Mettons, là, les battements cardiaques, là, au sens de notre loi qu'on est en
train d'écrire sur les renseignements personnels, est-ce que c'en est un, un renseignement
personnel?
M.
Caire
:
…honnête avec vous, M. le député, là, je n'en ai aucune espèce d'idée, pour
être très honnête. Je vais laisser Me Miville-Deschênes stresser, parce que
d'après moi il ne l'avait pas vue venir, lui non plus. Mais, honnêtement, là,
dans une relation d'affaires sur Internet, là, je ne vois pas comment on
pourrait prendre mon rythme cardiaque sans mon consentement, ce serait
compliqué.
M. Barrette : Mon iPhone le
fait actuellement.
M.
Caire
: Hein?
M. Barrette : Mon iPhone le
fait actuellement.
M. Nadeau-Dubois : La montre.
M.
Caire
: Oui,
oui, mais il faut que je le donne, mon… Tu sais, je veux dire, tu ne le
prendras pas à mon insu, là.
M. Nadeau-Dubois : Bien, la
question est sur : Est-ce que c'est un renseignement personnel au sens où
on a défini «renseignement personnel» dans notre loi?
M. Miville-Deschênes
(Jean-Philippe) : Bien, moi, ça me semble… c'est clair que oui, là.
Mon battement cardiaque, là, qui peut être collecté par une montre, entre
autres, c'est un renseignement personnel qui me concerne.
M. Nadeau-Dubois : O.K. Puis,
là, on sait qu'il y a des entreprises su le Web qui vont aussi enregistrer le
mouvement d'une souris pour savoir — c'est une pratique documentée,
là, ce n'est pas de la science-fiction : si on arrête la souris plus
longtemps à un endroit, moins longtemps à un endroit, ça indique un intérêt
plus ou moins grand pour certains types de contenus. C'est considéré dans
l'algorithme pour présenter certains types de contenu. Ça, est-ce que, donc, le
mouvement de la souris est considéré…
M. Nadeau-Dubois : ...plus
longtemps à un endroit, moins longtemps à un endroit, ça indique un intérêt plus
ou moins grand pour certains types de contenus c'est considéré dans la
l'algorithme pour présenter certains types de contenu. Ça, est-ce que... donc
le mouvement de la souris est considéré par notre loi comme un renseignement
personnel?
M. Miville-Deschênes (Jean-Philippe) :
Bien, il faut qu'il soit lié à la personne. Donc, je ne veux pas prononcer de
façon définitive sur ce type d'exemple là parce qu'est-ce que le mouvement de
la souris est uniquement utilisé pour offrir à l'usager certaines
fonctionnalités ou, tu sais, certaines publicités, mais sans savoir qui est là.
Mais, s'il peut être lié indirectement ou directement à la personne,
effectivement ça pourrait être un renseignement personnel.
M. Nadeau-Dubois : Bien
souvent, c'est, bien sûr, intimement lié à une personne parce qu'on va
dire : Sur le compte Facebook de Gabriel Nadeau-Dubois, la souris
s'arrête...
i
M. Caire
: Oui,
mais c'est-u le mouvement de la souris ou là où mon curseur s'est arrêté? C'est
plus ça qui est la question.
M. Nadeau-Dubois : Bien,
la vraie réponse à cette question-là, c'est dur à dire parce que les pratiques
de ces entreprises-là sont largement inconnues.
M. Caire
: Oui,
c'est ça.
M. Nadeau-Dubois : Il y a
des bribes qui nous parviennent parce qu'il y a des lanceurs d'alerte, parce
qu'il y a des ex qui ont quitté ces boîtes-là qui, aujourd'hui, nous
disent : Ça fait partie des choses qu'on regarde. Honnêtement, le ministre
a raison qu'il y a des grosses zones d'ombre, mais tous les exemples que je
viens de prendre sont dans le mémoire de la commission, hein? Je fais juste...
M. Caire
: Oui,
parce que, là, où j'ai arrêté mon curseur pour un certain temps, ça peut être
capté, là. Mais le mouvement de la souris, je ne suis qu'il y a un mouvement
particulier d'un individu à l'autre, là. Puis, tu sais, il faudrait que j'aie
un comparable. Mais où le curseur est arrêté, oui, ça, ça peut être capté
clairement, là. Ça, c'est clair.
M. Nadeau-Dubois : Bon,
parfait. Puis, si ça peut être relié à une personne, donc c'est un renseignement
personnel. Donc là, même chose, les battements cardiaques, les odeurs, manière
de conduire un véhicule, mouvement des lèvres, tout ça, c'est des données de
nature biométrique qui peuvent être collectées.
M. Caire
: Oui.
M. Nadeau-Dubois : Là, je
sais que le ministre me dit : Oui, oui, mais il y a consentement. La
question se pose : Dans quelle mesure ce consentement-là est éclairé? Dans
quelle mesure les individus ont vraiment conscience de ce qui est en jeu ici?
Et la question c'est surtout : Est-ce que ces données-là devraient servir,
devraient collectées à des fins de profilage commercial? Est-ce que le
battement cardiaque, par exemple, d'une personne, puis là, on sait qu'avec les
montres intelligentes, les montres d'exercice, puis même les téléphones
intelligents, c'est quelque chose qui est de plus en plus répandu comme
pratique, est-ce qu'on devrait permettre à des entreprises d'utiliser, par
exemple, le battement cardiaque pour profiler commercialement?
Donc, on pourrait faire l'hypothèse qu'on
conclut que la personne est sportive parce que son rythme cardiaque est souvent
élevé? Puis de toute façon si jamais une de ces données-là qui nous permet de
faire du profilage, hein, c'est la combinaison des données. Donc, on prend le
battement cardiaque plus une autre donnée qui, elle, n'est peut-être pas
biométrique, plus une donnée que la personne a volontairement donnée, mettons,
en faisant partie d'un groupe sur la course à pied, puis là tout ça ensemble
nous permet de dire : Ah! voilà...
M. Nadeau-Dubois :
...données-là qui nous permettent de faire du profilage, hein, c'est la
combinaison des données. Donc, on prend le battement cardiaque plus une autre
donnée qui, elle, n'est peut-être pas biométrique, plus une donnée que la
personne a volontairement donnée, mettons, en faisant partie d'un groupe sur la
course à pied, puis là tout ça ensemble nous permet de dire : Ah! voilà,
on a là un coureur d'expérience, on va lui présenter des publicités pour lui
faire acheter tel type de produit.
Bon, ça, ça existe puis je ne mènerai pas
le combat pour l'interdire sur les données qui sont non biométriques. Mais sur
les données biométriques, je pense que là on touche quelque chose de très
sensible. Puis là, ça, c'est le premier exemple que je donne, là, les
battements cardiaques.
• (18 h 10) •
Deuxième exemple : la voix. Il y a eu
tout un brouhaha, toute une série de scandales médiatiques et légaux autour des
fameux assistants personnels. Donc, ça, c'est les Alexa, les Siri, Google, je
pense, ça s'appelle juste Google, oui, ou O.K. Google. Il y a eu toute une série
de scandales autour de ces appareils-là qui se servaient de la voix pour, par
exemple, reconnaître que c'est une femme qui s'adresse à lui, en tout cas, à
l'appareil, plutôt qu'un homme, et donc faire du profilage commercial en
fonction de : c'est une femme qui est en train de me poser la question
plutôt que : c'est un homme, et je vais moduler ce que je propose en
fonction d'une donnée biométrique, la voix, c'est un homme ou une femme.
Là, le maintenant va me dire : Oui,
mais les gens l'ont acheté le truc, là. Tu sais, le Alexa d'Amazon n'a pas été
imposé dans la maison de la personne. Vrai. Il y avait sans doute dans la boîte
un petit feuillet, là, écrit en tout petit, tout petit, tout petit, plié en 26,
là, dans le fond, dans un sac de plastique, là, puis là, si tu ouvres le sac de
plastique, tu déplies ça en... puis là tu prends ça, puis là, là, c'est sans
doute écrit quelque part, sans doute, si on fait preuve d'une grande bonne foi,
c'est écrit : On pourrait déduire votre genre en... Et encore, j'aimerais
bien voir si c'était écrit. Mais mettons que c'est écrit puis qu'il y a
consentement, puis là la personne le lit, là, puis elle dit : Oui, oui,
oui, c'est correct, puis installe ça dans sa maison puis là tout le monde qui
rentre dans sa maison est profilé. Mais il y a consentement. J'imagine que ça
serait ce qu'Amazon plaiderait, là : c'était écrit sur le feuillet, le
monde l'ont acheté.
Là, la... si on prend au sérieux c'est
quoi un consentement, la question vraiment se pose, là : On est-u devant
une situation où les gens ont consenti à l'utilisation de données biométriques?
Surtout que l'appareil, là, le Alexa en question, il est tout le temps allumé,
puis c'est prouvé, là, bien, il y a eu... ça a été documenté que c'est rarement
complètement désactivé. Si c'est branché, il y a captation de données.
Donc là, tu sais, l'argument du
consentement, là, il me semble qu'il commence à être faible pas mal, puis...
M. Nadeau-Dubois : …puis c'est
prouvé, là… Bien, il y a eu… Ça a été documenté que c'est rarement complètement
désactivé, c'est branché, il y a captation de données. Donc là, tu sais,
l'argument du consentement, là, il me semble qu'il commence à être faible pas
mal, puis qu'on pourrait comme société dire : Bien, non, là, le
biométrique pour des fins de profilages commerciales — comme dans les
deux exemples que je viens de donner, pour prendre un
anglicisme — c'est «too much», on ne veut pas aller là. Je ne sais
pas comment le ministre peut me rassurer en… peut-être en référant aux exemples
que je viens d'utiliser, tu sais, sur… en quoi c'est acceptable? Puis comme là,
même avec un soi-disant consentement, là, qui souvent est très, très fragile,
là, très mince, en quoi c'est acceptable, ces pratiques-là?
M.
Caire
: Bien,
en fait, je trouve que l'exemple est intéressant parce que je suis moi-même
propriétaire d'Alexa, absolument, et la situation est loin d'être aussi
compliquée que mon collègue de Gouin le décrit. Je peux vous dire qu'il est
très, très clair que je peux cesser les enregistrements, comment débrancher-ci,
comment débrancher ça, donc… Mais je ne veux pas personnaliser cette
intervention-là qui vise un but plus large. D'abord, en disant au collègue, je
pense que le projet de loi n° 64, nous avons amené des dispositions sur le
consentement qui sont de nature à avoir un consentement qui est libre et
éclairé, avec des finalités qui sont distinctes. Donc, là-dessus, je pense
qu'on a fait un bon boulot, là, sans vouloir faire de l'autocongratulation. Mais
s'il est adopté, le projet de loi n° 64 va venir resserrer cette
notion-là, va venir s'assurer que le consentement, il est libre, il est
éclairé, et que les finalités pour lesquelles il est demandé sont très claires,
d'une part.
D'autre part, donc une fois qu'on admet
qu'on est dans une situation où une personne raisonnable, selon les paramètres
qu'on a établis dans 64, donne un consentement qui est libre et éclairé pour
des finalités qui sont claires, ça nous ramène à la discussion quant à sa
genèse. Est-ce qu'il est acceptable pour Éric Caire de consentir à ce qu'une
entreprise utilise ses marqueurs biométriques, ses informations biométriques ou
ses renseignements personnels pour faire un certain profilage, pour envoyer à
Éric Caire des publicités dont on pense qu'Éric Caire pourrait avoir un
intérêt, dans la mesure où Éric Caire, il consent, et il consent de façon libre
et éclairée, et qu'il sait exactement…
M.
Caire
: ...ses
renseignements personnels pour faire un certain profilage, pour envoyer à Éric
Caire des publicités dont on pense qu'Éric Caire pourrait avoir un intérêt.
Dans la mesure où Éric Caire y consent, y consent de façon libre et éclairée et
qu'il sait exactement à quoi il consent, bien, ma réponse à ça, c'est oui, parce
que c'est à moi de décider si c'est acceptable ou non. Ce n'est pas à l'État québécois,
ce n'est pas au législateur, ce n'est pas à la société de décider si moi, je
trouve ça acceptable. Parce que l'impact, il est pour moi. Je veux dire, cette
décision-là, elle m'impacte, moi.
Et, de la même façon que je comprends que,
pour mon collègue de Gouin, cette situation-là l'amènerait à refuser son consentement...
Alors, il faut qu'on respecte ça, là. Ça, on s'entend. Dans la mesure où le collègue
de Gouin dit : Mes renseignements personnels pour de la publicité, c'est
non, parfait, il n'y a pas de collecte et surtout il n'y a pas d'utilisation de
ça, parce qu'il n'y a pas de consentement.
Donc là, c'est là où je pense que l'État
ou la collectivité ne peut pas se substituer à moi parce qu'on parle de mes
renseignements à moi. Ce sont mes renseignements, ce sont mes marqueurs
biométriques, ce sont mes renseignements personnels. Et, oui, je revendique le
droit d'en disposer à ma guise parce que ça n'a pas d'impact sur autrui. Donc,
je n'ai pas... je ne porte pas préjudice au collègue de Gouin parce que
j'accepte qu'une entreprise m'envoie son infolettre parce que je suis un
amateur de plongée, et que c'est su, et que les entreprises qui offrent des
produits ou des services de plongée veulent m'envoyer leurs publicités parce
qu'ils se disent : Bien, il fait de la plongée, ça fait que c'est un
client potentiel, tandis que l'autre qui a peur de l'eau, bien, je ne lui
enverrai pas de publicités, les chances qu'il m'achète des équipements sont
faibles.
Alors, est-ce que moi, j'y vois un
préjudice ou... Non, dans la façon... puis je le répète, là, dans la mesure où
les choses sont faites de façon libre, éclairée et que les finalités sont claires.
Et ça, on a réglé... En mon âme et conscience, là, je pense qu'on a réglé ça
quand on a traité des articles sur le consentement. Je pense qu'on a fait un
bon boulot. Je pense qu'on a bien circonscrit ce qu'était un consentement libre
et éclairé, ce qu'étaient des finalités pour lesquelles les consentements
étaient demandés. Et donc, à partir de là, bien là, ici, évidemment, on vient
encore rajouter une couche, puis...
Et à mon tour de saluer l'amendement qui a
été apporté par le député de Gouin sur l'activation ou la désactivation, parce
que c'est effectivement un changement de philosophie. Et cet amendement-là, en
plus de s'assurer qu'un service va arriver dans son état le plus sécuritaire,
ça amène une notion de consentement supplémentaire parce que, là, je dois...
M.
Caire
:
…changement de philosophie. Et cet amendement-là, en plus de s'assurer qu'un
service va arriver dans son état le plus sécuritaire, ça amène une notion de
consentement supplémentaire. Parce que là je dois poser un geste pour activer
les fonctionnalités qui permettraient le profilage, la géolocalisation, etc. Je
dois les activer. Donc, je pose un geste éclairé pour les activer. Quand
j'ouvre ma caméra, je permets qu'on me filme. Quand je ferme ma caméra, je
l'interdis. Alors, dans une pratique commerciale légitime, puis je reprends mon
exemple de plongée sous-marine, parce que souvent on prend des exemples qui
sont un peu plus limites, j'en conviens, mais dans un exemple comme celui-là,
petite boutique de plongée de Québec. Je suis plongeur. On m'envoie
l'infolettre. Est-ce que j'y consens? Oui, j'y consens.
Le Président (M.
Bachand) :M. le député de Gouin.
M. Nadeau-Dubois : Oui. Juste
là-dessus. C'est un exemple intéressant, mais mon amendement c'est sur le
biométrique. L'exemple du ministre…
M.
Caire
: Oui,
mais mon rythme cardiaque s'accélère quand on me parle de plongée sous-marine.
C'est pour ça…
M. Nadeau-Dubois : Oui, oui,
non, non, mais… c'est parce que… oui, bien rattrapé, mais…
M.
Caire
: Merci
• (18 h 20) •
M. Nadeau-Dubois : … non,
c'est ça, là, parce que je l'ai dit, là, recevoir une infolettre parce qu'on
est un amateur de plongée, parce qu'on est allé acheter quelque chose dans un
magasin de plongée, ce n'est pas du profilage à partir de renseignements
biométriques. C'est du profilage à partir de… profilage commercial classique. À
partir d'achats que j'ai faits, on déduit mes intérêts, puis on me présente des
produits. Mon amendement ne vise pas ça. Ça vise à interdire la collecte de
renseignements biométriques à des fins de profilage.
Puis continuons sur l'exemple des
assistants personnels, là, comme Alexa, là. Le ministre l'a acheté chez lui. Il
dit : Moi, j'ai consenti, oui. Tu sais, je lui ferais l'argument que ces
appareils-là sont puissants. Ils enregistrent tout ce qui rentre, tout ce qui
sort de la maison. Est-ce que tous les gens qui rentrent dans sa maison, ou
pour dépersonnaliser notre débat, dans la maison de quelqu'un qui a acheté
l'assistant personnel. Est-ce que tous ces gens-là ont consenti? On peut en
douter en fait. Non, ils n'ont pas consenti.
Il faut comprendre à quel point ces
produits-là, maintenant, sont sophistiqués. Pourtant, ça a été documenté que
des pratiques, par exemple, qu'on… si les assistants personnels entendent
quelqu'un tousser, ils sont capables de reconnaître une toux puis ils vont
présenter les produits pharmaceutiques de certaines compagnies pharmaceutiques.
Ils vont entendre les pleurs d'un enfant. Ils sont capables de reconnaître ce
qu'est un pleur. Ils vont proposer des produits, des couches par exemple, des
produits pour enfant. Ils vont reconnaître même des… une assiette qui se brise
par exemple. En tout cas, ils vont capter énormément de données…
M. Nadeau-Dubois : …ils vont
proposer des produits, des couches par exemple, des produits pour enfant. Ils
vont reconnaître même une assiette qui se brise par exemple. En tout cas, ils
vont capter énormément de données y compris des données, je le répète, parce
que je l'ai dit, c'est un argument que j'ai déjà présenté également, mais y
compris des données que les entreprises ne savent pas encore comment utiliser,
hein? Ça, c'est documenté comme pratique chez Google, chez Amazon, chez
Facebook, qu'il y a des pratiques de collecte de données massives où on
collecte même des éléments… Puis là, je viens de réaliser que mon dernier
exemple n'était pas un exemple biométrique, alors je le retire, une assiette
qui se brise, ce n'est pas un marqueur biométrique.
Une voix
: …
M. Nadeau-Dubois : Mais, mais,
mais ça collecte énormément d'informations, y compris de l'information que ces
entreprises-là ne savent pas encore comment utiliser, parce qu'elles font le
pari qu'avec l'avancement technologique, un jour, elles trouveront une utilité
commerciale. Hein? Chez Google, ça a été documenté, comme pratique. On a
accumulé pendant des années toute une série de données qui n'étaient pas
monétisables au moment où on les collectait, et c'est
juste cinq, 10, 15 ans plus tard qu'on réalise qu'elles
sont monétisables, parce qu'il y a une avancée technologique qui nous permet
des entrées dans un algorithme, et là, ça augmente notre valeur prédictive, et
là, on est capable de faire quelque chose avec.
Donc, et c'est en regard de l'ampleur de
cet appareil-là, de surveillance, parce que c'est de ça dont il s'agit, que le
consentement m'apparaît un pilier fragile. Parce que, pour consentir, il faut
savoir ce à quoi on consent, puis en ce moment, il y a une asymétrie
informationnelle totale, tu sais, il y a une asymétrie informationnelle très
forte entre les individus à qui on vient solliciter un consentement et l'entité
qui sollicite le consentement. Quand Google ou Amazon sollicite un
consentement, il dispose d'une masse d'informations ou de puissance technique
complètement disproportionnée par rapport à ce que peut même imaginer la
personne qui donne le consentement éclairé, soi-disant éclairé. Quand la
personne installe l'appareil, disons, prenons le consommateur
sur 100 ou sur 1 000 le plus allumé, le plus
conscient, le plus lettré, le plus ferré en informatique, même ce
consommateur-là n'a pas la moitié du tiers de 1 % d'un quart d'un autre
pour cent de la connaissance qu'une entreprise comme Google a quand elle
vient solliciter le consentement. Il y a une asymétrie d'information qui est
absolue, qui est totale, et c'est pour ça que je ne pense pas que le débat
puisse s'arrêter où le consentement commence. Puis là, on pourrait faire toutes
sortes d'arguments puis dire : Ah! mais il y a plein… tu sais, il y a
plein de choses dont on est propriétaire puis on ne peut pas s'aliéner…
M. Nadeau-Dubois : …quand elle
vient solliciter le consentement. Il y a une asymétrie d'information qui est
absolue, tu sais, qui est totale. Et c'est pour ça que je ne pense pas que le
débat peut s'arrêter où le consentement commence. Puis là on pourrait faire
toutes sortes d'arguments puis dire : Ah! bien, mais il y a plein, tu
sais, il y a plein de choses dont on est propriétaires puis on ne peut pas
s'aliéner. Tu sais, moi, je ne peux pas vendre mes organes, pourtant, comme
j'en suis le propriétaire, tu sais. C'est parce que, comme, on considère, puis
on revient un peu au débat de tantôt, mais parce qu'on considère comme société
que, même si ça nous appartient, on ne peut pas le vendre, tu sais. Il y a… On
fait… Dans une société de droits, on n'est pas dans une société libertarienne
où le consentement individuel prime sur tout le reste, on est déjà dans une
société de droits où on fait ces équilibres-là constamment puis où on décide à
plusieurs moments que le consentement individuel passe en deuxième par rapport
à d'autres impératifs. Tu sais, on le fait tout le temps ça, sur plein de
choses, puis pas juste pour des raisons de sécurité ou de santé, pour des
raisons de bien commun, on en a parlé tantôt, bon.
Et là on est dans une situation comme
celle-là où, comme société, il faut se demander : Quel cadre législatif on
veut mettre en place pour protéger les individus de puissances sociales et
économiques qui sont en train d'acquérir un pouvoir qui est incommensurable,
par rapport aux connaissances que les individus ont? Puis ça, c'est… je pense
qu'il faut que ça fasse partie de notre analyse, sinon on parle de consentement
qui est, franchement, qui est théorique puis qui est abstrait. Les gens savent.
Puis ce n'est pas une question de ne pas respecter l'intelligence des gens, là,
parce que, même moi, je suis très conscient de mes limites puis je sais bien
que… mon consentement, que vaut-il par rapport à des puissances sociales comme
Google, Facebook, Amazon?
Donc, je pense qu'on ne peut pas se
limiter à la question du consentement, notamment, à cause de l'asymétrie
d'information qui m'apparaît ici, là, énorme, quand on parle d'entreprises
comme celles-là. Énorme. C'est comme… Et… C'est ça, je pense que c'est cours de
s'arrêter à la question du consentement.
Le Président (M.
Bachand) : Merci beaucoup. J'appelle le député de
La Pinière, si vous me permettez.
M. Barrette : Ça ne sera pas
très long. M. le Président, je pense que… J'écoute l'échange qui est un échange
très intéressant. Je pense que le député de Gouin pose une question très
intéressante. C'est un peu d'une… Aujourd'hui, là, c'est l'équivalent de
discuter de ce qui se passe avant le big bang, là, quand on pose le problème de
la façon dont il l'oppose, là, puis je ne veux pas m'opposer d'aucune manière,
là. Ça ne peut pas se résumer au consentement, c'est bien évident. Maintenant,
il y a des ramifications à l'étude du consentement, là, qui sont infinies.
Juste par curiosité, là, juste pour… Là, je fais vraiment exprès, là…
Une voix
: …
M. Barrette : Oui. Est-ce que
le ministre sait exactement à quoi il consent quand il utilise Alexa?
M.
Caire
: Oui.
M. Barrette : Ah! oui. À quoi?
M.
Caire
: En
fait, dépendamment de dans quel mode je vais opérer l'appareil, si je laisse…
M. Barrette : ...le ministre
sait exactement à quoi il consent quand il utilise Alexa? Oui? À quoi?
M.
Caire
: En
fait, dépendamment de dans quel mode je vais opérer l'appareil, si je laisse
pleine et entière liberté, on va enregistrer tout ce que je dis. Et, à partir
de là, l'entreprise Amazon est capable d'avoir les banques d'informations de ce
que je dis. On va aussi analyser qu'est-ce que j'ai fait avec ça, pourquoi je
l'ai utilisé, donc quels sont les moments où j'ai dit à Alexa : Fais ci,
fais ça. Donc, on peut profiler l'utilisation que j'en fais. On va aussi
regarder si, par exemple, j'ai des abonnements aux différents services de
musique, etc., donc, qu'est-ce que je consomme comme produits à travers Alexa.
Donc, on va faire tout le profilage et l'utilisation de ça. On peut analyser le
ton de ma voix. On peut analyser la façon dont je m'adresse... Et il y a des applications
d'intelligence artificielle. On va analyser et progresser dans la façon dont on
interagit aussi avec moi, essentiellement.
M. Barrette : Mais
encore... C'est parce qu'il y a plus. Et le plus, il y en a une partie qui est
connue et que l'utilisateur ne sait pas et il y a la partie qui n'est pas
connue parce que pas développée.
M.
Caire
: Parce
que pas développée.
M. Barrette : Non, mais il
y a la partie connue que l'utilisateur ne sait pas, là.
M.
Caire
:
Bien... Quelle partie l'utilisateur ne connaît pas?
M. Barrette : Bien, c'est
facile, là, c'est très facile. Je ne reprendrai pas tous les exemples que le député
de Gouin a donnés, là, mais c'est sûr que, quand on croise les données, les
données d'intonation de voix, de situations, de musique, ta ta ta, puis si en
plus il a une montre... puis qu'il y a les facteurs biométriques, bien là, à un
moment donné, là, c'est très facile, avec un algorithme, de faire une connexion
entre... puis là, je vais prendre quelque chose de trivial, là, de styles de
musique, commandes de pizza avec une accélération cardiaque le soir qu'il y a
une game de hockey, là.
M.
Caire
: Non,
mais ça, je comprends tout ça, là.
M. Barrette : Non, non,
je sais, mais je veux dire... Mon point ici, là, c'est que les possibilités
sont infinies.
M.
Caire
: On
est d'accord. On est d'accord.
M. Barrette : Infinies.
Et mon point est que c'est impossible, là, de concevoir aujourd'hui... puis ce
n'est pas lié aux données biométriques seulement, mais je pense que c'est
impossible de concevoir aujourd'hui, pour certaines technologies, ce à quoi on
consent.
Le Président (M.
Bachand) : Merci beaucoup.
Sur ce, compte tenu de l'heure, la
commission ajourne ses travaux sine die. Merci beaucoup. Bonne soirée.
(Fin de la séance à 18 h 30)