To use the Calendar, Javascript must be activated in your browser.
For more information

Home > Parliamentary Proceedings > Committee Proceedings > Journal des débats (Hansard) of the Committee on Labour and the Economy

Advanced search in the Parliamentary Proceedings section

Start date must precede end date.

Skip Navigation LinksJournal des débats (Hansard) of the Committee on Labour and the Economy

Version préliminaire

42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)

Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.

Pour en savoir plus sur le Journal des débats et ses différentes versions

Tuesday, August 18, 2020 - Vol. 45 N° 55

Examination of the 2019-2020 estimates of expenditure


Aller directement au contenu du Journal des débats

Intervenants par tranches d'heure

  • 15 h 30

    • IsaBelle, Claire
  • 16 h

    • IsaBelle, Claire
    • Rizqy, Marwah
    • Caire, Éric
    • Marissal, Vincent
  • 16 h 30

    • Marissal, Vincent
    • Caire, Éric
    • IsaBelle, Claire
    • Rizqy, Marwah
    • Ouellet, Martin
  • 17 h

    • Ouellet, Martin
    • Caire, Éric
    • IsaBelle, Claire
    • Rizqy, Marwah
    • Marissal, Vincent
  • 17 h 30

    • Caire, Éric
    • IsaBelle, Claire
    • Marissal, Vincent
    • Rizqy, Marwah
    • Ouellet, Martin
  • 18 h

    • Caire, Éric
    • Ouellet, Martin
    • IsaBelle, Claire

 

Journal des débats

15 h 30 (version révisée)

(Quinze heures cinquante-neuf minutes)

La Présidente (Mme IsaBelle) : Alors, à l'ordre! Bonjour, tout le monde. Alors, ayant constaté le quorum, je déclare la séance de la Commission de l'économie et du travail ouverte. Je demande à toutes les personnes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de procéder à l'étude du volet Stratégie numérique des crédits budgétaires du portefeuille Conseil du trésor et Administration gouvernementale pour l'exercice financier 2020‑2021. Une enveloppe de deux heures a été allouée pour l'étude de ces crédits.

Mme la secrétaire, y a-t-il des remplacements?

• (16 heures) •

La Secrétaire : <Oui, Mme la Présidente. Alors, Mme Dansereau (Verchères) est remplacée par Mme Hébert (Saint-François); M. Jacques (Mégantic) est remplacé par M. Thouin (Rousseau); Mme Jeanotte (Labelle) est remplacée par Mme Guillemette (Roberval); M. Derraji (Nelligan) est remplacé par Mme Rizqy (Saint-Laurent); M. Leduc (Hochelaga-Maisonneuve) est...

>


 
 

16 h (version révisée)

<17939 La Présidente (Mme IsaBelle) : ...a été allouée pour l'étude de ces crédits.

Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : >Oui, Mme la Présidente. Alors, Mme Dansereau (Verchères) est remplacée par Mme Hébert (Saint-François); M. Jacques (Mégantic) est remplacé par M. Thouin (Rousseau); Mme Jeannotte (Labelle) est remplacée par Mme Guillemette (Roberval); M. Derraji (Nelligan) est remplacé par Mme Rizqy (Saint-Laurent); M. Leduc (Hochelaga-Maisonneuve) est remplacé par M. Marissal (Rosemont); et Mme Richard (Duplessis) est remplacée par M. Ouellet (René-Lévesque).

Stratégie numérique

La Présidente (Mme IsaBelle) : Merci. Nous allons procéder aux échanges entre les groupes d'opposition et le ministre par blocs. Pour permettre à chaque groupe d'opposition d'écouler graduellement son temps de parole, le temps d'échange inclut les questions et les réponses. Je fais appel à votre collaboration pour que le temps des réponses soit proportionnel au temps des questions, comme le veut la pratique.

Discussion générale

Alors, nous sommes maintenant prêts à reconnaître une première intervention de l'opposition officielle pour un premier bloc d'échange de 20 minutes. Alors, Mme la députée de Saint-Laurent, la parole est à vous.

Mme Rizqy : Merci beaucoup, Mme la Présidente. Contente de vous retrouver. Ça fait déjà un certain temps.

Alors, M. le ministre, vous me voyez sourire parce qu'on a eu une petite discussion juste avant de reprendre nos échanges. Vous avez, vous aussi, été, comment dire, frappé par la fuite de données chez Revenu Canada. Est-ce que quelqu'un d'Ottawa, ou quelqu'un de votre équipe, ou du gouvernement du Québec est rentré en communication pour mieux comprendre ce qui est arrivé à Ottawa? Première question. Puis, deuxième question, est-ce qu'il y a eu des mesures qui ont été prises au Québec pour s'assurer que, nous, ça ne nous arrive pas?

M. Caire : Bien, en fait, oui, on a des interactions avec le Centre canadien de cybersécurité, notamment, je pense, au niveau de la direction générale, mais au... du bureau du DPI, et, de notre côté, il faut comprendre que déjà, depuis l'automne 2019, nous avons mis en place le Centre gouvernemental de cyberdéfense et les centres opérationnels de cyberdéfense. Donc, c'est un réseau qu'on déploie dans les différents ministères et organismes, dont l'Agence du revenu du Québec, qui sont... Tout ça est interrelié, là. C'est vraiment un réseau, c'est interrelié avec comme entité centrale le Centre gouvernemental de cyberdéfense. Donc, les mesures de protection qui sont mises en place sont — toutes les procédures : comment réagir à une attaque, quels sont les temps de réaction, qu'est-ce qu'on déploie comme efforts en cas d'attaque.

On a aussi acquis certains outils, là. Vous me permettrez d'être peut-être plus discret sur la nature des outils que nous avons acquis pour, d'une part, nous défendre, mais, d'autre part, nous attaquer nous-mêmes, donc pour vérifier la fiabilité de nos défenses, donc. Et, au niveau du Centre gouvernemental de cyberdéfense, nous procédons à ces tests-là régulièrement sur l'ensemble des systèmes qui sont visibles à partir du Net pour nous assurer que les mesures de sécurité qui sont en place sont efficaces.

Mme Rizqy : Donc, vous, vous avez rehaussé, au niveau du gouvernement du Québec, le système de sécurité, mais est-ce que quelqu'un <d'Ottawa vous...

M. Caire : ces tests-là régulièrement sur l'ensemble des systèmes qui sont visibles à partir du Net pour nous assurer que les mesures de sécurité qui sont en place sont efficaces.

Mme Rizqy : Donc, vous, vous avez rehaussé, au niveau du gouvernement du Québec, le système de sécurité, mais est-ce que quelqu'un >d'Ottawa <vous… >a communiqué avec le gouvernement du Québec pour vous expliquer qu'est-ce qui a mal tourné chez eux?

M. Caire : Pas à ma…

Une voix : ...

M. Caire : Oui? O.K. Bien, si vous me permettez, Mme la Présidente, je vais laisser…

Mme Rizqy : Ah! avec consentement, oui.

La Présidente (Mme IsaBelle) : Est-ce qu'on a le consentement?

Mme Rizqy : Certainement.

La Présidente (Mme IsaBelle) : Nous avons le consentement? Merci. Alors, je vous invite, monsieur, à vous présenter d'abord avant de prendre la parole, de dire votre nom et vous représentez quel organisme.

M. Rodrigue (Pierre E.) : Parfait. Bonjour, Mme la Présidente. Pierre Rodrigue, secrétaire associé à la transformation numérique et dirigeant principal de l'information au Secrétariat du Conseil du trésor.

En fait, évidemment, quand on a vu que ça, c'était arrivé, on a communiqué avec le centre canadien de cyberdéfense pour comprendre exactement qu'est-ce qui c'était passé pour non pas uniquement déplorer ce qui arrive au fédéral, mais voir : Est-ce que ça, ça pourrait nous arriver, notamment avec clicSEQUR? Alors, normalement, avec clicSEQUR, on n'aura pas… Parce que, s'il y a une tentative, après cinq tentatives de clicSEQUR, le compte se verrouille automatiquement. C'est sûr qu'on regarde quand même, malgré tout, là, parce qu'on…

Dans le fond, la sécurité, c'est des couches, là, c'est une couche d'infrastructures. Donc, il faut que l'infrastructure soit solide, il faut que la couche applicative soit solide, il faut que les comportements, également, là, des citoyens et les comportements, évidemment, des employés de l'État soient exemplaires. Et, bien, on va voir également si on n'est pas capables <de faire… >de rajouter une couche de sécurité supplémentaire, là, à clicSEQUR, là.

Ceci dit, on va organiser avec nos collègues du ministère du Travail, de l'Emploi et de la Solidarité sociale, qui sont responsables de clicSEQUR, qui travaillent avec le CSPQ, bientôt l'ITQ, et Revenu Québec, pour nous assurer, là, qu'on va rajouter des couches de sécurité adéquates. Mais, pour le moment, on n'a pas de raison de penser qu'on peut vivre la même situation au Québec par rapport à ce qui est arrivé au fédéral avec l'information qu'on a du gouvernement fédéral.

Mme Rizqy : M. le ministre, dans l'autre bloc avant, on parlait justement des victimes de vol de données mais surtout aussi celles de vol d'identité. La PCU a été particulièrement populaire auprès des fraudeurs. Vous comprendrez que je suis inquiète parce que la PCU, la Prestation canadienne d'urgence, est imposable. Au mois d'avril, certains Québécois risquent d'avoir une surprise dans un printemps, il y en a qui n'ont pas compris que c'était imposable, mais d'autres qui n'ont jamais demandé la PCU, dont, notamment, des enseignants, et qui vont apprendre que, finalement, non, il y a quelqu'un d'autre qui a demandé la PCU.

Est-ce qu'on peut... Est-ce que, un, vous avez parlé avec les homologues fédéraux pour avoir des garanties? Parce que moi, je les connais bien, là, Revenu Canada, parce que je suis avocate fiscaliste. Puis je peux vous dire, M. le ministre, faites-moi confiance, c'est pas mal plus facile pour eux de courir après les travailleurs que de courir après des multinationales qui ne paient pas d'impôt. Alors <là…

Mme Rizqy : ...il y a quelqu'un d'autre qui a demandé la PCU.

Est-ce qu'on peut... Est-ce que, un, vous avez parlé avec les homologues fédéraux pour avoir des garanties? Parce que moi, je les connais bien, là, Revenu Canada, parce que je suis avocate fiscaliste. Puis je peux vous dire, M. le ministre : Faites-moi confiance, c'est pas mal plus facile pour eux de courir après les travailleurs que de courir après des multinationales qui ne paient pas d'impôt. Alors >là, le problème qu'on risque d'avoir, c'est des gens qui vont recevoir une cotisation pour une PCU qu'ils n'ont jamais demandée.

M. Caire : Bien, sur cet enjeu-là, Mme la députée, je suis convaincu que mon collègue le ministre des Finances, qui est en lien avec le gouvernement fédéral, comprend évidemment que quelqu'un qui n'a jamais demandé de PCU, et qui aura été victime d'un vol d'identité et d'une fraude subséquente, puis qui devrait se ramasser à payer de l'impôt sur de l'argent qu'il n'a jamais touché, là, je pense que tout le monde comprend que ça n'a aucun bon sens, là. Puis je suis convaincu que mon collègue ministre des Finances est déjà à pied d'oeuvre pour s'assurer qu'une situation comme celle-là ne se produira pas.

Mme Rizqy : C'est juste pour que vous... Je comprends parfaitement que ça, c'est le dossier au niveau ministère... au ministre des Finances, là. Par contre, j'attire votre attention parce qu'il y a déjà un rapport du Vérificateur général au niveau du fédéral. Rejoindre l'ARC, là, Revenu Canada, là, c'est comme gagner à la loterie. Ça, c'est quand le téléphone sonne. On attend...

M. Caire : Pas pour les fraudeurs.

Mme Rizqy : ...puis là, des fois, oups! ça sonne, mais ça raccroche, puis, quand que, des fois, on a quelqu'un au bout du fil, on n'a pas la bonne réponse.

Alors là, moi, j'aimerais... ma petite suggestion : Dans votre table de ministres, là, ça serait important de s'assurer de défendre les intérêts des Québécois pour ne pas que ça soit à eux de faire la bataille devant l'ARC, parce qu'il risque d'y avoir beaucoup de contribuables québécois qui vont se retrouver exactement dans la même situation très problématique au mois d'avril, et aussi bien le gérer en amont puis de dire à Ottawa : Voici comment vous allez régler le problème pour les Québécois, parce que ce n'est pas vrai qu'on va avoir des gens qui vont recevoir des cotisations qui portent intérêt. Puis bonne chance pour rejoindre les gens de l'ARC. C'est plus facile de rejoindre Revenu Québec, je peux vous le dire.

M. Caire : Bien, écoutez, je vous entends parfaitement puis je vous dirais même que... On revient un peu à la discussion qu'on a eue tout à l'heure, à savoir le lien, à mon avis, qui est extrêmement important entre le gouvernement du Québec et nos homologues autant des autres provinces et du fédéral sur la question de l'identité numérique, parce que... Bon, je comprends que, sur la question fiscale, je vais laisser mon collègue des Finances s'en occuper, mais ça nous ramène à la discussion que nous avons eue sur le fait que l'identité numérique, ça demeure une responsabilité de la province, mais de s'assurer que ces arrimages-là se font puis que tout le monde est à la même place quant à l'identité numérique, parce que cette identité numérique là, elle va servir autant pour les interactions avec le gouvernement provincial que fédéral.

Donc, il faut s'assurer d'avoir déjà, à la table, des gens du fédéral, et nous avons déjà ce comité mixte fédéral-provincial sur l'identité numérique. Donc, cet arrimage-là, nous, on l'a déjà fait. Je vous entends sur les difficultés avec l'Agence du revenu du Canada, mais, là-dessus, vous comprendrez que ma capacité d'action est plus limitée un peu.

Mme Rizqy : M. le ministre, je vous l'ai déjà dit, je le répète : Ne <sous-estimez...

M. Caire : ... nous avons déjà ce comité mixte fédéral-provincial sur l'identité numérique. Donc, cet arrimage-là, nous, on l'a déjà fait. Je vous entends sur les difficultés avec l'Agence du revenu du Canada, mais, là-dessus, vous comprendrez que ma capacité d'action est plus limitée un peu.

Mme Rizqy : M. le ministre, je vous l'ai déjà dit, je le répète : Ne >sous-estimez pas votre impact à la table des ministres. Alors, là-dessus, je compte sur vous, parce qu'il y a des gens qui vont... Et je n'aurai pas l'occasion de parler avec M. le ministre des Finances, alors je m'adresse directement à vous parce que c'est... oui, ça relève un peu de stratégie numérique, c'est la protection des données.

Et, quand on parle d'identité numérique, moi, je vous le dis d'emblée, là, puis c'est mon opinion personnelle, mon éditorial, moi, à ce stade-ci, ça ne me rassure pas, mais aucunement, de savoir qu'il va y avoir un arrimage avec le fédéral. Ils ont pas mal de difficultés à gérer leurs données. Et aussi, au niveau informatique, je pourrais vous parler de plein de scandales fédéraux. Alors, là-dessus, oui... Mais je vois que vous voulez parler. Allez-y.

• (16 h 10) •

M. Caire : Juste apporter une précision, Mme la députée. La gestion du programme, elle est assumée par le gouvernement du Québec. Qu'il n'y ait pas d'ambiguïté, là, ce n'est pas le gouvernement fédéral. Par contre, ce qu'on souhaite, c'est s'assurer d'utiliser des standards et des protocoles qui vont faire en sorte que le citoyen du Québec va être capable d'utiliser cette identité-là pour consommer des services fédéraux. Donc, ce qu'on veut, c'est que le fédéral puisse s'arrimer avec nous, je vais le dire comme ça, pour qu'on puisse utiliser le Service québécois d'identité numérique même lorsqu'on veut consommer des services avec le gouvernement fédéral.

Mais je veux vous rassurer, là, le maître d'oeuvre puis le maître de l'ouvrage pour le Service québécois d'identité numérique, c'est le gouvernement du Québec.

Mme Rizqy : Merci. Vu qu'on parle aussi des données, j'aimerais parler avec vous de la gestion des données, mais par le secteur privé. Puis je vais garder le même exemple encore : la fuite de données avec l'ARC. On a remarqué que les fraudeurs ont un amour privilégié pour une... une institution financière puis on dirait que tous les comptes transitent vers cette institution financière. Je comprends que le secteur bancaire, c'est fédéral, mais protection du consommateur, ça, c'est notre juridiction, et protection des données aussi. Là-dessus, est-ce que vous pensez que le gouvernement devrait se pencher davantage sur le cas de cette institution financière et voir comment, à travers la Loi sur la protection des consommateurs, on pourrait exiger d'avoir un suivi beaucoup plus rigoureux avant d'ouvrir des comptes n'importe où, n'importe comment?

M. Caire : Bien, en fait, oui. La réponse à votre question, c'est oui. Je ne le ferais pas peut-être sur la protection du consommateur comme sur les obligations qui viennent avec la protection des données et des renseignements personnels.

Et c'est là où je vous ramène à l'idée du projet de loi n° 64 où je pense que, quand on collecte des données, des renseignements personnels, «données» n'étant pas nécessairement des renseignements personnels, mais j'utilise la donnée au sens très large, quand on collecte la donnée, moi, je crois fondamentalement qu'il y a une responsabilité qui vient avec ça. Et <cette...

M. Caire : ...que, quand on collecte des données, des renseignements personnels — données n'étant pas nécessairement des renseignements personnels, mais j'utilise la donnée au sens très large — quand on collecte la donnée, moi, je crois fondamentalement qu'il y a une responsabilité qui vient avec ça. Et >cette responsabilité-là, je pense que... Les gens de la Commission d'accès à l'information nous l'ont bien dit, notre cadre législatif actuel, il est là, il existe, mais il peut être bonifié, puis surtout il peut être modernisé pour refléter la réalité de la transformation numérique, qui n'existait pas au moment où les lois qui sont en place ont été adoptées. Et c'est pour ça que, tout à l'heure, je vous disais, Mme la députée... je pense que le modèle européen est l'exemple à suivre, parce qu'avec la collecte de données vient des responsabilités.

Mais là où vous avez raison, c'est que, s'il y a manquement au niveau de la responsabilité, bien, il doit y avoir un pouvoir de contrainte, et, pour une organisation, notamment la Commission d'accès à l'information, cette organisation-là doit avoir la capacité de s'assurer que ces responsabilités-là sont pleinement assumées. Et, si ces responsabilités-là ne sont pas pleinement assumées, bien, il doit y avoir des conséquences qui sont de nature à être dissuasives. Alors, le projet de loi n° 64 nous amène exactement dans cette perspective-là.

Mme Rizqy : O.K. Mais qu'est-ce qui vous empêche... Parce que je suis d'accord avec vous que le projet de loi n° 64, ça va nous permettre d'ajouter du mordant à la loi sur l'accès à l'information puis la protection des renseignements personnels, mais, au niveau du consommateur quand on a des institutions financières qui gèrent moins bien les données, ou que, par exemple, on se rend compte que vous devez être un agent facilitateur de transfert de données ou d'informations, ou même, dans le cas de la PCU, pour les fraudeurs qui ont comme compris qu'il y avait une brèche, est-ce qu'on pourrait peut-être examiner cette avenue?

M. Caire : Bien, écoutez, je vais vous confesser très candidement que je ne suis pas nécessairement un grand spécialiste de la Loi sur la protection du consommateur. Est-ce que, juridiquement, il y a des éléments qui peuvent être adressés à travers cette loi-là? Peut-être, Mme la députée. Là, je ne voudrais pas m'avancer sur un terrain qui ne m'est pas familier. Je suis plus familier avec la loi sur la vie privée, la Loi concernant le cadre juridique des technologies de l'information et la loi d'accès à l'information, et ce que je peux vous dire, c'est que les initiatives qui ont été prises par le gouvernement pour modifier ces différentes législations là visaient surtout le rehaussement de la loi d'accès à l'information. Parce que, de prime abord, je vous dirais que la problématique que vous adressez, qui est tout à fait pertinente, à mon avis, va trouver sa solution dans la loi d'accès à l'information, dans un rehaussement puis une modernisation de la loi d'accès à l'information.

Ceci étant dit, je vous le dis candidement : Est-ce que la Loi sur la protection du consommateur pourrait adresser certains volets de cette situation-là? Peut-être, mais, là-dessus, je confesse les limites de ma compétence.

Mme Rizqy : <D'accord...

M. Caire : loi d'accès à l'information, dans un rehaussement puis une modernisation de la loi d'accès à l'information.

Ceci étant dit, je vous le dis candidement : Est-ce que la Loi sur la protection du consommateur pourrait adresser certains volets de cette situation-là? Peut-être, mais, là-dessus, je confesse les limites de ma compétence.

Mme Rizqy : >D'accord. M. le ministre, tantôt vous avez dit, à juste titre, que, dans le projet de loi n° 64, il va y avoir des conséquences pécuniaires puis que, souvent, si on veut faire cesser un comportement, une amende peut faire en sorte de s'assurer que les gens vont faire plus attention. Pensez-vous que la responsabilité des administrateurs devrait aussi être en jeu? Là, je parle vraiment du secteur privé, là.

M. Caire : Bien, c'est une question qui est intéressante, puis je sais qu'elle a été soulevée la semaine dernière, pendant la commission parlementaire. Les avis étaient partagés. Moi, je pense que l'adoption du projet de loi va être une bonne tribune pour avoir cette conversation-là avec ma collègue. Moi, je pense que l'idée mérite très certainement d'être débattue.

Maintenant, les considérations juridiques, la capacité à mettre ça en application, là-dessus, je ne me prononcerai pas, mais je vous dirais que, d'emblée, moi, je pense que la question mérite très certainement d'être posée, et d'être débattue, et éventuellement peut-être intégrée dans le projet de loi, si la conclusion des parlementaires qui auront à étudier le projet de loi, c'est que la réponse à votre question est oui. Moi, je me fie à vous, chère collègue, pour faire le débat puis prendre la meilleure décision. Mais, très certainement, il faut que cette loi-là ait des dents, il faut que cette loi-là ait une capacité dissuasive, parce que, visiblement, il y a des institutions et des entreprises délinquantes qui ne semblent pas prendre la responsabilité au sérieux.

Mme Rizqy : Oui, puis il y en a aussi que c'est par négligence. Ça peut être négligence simple ou grossière. Mais il faut quand même réaliser qu'aujourd'hui on a le secteur privé qui veut collecter le maximum d'information pour évaluer le comportement des consommateurs pour essayer de leur vendre peu importe le type de produit.

Mais moi, je ne trouve pas normal que, quand même, des décideurs, des dirigeants d'entreprise <qui >confient les clés de l'ensemble de la maison à quelqu'un puis qu'il n'y a pas de caméra de surveillance dans… et qu'on met un employé sans journalisation, notamment dans le secteur financier. Donc, l'employé, il peut faire… il peut rentrer dans les comptes qu'il veut quand il veut, peut télécharger l'ensemble de tous les clients, partir ni vu ni connu. Puis cet employé, c'était quoi, son objectif? Bien, il a été mis dans un programme de marketing.

Alors, je me dis : Comment ça se fait qu'on a des dirigeants d'entreprise qui demandent à un employé : Toi, tu vas créer un nouveau programme de marketing, tiens, les clés de la maison, amuse-toi, puis après ça on se retrouve avec un vol de données massif, mais que, là-dedans... Tu sais, je regarde c'est qui qui est vraiment imputable, là. Un an plus tard, on cherche encore les responsables. On n'arrive pas à déposer des accusations. Il y a toute la façon aussi que la preuve a été recueillie, puis on se demande : Est-ce que, oui ou non, la preuve peut être admissible en cour? En terme de données, c'est la <responsabilité…

Mme Rizqy : ...on se retrouve avec un vol de données massif, mais que, là-dedans... Tu sais, je regarde c'est qui qui est vraiment imputable, là. Un an plus tard, on cherche encore les responsables. On n'arrive pas à déposer des accusations. Il y a toute la façon aussi que la preuve a été recueillie, puis on se demande : Est-ce que, oui ou non, la preuve peut être admissible en cour? ...données, c'est la >responsabilité des dirigeants puis des administrateurs.

Puis je vous donne un exemple. En matière de pollution, quand on a voulu mettre aux pas les multinationales pour dire : Vous arrêtez de polluer, c'était non seulement des amendes, mais c'était rendu des conséquences pénales.

M. Caire : Non, tout à fait. Moi, je suis...

Une voix : ...

M. Caire : Oui. Bien, juste simplement dire que je suis tout à fait d'accord avec la députée de Saint-Laurent. Ceci étant dit, on avait brièvement abordé toute la question de la littératie.

Mme Rizqy : Oui. On va revenir après.

M. Caire : Je pense que cet élément-là aussi mériterait d'être adressé. Parce que vous avez parlé de négligence, il y a la mauvaise intention, mais je pense qu'il y a l'ignorance aussi quelquefois qui entre en ligne de compte. Et ça, c'est autant d'éléments qu'il faut adresser dans une solution globale.

Mme Rizqy : Oui, mais, par contre, il y a une différence. Le citoyen, là, les gens de la classe moyenne, là, ce n'est pas tout le monde, là, qui travaille... ce n'est pas des dirigeants nécessairement tous d'entreprises. Là, on parle de gens qui sont sophistiqués, qui ont des équipes, qui gèrent des milliards et qui en veulent toujours plus. Alors, en matière de données, là, que je parle, mais aussi en matière d'argent, bien évidemment. Alors, moi, c'est sûr que mon propos marque... c'est plus l'imputabilité de ceux qui veulent collecter des données mais qui sont dans l'incapacité de bien gérer les données parce qu'ils sont dans leur ligne directrice de grossir : marketing. C'est pourquoi qu'on veut faire plus de marketing? C'est parce qu'on veut agrandir notre bassin de clients, vendre plus de produits, faire des ventes croisées. C'est tout ce mot de «convergence», «convergence». Mais après ça c'est que, si vous voulez avoir autant de données, assurez-vous d'être capable de les gérer. Si vous n'êtes pas capable de les gérer, bien, arrêtez de collecter.

La Présidente (Mme IsaBelle) : M. le ministre, il vous reste 45 secondes.

• (16 h 20) •

M. Caire : Bien, j'entends ce que vous dites puis je suis tout à fait d'accord. Ceci étant dit, ce que je voulais dire, c'est, autant pour ceux qui gèrent ces données-là, il y a quelquefois peut-être un niveau de connaissance qui n'est pas adéquat, autant pour nos concitoyens qui, quelquefois, sont peut-être très généreux du partage qu'ils peuvent faire de leurs renseignements personnels où, je me dis, avoir une cyberhygiène collective peut entraîner aussi des changements de comportement. C'était dans ce sens-là où j'adressais mon propos.

La Présidente (Mme IsaBelle) : Merci. Il reste 14 secondes. Alors, nous pourrons poursuivre au prochain bloc.

Une voix : ...

La Présidente (Mme IsaBelle) : Oui.

Mme Rizqy : Merci beaucoup.

La Présidente (Mme IsaBelle) : Merci. Alors, nous allons maintenant avec le député de Rosemont. Vous avez un bloc de 10 minutes.

M. Marissal : Merci, Mme la Présidente. Rebonjour. Je vais faire un peu de funambulisme entre ce qu'on vient de faire en ressources informationnelles et stratégie numérique. De toute façon, les deux sont plutôt liées à la fin, là. Je pense qu'on fait de l'aller-retour depuis tout à l'heure. Et, juste pour le bénéfice de tous, est-ce que je <pourrais...

M. Marissal : ...je vais faire un peu de funambulisme entre ce qu'on vient de faire en ressources informationnelles et stratégie numérique. De toute façon, les deux sont plutôt liées à la fin, là. Je pense qu'on fait de l'aller-retour depuis tout à l'heure. Et juste pour le bénéfice de tous, est-ce que je >pourrais vous demander, M. le ministre, de permettre à M. Pierre Rodrigue, donc le directeur, rappelez-moi son titre, directeur... dirigeant principal — j'ai toujours de la misère — <dirigeant principal >de l'information, de répondre à la question, à savoir : Combien ça a coûté à ce jour, les mesures prises par le télétravail? Il m'a fait une réponse privée tout à l'heure. Je crois que c'est d'intérêt public. Puis il y aura peut-être d'autres questions subséquentes.

La Présidente (Mme IsaBelle) : Alors, nous avons le consentement, M. le ministre? Nous avons le consentement. Alors, allez-y, M. Rodrigue.

M. Rodrigue (Pierre E.) : Bonjour. Merci, Mme la Présidente. En fait, il faut savoir que chaque ministère et organisme est responsable de comptabiliser ses coûts. Les coûts qu'on a actuellement, qu'on peut vous communiquer, ce sont les coûts qui ont transité via le Centre de services partagés du Québec, qui comprennent les coûts de rehaussement du RITM, le rehaussement également de la capacité de la sécurité plus les coûts d'achat d'équipements, différents équipements, les portables, les clés RSA, etc., les licences Office 365 pour l'utilisation notamment de Teams. Alors, on en est, au niveau du CSPQ, à 18 millions. Donc, ça, ça comprend RITM, achat d'équipements pour une dizaine d'organismes publics qui transitent via... donc, qui font leur acquisition via le CSPQ.

Pour les autres ministères et organismes, c'est sûr que, pour le moment, au moment où on se parle, on n'a pas le consolidé, l'ensemble ces coûts TI associés à la COVID-19, là.

M. Marissal : ...organismes qui passent...

M. Rodrigue (Pierre E.) : Le réseau.

La Présidente (Mme IsaBelle) : Oui. M. le ministre, oui.

M. Caire : Parce que les coûts de rehaussement de réseau sont quand même des coûts qui sont au bénéfice de l'ensemble des ministères et organismes parce que le RITM est un réseau qui est utilisé par l'ensemble des ministères et organismes. Donc, ces coûts-là sont vraiment à l'ensemble. Donc, c'est vraiment au niveau des systèmes particuliers qu'il y a des coûts spécifiques pour les différents ministères et organismes.

M. Marissal : O.K. Mais je comprends que c'est vraiment parcellaire comme information à ce stade-ci parce que j'ai du mal à croire que, pour l'ensemble du gouvernement du Québec, ça ne coûterait que ça. Et vous dites que ce ne sont que 10 organismes qui passent par...

Là, est-ce qu'on peut se permettre une extrapolation qui permettrait d'avoir une idée plus globale, «ball park figure», comme on dit en chinois, pour avoir une idée de combien ça coûtera au gouvernement? Parce qu'on s'entend, là, 18 millions, ça ne le fera pas, là.

M. Rodrigue (Pierre E.) : En fait, extrapolation, il va falloir voir... Comme disait M. le ministre, les coûts RITM sont évidemment... sont communs à tous. Là, maintenant, il va falloir voir comment chacun s'est comporté au niveau de l'achat d'équipements. Il y a des organisations qui étaient déjà... ils avaient déjà beaucoup de portables, qui faisait en sorte qu'ils n'ont rien... ils n'ont pas eu à acquérir <beaucoup...

M. Rodrigue (Pierre E.) : ...en fait, extrapolation, il va falloir voir... Comme disait M. le ministre, les coûts RITM sont évidemment... sont communs à tous. Là, maintenant, il va falloir voir comment chacun s'est comporté au niveau de l'achat d'équipements. Il y a des organisations qui étaient déjà... ils avaient déjà beaucoup de portables, qui faisait en sorte qu'ils n'ont rien... ils n'ont pas eu à acquérir >beaucoup d'équipement. Les gens sont partis chez eux avec leur portable pour travailler, donc il n'y a pas eu d'acquisition. D'autres fonctionnaient encore avec le vieil ordinateur à tour, etc., il a fallu qu'il y ait des acquisitions. Alors, tout dépendant de comment les organisations étaient avancées en termes de télétravail, les coûts peuvent être différents. Effectivement, on n'a pas à le consolider. Extrapoler pourrait être... peut-être nous donner une image imprécise, donc.

Et, comme j'ai eu le loisir de le dire à M. le député pendant la pause entre les deux commissions, il y a aussi le fait qu'on va... des organisations sont en train, encore, de se préparer à la deuxième vague. C'est-à-dire qu'ils ont donné comme une première étape de travaux, tout le monde a dû aller vite, donc ils se sont préparés pour la première vague, mais il y a encore beaucoup de travaux à faire dans certaines organisations, notamment pour l'implantation de Teams dans d'autres organismes. Donc... Mais la plupart sont quand même bien consolidés. Ils nous ont dit qu'ils étaient prêts à affronter la deuxième vague sans problème. Donc, les coûts ne sont pas, de toute façon, définitifs. Alors, on pourra probablement faire un recensement d'ici la fin de l'année, là, pour savoir combien tout ça a coûté. Mais, au moment où on se parle, on n'a pas à le consolider.

M. Marissal : Merci. Par ailleurs, M. le ministre, vous avez suivi les débats comme moi. Bon, vous me direz que vous n'êtes pas le ministère du Travail ni président du Conseil du trésor, mais la stratégie numérique du gouvernement, c'est dans votre cour, le télétravail. Vous êtes incontournable à ce sujet. Vous avez suivi comme moi les débats, qui ne font que commencer, quant au droit du travail ou du télétravail : Qu'est-ce qu'on paie? Qu'est-ce que l'employeur paie? Comment la CSST s'intègre? Est-ce qu'on paie une assurance parce qu'on fait un bureau et on remplace? Est-ce qu'on a une indemnité parce qu'on utilise... Vous voyez, il y a une foule de sujets, là, nouveaux qui s'ouvrent. Vous logez où, vous, par rapport à la responsabilité de l'employeur, qui est le gouvernement dans ce cas-ci, pour le télétravail de ses employés?

M. Caire : Bien, en fait, je pense que la chose à faire, c'est de s'asseoir avec nos partenaires syndicaux puis de discuter de ces différents sujets là pour le bénéfice de nos employés et du contribuable. D'autre part, il est évident que le gouvernement du Québec, je pense, gagnerait à avoir une utilisation accrue, puis pas accrue par rapport à la situation actuelle, là, comprenez-moi bien, parce que ça, on est peut-être trop loin à l'autre côté du spectre, mais d'avant la pandémie où c'était à peu près inexistant. Ce qu'on a eu l'occasion de dire, c'est : Bon, un chiffre qui se situerait peut-être entre 10 % et 30 % de nos employés en télétravail de façon rotative serait certainement un objectif louable qui nous permettrait, au gouvernement du Québec, <peut-être...

M. Caire : …d'avant la pandémie, où c'était à peu près inexistant. Ce qu'on a eu l'occasion de dire, c'est : Bon, un chiffre qui se situerait peut-être entre 10 % et 30 % de nos employés en télétravail, de façon rotative, serait certainement un objectif louable qui nous permettrait, au gouvernement du Québec, >peut-être d'aller chercher des économies d'échelle, notamment au niveau des espaces de travail, mais au niveau des équipements aussi, de la qualité des équipements.

Parce que ce que le DPI disait, c'est qu'on est en train de se préparer à la deuxième vague, donc on est capables d'aller chercher maintenant des outils de télétravail ou ce que j'appellerai un environnement de travail virtuel plus complet par la téléphonie IP, par des outils de télétravail plus performants qui nous permettraient des économies d'échelle et surtout qui feraient en sorte que l'appareil dont vous devriez vous doter a besoin d'être moins performant, parce qu'au fond vous avez besoin d'un écran puis d'une carte qui vous permet de vous connecter au serveur, qui, lui, va vous fournir l'ensemble des services.

Donc, encore là, quand on parle… puis je vous ramène à votre question quand on parle de fournir des équipements. Écoutez, compte tenu de ce que je vous dis, c'est des choses qui pourront être discutées, quelle sorte d'équipement on fournit. Sur l'environnement de travail, l'ergonomie du travail, il y a des choses à discuter encore, là. Comment on peut faire pour s'assurer que nos employés ont un environnement de travail ergonomique, mais qui, en même temps, est dans leur résidence? Donc... En tout cas.

Écoutez, il y a beaucoup de discussions, puis je ne veux pas faire cette discussion-là ici et maintenant, mais ce qui est intéressant, c'est d'entendre... autant du côté du gouvernement que du côté de nos partenaires syndicaux, je pense qu'il y a une belle volonté de s'assurer de pérenniser cette solution-là dans des proportions qui sont raisonnables et que je viens de vous mentionner. Puis, à partir de là, moi, je pense… je suis convaincu qu'on peut trouver des zones de compromis, là, qui vont plaire à tout le monde, parce que l'objectif pour le gouvernement, c'est d'aller chercher l'efficacité de ça et les plus-values du télétravail. Puis je ne parle même pas au niveau économique, M. le député, parce qu'il est démontré que le télétravail augmente la performance des individus.

Donc, pour le gouvernement, il y a cet avantage-là, puis, pour nos concitoyens… nos employés, pardon, qui sont en télétravail, je pense qu'il y a une série d'avantages aussi qu'on a vécus et auxquels les gens adhèrent maintenant facilement.

La Présidente (Mme IsaBelle) : Merci. Il reste 1 min 30 s.

M. Marissal : ...Mme la Présidente. Avez-vous une idée… Parce qu'on parlait de connectivité, tout à l'heure, puis de la non-fiabilité du réseau à beaucoup d'endroits au Québec. Ma collègue de Saint-Laurent disait : Pas besoin d'aller bien, bien loin, là, pas besoin de se rendre au Nunavut, là. Des fois, on est à deux heures, une heure de Montréal, puis ça ne rentre pas du tout. Il y a combien de fonctionnaires du gouvernement du Québec qui sont incapables de travailler par télétravail?

M. Caire : Parce qu'ils n'ont pas les outils? Tous outils confondus ou simplement au niveau de la connectivité?

• (16 h 30) •

M. Marissal : Non, bien, qui n'ont pas les outils nécessaires pour faire un Zoom ou pour... Même si l'Internet ne rentre pas...

M. Caire : Je vais vous donner le chiffre, M. le député, je l'ai, le chiffre, mais on parle de quelques centaines d'employés qui n'ont pas... qui, pour des raisons d'installation, ne peuvent pas faire de télétravail, soit qu'ils n'ont pas les <outils…

>


 
 

16 h 30 (version révisée)

<17867 M. Marissal : ...qui n'ont pas les outils nécessaires pour faire un Zoom ou pour... Même si l'Internet ne rentre pas...

M. Caire : Je vais vous donner le chiffre, M. le député. Je l'ai le chiffre, mais on parle de quelques centaines, là, d'employés qui n'ont pas... qui, pour des raisons d'installation, ne peuvent pas faire de télétravail, soit qu'ils n'ont pas les >outils adéquats ou... Je vais vous donner le chiffre, là. Je m'excuse, je ne l'ai pas à disposition rapidement, mais on parle de quelques centaines, là, sur nos 68 000 employés. Mais c'est une situation qui peut se corriger très facilement.

La Présidente (Mme IsaBelle) : 24 secondes.

M. Marissal : Ah! bien non. Je vais passer puis je reprendrai tout à l'heure. Ça ne vaut pas la peine. Merci.

La Présidente (Mme IsaBelle) : Parfait. Alors, nous continuons avec un deuxième bloc, avec l'opposition officielle, avec la députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup.

La Présidente (Mme IsaBelle) : Vous avez 20 minutes.

Mme Rizqy : Merci beaucoup. M. le ministre, je vais continuer encore sur le vol des données parce que, vous comprendrez, c'est comme le sujet de l'heure. Vous avez vu qu'il y avait des vols de données, oui, au niveau, potentiels, du gouvernement, des cyberattaques au niveau du gouvernement, mais j'aimerais parler des entreprises et plus particulièrement les petites entreprises. Hameçonnage. Est-ce que vous avez préparé quelque chose, un plan? Parce que, un, ça prend de l'accompagnement, et, en ce moment, je sais qu'il y a des équipes d'enquête de différents corps policiers qui peuvent faire de quoi. Mais est-ce qu'on sait c'est quoi, l'étendue de nos capacités à vraiment répondre rapidement et à faire des enquêtes plus au niveau national, voire international? Parce que, souvent, là, ils ne sont pas ici, au Québec, ceux qui font de l'hameçonnage.

M. Caire : Bien, en fait, au niveau des corps policiers, là-dessus, moi, je ne peux pas vraiment vous répondre, là, qu'est-ce qu'ils ont exactement comme organisation capable d'intervenir et d'enquêter. Mais je peux vous dire qu'au niveau du gouvernement du Québec avec l'arrivée de la pandémie, parce qu'il y a un corollaire, là, la pandémie amène une augmentation des cas de fraude et de cyberattaque, et, assez rapidement, avec des partenaires justement en cybersécurité, le gouvernement du Québec a offert aux entreprises un service d'accompagnement pour leur permettre de mettre en place des mesures de sécurité adéquates, soit de mettre en place des mesures parce qu'il n'y en avait pas, et donc de les aiguiller là-dedans vers des entreprises, des services-conseils qui peuvent les aider à s'équiper adéquatement, soit rehausser la cybersécurité de leurs systèmes, parce que, justement, oui, vous avez raison, la pandémie a amené une augmentation significative du nombre d'attaques, de cas de fraude, de toutes sortes d'actions malicieuses de la part des hackeurs et des cyberfraudeurs, là. Et donc...

Puis tantôt on parlait de littératie, puis je vais continuer un petit peu dans la même optique parce que.... Puis mon expression vous a un peu fait rire, vous a fait sourire, la cyberhygiène, mais je vous dirais que ça aussi, ça fait partie des choses qu'on a mises en place et qu'on met à la disposition de la population, à savoir des pratiques courantes pour éviter...

Parce qu'on a toujours l'image que les attaques <informatiques...

M. Caire : ... vous a fait sourire, la cyberhygiène, mais je vous dirais que, ça aussi, ça fait partie des choses qu'on a mises en place et qu'on met à la disposition de la population, à savoir des pratiques courantes pour éviter...

Parce qu'on a toujours l'image que les attaques >informatiques sont des hackeurs qui s'attaquent à nos systèmes, mais la vérité, c'est que la majorité des attaques sont envers des personnes, soit par un courriel soit par un texto. C'est vraiment... Les cas les plus patents d'attaques informatiques, ce n'est pas le hackeur qui essaie de traverser le «firewall», si vous me permettez l'expression, c'est vraiment... on attaque les individus, on attaque la crédibilité des individus, et c'est la majorité des attaques informatiques qui se font comme ça. Donc, on a, oui, travaillé beaucoup à ce niveau-là pour informer la population, informer les donneurs de services de quelle façon les fraudeurs s'y prennent.

Vous avez peut-être entendu parler de ce cas de quelqu'un qui est au contrôle des finances d'une entreprise, et qui reçoit un courriel du patron, de son grand patron, pour autoriser des montants à être versés à une entreprise, et qui voit le courriel et dit : Bon, bien, le boss me dit que je peux payer, ça fait que je paie, puis qui a émis une série de chèques puis a envoyé la série de chèques. Alors, c'est ce genre d'attaque... Mais évidemment vous comprendrez que le patron était en vacances, là, il n'était jamais là puis il n'a jamais envoyé ça, là. Alors, ce genre d'attaque là, c'est vraiment ça qui est le plus fréquent, je vous dirais.

Les cyberattaques existent, bien évidemment, elles sont nombreuses, mais c'est peut-être moins en... toutes proportions gardées, il y en a moins que des attaques de....

Donc, cette cyberhygiène-là, dont j'ai parlé, elle est extrêmement importante, parce qu'il faut bien comprendre que la brèche, la vulnérabilité, dans un système de défense, la plus évidente à atteindre, c'est l'individu lui-même.

Mme Rizqy : Bon, vous prêchez à une convertie lorsqu'il est question d'éducation et de littéracie numérique. Par contre, je me rappelle, quand j'étais professeure d'université, bon, dans le programme, l'Université de Sherbrooke, effectivement, avait, à l'interne, son propre programme de sensibilisation. Nous, à l'Assemblée nationale... Moi, ça va faire bientôt deux ans que j'ai été élue, je n'ai pas vu la même pratique. Et pourtant on est des élus, M. le ministre, et on devrait prêcher par l'exemple.

Il y avait même un article dont... Vous y étiez, mais pas juste vous, je tiens à dire, vous n'étiez pas seulement... ce n'était pas seulement vous, il y avait d'autres élus que leurs mots de passe, là, c'était assez facile à décoder et que c'étaient les mêmes mots de passe. Et je crois que... Je ne m'en rappelle plus, peut-être que, vu que vous faisiez l'objet du reportage, vous avez une meilleure mémoire de cet article, mais je décodais, moi, qu'on pouvait avoir accès à certains comptes, soit Gmail ou peut-être même réseaux sociaux. Et dernièrement on a vu l'attaque sur Twitter, où des comptes d'élus très importants ont été piratés. Et on sait qu'aujourd'hui, souvent, certains élus, leurs positions sont affichées directement sur Twitter, et ça peut, dans certains cas, évidemment, lorsqu'on parle de la présidence américaine, déclencher une guerre. Je ne mets pas ça au même <niveau...

Mme Rizqy : …l'attaque sur Twitter, où des comptes d'élus très importants ont été piratés. Et on sait qu' aujourd'hui, souvent, certains élus, leurs positions sont affichées directement sur Twitter, et ça peut, dans certains cas, évidemment, lorsqu'on parle de la présidence américaine, déclencher une guerre. Je ne mets pas ça au même >niveau, mais, par contre…

M. Caire : …déclencher une guerre, mais bon.

Mme Rizqy : Je ne pense pas que qui que ce soit le verrait aujourd'hui, mais sait-on jamais? Si quelqu'un voit le compte de M. Caire dire : Je déclenche une guerre, il n'y a personne qui va penser que c'est vraiment peut-être sérieux à ce point-là, mais on ne sait jamais.

Alors, là-dessus, premièrement, pouvez-vous peut-être nous dire… Parce que c'est bien beau de parler d'hygiène, de cyberhygiène, mais, même nous, à l'Assemblée nationale, alors qu'on a des élus, des ministres qui ont des dossiers excessivement importants, des dossiers, des fois, très confidentiels, ultraconfidentiels, et on n'est pas nous-mêmes… on doit faire attention. On a vu qu'on peut faire l'objet d'espionnage, d'espionnage commercial.

Et je me demande... L'année passée, je vous ai posé la question : Est-ce qu'on a fait l'état des lieux de nos sites les plus importants du Québec? Ça, c'est... Ma question est longue. Inquiétez-vous pas. Je sais que quelqu'un va me répondre. Mais, là-dessus, c'est important de savoir nos sites, mais aussi les gens qu'on doit protéger davantage, certains élus qu'on doit protéger davantage aussi, parce que moi, je n'en ai pas, de secret d'État.

M. Caire : Bien, en fait, la réponse… Puis votre réponse, il y a deux volets. Puis je voudrais vraiment répondre aux deux parce que je pense qu'ils sont importants, les deux.

Vous avez tout à fait raison sur la question de l'utilisation des mots de passe. D'ailleurs, on a, au gouvernement du Québec suite à une directive qui a été émise il y a déjà un certain temps, rehaussé les exigences sur la complexité des mots de passe à utiliser, là — un, deux, trois, quatre ou dates d'anniversaire de nos enfants, peut-être moins — donc s'assurer qu'il y a une complexité dans le mot de passe, que les mots de passe... on force maintenant beaucoup plus et de façon plus large les employés de l'État ou du gouvernement au sens large à changer les mots de passe plus fréquemment pour s'assurer, effectivement, qu'au cas où on procède au vol d'un justificatif, donc l'identifier à un mot de passe, que ce soit... la période de temps où il y a un danger soit réduite. Donc, ça, c'est des directives qu'on a renforcées.

Au niveau des sites, bien, je vous disais que l'équipe d'Yvan, au Centre gouvernemental de cyberdéfense, a acquis des outils qui leur permettaient de faire des vérifications, et ces vérifications-là ont été faites. Et je peux vous dire que, très, très, très rapidement, on ne se contente pas de faire la vérification, lorsqu'il y a, et je le dis, lorsqu'il y a des problèmes qui sont rencontrés, très rapidement, les équipes vont contacter les responsables et vont leur… en fait, même pas leur proposer, leur donner la recette pour corriger la situation. Donc, c'est quelque chose qu'on fait maintenant, je vous dirais, de façon systématique et qui se fait <sur…

M. Caire : ... très rapidement, les équipes vont contacter les responsables et vont leur… en fait, même pas leur proposer, leur donner la recette pour corriger la situation. Donc, c'est quelque chose qu'on fait maintenant, je vous dirais, de façon systématique et qui se fait >sur à peu près tout ce qui est visible à partir du Web.

Bon, est-ce que tout ça est parfait? Non, rien n'est parfait. Mais je pense qu'en fonction de la question que vous m'avez adressée, je pense qu'on a rehaussé significativement la sécurité parce qu'on a amélioré notre pratique sur l'utilisation des mots de passe. Et vous l'avez <fait... vous l'avez >mentionné dans l'article, je pense qu'effectivement on s'est rendu compte qu'on avait des comportements qui pouvaient être améliorés, moi, le premier, et ça, ça a été fait.

Et on s'est rendu compte qu'au niveau de la sécurité de nos applications, sites Web, là aussi, il y avait du rehaussement à faire, et ça, on l'a fait. D'ailleurs, c'est un... J'en profite encore pour les féliciter parce qu'ils font un boulot absolument extraordinaire pour assurer la sécurité de nos applications au quotidien, là.

Mme Rizqy : M. le ministre, j'ai une question. Est-ce que l'information, les données des élus et des ministres, est logée au même endroit?

M. Caire : Excusez-moi. Je...

• (16 h 40) •

Mme Rizqy : Est-ce que les données, là, nos informations, les élus et ceux des ministres, est-ce que c'est logé au même endroit? Est-ce que c'est hébergé dans le même serveur?

M. Caire : C'est-à-dire que... Bien, les ministres étant des députés de l'Assemblée nationale...

Mme Rizqy : Oui, oui, mais je veux vraiment distinguer députés, ministres. <

M. Caire : Oui, mais...

Mme Rizqy : >Est-ce que, dans leur cas, c'est logé sur le même hébergeur ou non?

M. Caire : C'est-à-dire que, bien, non, dans le sens où, comme député, mes informations sont logées à la même enseigne que les vôtres, mais je dois vous dire que l'Assemblée nationale a joint le réseau de cyberdéfense du gouvernement. Donc, la décision a été prise par la présidence de participer à ce grand réseau de protection. Donc, non, physiquement, ce n'est pas les mêmes serveurs, l'Assemblée nationale a des serveurs qui lui sont propres, et les différents ministères et organismes ont des serveurs qui leur sont propres, mais le réseau de protection, la collaboration entre ces entités-là au niveau de la défense de nos systèmes d'information, c'est le même réseau. Et l'Assemblée nationale, comme je vous dis, de façon totalement indépendante, je tiens à le dire, a pris la décision de joindre le Réseau gouvernemental de cyberdéfense, mais il n'en demeure pas moins que c'est une entité qui est indépendante et qui a ses propres systèmes.

Mme Rizqy : O.K. Donc, si je comprends bien, c'est le même degré de protection pour un élu et un ministre?

M. Caire : Oui.

Mme Rizqy : Est-ce que ce degré de protection, est-ce qu'il a été évalué? Est-ce que vous avez fait affaire avec des hackeurs à bonnet blanc, là?

M. Caire : Ça, c'est une bonne question. Avec qui on a fait les évaluations de défense, là, on rentre un sujet sensible, Mme la députée, là. Je...

Mme Rizqy : Oui. Dans ce cas, pas besoin de me répondre au micro. C'est correct.

M. Caire : Oui, bien, c'est ça. Mais ça fera plaisir, peut-être dans un éventuel briefing, là, comme je vous proposais tout à l'heure, d'aborder ces sujets-là. Mais... Ce n'est pas que je ne veux pas vous répondre....

Mme Rizqy : Non, c'est correct, puis vous prêchez à une personne qui...

M. Caire : ...mais il y a peut-être bien des gens qui nous écoutent puis qui ne sont pas tous très bien intentionnés. Ça fait que j'aime autant rester plus discret sur la <façon...

Mme Rizqy : ... au micro. C'est correct.

M. Caire : Oui, bien, c'est ça. Mais ça fera plaisir, peut-être dans un éventuel briefing, là, comme je vous proposais tout à l'heure, d'aborder ces sujets-là. Mais... Ce n'est pas que je ne veux pas vous répondre....

Mme Rizqy : Non, c'est correct, puis vous prêchez à une personne qui...

M. Caire : ...mais il y a peut-être bien des gens qui nous écoutent puis qui ne sont pas tous très bien intentionnés. Ça fait que j'aime autant rester plus discret sur la >façon dont on se protège.

Mme Rizqy : Il n'y a aucun souci.

M. Caire : Mais ça me fera plaisir, à vous et aux collègues, de vous donner l'information sur une autre tribune, mettons.

Mme Rizqy : D'accord. Toujours sur la question des serveurs, vous êtes rendus où dans votre objectif de rétrécir le nombre de...

M. Caire : Sur la consolidation?

Mme Rizqy : Oui.

M. Caire : Bon, alors, le travail préparatoire a été fait parce que ce qui était important pour nous d'abord, c'était de qualifier les entreprises en infonuagique. On est à compléter cet exercice-là. D'autre part, il fallait aussi faire une catégorisation des données pour... parce que, bon, comme vous le savez, les données très sensibles vont rester en infonuagique du gouvernement, et les autres données, en deux catégories, seront disponibles pour des contrats de service avec des entreprises en infonuagique.

Maintenant, on a choisi cinq organismes sur la base d'avoir des organismes dont la taille va représenter les différentes possibilités du gouvernement, dont le volume de données va être représentatif du gouvernement, mais aussi dont la capacité technologique va être représentative. Parce que vous savez qu'il y a des organismes de grande taille, il y a des organismes qui ont une maturité technologique qui n'est pas la même partout, qui n'est... Alors, il y a des organismes, donc, qui vont être capables de <faire... de >réaliser la consolidation des CTI avec peu d'assistance de la part de l'ITQ, mais il y en a d'autres pour lesquels on va devoir prendre tout en charge.

Donc, on voulait avoir un échantillon pour valider nos hypothèses, parce que j'ai publiquement expliqué comment le programme allait fonctionner, comment on allait le budgéter, c'étaient quoi, les coûts, les économies. Maintenant, on est à la preuve de concept, si vous me passez l'expression. Donc, cet échantillon-là nous permet de valider nos hypothèses et ensuite de déployer à plus grande échelle.

Mme Rizqy : Avez-vous la liste des données que vous avez <dit... que vous avez >classées sensibles versus celles que vous avez classées non sensibles?

M. Caire : C'est-à-dire que c'est la définition, parce que la donnée... chaque ministère et organisme, quand on va faire la revue diligente du ministère et de l'organisme, la définition est le prisme à travers lequel on va passer la donnée pour savoir : Bon, bien, celle-là, elle est non sensible, celle-là, elle est plus sensible, celle-là, elle est très sensible. Donc...

Et on n'a pas, au Québec, on n'a pas une cartographie de notre donnée en fonction de chacune des catégories, d'une part, parce que les catégories n'existaient pas et, d'autre part, parce qu'on n'a jamais fait cette cartographie-là. Donc, un des avantages du programme de consolidation des centres de traitement de l'information, c'est qu'à la fin de l'exercice, nous allons avoir cette cartographie-là exacte de nos données. Donc, je vais être en mesure de vous dire : Voici le volume de données très sensibles dont on dispose, etc.

Mme Rizqy : Mais, pour faire <la...

M. Caire : …n'existaient pas et, d'autre part, parce qu'on n'a jamais fait cette cartographie-là. Donc, un des avantages du programme de consolidation des centres de traitement de l'information, c'est qu'à la fin de l'exercice, nous allons avoir cette cartographie-là exacte de nos données. Donc, je vais être en mesure de vous dire : Voici le volume de données très sensibles dont on dispose, etc.

Mme Rizqy : Mais, pour faire >la sélection de cinq entreprises qui doivent gérer de l'information, des données, sur une capacité, vous avez mentionné que vous avez séparé le type de données parce que vous allez garder des données que vous jugez sensibles. Quelles sont les données que vous avez jugé sensibles?

M. Caire : Bien, c'est-à-dire que je pourrais vous faire parvenir la définition. Essentiellement, c'est la même que le gouvernement fédéral. C'est des critères qui sont à rencontrer pour dire : Bon, bien, si tel, et tel, et tel critères, est-ce que le préjudice est grave? Est-ce que le préjudice… Si tant est que la volée… la volée, pardon, la donnée était volée, est-ce que c'est un préjudice qui est négligeable? Est-ce que c'est un préjudice qui est important? Est-ce que c'est un préjudice qui est grave?

Mme Rizqy : Mais je vous donne un exemple concret, là. J'ai une décision, là, une décision d'un tribunal ici, au Québec. Par exemple, mon compte d'Hydro-Québec…

M. Caire : Mais, avec votre permission, Mme la députée, je vais le sortir de sa torpeur et je vais demander à celui… et je le félicite pour sa nomination, le P.D.G. de l'ITQ, de vous répondre sur la façon dont on a structuré la catégorisation des données.

La Présidente (Mme IsaBelle) : Un instant.

M. Caire : Avec votre consentement.

La Présidente (Mme IsaBelle) : Je veux savoir si on a le consentement des autres partis également. Oui? Député de René-Lévesque aussi? Merci.

Alors, je vous invite à vous présenter et à nommer votre organisme avant de commencer à prendre la parole.

M. Rochette (Guy) : Bien là, si je nomme le bon pour aujourd'hui, là, c'est vice-président principal, services d'infrastructures et solutions d'affaires au CSPQ et futur président de l'ITQ au 1er septembre.

Des voix : ...

La Présidente (Mme IsaBelle) : Oui. En fait...

M. Rochette (Guy) : L'ITQ, l'Infrastructures technologiques Québec.

La Présidente (Mme IsaBelle) : C'est qu'on va lui demander de répéter.

Une voix : ...

La Présidente (Mme IsaBelle) : M. le ministre, M. le ministre, on va lui demander de répéter, parce qu'effectivement son micro est... Juste en arrière de votre ordinateur. Nous-mêmes, on n'a pas entendu ici. Oui. Merci. J'apprécie.

M. Rochette (Guy) : Je suis vice-président principal des services d'infrastructures et des solutions d'affaires du CSPQ et, au 1er septembre, je vais être le président-directeur général d'Infrastructures technologiques Québec.

La Présidente (Mme IsaBelle) : Et votre nom?

M. Rochette (Guy) : Guy Rochette. Bon, donc là, si on parle de la catégorisation des données, les données ont été catégorisées en trois types de données : on parle de la donnée non sensible, de la donnée sensible puis de la donnée extrêmement sensible, très sensible. Donc, il y a des critères qui ont été faits puis qui sont basés sur le  PBMN du gouvernement du Québec... du Canada et du FedRAMP au niveau, là, du gouvernement des États-Unis. Le FedRAMP, bien, c'est tous des critères de sécurité qu'ils se donnent, là, pour voir ça.

Donc je ne sais pas si vous connaissez le ISO 27001, le SOC 2, type 2 . C'est toutes des normes de <sécurité…

M. Rochette (Guy) : …PBMN du gouvernement du Québec... du Canada et du FedRAMP, au niveau, là, du gouvernement des États-Unis. Le FedRAMP, bien, c'est tous des critères de sécurité qu'ils se donnent, là, pour voir ça.

Donc je ne sais pas si vous connaissez le ISO 27001, le SOC 2, type 2. C'est toutes des normes de >sécurité.

Mme Rizqy : Moi, je tiens à vous assurer tout de suite, M. Rocher…

M. Rochette (Guy) : Rochette.

Mme Rizqy : …les normes ISO, tout ça, à part celles qui sont environnementales, je vais être bien honnête avec vous, non, je ne connais pas. Par contre, si vous me parlez en langage clair, il y a de fortes chances que monsieur et madame à la maison qui nous regardent vont aussi comprendre.

Donc, moi, par exemple, je veux savoir, mon Dossier santé, dans quelle catégorie qu'il va tomber. Catégorie un, pas sensible, moyennement sensible ou, la troisième catégorie, extrêmement sensible? Mon dossier Revenu Québec, mon dossier à la SAAQ puis, par exemple, mon dossier éducation, parce qu'on a aussi un dossier éducation primaire, secondaire qui nous suit, on a notre code permanent qui nous suit tout le long de notre vie d'élève à étudiant. Moi, c'est plus comme ça que j'aimerais comprendre, là, les catégories.

M. Rochette (Guy) : O.K. Nous autres, on a…

Une voix :

M. Rochette (Guy) : O.K.

Mme Rizqy : Sinon, on a un autre bloc.

La Présidente (Mme IsaBelle) : ...M. Rochette.

M. Rochette (Guy) : O.K. On a produit un guide d'analyse de préjudices qui détermine la valeur de la donnée. Et il y a plusieurs… il y a des catégories au niveau de la donnée, et, en fonction de la donnée, le ministère ou l'organisme va regarder ce guide-là, qui a plusieurs critères puis plusieurs étapes et qui va lui permettre de catégoriser la donnée dans la bonne… dans la donnée sensible, non sensible ou extrêmement sensible. Et, si la donnée a été évaluée comme extrêmement sensible, elle va être logée dans l'infonuagique gouvernementale. Si elle est sensible, elle va être logée dans l'informatique… dans l'infonuagique externe, mais seulement que dédiée à certaines compagnies qui vont respecter les critères de sécurité qui ont été très… qui ont été élaborés. Et, si elle est non sensible, bien, ça va être placé dans un… il y aura un éventail plus large de fournisseurs en infonuagique externe.

Mme Rizqy : O.K. Puis pour que nous, on puisse comprendre, là, par exemple, nos dossiers étudiants, c'est quelle catégorie?

M. Rochette (Guy) : Bien là, ça, je ne peux pas le dire par rapport à… parce que moi, je n'ai pas fait l'analyse de préjudice par rapport à tout ça. Mais, regarde, je vais vous donner l'exemple…

Mme Rizqy : O.K. D'accord. Est-ce qu'on peut voir, par exemple, l'opinion juridique pour en prendre connaissance, pour bien comprendre les catégories puis essayer d'avoir une meilleure perspective?

M. Rochette (Guy) : Oui.

Mme Rizqy : On pourrait l'avoir? Parfait. Alors, si on peut avoir l'opinion juridique, je vais en prendre connaissance.

• (16 h 50) •

M. Rochette (Guy) : Oui, oui. Puis aussi on peut vous envoyer le guide, là, d'analyse de préjudices. Il est tout élaboré.

Mme Rizqy : Parfait. Oui, j'aimerais bien. Merci.

La Présidente (Mme IsaBelle) : Donc, vous allez transmettre ce guide à la commission, à la secrétaire?

Mme Rizqy : Et l'opinion juridique.

La Présidente (Mme IsaBelle) : Et le plan? Parfait.

Mme Rizqy : Merci.

La Présidente (Mme IsaBelle) : On le fera après la commission. Ça vous va comme ça?

Mme Rizqy : Oui, oui, oui. Il n'y a pas d'urgence.

La Présidente (Mme IsaBelle) : Excellent!

M. Caire : …Mme la Présidente, à la commission, puis les membres de la commission en prendront connaissance à leur guise.

La Présidente (Mme IsaBelle) : Parfait. Mais ça sera après la commission. Parfait. Il vous reste 24 secondes.

Mme Rizqy : Ah! bien non, c'est que… Bien, à moins que… Non, parce que je comprends qu'il ne peut pas... M. Rocher ne peut pas me dire immédiatement la catégorie. Alors donc, je vais prendre connaissance de l'opinion juridique, du guide, et, à ce moment-là, je risque de vous revenir avec d'autres questions ultérieurement.

La Présidente (Mme IsaBelle) : Merci, M. Rochette.

Alors, nous poursuivons avec le troisième groupe d'opposition, avec <le…

Mme Rizqy : ... c'est que… Bien, à moins que… Non, parce que je comprends qu'il ne peut pas... M. Rocher ne peut pas me dire immédiatement la catégorie. Alors donc, je vais prendre connaissance de l'opinion juridique, du guide et, à ce moment-là, je risque de vous revenir avec d'autres questions ultérieurement.

La Présidente (Mme IsaBelle) : Merci, M. Rochette.

Alors, nous poursuivons avec le troisième groupe d'opposition, avec >le député de René-Lévesque. Vous avez 10 minutes.

M. Ouellet : Merci beaucoup, Mme la Présidente. Donc, je vais faire du rebond sur la collègue, à savoir... M. le ministre, vous avez dit qu'on n'avait pas de cartographie. C'est ça que j'ai bien pu comprendre. Pouvez-vous en dire un peu plus? Pourquoi est-ce qu'on n'a pas de cartographie ou... Mon autre question, ce serait : Est-ce que les données actuelles du gouvernement ont été catégorisées? Et, si oui, qu'est-ce que ça a donné? Et, sinon, quand est-ce que ce sera fait?

M. Caire : Bien, en fait, pourquoi il n'y en a pas, parce que ça n'a jamais été fait. Puis ça n'a jamais été fait parce que chaque ministère et organisme, de par sa loi constitutive, est propriétaire de la donnée qu'il collecte. Parce que la loi dit que le ministère et/ou l'organisme est propriétaire de ses actifs, et, à ce jour, la donnée a été considérée comme un actif. Donc, c'était propre... c'était la propriété de chaque ministère et organisme. Et donc, au niveau du gouvernement du Québec, ça n'a jamais été fait.

Donc, maintenant, ce qu'on fait par le programme de consolidation des centres de traitement de l'information et vu qu'on ramène ça à sa plus simple expression, on parle de trois sites, notamment, au niveau du gouvernement, mais aussi avec des contrats de services, avec des entreprises en infonuagique, ça nous oblige, de ce fait, à procéder à la catégorisation des données pour savoir où est-ce qu'on va les envoyer. Donc, je vous dirais que, par la force des choses, on va devoir cartographier cette donnée-là, et là on va savoir quel est le volume de données non sensibles qu'on possède, quel est le volume de données peu sensibles et quel est le volume de données extrêmement sensibles.

L'hypothèse de base, c'était que les données extrêmement sensibles, ça représentait 20 % du total des informations que le gouvernement du Québec possédait. C'était l'hypothèse de base. On a déjà fait des démarches auprès des ministères et organismes pour voir, de leur côté, si on était à peu près sur la cible, puis je vous dirais que les chiffres qu'on a obtenus nous amènent à penser que cette hypothèse-là, à quelques pourcentages, devrait se vérifier.

Maintenant, à la fin de l'exercice, là on sera en mesure de vous donner un volume de données beaucoup plus précis pour chaque catégorie, et là le gouvernement saura exactement de quels actifs il dispose.

M. Ouellet : Donc, si je comprends bien, vous aviez déjà énoncé votre volonté d'aller en infonuagique sans avoir les informations totales sur le nombre de données détenues et surtout sa catégorisation, qui allait vous faire dire, avant d'avoir les chiffres, qu'on était autour de 20 %. Là, je comprends que votre choix est déjà fait pour ce qui est des technologies. Je comprends que vous êtes à catégoriser, qui va vous amener à cartographier. Vous nous dites que ça devrait tourner autour de 20 %. Ce n'est pas encore le chiffre final. Ce chiffre sera connu, mais ça pourrait varier. C'est ce que je comprends.

M. Caire : Oui, tout à fait. Par contre, je vous dirais que <la...

M. Ouellet : ... pour ce qui est des technologies. Je comprends que vous êtes à catégoriser, qui va vous amener à cartographier. Vous nous dites que ça devrait tourner autour de 20 %. Ce n'est pas encore le chiffre final. Ce chiffre sera connu, mais ça pourrait varier. C'est ce que je comprends.

M. Caire : Oui, tout à fait. Par contre, je vous dirais que >la décision d'aller en infonuagique ne relève pas du degré de sensibilité de la donnée, dans le sens où toutes les données que possède le gouvernement vont être stockées en fonction de cette technologie-là qu'est l'infonuagique, ce qui va... L'influence de la catégorie de la donnée va être à l'effet que... de quelle façon on va stocker l'information en infonuagique.

Alors, comme disait M. Rochette, des données peu sensibles pourraient être conservées dans un environnement dont les normes de sécurité sont assez strictes. Des données qui ne sont pas sensibles, par exemple, M. le député, je pense à notre site donneesquebec.ca, c'est de la donnée ouverte. Alors, vous comprendrez qu'il n'y a pas... Non, ce n'est pas vrai. J'allais dire : Il n'y a pas de sécurité à y avoir. Il y a de la sécurité à y avoir, mais ce n'est pas le même niveau de sécurité. On va avoir de la sécurité parce qu'on ne voudrait pas qu'un petit comique vienne mettre des choses inappropriées sur notre site, là. Ça fait qu'on comprend qu'il y a quand même de la sécurité.

Ceci étant dit, on ne souhaite pas qu'il y ait un site hypersécurisé contre les fraudeurs parce que, dans le fond, c'est des données qu'on souhaite qu'elles puissent être utilisées par nos concitoyens.

Par contre, de la donnée très sensible, bien, évidemment, ça va être en infonuagique, mais gouvernemental, parce qu'on va s'imposer à nous-mêmes les plus hauts standards de sécurité, autant sur la protection électromécanique que l'accès au bâtiment, que l'accès au serveur, que les couches de protection de logiciel dont parlait M. Rodrigue, tout à l'heure, pour se protéger contre des attaques malicieuses, autant sur la formation du personnel. Parce que, comme je le disais à Mme la députée de Saint-Laurent... Puis on l'a vu avec Desjardins. L'attaque qu'a subie Desjardins était une attaque d'un employé de Desjardins qui s'est servi de ses droits pour aller chercher cette donnée-là. Donc, c'est l'ensemble de cette protection-là qu'on doit voir et pour laquelle on doit s'assurer qu'on fait le maximum.

M. Ouellet : Je vais changer de registre, si vous me permettez. De la stratégie numérique on va passer à l'identité numérique, mais cette fois-ci sur le Web. On sait que, depuis 2006, le standard du nom de domaine Internet du gouvernement est d'utiliser le suffixe «gouv.qc.ca». En 2008, l'OBNL PointQuébec a sollicité le gouvernement du Québec afin de l'aider dans ses démarches pour obtenir le nom de domaine «.quebec». Une motion a été adoptée à l'unanimité à l'Assemblée nationale pour appuyer sa démarche. En 2014, PointQuébec a obtenu le suffixe ainsi que le droit de l'utiliser. Ma collègue députée de Joliette, à l'époque, avait même présenté une motion que la CAQ avait appuyée.

Donc, ma question au ministre : Est-ce que le standard de 2006 est encore en vigueur? Et, sinon ou si oui, êtes-vous intéressé à aller de l'avant avec le <suffixe...

M. Ouellet : ... appuyer sa démarche. En 2014, PointQuébec a obtenu le suffixe ainsi que le droit de l'utiliser. Ma collègue députée de Joliette, à l'époque, avait même présenté une motion que la CAQ avait appuyée.

Donc, ma question au ministre : Est-ce que le standard de 2006 est encore en vigueur? Et sinon, ou si oui, êtes-vous intéressé à aller de l'avant avec le >suffixe «.quebec»?

M. Caire : Écoutez, ce n'est pas des discussions... honnêtement, ce n'est pas des discussions qu'on a eues, puis pas parce que le sujet ne mérite pas notre attention, mais je vous dirais que, quand on est arrivés aux affaires, il y avait beaucoup de choses qui devaient capter notre attention.

Je vous ai donné l'exemple du programme de consolidation des CTI. Il faut comprendre que, si on s'est lancé là-dedans, c'est parce qu'il y avait des situations préoccupantes quant à la façon dont on stockait nos informations. On a parlé de cybersécurité tout à l'heure. C'est un enjeu qui était extrêmement préoccupant et prioritaire, auquel on s'est adressés. Je vous parle du service québécois d'identité numérique parce qu'il y a une hypothèque quant à l'utilisation des services numériques. ClicSEQUR est extrêmement complexe à utiliser, puis c'est un frein à l'utilisation des services numériques, puis, en plus, on se rend compte que cette technologie-là est désuète. Donc, il y a eu beaucoup de dossiers, pour être honnête, puis je pense que le DPI pourra témoigner que... L'autre jour, il était tout content d'avoir eu 45 minutes pour dîner. D'ailleurs, c'est beaucoup trop, mais, bon, on s'en reparlera.

Mais, ceci étant dit, ce n'est pas un dossier, je vous avoue, très, très, très candidement, M. le député, puis pas parce que ça ne mérite pas qu'on s'y attarde, ce n'est pas un dossier sur lequel on s'est penché au moment où on se parle. Mais j'aurai beaucoup de plaisir à en discuter avec vous, effectivement, si le sujet vous intéresse.

M. Ouellet : Bien, on en parle depuis longtemps puis, en 2014, on s'est assuré d'avoir le «.quebec», qu'il nous appartienne. La grande question, c'est : Est-ce qu'un jour on va faire ce virage-là, qui est un peu notre identité et qui, je pense, serait facilitant aussi dans l'ensemble des communications ou la transmission d'informations à travers le gouvernement du Québec? Le «.gouv.qc.ca», c'est un peu long, il y a un risque d'erreur, tandis que le «.quebec» serait, un, d'une part, plus facile mais, surtout, ferait partie, effectivement, de l'identité québécoise de la nation québécoise, et je pense que ça serait assurément une chose à regarder.

Puis je comprends que, sur le tableau de bord, il y a plusieurs choses. Je ne dis pas que c'est la priorité numéro un, mais ce que j'aimerais entendre du ministre de la Transformation numérique, c'est que la transformation numérique qu'on est en train d'opérer se fasse aussi dans l'identité Web, qui va permettre au gouvernement du Québec ainsi qu'à ses instances et à ses fonctionnaires, et à ses organismes qui sont autour du gouvernement d'avoir une entité unique qui nous permet d'affirmer notre identité, mais aussi notre unicité à travers cette immense… toile Web, pardon, qu'est l'Internet.

• (17 heures) •

M. Caire : Bien, je peux vous dire que le standard est toujours actif, là, ça, ce n'est pas un problème. Mais, <effectivement, moi, je ne suis pas...

>


 
 

17 h (version révisée)

<16495 M. Ouellet : …qui nous permet d'affirmer notre identité, mais aussi notre unicité à travers cet immense Web… toile Web, pardon, qu'est l'Internet.

M. Caire : Bien, je peux vous dire que le standard est toujours actif, là, ça, ce n'est pas un problème, mais, >effectivement, moi, je ne suis pas hostile à cette idée-là, pas du tout. Ceci étant dit, je pense que vous l'avez bien résumé, M. le député, disons que, dans la liste… Et quelqu'un de très sage m'a dit : Il faut faire la distinction, quand on arrive dans un poste de gestion, entre ce qui est urgent et ce qui est important. On s'est attaqué à ce qui était urgent, puis je vous dirais qu'on n'a pas encore fini de compléter le travail dans les urgences. C'est certainement un sujet important qui méritera notre attention lorsque ce sera approprié de le faire, mais je vous dirais que, pour l'instant, on est vraiment à essayer de régler les urgences au niveau de la transformation numérique.

La Présidente (Mme IsaBelle) : Merci. Il reste 20 secondes.

M. Ouellet : Ah! bien, je vais le reporter à mon prochain bloc, terminer la discussion sur ça.

La Présidente (Mme IsaBelle) : Parfait. Alors, nous poursuivons avec un autre bloc avec l'opposition officielle et avec la députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup. <J'ai eu, >Durant l'échange entre le député de René-Lévesque et le ministre, je suis allée fouiller un peu. Puisque vous avez dit que vous catégorisez les données, un peu à l'instar d'Ottawa, donc, je suis allée voir le site Web d'Ottawa, et il y a les données confidentielles, secrètes et ultrasecrètes. Alors là, je suis un peu, je vous dirais, M. le ministre… parce que le cadre d'Ottawa… puis j'ai aussi un peu regardé, là, je vous dirais que je n'ai pas eu le temps de regarder les 75 pages, mais j'ai regardé en diagonale le cadre normatif du Québec, et, même dans le cadre, ce n'est pas précis, c'est quoi qu'on va considérer confidentiel, secret et ultrasecret.

M. Caire : Bien, en fait, <dans notre… >de notre côté à nous, là, ce qui est secret, ultrasecret et confidentiel va se ramasser dans la catégorie de la donnée sensible. Ce dont on va vous faire part, ce qu'on va vous faire parvenir, c'est le guide dont on va doter les organismes pour aller plus largement dans le non sensible. Puis, tantôt, c'est ce que je disais au collègue de René-Lévesque, le Québec s'est doté d'un site qui s'appelle donneesquebec.ca, qui est de la donnée ouverte. Alors, on peut comprendre qu'une donnée comme celle-là n'a pas besoin d'être entourée des mêmes mesures de sécurité qu'une donnée qui est extrêmement sensible, pour laquelle, comme je vous expliquais, Mme la députée, on est à rehausser l'édifice où loge actuellement feu le CSPQ — hein, je peux dire ça, feu le CSPQ? — bon, parce qu'il faut assurer la sécurité physique des lieux, il faut assurer la sécurité des accès, il faut s'assurer de la probité des gens qui vont y <travailler…

M. Caire : ...où loge actuellement feu le CSPQ — hein, je peux dire ça, feu le CSPQ? — bon, parce qu'il faut assurer la sécurité physique des lieux, il faut assurer la sécurité des accès, il faut s'assurer de la probité des gens qui vont y >travailler, il faut s'assurer que les équipements électromécaniques sont à la fine pointe. On est aussi, là... l'ITQ est à faire les démarches pour aller se chercher une certification ISO 27001, qui, comme vous le savez, est le plus haut niveau de certification en matière de sécurité de l'information. Donc, toutes ces mesures-là, on les met en place. Et ce qu'on fait au gouvernement du Québec, c'est pour... Alors, il n'y aura pas de confidentiel, ultraconfidentiel. Ça va être les données sensibles qui vont regrouper l'ensemble de ces définitions-là.

Maintenant, le guide qu'on va vous fournir va être celui qui va être utilisé par les ministères et organismes, qui vont avoir à faire la revue diligente et la catégorisation de leurs données pour ensuite savoir avec qui ils vont faire affaire pour le stockage de données. Est-ce que ce sera l'ITQ? Est-ce que ce sera des entreprises de services infonuagiques qui ont atteint un niveau de certification raisonnable en matière de sécurité ou est-ce que ce sera des organismes dont les mesures de sécurité sont moindres, mais qui sont quand même... dans la mesure où, je vous l'ai dit, qu'il ne faudrait pas non plus qu'on se ramasse avec des données non pertinentes ou indésirables sur des sites qui sont du gouvernement.

Mme Rizqy : Oui, mais je doute que le gouvernement du Québec conserve des données non pertinentes des citoyens. Et là je suis, en ce moment, en train de lire le cadre légal et normatif du gouvernement du Québec puis, honnêtement, là, je n'ai pas lu les 74 pages, là, mais <il n'y a pas...>j'ai passé en diagonale durant votre échange, et il n'y a pas le commencement, là, de quoi que ce soit qui peut me donner à moi, simple citoyenne quand même élue, de qu'est-ce qui est une donnée sensible versus qu'est-ce qui est ultrasecret. Donc, moi, là, ce que je comprends, c'est qu'il y a trois catégories : sensible, moyennement sensible et ultrasensible. Extrêmement sensible, pour reprendre, je pense, M. Rochette, ses termes. La seule chose qui va être gardée au niveau du Québec, du gouvernement, c'est des données extrêmement sensibles, mais les deux autres catégories sont quand même gérées par le privé, là.

Donc, moi, je pense que ce qui se conçoit bien s'énonce clairement. Je viens de regarder 74 pages, puis, là-dedans, il n'y a rien, là, qui dit, exactement, là, qu'est-ce qu'une donnée sensible. Et je crois que les Québécois doivent comprendre qu'est-ce qui va être privatisé versus qu'est-ce qui va rester dans la gestion du gouvernement. C'est pour ça que je reviens avec des exemples simples. Puis là, là-dedans, je m'excuse, mais le cadre, là, qui est présenté, qui a été publié, il n'y a pas d'exemple simple. Alors, ça devient très difficile pour moi, là, ça devient un débat pratiquement théorique. Puis, quand on dit : On vous a donné un cadre légal et normatif, bien, vous le savez aussi bien que moi, un <cadre...

Mme Rizqy : ... dans la gestion du gouvernement. C'est pour ça que je reviens avec des exemples simples. Puis là, là-dedans, je m'excuse, mais le cadre, là, qui est présenté, qui a été publié, il n'y a pas d'exemple simple, alors ça devient très difficile pour moi, là, ça devient un débat pratiquement théorique. Puis, quand on dit : On vous a donné un cadre légal et normatif, bien, vous le savez aussi bien que moi, un >cadre légal et normatif, si moi, je ne suis pas capable de le comprendre, puis je suis avocate, le citoyen, là, qui n'a pas juste ça à faire, il ne comprendra pas plus que moi, là.

M. Caire : Bien, je vous entends, Mme la députée. Ceci étant, je voudrais quand même faire la part des choses, parce que<...Puis > je comprends ce que vous dites puis je ne suis pas insensible à ce que vous dites, puis on pourra avoir des discussions <sur... >avec les équipes pour savoir est-ce qu'on peut rendre publique une information digeste sur les définitions qu'on se donne.

Ceci étant dit, <vous êtes... >Mme la députée, vous êtes aussi avocate et vous savez que le corpus législatif québécois n'est pas non plus à la portée de M. et Mme Tout-le-monde parce qu'il y a des choses qui sont complexes et qui méritent, qu'on soit… je vous dis, qu'on les adresse d'une façon assez précise. Et, oui, je pense qu'on peut peut-être faire des efforts pour mieux vulgariser des informations qu'on donne, mais il reste qu'un cadre normatif, ça se doit quand même d'être étoffé.

Il y a un guide qui vient avec ça. Ce guide-là est à l'attention des responsables des ministères et organismes, qui sont quand même des initiés, donc, pour être sûr que tout le monde est clair et tout le monde sait ce qu'il a à faire. Oui, ça se peut qu'on produise des documents qui ne sont pas à la portée de tout le monde. Est-ce qu'on peut faire un meilleur effort pour en faire un qui va être plus digeste? Je vous entends, Mme la députée.

Ceci étant dit, je vais apporter une petite correction, parce que ça, c'est quelque chose qui me chatouille un petit peu plus quand vous parlez de privatiser la donnée. Moi, je veux être très clair, on va retenir...

Une voix :

M. Caire : Non, c'est ça. Justement, non, la gestion demeure la responsabilité des ministères et organismes. On va utiliser de l'espace infonuagique, on va utiliser des services infonuagiques, mais le propriétaire de la donnée, le responsable de la donnée et le gestionnaire de la donnée demeure le ministère et organisme à qui appartient la donnée. Donc, il y a zéro privatisation de la donnée, quel que soit son niveau de sensibilité. Parce que privatisation signifie qu'on donne la propriété. Alors, ça, là, il n'en est pas question, je veux vous rassurer, Mme la députée.< Puis... >

Mme Rizqy : M. le ministre, je reprends mot pour mot les propos de votre collègue qui était, à l'époque, président du Conseil du trésor. C'est lui qui a utilisé le terme «privatisation». <Et je...>

M. Caire : Bien, comptez sur moi pour le corriger comme il le mérite.

Mme Rizqy : Je sens vraiment ici votre engouement pour protéger ce terme. Par contre, au niveau factuel, factuellement, c'est quand même... Et vous étiez alors présent, lors de cette annonce, et M. le président du Conseil du trésor de l'époque, qui est rendu aujourd'hui ministre de la Santé, a dit : Plus de 80 % des données seront maintenant gérées par le privé. Et il parlait, à ce moment-là, des <serveurs...

Mme Rizqy : ... factuellement, c'est quand même... Et vous étiez alors présent, lors de cette annonce, et M. le Président du Conseil du trésor de l'époque, qui est rendu aujourd'hui ministre de la Santé, a dit : Plus de 80 % des données seront maintenant gérées par le privé. Et il parlait, à ce moment-là, des >serveurs, et de libérer l'espace du gouvernement, et de prendre de l'espace au niveau du privé. Et, à ce moment-là, il parlait d'économies.

Moi, là, je ne suis même pas encore dans ce débat-là, d'économies. Vous savez comment que je suis sceptique là-dessus quand c'est géré par le privé. Moi, je suis vraiment en train de comprendre. Juste, un, je veux qu'on cerne notre débat entre vous et moi, là, aujourd'hui, parce qu'un prénom puis un nom de famille, ça peut sembler pas sensible comme information si vous vous appelez Martin Ouellet. Ça se peut qu'il y en ait plusieurs au Canada. Si vous vous appelez Marwah Rizqy, bien, il y en a une, elle est devant vous. Donc, moi, je vais dire : Bien, c'est quand même un petit peu sensible parce que, moi, vous allez m'identifier si jamais il y a un risque de fuite de données.

Et là, c'est là-dessus que j'ai besoin de vous, parce que dire que les ministères auront plus d'informations, c'est une chose puis c'est correct, mais le citoyen, c'est son information personnelle, c'est lui qui doit comprendre les tenants et aboutissants de la stratégie numérique que vous voulez développer, le citoyen qui doit comprendre qu'est-ce qui se passe à partir de maintenant, quels sont les risques. Et il n'y aurait pas un guide aussi important, de 74 pages, au niveau du Québec, plus celui du fédéral, si ce n'était pas si important. Et <le cadre... >je regarde le cadre normatif, là, il y a une dizaine de lois, là, auxquelles vous faites référence. Ça veut dire que c'est important. Mais, après ça, il faut le vulgariser. Et, moi, là, mes questions sont tellement simples. Je veux juste savoir le dossier santé, qui qui le gère à partir de... où est-ce qu'il va être stocké? Je vais enlever même de mon vocabulaire, pour vous faire plaisir, le mot «gérer». Dossier santé va être stocké où? Dossier étudiant va être stocké où? Le dossier Revenu Québec va être stocké où? Le dossier permis de conduire va être stocké où? Aussi simple que ça. Si vous me répondez à ces quatre-là, écoutez, là, je vais être heureuse.

• (17 h 10) •     

M. Caire : Vous me permettrez de revenir, peut-être, à la genèse de votre question, parce que j'entends votre appel du pied sur le fait qu'il y a peut-être un effort supplémentaire à faire sur la vulgarisation de ce qu'on veut faire en termes de catégorisation des données et comment on va procéder pour décider où est-ce que les données des Québécois vont être stockées. J'entends votre appel du pied, Mme la députée, puis je prends l'engagement aujourd'hui de m'asseoir avec les équipes puis dire : Bon, bien, il y a-tu un effort qu'on peut faire pour s'assurer, là, de produire un document intelligible pour M. et Mme Tout-le-monde?

Ceci étant dit, vous comprendrez que c'est des sujets qui sont complexes, qui ne sont pas toujours si simples que ça à vulgariser. Vous venez du milieu du droit. Quelquefois, je suis convaincu que vous avez eu la lourde tâche d'essayer d'expliquer à des citoyens le corpus législatif québécois puis vous vous êtes demandé : Bon, O.K., comment je leur explique ça maintenant? Mais cet effort-là, on va le faire.

Maintenant, sur la base de l'exercice de dire... bien, je vous dirais, il faudrait prendre la donnée puis la faire passer à travers le processus qu'on va mettre en place. Puis ça, ça fait partie de ce dont <je...

M. Caire : ...je leur explique ça maintenant? — mais cet effort-là, on va le faire.

Maintenant, sur la base de l'exercice de dire... bien, je vous dirais, il faudrait prendre la donnée puis la faire passer à travers le processus qu'on va mettre en place. Puis ça, ça fait partie de ce dont >je vous parlais tout à l'heure. Quand on a parlé des organismes cibles, bien, ça venait aussi avec le fait qu'on va tester ce processus-là. Et donc on va s'assurer, à travers cet échantillon d'organismes là, que notre modèle fonctionne bien, qu'il fait le travail. Et ça, ça inclut le fait que, quand on a fait passer la donnée à travers le prisme du guide et que cette donnée-là, on se dit : Bon, bien, on la met dans tel niveau d'infonuagique, que le résultat final nous apparaît être correct, si le résultat final nous dit : Je ne suis pas sûr que ça donne le résultat qu'on souhaitait, bien, il faut être capable de changer le modèle puis d'ajuster le guide.

Mme Rizqy : Bon, là, si je comprends bien, les ministères vont utiliser le protocole, ils vont faire passer, pour reprendre votre expression, le prisme et vont faire une décision. Une fois que la décision est prise, qui a l'obligation de vérifier que c'est la bonne décision qui est prise?

M. Caire : O.K. En fait, le ministère ou l'organisme propriétaire de la donnée va faire cet exercice-là. L'ITQ aura l'obligation de valider la décision qui aura été prise, et, en cas de désaccord, c'est l'ITQ qui va trancher.

Mme Rizqy : ...question. Qui est imputable en cas de mauvais entreposage, en cas de fuite de données? Qui devient imputable? L'entreprise qu'on a rémunérée ou le gouvernement?

M. Caire : Bien là, je veux juste être sûr que je comprends bien votre question. Donc, ce que vous dites, c'est que je suis un organisme, je suis en service avec une entreprise d'infonuagique, je stocke de l'information, et il y a un bris de confidentialité, disons, de la donnée sensible, il y a un non-respect du contrat. Est-ce que c'est ça votre question?

Mme Rizqy : Dès lors qu'il y a une fuite de données chez un des fournisseurs de services, que ce soit catégorie 1, 2 ou 3, qui devient responsable? Qui devient imputable?

M. Caire : Bien, ça me prendrait un cas.

Mme Rizqy : Bien, je vais vous donner un exemple.

M. Caire : Parce qu'il y a des ententes contractuelles, et, s'il y a bris ou s'il y a non-respect du contrat, bien, évidemment, c'est l'entreprise qui est en défaut. Si l'erreur s'est produite au niveau du ministère ou de l'organisme qui est propriétaire de la donnée, bien, c'est cet organisme-là, à travers son plus haut dirigeant, qui est imputable. Puis, ultimement, là, puis ultimement, je vous dirais que c'est moi qui vais répondre à vos questions. Ça, il y a quelque chose qui me dit ça.

Mme Rizqy : O.K., oui, mais, avant d'arriver à «ultimement», là, moi, ce que je regarde vraiment… Je vais vous donner un exemple, là. Rappelez-vous quand aux serveurs d'Amazon une ex-employée, lors de son travail chez Amazon, a découvert <la...

M. Caire : ...je vous dirais que c'est moi qui vais répondre à vos questions, ça, il y a quelque chose qui me dit ça.

Mme Rizqy : O.K., oui, mais, avant d'arriver à «ultimement», là, moi, ce que je regarde vraiment… Je vais vous donner un exemple, là, rappelez-vous, quand, aux serveurs d'Amazon, une ex-employée, lors de son travail chez Amazon, a découvert >la brèche, la personne est partie et finalement a exploité la brèche une fois qu'elle n'était plus à l'emploi d'Amazon. Amazon s'est virée de bord, en disant : Ah! bien, ce n'est pas chez nous, le problème. Malgré que c'était une ex-employée, elle disait : Oui, mais notre client, au niveau de ses données cryptées, ce n'était pas parfaitement bien crypté, donc, au fond, relayait la faute chez le client, grosso modo. Et ça, ça risque souvent d'arriver, que ce soit cette entreprise. Et je ne veux pas cibler cette entreprise. Toutes les entreprises, dès lors qu'il y a une fuite de données, c'est le naturel, les compagnies d'assurance qui les représentent vont essayer de trouver quelqu'un d'autre à blâmer. Alors, moi, j'aimerais savoir : Dans les contrats, là, que vous avez rédigés, avez-vous pensé à cela?

M. Caire : Oui. Et d'ailleurs, dans le cas que vous citez, Mme la députée, l'entreprise a été blâmée par la cour au final. Donc, on a reconnu que c'était la responsabilité de l'entreprise, ce qui s'était passé, et non pas du fournisseur de services.

Donc, dans le cas qui nous préoccupe, dans le cas de l'exemple que vous citez, si, effectivement... Puis c'est en lien avec ce que j'ai dit, le ministère et l'organisme demeurent le gestionnaire de la donnée, demeurent responsables de la donnée quant à sa gestion. L'entente avec l'entreprise d'infonuagique, c'est le cadre dans lequel on va gérer ça. Et donc, si tant est que le bris de sécurité venait du fait qu'on a mal géré le départ d'un employé, clairement, c'est l'organisme qui serait à blâmer. Mais, ultimement, comme je vous dis, la responsabilité ministérielle fait en sorte que quelque chose me dit qu'au salon bleu c'est moi ou un collègue qui répondrait à vos questions.

Mme Rizqy : Oui, mais, vous voyez, il y a une petite contradiction, puis la contradiction n'émane pas de vous, là. Vous venez de dire, bien, dans le cas qui nous occupe, dans l'exemple que j'ai donné, malgré que l'ex-employée a découvert la brèche alors qu'elle était à l'emploi d'Amazon, vous venez de dire, bon : Bien, c'est l'entreprise, finalement, qui a été blâmée, pas Amazon, mais le client, là.

M. Caire : <Elle n'était pas... Ce n'était pas... >Elle n'était pas employée d'Amazon, elle était employée de... je ne me souviens plus le nom, là, <de... >mais, en tout cas.

Mme Rizqy : Bon, peut-être qu'on ne parle pas du même dossier. D'accord. <Mais, bon...>

M. Caire : C'était une ex-employée de l'entreprise qui a été blâmée, et non pas d'Amazon.

Mme Rizqy : O.K. Peut-être qu'on va...

M. Caire : Mais peut-être que je me trompe, là, je vois votre regard sceptique, là. Mais, ceci étant, dans le…

Mme Rizqy : Bien, dans le doute...

M. Caire : Dans le contexte, je dirais que la responsabilité échoit à l'entreprise qui n'aura pas su gérer le départ d'un employé soit parce qu'on ne lui a pas enlevé ses accès, soit parce qu'on n'a pas éliminé son mot de passe, soit parce que... Bon, je pense que, quand un employé quitte, il y a des gestes à poser. Ce n'est pas toujours le cas, mais il faut s'assurer que ces gestes-là sont posés. Et ça, ça fait partie de la responsabilité de l'employeur, de s'assurer que cet employé-là ne peut pas se servir de ses anciens privilèges pour poser des gestes qui sont nuisibles.

Mme Rizqy : Et c'est quoi vos garanties? Parce qu'il y a des entreprises qui sont milliardaires, Amazon, puis d'autres qui ne le <sont...

M. Caire : ... il faut s'assurer que ces gestes-là sont posés. Et ça, ça fait partie de la responsabilité de l'employeur, de s'assurer que cet employé-là ne peut pas se servir de ses anciens privilèges pour poser des gestes qui sont nuisibles.

Mme Rizqy : Et c'est quoi vos garanties? Parce qu'il y a des entreprises qui sont milliardaires, Amazon, puis d'autres qui ne le >sont pas. Alors, c'est quoi vos garanties si jamais il y a une… au niveau des respects?

M. Caire : O.K. Au niveau des... Parce que, là, je comprends que vous amenez le débat sur les entreprises fournisseurs de service, alors, à ce niveau-là, on a négocié, puis c'est une des étapes qui a été peut-être la plus complexe, parce qu'on a négocié un contrat type pour s'assurer d'un certain nombre de choses, notamment — puis là, si je dis des niaiseries, Guy, tu me lanceras quelque chose — mais notamment que, bon, on n'utilisait pas des paradis fiscaux.

M. Rochette (Guy) :

M. Caire : Vas-y donc, voir.

M. Rochette (Guy) : O.K. bien, c'est parce que ce qu'on regarde...

La Présidente (Mme IsaBelle) : Ah oui!

M. Caire : Bien, avec votre consentement.

La Présidente (Mme IsaBelle) : Oui. Allez-y, M. Rochette.

M. Rochette (Guy) : Au niveau de la donnée, bien, il faut que le pays ou l'endroit où est-ce que les données vont être hébergées ont une protection des renseignements personnels équivalente ou supérieure à celle du Québec et qui respecte aussi le droit de l'homme. Donc, tu sais, c'est ces deux critères-là. Donc, ça a tout été analysé. Ça fait que ceux qui nous suggéraient des sites où les données pouvaient être hébergées mais qui ne respectaient pas ces conditions-là, bien, ils n'ont pas été retenus.

M. Caire : Il n'y a pas des temps de réponse aussi?

M. Rochette (Guy) : Oui, il y a les temps de réponse, mais ça, ça fait partie de...

M. Caire : Oui, c'est ça, on a ajouté… il y a des temps de réponse minimums, quand on fait une requête, pour aller chercher la donnée, là. Il y a un ensemble de facteurs qui ont été prescrits et qui font l'objet de l'entente type.

Une voix : ...

La Présidente (Mme IsaBelle) : Il reste 1 min 35 s à l'échange.

• (17 h 20) •

Mme Rizqy : O.K. Alors, moi, j'aimerais juste voir, si c'est possible, est-ce que... les contrats types, pouvez-vous les déposer pour qu'on puisse voir le langage et vérifier l'imputabilité? Si c'est risqué, bien, à ce moment-là, juste dans l'engagement, dans le briefing technique, de pouvoir le regarder, là.

M. Caire : Oui, bien, je vais valider la possibilité de le faire, soit de le déposer, soit de le faire à huis clos ou je ne sais pas jusqu'à quel point on peut le faire, Mme la députée. Donc, je vous le dis candidement, je vais regarder qu'est-ce qu'il est possible de faire pour vous donner l'information la plus complète possible et je vais vous revenir, là, aussi rapidement que possible. Mais, comme… De toute façon, c'est déjà entendu, puis j'espère que... Bien, en fait, je n'ai pas eu l'occasion d'en discuter avec le député de Rosemont, là, mais, éventuellement, si on se fait un briefing technique, ça pourra faire partie des éléments à l'ordre du jour.

Mme Rizqy : ...est une personne qui apprécie les briefings techniques.

M. Caire : Oui. Non, c'est parce que je ne voulais pas l'informer de l'initiative à micro ouvert. Étant donné que c'est des discussions qu'on a eues dans l'intercommission parlementaire, je trouvais ça un peu cavalier de lui apprendre la chose de cette façon-là et je m'en excuse, mais voilà.

La Présidente (Mme IsaBelle) : Alors, il reste 18 secondes.

Mme Rizqy : Oh! je vais le <prendre...

Mme Rizqy : ... qui apprécie les briefings techniques.

M. Caire : Oui. Non, c'est parce que je ne voulais pas l'informer de l'initiative à micro ouvert. Étant donné que c'est des discussions qu'on a eues dans l'intercommission parlementaire, je trouvais ça un peu cavalier de lui apprendre la chose de cette façon-là et je m'en excuse, mais voilà.

La Présidente (Mme IsaBelle) : Alors, il reste 18 secondes.

Mme Rizqy : Oh! je vais le >prendre au prochain bloc. Merci.

La Présidente (Mme IsaBelle) : C'est parfait. Alors, nous poursuivons avec le député de Rosemont. Juste vous informer que, n'ayant pas pris mes trois minutes à l'ouverture de la séance, on a réajusté le temps, donc vous avez 10 minutes.

M. Marissal : C'est luxueux. Merci, Mme la Présidente. Je vais me vautrer dans mes 10 minutes.

Je vais continuer sur cette lignée-là, sur cette vague-là. On en a déjà beaucoup parlé, vous et nous, l'ancien président du Conseil du trésor aussi, dans le projet de loi n° 14, dans le projet de loi n° 37. Bon, c'était dans la précédente civilisation, il y a quand même... il s'est passé deux, trois affaires depuis, mais la question de l'hébergement de données en infonuagique, a, pose des questions, en infonuagique privée, b, pose d'autres questions, et il faut donc s'assurer, si d'aventure on allait dans cette direction, qu'il y ait quand même, à la fin, ce qu'on appelle l'imputabilité. Puis l'imputabilité, ce sont les élus dans ce cas-ci, la partie ministérielle, le parti ministériel, qui doit, ultimement, comme vous l'avez dit, répondre, mais pas seulement répondre aux questions, parfois on en répond même de son job. Je ne vous souhaite pas ça, ce n'est pas ça que je suis en train de dire, mais ça peut arriver, on l'a vu hier à Ottawa, parfois que l'imputabilité amène jusqu'à ça.

Il ne faudrait pas non plus établir toute une série de tampons, là, ou de «buffers» qui vont juste éloigner l'imputabilité ministérielle, parce que le DPI en a parlé avec ITQ, ITQ tranche. Là, déjà là, il n'y a pas vraiment d'intervention ministérielle. Je me souviens des longues conversations que j'avais eues avec l'ancien président du Conseil du trésor là-dessus. Ensuite, vous dites : S'il y a une fuite, grave ou non, peu importe — c'est des données personnelles, donc moi, je présume que c'est toujours grave, après ça, ça peut être extrêmement grave, mais c'est grave — bien, ce sera l'entreprise qui devra assumer la responsabilité et, je présume, sévir. Mais on est encore loin, là, de l'imputabilité ministérielle. Donc, on sous-traite, en quelque sorte, les données personnelles des citoyens et des citoyennes du Québec et on les éloigne donc d'une protection ultime, qui est l'imputabilité gouvernementale et ministérielle.

Donc, moi, je pense que ma première question, là, étant donné tout cela et étant donné qu'il a coulé pas mal d'eau sous les ponts depuis qu'on a parlé de ça, il y a déjà un siècle et demi : Vous en êtes où dans vos réflexions et dans vos pourparlers, s'il y a eu pourparlers, avec les géants que peuvent être Amazon, Google? Sont-ils toujours dans les plans? Moi, je me souviens d'avoir visité, à la demande, à l'invitation du maire de Valleyfield, <les...

M. Marissal : il y a déjà un siècle et demi : Vous en êtes où dans vos réflexions et dans vos pourparlers, s'il y a eu pourparlers, avec les géants que peuvent être Amazon, Google? Sont-ils toujours dans les plans? Moi, je me souviens d'avoir visité, à la demande, à l'invitation du maire de Valleyfield, >les installations où on pourrait recevoir, concurremment à Beauharnois qui semblait être plutôt privilégié. On avait déjà trouvé des terrains, on était déjà en train de dézoner, on avançait, là, quand même dans ce dossier-là, mais, si c'est le contraire, vous pouvez me le dire, je ne suis pas, peut-être, à jour.

Et par ailleurs il y avait aussi toute la question d'un fournisseur québécois. Et certains de ces fournisseurs potentiels se plaignaient de ne pas arriver à se qualifier parce que les critères étaient beaucoup trop élevés. Alors, si vous pouvez juste éclairer ma lanterne, mettre mon horloge à jour, à l'heure.

M. Caire : Oui, avec beaucoup de plaisir, puis c'est des débats, des sujets qui sont extrêmement intéressants. D'entrée de jeu, je me permettrai peut-être de dire au député de Rosemont que le chiffre que je lui promettais tout à l'heure, c'est 141. Donc, c'est 141 employés de l'État qui n'ont pas la capacité d'aller en télétravail sur les 68 000 employés de l'État.

Maintenant, sur la question de la responsabilité, je ne veux juste pas qu'il y ait d'ambiguïté. Je répondais à la députée de Saint-Laurent sur quelle démarche on ferait contractuellement s'il y avait bris, mais il est clair que la responsabilité, elle est toujours ministérielle. Pour moi, il n'y a pas d'enjeu, il n'y a pas de question. Même si l'entreprise brise son contrat, je veux dire, c'est le gouvernement du Québec qui a mis en place ce système-là, c'est le gouvernement du Québec qui a décidé d'aller en services infonuagiques, c'est notre décision. Et, oui, on a négocié une entente-cadre, mais c'est de la même façon que si on engageait une firme de consultants pour livrer x ou y livrable. Que cette firme-là ne respecte pas son contrat, bien, c'est sûr qu'il y a des actions à prendre contre la firme, mais la responsabilité, dans l'état, elle est toujours ministérielle. Ultimement, c'est le ministre qui répond de ce qui se passe dans son ministère, et ça, pour moi, il n'y a pas d'ambiguïté.

Maintenant, sur la question on en est où, bien, on est à compléter le processus dans une deuxième phase. Je vous dirais que la catégorisation des données nous a permis, justement, d'abord d'aller chercher plus de fournisseurs québécois, ce qui était, je vous dirais, une très bonne nouvelle. Nous sommes à finir de les qualifier. J'ai demandé à ce que ça soit complété assez rapidement, merci, idéalement que ce soit complété avant que nous retournions en Chambre, de façon à ce que les collègues puissent prendre connaissance des entreprises qui auront la possibilité d'offrir leurs services aux différents ministères et organismes.

Le collègue de <Rosemont...

M. Caire : assez rapidement, merci, idéalement, que ce soit complété avant que nous retournions en Chambre, de façon à ce que les collègues puissent prendre connaissance des entreprises qui auront la possibilité d'offrir leurs services aux différents ministères et organismes. Le collègue de >Rosemont ne sera pas surpris si je lui dis qu'effectivement les grands fournisseurs de services infonuagiques sont au rendez-vous. Mais je vous dirais que ça a été une agréable surprise de voir le nombre substantiel de fournisseurs québécois qui, potentiellement, se qualifieront pour solliciter ou, c'est-à-dire, pour offrir leurs services en infonuagique.

Donc, de ce côté-là, je pense que nos entreprises québécoises, là, n'auront pas à rougir de la place qu'elles vont occuper dans le catalogue des services infonuagiques. Il reste, parce qu'il y a des considérations légales, là, parce que je comprends que la responsabilité ministérielle… mais on va quand même s'assurer que les entreprises qui font affaire avec l'État le font dans un cadre juridique et contractuel qui est très clair et qui va permettre au gouvernement du Québec, le cas échéant, de prendre des actions si ces entreprises-là ne livrent pas la marchandise telle que spécifiée par les contrats.

M. Marissal : Très bien. M. Rochette disait tout à l'heure : Si nous devions ou que l'entreprise choisie devait stocker en infonuagique des données dans une autre juridiction, donc dans un autre pays, il faudrait donc que ce pays ait les normes équivalentes, minimalement, à celles du Québec. Est-ce que cela ne désengage pas l'entreprise qui a le contrat, de un, puis, de deux, ne serait-il pas plus simple de les garder ici, nos données?

M. Caire : En fait, je vous dirais que nous ne pouvons pas interdire le fait que les données traversent la frontière. La nouvelle entente Québec, Mexique, États-Unis spécifie, à son article 21, que le stockage de données ne peut pas faire l'objet d'une restriction. Donc, on ne pourrait pas, selon cette entente-là, dire : Vous devez conserver les données au Québec. Nous irions contre l'entente que nous avons ratifiée à cet effet-là.

• (17 h 30) •

Par contre, ce qui peut être fait, c'est de s'assurer qu'il y a un cadre de protection des données et des renseignements qui sont stockés par l'entreprise qui est l'équivalent ou qui est supérieur à ce que la loi du Québec prescrit. Ça, on peut faire ça. On peut aussi exiger d'avoir des temps réponse lorsque le ministère ou l'organisme fait une requête sur sa base de données. On peut exiger des temps réponse, on peut exiger que la réponse se fasse à l'intérieur de tant de <millisecondes, par exemple. Donc, on peut mettre…

>


 
 

17 h 30 (version révisée)

<485 M. Caire : ...exiger d'avoir des temps réponse. Lorsque le ministère ou l'organisme fait une requête pour... sur sa base de données, on peut exiger des temps réponse, on peut exiger que la réponse se fasse à l'intérieur de tant de >millisecondes, par exemple. Donc, on peut mettre ce genre de contrainte là. On peut exiger, comme l'a dit M. Rochette, que le pays respecte la Déclaration des droits de l'homme, on peut exiger ça. Donc, ça, c'est autant de conditions qu'on met dans les contrats, qui nous permettent de s'assurer que les entreprises...

Et d'ailleurs je vous dirais que plusieurs de ces grandes entreprises là, que ce soit Amazon, Microsoft, Google, viennent s'installer au Québec. Alors, l'effet, je dirais, de ça, c'est qu'ils viennent installer leurs centres de traitement de l'information au Québec et que ça représente quand même des investissements substantiels, ça représente de la vente d'électricité, ça représente des emplois qui sont très payants. Évidemment, là, c'est des domaines où les emplois sont payants. Donc, il y a des effets positifs aussi.

La Présidente (Mme IsaBelle) : Il reste 25 secondes.

M. Marissal : ...noter que, dans le cadre de 37 et de 14, vous vous rappellerez qu'il y avait une clause qui disait que le gouvernement du Québec ne peut faire affaire avec un fournisseur reconnu de fraude ou de malversations. Je vous soumets que ça risque d'être compliqué avec Amazon puis Google, qui ont accumulé les condamnations puis qui sont en chicane avec à peu près tous les pays civilisés de la terre. Et je vous soumets simplement que ça risque d'être un peu compliqué en vertu des amendements qu'on a adoptés dans les deux projets de loi.

M. Caire : Bien, en fait, on...

La Présidente (Mme IsaBelle) : Merci. C'est tout pour l'échange. Merci.

Alors, nous poursuivons avec l'opposition officielle. Vous avez 18 min 40 s. À vous la parole, la députée de Saint-Laurent.

Mme Rizqy : Merci. Écoutez, permettez-moi de continuer cet échange. M. le ministre, vous avez dit : L'article 21 du nouvel accord négocié Canada, États-Unis et Mexique, l'article 21 de cet accord, permettez-moi d'y aller, c'est qu'on parle de la législation nationale sur la concurrence qui interdit les comportements commerciaux anticoncurrentiels. Donc…

M. Caire : …article, Mme la députée, là...

Mme Rizqy : Non, non, c'est le bon article. Vous… Non, c'est…

M. Caire : …mais il me semble qu'il y a un article qui... il me semble que c'est 21 qui spécifie…

Mme Rizqy : C'est le bon article, mais mon propos... Permettez-moi de formuler ma question. On parle que les trois pays ne peuvent pas avoir des règles qui ne favorisent pas les échanges commerciaux. Or, les données personnelles, c'est des biens hors commerce. Alors, en quoi l'article 21 nous empêche de protéger les données des Québécois, leurs renseignements personnels? Moi, je ne peux pas, demain matin, aller vendre, par exemple, mon identité numérique ou biométrique, là. Alors, c'est pour ça que, là, ici, je suis vraiment étonnée. Alors, je ne sais pas s'il y a un juriste dans l'équipe, là, qui pourrait peut-être m'éclairer.

M. Caire : C'est parce que je le dis de mémoire, Mme la députée, mais je me souviens, justement, c'était dans le cadre du projet de loi n° 14 où on avait discuté de l'amendement et où il est. Mais c'est nommément dit qu'on ne peut pas interdire le stockage de données. Puis là je <n'ai…

Mme Rizqy : ...étonnée. Alors, je ne sais pas s' il y a un juriste dans l'équipe, là, qui pourrait peut-être m'éclairer.

M. Caire : C'est parce que je le dis de mémoire, Mme la députée, mais je me souviens, justement, c'était dans le cadre du projet de loi n° 14, où on avait discuté de l' amendement et où il est. Mais c'est nommément dit qu'on ne peut pas interdire le stockage de données. Puis là je >n'ai peut-être pas la bonne formulation, là, mais on ne peut pas empêcher une entreprise de stocker de la donnée dans son pays, dans un pays qui serait le Mexique, le Canada ou les États-Unis. Donc, on n'aurait pas le droit de dire, par exemple... d'interdire à Google ou Amazon de stocker la donnée, dans une entente, aux États-Unis. Par contre, on peut, comme j'expliquais au député de Rosemont, c'est là où on va...

Puis il faudrait que je relise l'accord puis que je vous trouve exactement le texte, parce que je me souviens de l'avoir lu pendant la commission. C'était le député de René-Lévesque qui m'avait posé la question. Je me souviens d'avoir lu l'article, parce que M. le député avait proposé un amendement, puis j'avais dit : Écoutez, je l'aime, l'amendement, mais on ne peut pas l'adopter, parce qu'on vient en contradiction avec l'accord Canada, Mexique, États-Unis. Puis j'avais lu l'article, là, pendant la commission parlementaire. Donc, ma mémoire me trahit, Mme la députée, là, vous m'en excuserez, mais...

Mme Rizqy : Avec consentement, est-ce que ça vous dérange, peut-être, si le député de René-Lévesque se rappelle, lui, de la disposition en question, de mémoire d'homme? Parce qu'il y a quand même juste 34 articles dans...

La Présidente (Mme IsaBelle) : Est-ce qu'on a le consentement, M. le ministre, de laisser la parole au député de René-Lévesque?

M. Caire : Ah! oui, absolument. Oui, oui.

La Présidente (Mme IsaBelle) : Allez-y.

M. Ouellet : Ça ressemble pas mal à ce qu'on avait jasé, mais, la mémoire étant une faculté, dans les détails, qui peut en oublier certains, on est en train de valider si, effectivement, c'était bel et bien le cas.

La Présidente (Mme IsaBelle) : Parfait.

M. Caire : Mais, ceci étant dit, comme je l'expliquais, ce que l'on peut faire et ce que l'on a fait, c'est que, dans les négociations contractuelles, de toute façon, on met en place des exigences qui font en sorte que les données qui seraient confiées éventuellement à ces fournisseurs de services là le seront dans un contexte qui va être approprié à la sécurité que nécessite la valeur de la donnée qui leur sera confiée en stockage et non en propriété.

Mme Rizqy : O.K. Il y a peut-être l'article 19.4, là : «Traitement non discriminatoire des produits numériques.» Je pense qu'on aurait besoin, ici, d'avoir un éclaircissement un peu juridique, là, parce que moi, je vous le dis, je ne suis pas du tout confortable, mais pas du tout, que même l'entreposage soit du secteur privé. Puis je vous le dis, là, zéro confortable privé étranger. Et, pour moi, privé étranger, le terme étranger, c'est : d'abord qu'on sort du Québec, ça tombe étranger. Vous me direz : Mais, Marwah, c'est de l'autre côté, c'est en Ontario. Je vais vous dire : Non, c'est étranger. Non, écoutez...

M. Caire : ...René-Lévesque.

Mme Rizqy : Bon, bien, tant mieux. Au moins, il y en a un qui va être content aujourd'hui. Peut-être même vous. Mais, là-dessus, je pense qu'on a besoin d'un éclaircissement juridique, parce que je ne pense pas que le Québec a été consulté là-dedans, là. Et je crois qu'on doit vraiment rester souverains de notre donnée numérique.

M. le ministre, là, on est en train de traverser la crise de <la...

Mme Rizqy : ...au moins, il y en a un qui va être content aujourd'hui. Peut-être même vous. Mais, là-dessus, je pense qu'on a besoin d'un éclaircissement juridique parce que je ne pense pas que le Québec a été consulté là-dedans, là. Et je crois qu'on doit vraiment rester souverains de notre donnée numérique.

M. le ministre, là, on est en train de traverser la crise de >la COVID-19. On parle de notre autonomie sanitaire, mais il faut aussi parler de notre autonomie numérique. Et moi, je ne concéderai jamais, là-dessus, là, quoi que ce soit. Le gouvernement du Québec, nous, on a la responsabilité de s'assurer que le Maîtres chez nous, bien, qui a été décrété dans les années 60, bien, Maîtres chez nous en 2020, là, c'est aussi de contrôler nos données puis que, non, ça n'ira certainement pas dans le pays de Donald Trump, là. Oubliez ça, là.

M. Caire : Mais, si... D'abord, avec votre permission, je vais vous lire, effectivement, l'article 19.11 : «Transfert transfrontières de renseignements par voie électronique.

«1° Aucune partie n'interdit ni ne limite le transfert transfrontières de renseignements, y compris de renseignements personnels, par voie électronique si cette activité s'inscrit dans le cadre d'activités commerciales exercées par une personne visée.» Alors, bon :

«2° Le présent article n'empêche pas une partie d'adopter ou de maintenir, en vue de réaliser un objectif ultime de politique publique, une mesure qui est incompatible avec le paragraphe[...], à condition que cette...» Et voilà. Donc, on peut limiter, comme je vous ai dit, de façon contractuelle.

Maintenant, Mme la députée, je vais vous surprendre, mais je suis d'accord avec vous sur la souveraineté numérique. Par contre, je ne partage pas votre opinion que le fait de travailler ou de donner des mandats à des fournisseurs de services de stockage, que ça équivaut à abdiquer sa souveraineté numérique. C'est là où je ne suis pas d'accord avec vous. La propriété de la donnée, la responsabilité de la gestion de la donnée, l'accès à cette donnée-là demeurent l'apanage exclusif de l'organisme qui en est le propriétaire. Et je compare ça un peu à louer un appartement. Je comprends, là, que je ne suis pas propriétaire, mais ça reste chez nous, là, puis, sauf situation exceptionnelle, il n'y a personne qui rentre chez nous. Alors...

Mme Rizqy : Votre comparaison est parfaite. Honnêtement, elle est excellente, votre comparaison. Mais le problème, c'est le suivant : c'est que, quand vous êtes locataire, là, vous n'êtes pas propriétaire, puis, oui, malheureusement, le propriétaire, des fois, il va rentrer chez vous à votre insu, puis là vous allez prendre votre numéro puis attendre à la Régie du logement pour votre litige. Mais, pendant ce temps-là, votre droit à la vie privée a été violé. Alors, c'est là que moi, je vous dis...

M. Caire : Oui, parce que, là, vous me donnez une situation où la personne agit illégalement.

Mme Rizqy : Oui, mais...

M. Caire : Oui, je comprends, mais, Mme la députée...

Mme Rizqy : Moi, là, mon objectif avec vous, là, c'est de voir les pires scénarios.

M. Caire : Mme la députée...

Mme Rizqy : Puis vous le savez aussi bien que moi que le risque zéro n'existe pas, vous avez raison, vous le dites souvent, puis je suis d'accord avec vous. Par contre, nous, notre objectif, c'est de fermer les brèches le plus possible, puis de les colmater, puis de ne pas en ouvrir des nouvelles.

Là, moi, ça, là, ça, c'est une nouvelle brèche, là, qui nous met, là, à risque. Pourquoi ça nous met à risque? Je <vous...

Mme Rizqy : …les pires scénarios.

M. Caire : Mme la députée...

Mme Rizqy : Puis vous le savez aussi bien que moi, que le risque zéro n'existe pas, vous avez raison, vous le dites souvent, puis je suis d'accord avec vous. Par contre, nous, notre objectif, c'est de fermer les brèches le plus possible, puis de les colmater, puis de ne pas en ouvrir des nouvelles.

Là, moi, ça, là, ça, c'est une nouvelle brèche, là, qui nous met, là, à risque. Pourquoi ça nous met à risque? Je >vous l'explique. C'est que, là, c'était chez nous, au Québec, dans notre fonction publique, qu'on n'arrête pas de dire à quel point elle est excellente, puis j'en conviens, elle est bonne, on peut même la doter davantage de ressources, je serais très contente, pour l'envoyer où potentiellement? Dans le pays de Donald Trump. Zéro confortable avec ça. Pourquoi? Parce que, des fois, je vous le dis d'emblée, là, je suis au salon bleu, des décisions erratiques, il en prend. Et savez-vous quoi? Il y a aussi le CLOUD Act.

Alors, moi, c'est tout ça, là, que je mets, là. Et je m'excuse, mais je ne suis pas prête à dire qu'ailleurs c'est mieux que chez nous. Pour moi, là, c'est vraiment meilleur au Québec. Puis vous me demandez entre Ottawa puis Québec? Je vais vous dire que c'est meilleur au Québec.

• (17 h 40) •

M. Caire : Ce que je veux vous dire, Mme la députée… Puis d'ailleurs je trouve ça intéressant que vous parliez du CLOUD Act parce que, justement, le CLOUD Act visait à restreindre l'espèce de «free-for-all» que le PATRIOT Act avait créé, et donc à circonscrire de quelle façon on pouvait avoir accès à des données.

Ceci étant dit, toujours dans la perspective où les gens respectent les lois, on ne peut pas commencer à voler des données ou à transiger des données qui ont été stockées chez nous,< parce que...> je veux dire, pour faire un coup d'argent, là. Je veux dire, la loi, elle est là, elle est... Les ententes...

Mais, selon cette logique-là, Mme la députée, il n'y a rien qui ne nous protège de rien. Je veux dire, une entreprise québécoise, qu'est-ce qui fait... Parce que c'est une fleur de lys, l'entreprise québécoise ne va pas prendre les données qui lui sont confiées puis décider de les vendre au plus offrant? Voyons! Je veux dire...

Mme Rizqy : M. le ministre, d'entrée de jeu, je vous l'ai dit...

M. Caire : Non, mais, si je peux me permettre, Mme la députée...

Mme Rizqy : Oui, mais, attendez... Il faut que ça soit équivalent, notre échange.

M. Caire : La malhonnêteté, ce n'est l'apanage de personne.

Mme Rizqy : Vous avez raison.

M. Caire : Mais là vous me parlez de situations où on est malhonnête.

Mme Rizqy : M. le ministre, je suis d'accord avec vous que le risque zéro n'existe pas. Ça, là, on est déjà d'accord. D'entrée de jeu, je vous l'ai dit, moi, je ne suis même pas confortable à ce que les données quittent le gouvernement du Québec pour s'en aller dans le secteur privé. Ça, je ne suis pas confortable. Mais je ne suis vraiment pas, mais pas du tout confortable avec le secteur privé étranger.

Et aujourd'hui, là, on est tout le temps sous attaque. Nos entreprises sont sous attaque, les gouvernements sont sous attaque, il y a de l'espionnage, espionnage étatique, espionnage commercial. Et c'est là que je vous dis : Non, je ne suis pas confortable, parce que, tu sais, à la fin de ma journée... Vous avez raison de dire : Oui, mais, s'il y a un geste qui a été commis, c'est un geste malhonnête puis illégal. Vous avez 200 % raison de le dire. Mais, à la fin de la journée, c'est qui qui devient imputable? Où est-ce qu'il va y avoir le recours juridique? Si jamais la brèche de données a lieu aux États-Unis, est-ce qu'il faut qu'on se rende aux États-Unis? Est-ce qu'il va falloir... Tu sais, il y a plein, là... À ce moment-là, c'est une boîte de Pandore pour avoir un peu d'imputabilité. Puis je vous le dis d'entrée de jeu.<

Par exemple, PATRIOT Act puis CLOUD Act, là, il faut juste...

Mme Rizqy : ... mais, à la fin de la journée, c'est qui qui devient imputable? Où est-ce qu'il va y avoir le recours juridique? Si jamais la brèche de données a lieu aux États-UnisT, est-ce qu'il faut qu'on se rende aux États-UnisT? Est-ce qu'il va falloir... Tu sais, il y a plein, là... À ce moment-là, c'est une boîte de Pandore pour avoir un peu d'imputabilité. Puis je vous le dis d'entrée de jeu.>

Par exemple,  PATRIOT Actpuis CLOUD Act, là, il faut juste ajouter... Le CLOUD Act, là, ça donnait une plus grande portée parce que, là, on venait dire : Non seulement les entreprises américaines, sur le territoire américain, mais, si vous avez des serveurs à l'extérieur, le CLOUD Act vise les serveurs qui sont à l'extérieur des États-Unis. Donc, dans le cas d'Amazon, même si, par exemple, ses serveurs étaient au Québec, le fait que c'est une entreprise américaine, le CLOUD Act s'applique aux serveurs situés au Québec, et c'est là que... Et ça, c'est sans compter tout ce qu'ils font par décret dans le Bureau ovale. Et il y a des affaires que...

M. Caire : Non, je comprends, mais, ceci étant, Mme la députée, ce que je veux vous dire, c'est que ça ne dédouanerait pas la procédure. Je veux dire, ce n'est pas vrai que le gouvernement américain va sommer une entreprise : Vous faites ceci. Je veux dire, l'entreprise... Bien, la preuve, c'est qu'à ce jour il n'y a aucun recours qui a été... <malgré... >nonobstant le fait que ça existe même sous l'actuel président, qui a quand même fait son quatre ans puis qui nous a démontré qu'il était capable de beaucoup de choses...

Mme Rizqy : Pas nécessairement des meilleures.

M. Caire : ...je ne commenterai pas, mais de beaucoup de choses et qui était capable de prendre des décisions qui le caractérisaient, mais il n'y a jamais eu de recours au CLOUD Act où une entreprise a été forcée de...

De toute façon, la vérité, Mme la députée, c'est que, quand un gouvernement, qu'il soit canadien ou américain, pour des raisons d'enquête, a besoin d'informations, ces informations-là vont souvent transiter par les services du pays, le service d'enquête ou judiciaire du pays. Parce qu'en fonction de l'Accord Canada—États-Unis—Mexique, ces ententes-là peuvent être signées maintenant entre le gouvernement américain, notamment, et le gouvernement canadien. Et...

Mme Rizqy : Il y a une différence avec le «Five Eyes».

M. Caire : Et, si je peux me permettre, puis je veux juste conclure là-dessus parce que je comprends votre préoccupation, mais les services policiers vont préférer cette voie-là qui est beaucoup plus discrète que celle qui nécessite une injonction, ou un mandat judiciaire, ou un débat devant les tribunaux où la compagnie va s'opposer à la requête qui lui est faite et qui va étaler au grand jour le fait que M., Mme Untel est sous enquête de tel, tel, tel service de police pour telle, telle, telle raison. Souventefois, ces entreprises-là ou ces corps policiers là ne souhaitent pas ébruiter leurs actions, mais... dans cet univers théorique là que vous nous proposez.

Mais, dans le concret, ce que je vous dis, c'est que, contractuellement, on est capables d'établir un cadre contractuel qui fait en sorte que... De toute façon, ces entreprises-là viennent s'installer au Québec, Mme la députée. Et sur le fait que... Puis je vous entends, puis je sais qu'on ne s'entendra pas là-dessus, sur le fait que vous dites : Il ne devrait pas y avoir de recours à l'entreprise privée pour le stockage d'informations, bien, là-dessus, on a une divergence. Moi, j'y vois <beaucoup...

M. Caire : ... ces entreprises-là viennent s'installer au Québec, Mme la députée. Et sur le fait que... Puis je vous entends, puis je sais qu'on ne s'entendra pas là-dessus, sur le fait que vous dites : Il ne devrait pas y avoir de recours à l'entreprise privée pour le stockage d'informations, bien, là-dessus, on a une divergence. Moi, j'y vois >beaucoup d'avantages. L'innovation. L'entreprise privée, elle est innovante. Ça nous garde à la fine pointe de la technologie. Ces services-là, et je sais que vous le contestez, mais on verra, comme nous avons dit souvent... mais il y a des économies d'échelle à faire, importantes, et pour un service dont on augmente l'efficacité et la sécurité.

Mme Rizqy : Oui, mais il y a plusieurs choses dans votre discours et dans votre propos. Premièrement, de dire que les services policiers vont préférer avoir cette information discrètement, vous comprendrez que moi, je vais vous dire non parce que les policiers ont un cadre juridique aussi à respecter et que, donc, il faut qu'ils s'adressent au tribunal puis avoir le mandat, parce qu'il faut qu'ils passent par la porte principale et non par la porte de derrière. Alors, ça, c'est... Puis j'imagine que peut-être que vous avez parlé vite, puis que votre exemple est arrivé vite, puis que ça, vous partagez la même opinion que moi. Alors, ça, j'en suis. Vous hochez de la tête, donc, oui, vous partagez la même opinion que moi.

D'autre part, ici, là, nous, là, aujourd'hui, à l'heure actuelle, moi, je n'ai pas de réponse pour qu'est-ce qui est donnée sensible, qu'est-ce qui est donnée moyenne, qu'est-ce qui est ultrasensible. Je ne sais pas si c'est mon dossier de santé, je ne sais pas si c'est mon dossier de permis de conduire, mais je sais une chose, c'est qu'il y a cinq entreprises, je ne sais pas c'est lesquelles, les cinq entreprises, qui, elles, vont se partager maintenant une obligation d'entreposer les données personnelles et confidentielles des Québécois. Puis on parle d'environ 80 %. Et je sais aussi, d'autre part, parce que, dans votre échange avec le député de Rosemont... il n'y a rien qui les empêche de transférer ces données ailleurs qu'au Québec, de la façon que vous interprétez l'accord, le nouvel Accord Canada—États-Unis—Mexique.

Moi, je suis très curieuse, parce que, là, on est allés vite, on a regardé l'article 19.4, 19.11, mais 19.11 parle de personnes visées, puis là il y a différents articles, et je n'ai pas eu le temps, pendant notre échange, de faire deux affaires en même temps, mais je me demande : Est-ce que la personne visée, comparé à 19.11, est-ce que ça vise le gouvernement du Québec? Parce que j'ai un doute. Parce que, quand je regarde les autres dispositions, ça parle d'entreprises financières. C'est assez spécifique comme personnes visées. Je ne suis pas certaine que ça vise le gouvernement du Québec et je me demande même, à ce stade-ci, accord ou pas accord, est-ce qu'il n'est pas trop tard si jamais... Parce que je n'ai pas vu l'opinion juridique à cet effet puis je vais faire l'exercice par la suite, là. Mais il n'est jamais trop tard pour demander une dérogation, là.

M. Caire : Oui. Bien là, <on est à... >vous comprendrez qu'on est à un autre niveau, là. Mais, de notre côté, je pense que la meilleure voie de passage a été et elle est, je continue à le croire, de s'assurer, contractuellement, qu'on met en place un cadre de protection des données qui seraient confiées à ces entreprises-là qui va être de nature à correspondre... puis, en fait, puis c'est même prescrit dans la politique de <cybersécurité...

M. Caire : ... je continue à le croire, de s'assurer, contractuellement, qu'on met en place un cadre de protection des données qui seraient confiées à ces entreprises-là qui va être de nature à correspondre... puis, en fait, puis c'est même prescrit dans la politique de >cybersécurité, qui dit explicitement que les mesures de sécurité doivent être proportionnelles à la valeur de la donnée. Et donc ça, c'est la politique que nous avons adoptée, duquel la réglementation va découler et duquel l'ensemble des contrats <qui ont... des contrats >types qui ont été élaborés et qui ont été négociés découlent aussi.

Donc, on veut s'assurer qu'au-delà, je vous dirais, des philosophies économiques qui nous animent... je pense qu'il y a un point de convergence qui est le fait qu'on veut s'assurer, d'une part, que le gouvernement du Québec reste propriétaire des données qui sont... qui lui ont été confiées par les Québécois, quel que soit le degré de sensibilité. Ça, c'est... ce n'est pas à ce niveau-là que ça se décide.

Donc, nous restons les propriétaires, nous restons les seuls gestionnaires, nous restons les seuls utilisateurs, et l'accès à ces données-là est réservé au gouvernement du Québec, sauf les cas que je vous ai mentionnés, là, de donneesquebec.ca, où là on parle de données ouvertes à la disposition de l'ensemble de la population. Mais, sinon, je pense qu'on est animés par le même désir de s'assurer que cette donnée-là, elle est utilisée à bon escient, dans le bon contexte, et qu'elle est entourée des mesures de sécurité qui sont appropriées. Puis je pense que le contexte qu'on met en place — les contrats, les ententes, les mesures de sécurité, les directives — nous amène à un niveau qui, moi, me rend très confortable par rapport aux décisions qu'on a prises.

Mme Rizqy : M. le ministre, là, c'est sûr que je ne suis pas confortable, et je ne suis pas plus convaincue, puis je ne suis pas plus rassurée parce qu'on a commencé les travaux en disant qu'on a une belle expertise, une belle équipe au sein du gouvernement, et, à ce jour, c'est le gouvernement qui gérait ça, c'est le gouvernement qui entreposait les données des Québécois. Je n'ai pas vu pourquoi qu'on devait s'empresser de privatiser cette gestion d'entreposage des données des Québécois. Je ne comprends pas cet empressement.

• (17 h 50) •

Et, quand on parle d'économie, moi, vous comprendrez qu'il n'y a pas d'économie à faire sur la sécurité des renseignements personnels des Québécois. Il n'y en a pas. Et l'autonomie numérique du Québec, être souverain de sa donnée, c'est... La donnée, au XXIe siècle, M. le ministre, là, c'est du pétrole, c'est de l'or, ça vaut vraiment. Et je ne sais pas c'est qui qui va pouvoir me dire c'est quoi, la valeur de cette information. Je comprends qu'il y a un cadre de 74 pages pour essayer de définir notre protocole, mais en tout cas.

La Présidente (Mme IsaBelle) : Merci.

Mme Rizqy : Et ce qui me déçoit, c'est que ces emplois-là, qui sont au Québec, maintenant vont aller dans le privé et potentiellement même à l'étranger. Alors, il faudrait qu'on se parle sur l'Accord Mexique—Canada—États-Unis pour voir comment qu'on peut s'assurer que ça reste au Québec.

La Présidente (Mme IsaBelle) : Merci. Alors, nous poursuivons avec le troisième groupe d'opposition. Vous avez 10 minutes. Député de René-Lévesque.

M. Ouellet : Merci beaucoup. Puis on est toujours à la recherche de cette mémoire qui nous fait défaut à quelques reprises. Mais je veux juste <m'assurer...

Mme Rizqy : ... faudrait qu'on se parle sur l'Accord Mexique—Canada—États-Unis pour voir comment qu'on peut s'assurer que ça reste au Québec.

La Présidente (Mme IsaBelle) : Merci. Alors, nous poursuivons avec le troisième groupe d'opposition. Vous avez 10 minutes. Député de René-Lévesque.

M. Ouellet : Merci beaucoup. Puis on est toujours à la recherche de cette mémoire qui nous fait défaut à quelques reprises. Mais je veux juste >m'assurer d'une chose, M. le ministre. Je comprends bien que vous allez être créatif dans les façons de faire l'appel d'offres qui va nous permettre de mettre en application certaines prétentions, sans pour autant être en désaccord avec l'accord États-Unis—Canada—Mexique. Est-ce que cette créativité-là peut aller aussi loin du fait qu'une fois que le contrat est donné et que le contrat nous permet d'avoir les données au Québec elle y demeure aussi longtemps qu'elle existe?

Ce que je voudrais éviter, là, c'est qu'on donne le contrat, c'est correct, c'est super, les serveurs sont au Québec, mais, pour une technologie qui permet d'avoir accès à la donnée encore plus rapidement, en millisecondes, comme vous faisiez référence, avec les dispositions qu'on pourrait mettre, qu'après trois, quatre ans, bien, on pourrait effectivement délocaliser ces serveurs-là et les mettre ailleurs. Ce qu'on veut réussir au départ : Est-ce qu'on est capables de le verrouiller pour que la donnée sur des serveurs d'entreprises privées au Québec y demeure aussi longtemps que la donnée existe?

M. Caire : Bien, en fait, M. le député, en réponse à votre question... Puis c'est une excellente question, parce qu'effectivement on pourrait penser qu'il peut y avoir un changement d'orientation ou de philosophie au sein d'une entreprise. Mais je pense que la meilleure garantie de cette fidélité-là, c'est les investissements qui sont nécessaires.

Je regarde le député de Rosemont, je pense, M. le député qui avait fait référence aux investissements d'Amazon à Varennes, on parle quand même de 80 millions d'investissements pour la construction du centre de traitement de l'information. C'est beaucoup de sous. Et vous comprendrez que ça implique, pour l'entreprise, d'aller chercher une rentabilité sur cet investissement-là. Et donc l'idée de transférer vers d'autres centres de traitement pourrait diminuer cette rentabilité-là.

Maintenant, dans les contrats comme tels, je pense que... non, je suis certain que nous sommes allés aussi loin qu'il était possible d'aller dans le respect, comme vous l'avez dit, des ententes que nous avons signées, de notre propre corpus législatif, pour s'assurer que ces données-là étaient stockées idéalement au Québec. Je pense que nous l'avons... Nous y avons réfléchi, on a vraiment regardé ce qui était possible de faire, puis je pense qu'on est allés aussi loin que possible dans ce <contexte-là...

M. Caire : ...pour s'assurer que ces données-là étaient stockées, idéalement, au Québec. Je pense que nous l'avons... Nous y avons réfléchi, on a vraiment regardé ce qui était possible de faire, puis je pense qu'on est allés aussi loin que possible dans ce >contexte-là.

Puis je vous dirais peut-être en final que le gouvernement du Québec peut aussi... on a des outils qui nous permettent d'avoir des incitatifs qui font en sorte que ces entreprises-là s'installent ici et restent ici. Et je pense, entre autres, M. le député, là, à notre hydroélectricité, qui est une richesse, mais qui est aussi un facteur d'attraction, et vous le savez. On pense tout de suite à l'industrie de l'aluminium, là, puis, bon, je comprends que notre voisin du Sud fait des siennes encore, là, mais, sinon, cette industrie-là, on a été capables de la fidéliser grâce à l'hydroélectricité. Et ça a toujours été très porteur et générateur d'emplois, là, dans des régions qui en avaient besoin puis où ça a été économiquement rentable, au final, de le faire comme ça.

Donc, sans dire qu'il faut que ça devienne une habitude, on comprend que l'hydroélectricité, il faut que ça puisse être une source de rentabilité pour la société québécoise, mais ça peut devenir un outil intéressant.

Et d'ailleurs, dans ce sens-là, je souligne qu'Hydro-Québec est extrêmement agressif actuellement sur sa volonté d'attirer des entreprises qui font du stockage de données, notamment parce qu'on a, au Québec, deux avantages incroyables, bon, le deuxième, je ne suis pas sûr que c'est un avantage, mais l'hydroélectricité et l'hiver. Parce que vous comprendrez que... Et c'est pour ça que je dis que je ne suis pas sûr que le deuxième est un avantage, mais bon. Mais...

M. Ouellet : Je vous entends, oui. Je dis juste que, du côté de la frontière américaine, on peut être très créatifs, justement, pour interpréter à leur vision ou à leur intérêt certaines dispositions. Et le contexte économique, actuellement, comme on le connaît... Puis j'en suis, là. On a l'hydroélectricité, on pourrait subventionner à des tarifs plus bas la venue... mais rien n'empêche, du côté des États-Unis, d'y aller avec des subventions pour délocaliser une entreprise ici pour les amener chez eux. On a déjà vu ça.

Ça fait que je vous demande juste de rassurer les Québécois dans notre capacité... à travers les ententes qu'on ne négocie pas, hein? Moi... Le Québec n'a pas négocié l'entente Canada—États-Unis. Je ne ferai pas un plaidoyer sur notre place avec laquelle on devrait être pour négocier nos propres ententes. Cela étant dit, on est tributaires de cette négociation-là, et, malheureusement, il faut être capable d'être créatif pour y protéger notre identité et notre propriété.

Il ne me reste pas beaucoup de temps. Quelques questions en rafale, M. le ministre. Pour ce qui est du suffixe, est-ce que ça vous intéresse? Et, si oui, quand on peut aller de l'avant avec le «.quebec»?

M. Caire : Oui, ça m'intéresse, puis je vous dirais qu'on aura l'occasion, M. le député, d'en reparler, vous et moi. <Mais...

M. Ouellet : …il ne me reste pas beaucoup de temps. Quelques questions en rafale, M. le ministre. Pour ce qui est du suffixe, est-ce que ça vous intéresse? Et, si oui, quand on peut aller de l'avant avec le «.quebec»?

M. Caire : Oui, ça m'intéresse, puis je vous dirais qu'on aura l'occasion, M. le député, d'en reparler, vous et moi. >Mais c'est important, mais ce n'est pas urgent.

M. Ouellet : Parfait. Vous avez parlé, au début des échanges, qu'il y aurait peut-être des changements législatifs à être apportés pour la transformation numérique. On vient de faire le projet de loi n° 14… on a fait, pardon, le projet de loi n° 14. À quoi vous faisiez référence en termes de changements législatifs qui pourraient arriver ou qui pourraient nous être proposés en matière de transformation numérique?

M. Caire : Bien, en fait, 14 était, comme je l'ai déjà dit, une mesure temporaire. Il faudra réfléchir collectivement à l'utilisation de la donnée, la portée de la donnée et peut-être au décloisonnement de la donnée à l'intérieur du gouvernement du Québec, parce que, sinon, il faudra adopter autant de projets de loi n° 14 qu'on aura de projets numériques, et ce, à toutes les phases de ces différents projets là.

M. Ouellet : On a fait référence, au courant de la journée, aussi au fait que le gouvernement du Québec, le CSPQ, allait stocker des tablettes pour qu'elles soient disponibles à un redéploiement dans les centres de services pour ce qui est de l'école à distance. On a connu, par le passé, des délais, c'est-à-dire que ça a pris du temps avant qu'on reçoive les tablettes, et ce qu'on s'est fait confier, c'est que ça prenait à peu près deux semaines avant la configuration.

Là, ce que je veux bien comprendre, là… parce que, quand on a posé la question, aux crédits, au ministère de l'Éducation, il n'y a pas d'argent supplémentaire dans les centres de services pour donner un support technique aux enfants qui auront ces tablettes-là dans les mains, autant pour savoir si elle est bien installée, ou bien outillée, ou même donner un support pour l'aide à la technologie. Le collègue de Rosemont faisait référence au support que nous avions, nous, ici, à l'Assemblée nationale, et qu'on a encore lorsqu'on a des troubles informatiques.

Je voudrais connaître, du côté de la Transformation numérique, au sein de votre ministère ou de votre organisation, quel serait le support adéquat qui serait offert pour aider les parents et les jeunes lorsqu'ils auront ces tablettes entre les mains, s'assurer qu'ils ont une tablette à jour, fonctionnelle. Et, si ça bogue, j'appelle qui pour que ça fonctionne?

La Présidente (Mme IsaBelle) : 1 min 40 s.

M. Caire : Oui, bien, écoutez, là vous touchez plus le volet du ministère de l'Éducation. Mais, pour moi, cette responsabilité-là, qui était celle des commissions scolaires, devient celle des centres de services. Pour moi, je pense que c'est…

M. Ouellet : Mais il n'y a pas d'argent. Le ministère de l'Éducation l'a dit : Il n'y a pas d'argent supplémentaire pour les techs.

• (18 heures) •

M. Caire : Non, mais attendez, M. le député. En tout respect, les centres de services reprennent quand même les services qui étaient existants au niveau des commissions scolaires. Donc, les gens, les techniciens en informatique qui existaient dans les commissions scolaires, sont transférés sous la responsabilité des centres de services, mais ces gens-là sont toujours en activité et ont toujours une responsabilité par rapport aux écoles de leur territoire. Mais, en même temps, je vous dirais que, pour avoir des détails plus précis sur ce plan-là, c'est plus mon collègue à <l'Éducation qui peut vous répondre…

>


 
 

18 h (version révisée)

<485 M. Caire : ...sous la responsabilité des centres de services, mais ces gens-là sont toujours en activité et ont toujours une responsabilité par rapport aux écoles de leurs territoires. Mais, en même temps, je vous dirais que, pour avoir des détails plus précis sur ce plan-là, c'est plus mon collègue à >l'Éducation qui peut vous répondre.

M. Ouellet : Il y a 200 000 tablettes qui vont atterrir à quelque part. Ça va être une gestion particulière. On veut juste qu'elles atterrissent dans les bonnes mains pour qu'elles soient utilisées et utilisables. Est-ce que vous avez un rôle à jouer ou vous me dites : Tout ça repose sur les épaules du ministère de l'Éducation? Quand je dis «vous»...

M. Caire : Bien, dans la mesure où le ministère, si le ministère de l'Éducation... Parce que, oui, on a toujours un rôle à jouer lorsque les ministères et organismes nous demandent de l'aide, mais, dans ce qui relève de leur mission, ils sont responsables d'assurer les services. Nous, on intervient lorsque le volet est à portée gouvernementale. Lorsqu'il s'agit d'une mission particulière d'un ministère ou d'un organisme, il est de sa responsabilité, mais le ministère et l'organisme peut toujours faire appel à nous pour aller en support. Et, à ce moment-là, oui, on arrive en support et on va...

M. Ouellet : Mais est-ce que c'est le...

La Présidente (Mme IsaBelle) : Alors, merci, c'est tout pour l'échange. On vous remercie beaucoup. Je précise qu'il y a...

M. Caire : Ce serait l'ITQ.

M. Ouellet : Comment? C'est l'ITQ qui va faire la...

La Présidente (Mme IsaBelle) : Je précise qu'il y a un plan et un document qui va vous être transmis éventuellement, et il y a un contrat type qu'il y aura la possibilité d'être transmis, mais que le ministre doit vérifier. C'est bien ça? Parfait.

Une voix : ...

La Présidente (Mme IsaBelle) : Ah! et une opinion juridique, effectivement — je l'avais noté sur l'autre feuille mais pas ici — et une opinion juridique. Merci. Alors, écoutez, merci pour les informations qui ont été échangées. Très intéressant.

Compte tenu de l'heure, la commission ajourne ses travaux jusqu'au mercredi 19 août, à 11 h 30, où elle entreprendra l'étude du volet Travail du portefeuille Travail, Emploi et Solidarité sociale. Merci. Bonne soirée à vous tous et toutes. Merci.

(Fin de la séance à 18 h 02)


 
 

Document(s) related to the sitting