(Quinze
heures cinquante-neuf minutes)
La Présidente (Mme
IsaBelle) : Alors, à l'ordre! Bonjour, tout le monde. Alors, ayant
constaté le quorum, je déclare la séance de la Commission de l'économie et du
travail ouverte. Je demande à toutes les personnes dans la salle de bien
vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission est
réunie afin de procéder à l'étude du volet Stratégie numérique des crédits
budgétaires du portefeuille Conseil du trésor et Administration gouvernementale pour l'exercice financier 2020‑2021.
Une enveloppe de deux heures a été allouée pour l'étude de ces crédits.
Mme la secrétaire, y
a-t-il des remplacements?
• (16 heures) •
La Secrétaire :
Oui, Mme la Présidente. Alors, Mme Dansereau (Verchères) est remplacée par
Mme Hébert (Saint-François); M. Jacques (Mégantic) est remplacé par M. Thouin
(Rousseau); Mme Jeannotte (Labelle) est remplacée par Mme Guillemette
(Roberval); M. Derraji (Nelligan) est remplacé par Mme Rizqy
(Saint-Laurent); M. Leduc
(Hochelaga-Maisonneuve) est remplacé par M. Marissal (Rosemont); et
Mme Richard (Duplessis) est remplacée par M. Ouellet
(René-Lévesque).
Stratégie numérique
La Présidente (Mme
IsaBelle) : Merci. Nous allons procéder aux échanges entre les groupes
d'opposition et le ministre par blocs. Pour permettre à chaque groupe
d'opposition d'écouler graduellement son temps de parole, le temps d'échange inclut les questions et les
réponses. Je fais appel à votre collaboration pour que le temps des réponses
soit proportionnel au temps des questions, comme le veut la pratique.
Discussion générale
Alors, nous sommes maintenant
prêts à reconnaître une première intervention de l'opposition officielle pour
un premier bloc d'échange de 20 minutes. Alors, Mme la députée de Saint-Laurent,
la parole est à vous.
Mme
Rizqy : Merci beaucoup, Mme la Présidente. Contente de vous retrouver. Ça fait déjà un
certain temps.
Alors, M. le ministre,
vous me voyez sourire parce qu'on a eu une petite discussion juste avant de
reprendre nos échanges. Vous avez, vous aussi, été, comment dire, frappé par la
fuite de données chez Revenu Canada. Est-ce que quelqu'un d'Ottawa, ou
quelqu'un de votre équipe, ou du gouvernement du Québec est rentré en
communication pour mieux comprendre ce qui est arrivé à Ottawa? Première
question. Puis, deuxième question, est-ce qu'il y a eu des mesures qui ont été
prises au Québec pour s'assurer que, nous, ça ne nous arrive pas?
M.
Caire :
Bien, en fait, oui, on a des interactions avec le Centre canadien de
cybersécurité, notamment, je pense, au niveau de la direction générale, mais
au... du bureau du DPI, et, de notre côté, il faut comprendre que déjà, depuis l'automne 2019, nous avons mis en
place le Centre gouvernemental de cyberdéfense et les centres
opérationnels de cyberdéfense. Donc, c'est un réseau qu'on déploie dans les différents
ministères et organismes, dont l'Agence du revenu du Québec, qui sont... Tout
ça est interrelié, là. C'est vraiment un réseau, c'est interrelié avec comme
entité centrale le Centre gouvernemental de
cyberdéfense. Donc, les mesures de
protection qui sont mises en place sont — toutes
les procédures : comment réagir à une
attaque, quels sont les temps de réaction, qu'est-ce qu'on déploie comme efforts
en cas d'attaque.
On a aussi acquis
certains outils, là. Vous me permettrez d'être peut-être plus discret sur la
nature des outils que nous avons acquis pour, d'une part, nous défendre, mais,
d'autre part, nous attaquer nous-mêmes, donc pour vérifier la fiabilité de nos
défenses, donc. Et, au niveau du Centre gouvernemental de cyberdéfense, nous
procédons à ces tests-là régulièrement sur l'ensemble des systèmes qui sont
visibles à partir du Net pour nous assurer que les mesures de sécurité qui sont
en place sont efficaces.
Mme Rizqy :
Donc, vous, vous avez rehaussé, au niveau du gouvernement du Québec, le système
de sécurité, mais est-ce que quelqu'un d'Ottawa a communiqué avec le
gouvernement du Québec pour vous expliquer qu'est-ce qui a mal tourné chez eux?
M.
Caire :
Pas à ma...
Une voix :
...
M.
Caire : Oui? O.K. Bien, si vous me permettez, Mme la
Présidente, je vais laisser...
Mme Rizqy :
Ah! avec consentement, oui.
La Présidente (Mme
IsaBelle) : Est-ce qu'on a le consentement?
Mme Rizqy :
Certainement.
La
Présidente (Mme IsaBelle) :
Nous avons le consentement? Merci. Alors, je vous invite, monsieur, à
vous présenter d'abord avant de prendre la parole, de dire votre nom et vous
représentez quel organisme.
M. Rodrigue
(Pierre E.) : Parfait. Bonjour, Mme la Présidente. Pierre Rodrigue,
secrétaire associé à la transformation numérique et dirigeant principal de
l'information au Secrétariat du Conseil du trésor.
En
fait, évidemment, quand on a vu que ça, c'était arrivé, on a communiqué avec le
centre canadien de cyberdéfense pour
comprendre exactement qu'est-ce qui c'était passé pour non pas uniquement
déplorer ce qui arrive au fédéral, mais voir : Est-ce que ça, ça
pourrait nous arriver, notamment avec clicSEQUR? Alors, normalement, avec clicSEQUR, on n'aura pas... Parce que, s'il y
a une tentative, après cinq tentatives de clicSEQUR, le compte se
verrouille automatiquement. C'est sûr qu'on regarde quand même, malgré tout,
là, parce qu'on...
Dans
le fond, la sécurité, c'est des couches, là, c'est une couche d'infrastructures.
Donc, il faut que l'infrastructure soit solide, il faut que la couche
applicative soit solide, il faut que les comportements, également, là, des
citoyens et les comportements, évidemment, des employés de l'État soient
exemplaires. Et, bien, on va voir également si on n'est pas capables de
rajouter une couche de sécurité supplémentaire, là, à clicSEQUR, là.
Ceci dit, on va
organiser avec nos collègues du ministère du Travail, de l'Emploi et de la
Solidarité sociale, qui sont responsables de clicSEQUR, qui travaillent avec le
CSPQ, bientôt l'ITQ, et Revenu Québec, pour nous assurer, là, qu'on va rajouter
des couches de sécurité adéquates. Mais, pour le moment, on n'a pas de raison
de penser qu'on peut vivre la même situation au Québec par rapport à ce qui est
arrivé au fédéral avec l'information qu'on a du gouvernement fédéral.
Mme Rizqy :
M. le ministre, dans l'autre bloc avant, on parlait justement des victimes de
vol de données mais surtout aussi celles de
vol d'identité. La PCU a
été particulièrement populaire auprès des fraudeurs. Vous comprendrez
que je suis inquiète parce que la PCU, la Prestation canadienne d'urgence, est
imposable. Au mois d'avril, certains
Québécois risquent d'avoir une surprise dans un printemps, il y en a qui n'ont
pas compris que c'était imposable, mais d'autres qui n'ont jamais
demandé la PCU, dont, notamment, des enseignants, et qui vont apprendre que,
finalement, non, il y a quelqu'un d'autre qui a demandé la PCU.
Est-ce qu'on peut...
Est-ce que, un, vous avez parlé avec les homologues fédéraux pour avoir des
garanties? Parce que moi, je les connais bien, là, Revenu Canada, parce que je
suis avocate fiscaliste. Puis je peux vous dire, M. le ministre,
faites-moi confiance, c'est pas mal plus facile pour eux de courir après les
travailleurs que de courir après des multinationales qui ne paient pas d'impôt.
Alors là, le problème qu'on risque d'avoir, c'est des gens qui vont recevoir
une cotisation pour une PCU qu'ils n'ont jamais demandée.
M.
Caire :
Bien, sur cet enjeu-là, Mme la députée, je suis convaincu que mon collègue le ministre
des Finances, qui est en lien avec le gouvernement
fédéral, comprend évidemment
que quelqu'un qui n'a jamais demandé de PCU, et qui aura
été victime d'un vol d'identité et d'une fraude subséquente, puis qui devrait
se ramasser à payer de l'impôt sur de l'argent qu'il n'a jamais touché, là, je
pense que tout le monde comprend que ça n'a aucun bon sens, là. Puis je suis
convaincu que mon collègue ministre des Finances est déjà à pied d'oeuvre pour
s'assurer qu'une situation comme celle-là ne se produira pas.
Mme
Rizqy : C'est juste pour que
vous... Je comprends parfaitement que ça, c'est le dossier au niveau du ministère...
au ministre des Finances, là. Par contre, j'attire votre attention parce qu'il
y a déjà un rapport du Vérificateur général au niveau du fédéral. Rejoindre
l'ARC, là, Revenu Canada, là, c'est comme gagner à la loterie. Ça, c'est quand
le téléphone sonne. On attend...
M.
Caire :
Pas pour les fraudeurs.
Mme Rizqy :
...puis là, des fois, oups! ça sonne, mais ça raccroche, puis, quand que, des
fois, on a quelqu'un au bout du fil, on n'a pas la bonne réponse.
Alors là, moi,
j'aimerais... ma petite suggestion : Dans votre table de ministres, là, ça
serait important de s'assurer de défendre les intérêts des Québécois pour ne
pas que ça soit à eux de faire la bataille devant l'ARC, parce qu'il risque d'y
avoir beaucoup de contribuables québécois qui vont se retrouver exactement dans
la même situation très problématique au mois d'avril, et aussi bien le gérer en
amont puis de dire à Ottawa : Voici comment vous allez régler le problème
pour les Québécois, parce que ce n'est pas vrai qu'on va avoir des gens qui
vont recevoir des cotisations qui portent intérêt. Puis bonne chance pour
rejoindre les gens de l'ARC. C'est plus facile de rejoindre Revenu Québec, je
peux vous le dire.
M.
Caire : Bien, écoutez, je vous entends parfaitement puis je
vous dirais même que... On revient un peu à la discussion qu'on a eue tout
à l'heure, à savoir le lien, à mon avis, qui est extrêmement important entre le
gouvernement du Québec et nos homologues autant des autres provinces et du
fédéral sur la question de l'identité numérique, parce que... Bon, je comprends
que, sur la question fiscale, je vais laisser mon collègue des Finances s'en
occuper, mais ça nous ramène à la discussion que nous avons eue sur le fait que
l'identité numérique, ça demeure une
responsabilité de la province, mais de s'assurer que ces arrimages-là se font
puis que tout le monde est à la même place quant à l'identité numérique,
parce que cette identité numérique là, elle va servir autant pour les
interactions avec le gouvernement provincial que fédéral.
Donc,
il faut s'assurer d'avoir déjà, à la table, des gens du fédéral, et nous avons
déjà ce comité mixte fédéral-provincial
sur l'identité numérique. Donc, cet arrimage-là, nous, on l'a déjà fait. Je
vous entends sur les difficultés avec l'Agence du revenu du Canada, mais,
là-dessus, vous comprendrez que ma capacité d'action est plus limitée un peu.
Mme Rizqy :
M. le ministre, je vous l'ai déjà dit, je le répète : Ne sous-estimez pas
votre impact à la table des ministres. Alors, là-dessus, je compte sur vous,
parce qu'il y a des gens qui vont... Et je n'aurai pas l'occasion de parler
avec M. le ministre des Finances, alors je m'adresse directement à vous parce
que c'est... oui, ça relève un peu de stratégie numérique, c'est la protection
des données.
Et, quand on parle
d'identité numérique, moi, je vous le dis d'emblée, là, puis c'est mon opinion
personnelle, mon éditorial, moi, à ce stade-ci, ça ne me rassure pas, mais
aucunement, de savoir qu'il va y avoir un arrimage avec le fédéral. Ils ont pas
mal de difficultés à gérer leurs données. Et aussi, au niveau informatique, je
pourrais vous parler de plein de scandales fédéraux. Alors, là-dessus, oui...
Mais je vois que vous voulez parler. Allez-y.
• (16 h 10) •
M.
Caire :
Juste apporter une précision, Mme la députée. La gestion du programme, elle est
assumée par le gouvernement du Québec. Qu'il n'y ait pas d'ambiguïté, là, ce
n'est pas le gouvernement fédéral. Par contre, ce qu'on souhaite, c'est
s'assurer d'utiliser des standards et des protocoles qui vont faire en sorte
que le citoyen du Québec va être capable d'utiliser cette identité-là pour
consommer des services fédéraux. Donc, ce qu'on veut, c'est que le fédéral
puisse s'arrimer avec nous, je vais le dire comme ça, pour qu'on puisse
utiliser le Service québécois d'identité numérique même lorsqu'on veut consommer
des services avec le gouvernement fédéral.
Mais
je veux vous rassurer, là, le maître d'oeuvre puis le maître de l'ouvrage pour
le Service québécois d'identité
numérique, c'est le gouvernement du Québec.
Mme Rizqy :
Merci. Vu qu'on parle aussi des données, j'aimerais parler avec vous de la
gestion des données, mais par le secteur privé. Puis je vais garder le même
exemple encore : la fuite de données avec l'ARC. On a remarqué que les
fraudeurs ont un amour privilégié pour une... une institution financière puis
on dirait que tous les comptes transitent vers cette institution financière. Je
comprends que le secteur bancaire, c'est fédéral, mais protection du
consommateur, ça, c'est notre juridiction, et protection des données aussi.
Là-dessus, est-ce que vous pensez que le gouvernement devrait se pencher
davantage sur le cas de cette institution financière et voir comment, à travers
la Loi sur la protection des consommateurs, on pourrait exiger d'avoir un suivi
beaucoup plus rigoureux avant d'ouvrir des comptes n'importe où, n'importe
comment?
M.
Caire : Bien, en
fait, oui. La réponse à votre question, c'est oui. Je ne le ferais pas peut-être
sur la protection du consommateur comme sur les obligations qui viennent avec la protection des données et
des renseignements personnels.
Et c'est là où je
vous ramène à l'idée du projet de loi n° 64 où je pense que, quand on
collecte des données, des renseignements personnels, «données» n'étant pas
nécessairement des renseignements personnels, mais j'utilise la donnée au sens
très large, quand on collecte la donnée, moi, je crois fondamentalement qu'il y
a une responsabilité qui vient avec ça. Et cette responsabilité-là, je pense
que... Les gens de la Commission d'accès à l'information nous l'ont bien dit,
notre cadre législatif actuel, il est là, il existe, mais il peut être bonifié,
puis surtout il peut être modernisé pour refléter la réalité de la transformation
numérique, qui n'existait pas au moment où les lois qui sont en place ont été
adoptées. Et c'est pour ça que, tout à l'heure, je vous disais, Mme la députée...
je pense que le modèle européen est l'exemple à suivre, parce qu'avec la
collecte de données vient des responsabilités.
Mais
là où vous avez raison, c'est que, s'il
y a manquement au niveau
de la responsabilité, bien, il doit y avoir un pouvoir de
contrainte, et, pour une organisation, notamment la Commission d'accès à
l'information, cette organisation-là doit avoir la capacité de s'assurer que
ces responsabilités-là sont pleinement assumées. Et, si ces responsabilités-là
ne sont pas pleinement assumées, bien, il doit y avoir des conséquences qui
sont de nature à être dissuasives. Alors, le projet de loi n° 64
nous amène exactement dans cette perspective-là.
Mme Rizqy :
O.K. Mais qu'est-ce qui vous empêche... Parce que je suis d'accord avec vous
que le projet de loi n° 64, ça va nous permettre
d'ajouter du mordant à la loi sur l'accès à l'information puis la protection
des renseignements personnels, mais, au niveau du consommateur quand on a des
institutions financières qui gèrent moins bien les données, ou que, par
exemple, on se rend compte que vous devez être un agent facilitateur de
transfert de données ou d'informations, ou
même, dans le cas de la PCU, pour les fraudeurs qui ont comme compris qu'il y avait
une brèche, est-ce qu'on pourrait peut-être examiner cette avenue?
M.
Caire :
Bien, écoutez, je vais vous confesser très candidement que je ne suis pas
nécessairement un grand spécialiste de la Loi sur la protection du
consommateur. Est-ce que, juridiquement, il y a des éléments qui peuvent être
adressés à travers cette loi-là? Peut-être, Mme la députée. Là, je ne voudrais
pas m'avancer sur un terrain qui ne m'est
pas familier. Je suis plus familier avec la loi sur la vie privée, la Loi
concernant le cadre juridique des technologies de l'information et la
loi d'accès à l'information, et ce que je peux vous dire, c'est que les
initiatives qui ont été prises par le gouvernement pour modifier ces
différentes législations là visaient surtout le rehaussement de la loi d'accès à l'information. Parce que, de prime
abord, je vous dirais que la problématique que vous adressez, qui est
tout à fait pertinente, à mon avis, va trouver sa solution dans la loi d'accès
à l'information, dans un rehaussement puis une modernisation de la loi d'accès
à l'information.
Ceci étant dit, je vous le dis candidement :
Est-ce que la Loi sur la protection du consommateur pourrait adresser certains
volets de cette situation-là? Peut-être, mais, là-dessus, je confesse les
limites de ma compétence.
Mme Rizqy : D'accord. M. le
ministre, tantôt vous avez dit, à juste titre, que, dans le projet de loi
n° 64, il va y avoir des conséquences pécuniaires puis que, souvent, si on
veut faire cesser un comportement, une amende peut
faire en sorte de s'assurer que les gens vont faire plus attention. Pensez-vous
que la responsabilité des administrateurs devrait aussi être en jeu? Là,
je parle vraiment du secteur privé, là.
M. Caire :
Bien, c'est une question qui est intéressante, puis je sais qu'elle a été
soulevée la semaine dernière, pendant la commission parlementaire. Les
avis étaient partagés. Moi, je pense que l'adoption du projet de loi va être une bonne tribune pour avoir cette conversation-là
avec ma collègue. Moi, je pense que l'idée mérite très certainement
d'être débattue.
Maintenant,
les considérations juridiques, la capacité à mettre ça en application,
là-dessus, je ne me prononcerai pas, mais je vous dirais que, d'emblée,
moi, je pense que la question mérite très certainement d'être posée, et d'être
débattue, et éventuellement peut-être intégrée dans le projet de loi, si la
conclusion des parlementaires qui auront à étudier le projet de loi, c'est que
la réponse à votre question est oui. Moi, je me fie à vous, chère collègue,
pour faire le débat puis prendre la meilleure décision. Mais, très certainement,
il faut que cette loi-là ait des dents, il faut que cette loi-là ait une
capacité dissuasive, parce que, visiblement, il y a des institutions et des
entreprises délinquantes qui ne semblent pas prendre la responsabilité au
sérieux.
Mme Rizqy : Oui, puis il y en a
aussi que c'est par négligence. Ça peut être négligence simple ou grossière.
Mais il faut quand même réaliser qu'aujourd'hui on a le secteur privé qui veut
collecter le maximum d'information pour évaluer le comportement des
consommateurs pour essayer de leur vendre peu importe le type de produit.
Mais moi, je ne trouve pas normal que, quand
même, des décideurs, des dirigeants d'entreprise confient les clés de
l'ensemble de la maison à quelqu'un puis qu'il n'y a pas de caméra de surveillance
dans... et qu'on met un employé sans journalisation, notamment dans le secteur
financier. Donc, l'employé, il peut faire... il peut rentrer dans les comptes
qu'il veut quand il veut, peut télécharger l'ensemble de tous les clients,
partir ni vu ni connu. Puis cet employé, c'était quoi, son objectif? Bien, il a
été mis dans un programme de marketing.
Alors, je me dis : Comment ça se fait qu'on
a des dirigeants d'entreprise qui demandent à un employé : Toi, tu vas créer un nouveau programme de marketing,
tiens, les clés de la maison, amuse-toi, puis après ça on se retrouve avec un vol de données
massif, mais que, là-dedans... Tu sais, je regarde c'est qui qui est vraiment
imputable, là. Un an plus tard, on cherche encore les responsables. On n'arrive
pas à déposer des accusations. Il y a toute la façon aussi que la preuve a été
recueillie, puis on se demande : Est-ce que, oui ou non, la preuve peut
être admissible en cour? En terme de données, c'est la responsabilité des
dirigeants puis des administrateurs.
Puis je vous donne un exemple. En matière de
pollution, quand on a voulu mettre aux pas les multinationales pour dire :
Vous arrêtez de polluer, c'était non seulement des amendes, mais c'était rendu
des conséquences pénales.
M.
Caire : Non, tout à
fait. Moi, je suis...
Une voix : ...
M.
Caire : Oui. Bien,
juste simplement dire que je suis tout à fait d'accord avec la députée de
Saint-Laurent. Ceci étant dit, on avait brièvement abordé toute la question de
la littératie.
Mme Rizqy : Oui. On va revenir
après.
M.
Caire :
Je pense que cet élément-là aussi mériterait d'être adressé. Parce que vous
avez parlé de négligence, il y a la mauvaise intention, mais je pense
qu'il y a l'ignorance aussi quelquefois qui entre en ligne de compte. Et ça,
c'est autant d'éléments qu'il faut adresser dans une solution globale.
Mme Rizqy :
Oui, mais, par contre, il y a une différence. Le citoyen, là, les gens de la
classe moyenne, là, ce n'est pas tout le monde, là, qui travaille... ce n'est
pas des dirigeants nécessairement tous d'entreprises. Là, on parle de gens qui
sont sophistiqués, qui ont des équipes, qui gèrent des milliards et qui en
veulent toujours plus. Alors, en matière de données, là, que je parle, mais
aussi en matière d'argent, bien évidemment. Alors, moi, c'est sûr que mon
propos marque... c'est plus l'imputabilité de ceux qui veulent collecter des
données mais qui sont dans l'incapacité de bien gérer les
données parce qu'ils sont dans leur ligne directrice de grossir :
marketing. C'est pourquoi qu'on veut faire plus de marketing? C'est parce qu'on
veut agrandir notre bassin de clients, vendre plus de produits, faire des
ventes croisées. C'est tout ce mot de «convergence», «convergence». Mais après
ça c'est que, si vous voulez avoir autant de
données, assurez-vous d'être capable de les gérer. Si vous n'êtes pas capable
de les gérer, bien, arrêtez de collecter.
La Présidente (Mme
IsaBelle) : M. le ministre, il vous reste 45 secondes.
• (16 h 20) •
M.
Caire :
Bien, j'entends ce que vous dites puis je suis tout à fait d'accord. Ceci étant
dit, ce que je voulais dire, c'est, autant pour ceux qui gèrent ces données-là,
il y a quelquefois peut-être un niveau de connaissance qui n'est pas adéquat, autant pour nos concitoyens
qui, quelquefois, sont peut-être très généreux du partage qu'ils peuvent
faire de leurs renseignements personnels où, je me dis, avoir une cyberhygiène
collective peut entraîner aussi des changements de comportement. C'était dans
ce sens-là où j'adressais mon propos.
La
Présidente (Mme IsaBelle) : Merci. Il reste 14 secondes. Alors,
nous pourrons poursuivre au prochain bloc.
Une voix :
...
La Présidente (Mme
IsaBelle) : Oui.
Mme Rizqy :
Merci beaucoup.
La
Présidente (Mme IsaBelle) : Merci. Alors, nous allons maintenant avec
le député de Rosemont. Vous avez un bloc de 10 minutes.
M. Marissal :
Merci, Mme la Présidente. Rebonjour. Je vais faire un peu de funambulisme entre
ce qu'on vient de faire en ressources informationnelles et stratégie numérique.
De toute façon, les deux sont plutôt liées à la fin, là. Je pense qu'on fait de
l'aller-retour depuis tout à l'heure. Et, juste pour le bénéfice de tous,
est-ce que je pourrais vous demander, M. le ministre, de permettre à
M. Pierre Rodrigue, donc le directeur, rappelez-moi son titre,
directeur... dirigeant principal — j'ai toujours de la misère — de l'information,
de répondre à la question, à savoir : Combien ça a coûté à ce jour, les
mesures prises par le télétravail? Il m'a fait une réponse privée tout à
l'heure. Je crois que c'est d'intérêt public. Puis il y aura peut-être d'autres
questions subséquentes.
La
Présidente (Mme IsaBelle) : Alors, nous avons le consentement,
M. le ministre? Nous avons le consentement. Alors, allez-y,
M. Rodrigue.
M. Rodrigue
(Pierre E.) : Bonjour. Merci, Mme la Présidente. En fait, il faut
savoir que chaque ministère et organisme est responsable de comptabiliser ses coûts. Les
coûts qu'on a actuellement, qu'on peut vous communiquer, ce sont les
coûts qui ont transité via le Centre de services partagés du Québec, qui
comprennent les coûts de rehaussement du
RITM, le rehaussement également de la capacité de la sécurité plus les coûts
d'achat d'équipements, différents équipements, les portables, les clés
RSA, etc., les licences Office 365 pour l'utilisation notamment de Teams.
Alors, on en est, au niveau du CSPQ, à 18 millions. Donc, ça, ça comprend
RITM, achat d'équipements pour une dizaine d'organismes publics qui transitent
via... donc, qui font leur acquisition via le CSPQ.
Pour les autres
ministères et organismes, c'est sûr que, pour le moment, au moment où on se
parle, on n'a pas le consolidé, l'ensemble ces coûts TI associés à la COVID-19,
là.
M. Marissal :
...organismes qui passent...
M. Rodrigue
(Pierre E.) : Le réseau.
La Présidente
(Mme IsaBelle) : Oui. M. le ministre, oui.
M.
Caire :
Parce que les coûts de rehaussement de réseau sont quand même des coûts qui
sont au bénéfice de l'ensemble des ministères
et organismes parce que le RITM est un réseau qui est utilisé par l'ensemble
des ministères et organismes. Donc,
ces coûts-là sont vraiment à l'ensemble. Donc, c'est vraiment au niveau des
systèmes particuliers qu'il y a des coûts spécifiques pour les différents
ministères et organismes.
M. Marissal :
O.K. Mais je comprends que c'est vraiment parcellaire comme information à ce stade-ci
parce que j'ai du mal à croire que, pour l'ensemble du gouvernement du Québec,
ça ne coûterait que ça. Et vous dites que ce ne sont que 10 organismes qui
passent par...
Là, est-ce qu'on peut
se permettre une extrapolation qui permettrait d'avoir une idée plus globale,
«ball park figure», comme on dit en chinois, pour avoir une idée de combien ça
coûtera au gouvernement? Parce qu'on s'entend, là, 18 millions, ça ne le
fera pas, là.
M. Rodrigue
(Pierre E.) : En fait, extrapolation, il va falloir voir... Comme
disait M. le ministre, les coûts RITM sont évidemment... sont communs à tous.
Là, maintenant, il va falloir voir comment chacun s'est comporté au niveau de
l'achat d'équipements. Il y a des organisations qui étaient déjà... ils avaient
déjà beaucoup de portables, qui faisait en sorte qu'ils n'ont rien... ils n'ont
pas eu à acquérir beaucoup d'équipement. Les gens sont partis chez eux avec
leur portable pour travailler, donc il n'y a pas eu d'acquisition. D'autres
fonctionnaient encore avec le vieil ordinateur à tour, etc., il a fallu qu'il y
ait des acquisitions. Alors, tout dépendant de comment les organisations
étaient avancées en termes de télétravail, les coûts peuvent être différents. Effectivement,
on n'a pas à le consolider. Extrapoler pourrait être... peut-être nous donner
une image imprécise, donc.
Et, comme j'ai eu le
loisir de le dire à M. le député pendant la pause entre les deux commissions,
il y a aussi le fait qu'on va... des organisations sont en train, encore, de se
préparer à la deuxième vague. C'est-à-dire qu'ils ont donné comme une première
étape de travaux, tout le monde a dû aller vite, donc ils se sont préparés pour
la première vague, mais il y a encore beaucoup de travaux à faire dans
certaines organisations, notamment pour l'implantation de Teams dans d'autres organismes.
Donc... Mais la plupart sont quand même bien consolidés. Ils nous ont dit
qu'ils étaient prêts à affronter la deuxième vague sans problème. Donc, les
coûts ne sont pas, de toute façon, définitifs. Alors, on pourra probablement
faire un recensement d'ici la fin de l'année, là, pour savoir combien tout ça a
coûté. Mais, au moment où on se parle, on n'a pas à le consolider.
M. Marissal :
Merci. Par ailleurs, M. le ministre, vous avez suivi les débats comme moi. Bon,
vous me direz que vous n'êtes pas le ministère du Travail ni président du
Conseil du trésor, mais la stratégie numérique du gouvernement, c'est dans
votre cour, le télétravail. Vous êtes incontournable à ce sujet. Vous avez
suivi comme moi les débats, qui ne font que commencer, quant au droit du
travail ou du télétravail : Qu'est-ce qu'on paie? Qu'est-ce que
l'employeur paie? Comment la CSST s'intègre? Est-ce qu'on paie une assurance
parce qu'on fait un bureau et on remplace? Est-ce qu'on a une indemnité parce
qu'on utilise... Vous voyez, il y a une foule de sujets, là, nouveaux qui
s'ouvrent. Vous logez où, vous, par rapport à la responsabilité de l'employeur,
qui est le gouvernement dans ce cas-ci, pour le télétravail de ses employés?
M.
Caire :
Bien, en fait, je pense que la chose à faire, c'est de s'asseoir avec nos
partenaires syndicaux puis de discuter de ces différents sujets là pour le
bénéfice de nos employés et du contribuable. D'autre part, il est évident que
le gouvernement du Québec, je pense, gagnerait à avoir une utilisation accrue,
puis pas accrue par rapport à la situation actuelle, là, comprenez-moi bien, parce
que ça, on est peut-être trop loin à l'autre côté du spectre, mais d'avant la
pandémie où c'était à peu près inexistant. Ce qu'on a eu l'occasion de dire,
c'est : Bon, un chiffre qui se situerait peut-être entre 10 % et
30 % de nos employés en télétravail de façon rotative serait certainement
un objectif louable qui nous permettrait, au
gouvernement du Québec, peut-être
d'aller chercher des économies d'échelle, notamment au niveau des
espaces de travail, mais au niveau des équipements aussi, de la qualité des
équipements.
Parce que ce que le
DPI disait, c'est qu'on est en train de se préparer à la deuxième vague, donc
on est capables d'aller chercher maintenant des outils de télétravail ou ce que
j'appellerai un environnement de travail virtuel plus complet par la téléphonie
IP, par des outils de télétravail plus performants qui nous permettraient des
économies d'échelle et surtout qui feraient en sorte que l'appareil dont vous
devriez vous doter a besoin d'être moins performant, parce qu'au fond vous avez
besoin d'un écran puis d'une carte qui vous permet de vous connecter au
serveur, qui, lui, va vous fournir l'ensemble des services.
Donc,
encore là, quand on parle... puis je vous ramène à votre question quand on
parle de fournir des équipements. Écoutez, compte tenu de ce que je vous
dis, c'est des choses qui pourront être discutées, quelle sorte d'équipement on
fournit. Sur l'environnement de travail, l'ergonomie du travail, il y a des
choses à discuter encore, là. Comment on peut faire pour s'assurer que nos
employés ont un environnement de travail ergonomique, mais qui, en même temps,
est dans leur résidence? Donc... En tout cas.
Écoutez, il y a
beaucoup de discussions, puis je ne veux pas faire cette discussion-là ici et
maintenant, mais ce qui est intéressant, c'est d'entendre... autant du côté du
gouvernement que du côté de nos partenaires syndicaux, je pense qu'il y a une belle volonté de s'assurer de
pérenniser cette solution-là dans des proportions qui sont raisonnables
et que je viens de vous mentionner. Puis, à partir de là, moi, je pense... je
suis convaincu qu'on peut trouver des zones de compromis, là, qui vont plaire à
tout le monde, parce que l'objectif pour le gouvernement, c'est d'aller
chercher l'efficacité de ça et les plus-values du télétravail. Puis je ne parle
même pas au niveau économique, M. le député, parce qu'il est démontré que le
télétravail augmente la performance des individus.
Donc, pour le
gouvernement, il y a cet avantage-là, puis, pour nos concitoyens... nos
employés, pardon, qui sont en télétravail, je
pense qu'il y a une série d'avantages aussi qu'on a vécus et auxquels les gens
adhèrent maintenant facilement.
La Présidente (Mme
IsaBelle) : Merci. Il reste 1 min 30 s.
M. Marissal :
...Mme la Présidente. Avez-vous une idée... Parce qu'on parlait de
connectivité, tout à l'heure, puis de la non-fiabilité du réseau à beaucoup
d'endroits au Québec. Ma collègue de Saint-Laurent disait : Pas besoin
d'aller bien, bien loin, là, pas besoin de se rendre au Nunavut, là. Des fois,
on est à deux heures, une heure de Montréal,
puis ça ne rentre pas du tout. Il y a combien de fonctionnaires du gouvernement
du Québec qui sont incapables de travailler par télétravail?
M.
Caire :
Parce qu'ils n'ont pas les outils? Tous outils confondus ou simplement au
niveau de la connectivité?
M.
Marissal : Non, bien, qui n'ont pas les outils nécessaires pour faire
un Zoom ou pour... Même si l'Internet ne rentre pas...
• (16 h 30) •
M.
Caire :
Je vais vous donner le chiffre, M. le député, je l'ai, le chiffre, mais on
parle de quelques centaines d'employés qui n'ont pas... qui, pour des raisons
d'installation, ne peuvent pas faire de télétravail, soit qu'ils n'ont pas les outils
adéquats ou... Je vais vous donner le chiffre, là. Je m'excuse, je ne l'ai pas
à disposition rapidement, mais on parle de quelques centaines, là, sur nos 68 000 employés.
Mais c'est une situation qui peut se corriger très facilement.
La Présidente (Mme
IsaBelle) : 24 secondes.
M. Marissal :
Ah! bien non. Je vais passer puis je reprendrai tout à l'heure. Ça ne vaut pas
la peine. Merci.
La Présidente (Mme
IsaBelle) : Parfait. Alors, nous continuons avec un deuxième bloc,
avec l'opposition officielle, avec la députée de Saint-Laurent.
Mme Rizqy :
Merci beaucoup.
La Présidente (Mme
IsaBelle) : Vous avez 20 minutes.
Mme Rizqy :
Merci beaucoup. M. le ministre, je vais continuer encore sur le vol des données
parce que, vous comprendrez, c'est comme le sujet de l'heure. Vous avez vu qu'il
y avait des vols de données, oui, au niveau, potentiels, du gouvernement, des
cyberattaques au niveau du gouvernement, mais j'aimerais parler des entreprises
et plus particulièrement les petites entreprises. Hameçonnage. Est-ce que vous
avez préparé quelque chose, un plan? Parce que, un, ça prend de
l'accompagnement, et, en ce moment, je sais qu'il y a des équipes d'enquête de
différents corps policiers qui peuvent faire de quoi. Mais est-ce qu'on sait
c'est quoi, l'étendue de nos capacités à vraiment répondre rapidement et à
faire des enquêtes plus au niveau national, voire international? Parce que,
souvent, là, ils ne sont pas ici, au Québec, ceux qui font de l'hameçonnage.
M.
Caire : Bien, en fait, au niveau des corps policiers,
là-dessus, moi, je ne peux pas vraiment vous répondre, là, qu'est-ce
qu'ils ont exactement comme organisation capable d'intervenir et d'enquêter.
Mais je peux vous dire qu'au niveau du
gouvernement du Québec avec l'arrivée de la pandémie, parce qu'il y a un
corollaire, là, la pandémie amène une augmentation des cas de fraude et
de cyberattaque, et, assez rapidement, avec des partenaires justement en
cybersécurité, le gouvernement du Québec a offert aux entreprises un service
d'accompagnement pour leur permettre de
mettre en place des mesures de sécurité adéquates, soit de mettre en place des
mesures parce qu'il n'y en avait pas, et donc de les aiguiller là-dedans
vers des entreprises, des services-conseils qui peuvent les aider à s'équiper adéquatement, soit rehausser la
cybersécurité de leurs systèmes, parce que, justement, oui, vous avez raison,
la pandémie a amené une augmentation
significative du nombre d'attaques, de cas de fraude, de toutes sortes
d'actions malicieuses de la part des hackeurs et des cyberfraudeurs, là. Et
donc...
Puis tantôt on
parlait de littératie, puis je vais continuer un petit peu dans la même optique
parce que... Puis mon expression vous a un peu fait rire, vous a fait sourire,
la cyberhygiène, mais je vous dirais que ça aussi, ça fait partie des choses
qu'on a mises en place et qu'on met à la disposition de la population, à savoir
des pratiques courantes pour éviter...
Parce
qu'on a toujours l'image que les attaques informatiques sont des hackeurs qui s'attaquent à nos systèmes,
mais la vérité, c'est que la majorité des attaques sont envers des personnes,
soit par un courriel soit par un texto. C'est
vraiment... Les cas les plus patents d'attaques informatiques,
ce n'est pas le hackeur qui essaie de traverser le «firewall», si vous
me permettez l'expression, c'est vraiment... on attaque les individus, on
attaque la crédibilité des individus, et c'est la majorité des attaques
informatiques qui se font comme ça. Donc, on a, oui, travaillé beaucoup à ce
niveau-là pour informer la population, informer les donneurs de services de
quelle façon les fraudeurs s'y prennent.
Vous avez peut-être
entendu parler de ce cas de quelqu'un qui est au contrôle des finances d'une entreprise,
et qui reçoit un courriel du patron, de son grand patron, pour autoriser des
montants à être versés à une entreprise, et qui voit le courriel et dit :
Bon, bien, le boss me dit que je peux payer, ça fait que je paie, puis qui a
émis une série de chèques puis a envoyé la série de chèques. Alors, c'est ce
genre d'attaque... Mais évidemment vous comprendrez que le patron était en vacances, là, il n'était jamais là puis il n'a jamais
envoyé ça, là. Alors, ce genre d'attaque là, c'est vraiment ça qui est le plus
fréquent, je vous dirais.
Les cyberattaques
existent, bien évidemment, elles sont nombreuses, mais c'est peut-être moins
en... toutes proportions gardées, il y en a moins que des attaques de...
Donc,
cette cyberhygiène-là, dont j'ai parlé, elle est extrêmement importante,
parce qu'il faut bien comprendre que la brèche, la vulnérabilité, dans
un système de défense, la plus évidente à atteindre, c'est l'individu lui-même.
Mme Rizqy : Bon, vous prêchez à une convertie lorsqu'il est question
d'éducation et de littéracie numérique. Par contre,
je me rappelle, quand j'étais professeure d'université, bon, dans le programme,
l'Université de Sherbrooke, effectivement,
avait, à l'interne, son propre programme de sensibilisation. Nous, à l'Assemblée
nationale... Moi, ça va faire bientôt deux ans que j'ai été élue, je n'ai pas
vu la même pratique. Et pourtant on est des élus, M. le ministre, et on devrait
prêcher par l'exemple.
Il y avait
même un article dont... Vous y étiez, mais pas juste vous, je tiens à dire,
vous n'étiez pas seulement... ce n'était pas seulement vous, il y avait
d'autres élus que leurs mots de passe, là, c'était assez facile à décoder et
que c'étaient les mêmes mots de passe. Et je crois que... Je ne m'en rappelle
plus, peut-être que, vu que vous faisiez l'objet du reportage, vous avez une
meilleure mémoire de cet article, mais je décodais, moi, qu'on pouvait avoir
accès à certains comptes, soit Gmail ou peut-être même réseaux sociaux. Et dernièrement
on a vu l'attaque sur Twitter, où des comptes d'élus très importants ont été
piratés. Et on sait qu'aujourd'hui, souvent, certains élus, leurs positions
sont affichées directement sur Twitter, et ça peut, dans certains cas, évidemment,
lorsqu'on parle de la présidence américaine, déclencher une guerre. Je ne mets
pas ça au même niveau, mais, par contre...
M.
Caire :
...déclencher une guerre, mais bon.
Mme Rizqy :
Je ne pense pas que qui que ce soit le verrait aujourd'hui, mais sait-on
jamais? Si quelqu'un voit le compte de M.
Caire dire : Je déclenche une guerre, il n'y a personne qui va
penser que c'est vraiment peut-être
sérieux à ce point-là, mais on ne sait jamais.
Alors,
là-dessus, premièrement, pouvez-vous peut-être nous dire... Parce que
c'est bien beau de parler d'hygiène, de cyberhygiène, mais, même nous, à
l'Assemblée nationale, alors qu'on a des élus, des ministres qui ont des
dossiers excessivement importants, des dossiers, des fois, très confidentiels,
ultraconfidentiels, et on n'est pas nous-mêmes... on doit faire attention. On a
vu qu'on peut faire l'objet d'espionnage, d'espionnage commercial.
Et je me demande...
L'année passée, je vous ai posé la question : Est-ce qu'on a fait l'état
des lieux de nos sites les plus importants du Québec? Ça, c'est... Ma question
est longue. Inquiétez-vous pas. Je sais que quelqu'un va me répondre. Mais, là-dessus,
c'est important de savoir nos sites, mais aussi les gens qu'on doit protéger davantage,
certains élus qu'on doit protéger davantage aussi, parce que moi, je n'en ai
pas, de secret d'État.
M.
Caire : Bien, en
fait, la réponse... Puis votre réponse, il y a deux volets. Puis je
voudrais vraiment répondre aux deux parce que je pense qu'ils sont importants,
les deux. Vous avez tout à fait raison sur la question de l'utilisation
des mots de passe. D'ailleurs, on a, au gouvernement du Québec suite à une
directive qui a été émise il y a déjà un certain temps, rehaussé les exigences
sur la complexité des mots de passe à utiliser, là — un, deux, trois,
quatre ou dates d'anniversaire de nos enfants, peut-être moins — donc
s'assurer qu'il y a une complexité dans le mot de passe, que les mots de
passe... on force maintenant beaucoup plus et de façon plus large les employés
de l'État ou du gouvernement au sens large à changer les mots de passe plus
fréquemment pour s'assurer, effectivement, qu'au cas où on procède au vol d'un
justificatif, donc l'identifier à un mot de passe, que ce soit... la période de
temps où il y a un danger soit réduite. Donc, ça, c'est des directives qu'on a
renforcées.
Au niveau des sites,
bien, je vous disais que l'équipe d'Yvan, au Centre gouvernemental de
cyberdéfense, a acquis des outils qui leur permettaient de faire des vérifications,
et ces vérifications-là ont été faites. Et je peux vous dire que, très, très, très rapidement, on ne se contente pas de faire la vérification, lorsqu'il y a, et je le dis, lorsqu'il y a des problèmes qui sont
rencontrés, très rapidement, les équipes vont contacter les responsables et
vont leur... en fait, même pas leur proposer, leur donner la recette pour
corriger la situation. Donc, c'est quelque chose qu'on fait maintenant, je vous
dirais, de façon systématique et qui se fait sur à peu près tout ce qui est
visible à partir du Web.
Bon, est-ce que tout
ça est parfait? Non, rien n'est parfait. Mais je pense qu'en fonction de la question
que vous m'avez adressée, je pense qu'on a rehaussé significativement la
sécurité parce qu'on a amélioré notre pratique sur l'utilisation des mots de
passe. Et vous l'avez mentionné dans l'article, je pense qu'effectivement on
s'est rendu compte qu'on avait des comportements qui pouvaient être améliorés,
moi, le premier, et ça, ça a été fait.
Et on s'est rendu
compte qu'au niveau de la sécurité de nos applications, sites Web, là aussi, il
y avait du rehaussement à faire, et ça, on l'a fait. D'ailleurs, c'est un...
J'en profite encore pour les féliciter parce qu'ils font un boulot absolument
extraordinaire pour assurer la sécurité de nos applications au quotidien, là.
Mme
Rizqy : M. le ministre, j'ai une question. Est-ce que l'information,
les données des élus et des ministres, est logée au même endroit?
M.
Caire :
Excusez-moi. Je...
• (16 h 40) •
Mme Rizqy :
Est-ce que les données, là, nos informations, les élus et ceux des ministres,
est-ce que c'est logé au même endroit? Est-ce que c'est hébergé dans le même
serveur?
M.
Caire :
C'est-à-dire que... Bien, les ministres étant des députés de l'Assemblée
nationale...
Mme Rizqy :
Oui, oui, mais je veux vraiment distinguer députés, ministres. Est-ce que, dans
leur cas, c'est logé sur le même hébergeur ou non?
M.
Caire : C'est-à-dire que, bien, non, dans le sens où, comme
député, mes informations sont logées à la même enseigne que les vôtres, mais je
dois vous dire que l'Assemblée nationale a joint le réseau de cyberdéfense du
gouvernement. Donc, la décision a été prise par la présidence de participer à
ce grand réseau de protection. Donc, non, physiquement, ce n'est pas les mêmes
serveurs, l'Assemblée nationale a des serveurs qui lui sont propres, et les différents ministères et organismes ont des
serveurs qui leur sont propres, mais le réseau de protection, la
collaboration entre ces entités-là au niveau de la défense de nos systèmes
d'information, c'est le même réseau. Et l'Assemblée nationale, comme je vous
dis, de façon totalement indépendante, je tiens à le dire, a pris la décision
de joindre le Réseau gouvernemental de cyberdéfense, mais il n'en demeure pas
moins que c'est une entité qui est indépendante et qui a ses propres systèmes.
Mme
Rizqy : O.K. Donc, si je comprends bien, c'est le même degré de
protection pour un élu et un ministre?
M.
Caire :
Oui.
Mme Rizqy :
Est-ce que ce degré de protection, est-ce qu'il a été évalué? Est-ce que vous
avez fait affaire avec des hackeurs à bonnet blanc, là?
M.
Caire :
Ça, c'est une bonne question. Avec qui on a fait les évaluations de défense,
là, on rentre dans un sujet sensible, Mme la députée, là. Je...
Mme Rizqy :
Oui. Dans ce cas, pas besoin de me répondre au micro. C'est correct.
M.
Caire :
Oui, bien, c'est ça. Mais ça fera plaisir, peut-être dans un éventuel briefing,
là, comme je vous proposais tout à l'heure, d'aborder ces sujets-là. Mais... Ce
n'est pas que je ne veux pas vous répondre...
Mme Rizqy :
Non, c'est correct, puis vous prêchez à une personne qui...
M.
Caire : ...mais il y a peut-être bien des gens qui nous
écoutent puis qui ne sont pas tous très bien intentionnés. Ça fait que
j'aime autant rester plus discret sur la façon dont on se protège.
Mme Rizqy :
Il n'y a aucun souci.
M.
Caire : Mais ça me
fera plaisir, à vous et aux collègues, de vous donner l'information sur une autre
tribune, mettons.
Mme Rizqy :
D'accord. Toujours sur la question des serveurs, vous êtes rendus où dans votre
objectif de rétrécir le nombre de...
M.
Caire :
Sur la consolidation?
Mme Rizqy :
Oui.
M.
Caire :
Bon, alors, le travail préparatoire a été fait parce que ce qui était important
pour nous d'abord, c'était de qualifier les entreprises en infonuagique. On est
à compléter cet exercice-là. D'autre part, il fallait aussi faire une
catégorisation des données pour... parce que, bon, comme vous le savez, les
données très sensibles vont rester en
infonuagique du gouvernement, et les autres données, en deux catégories, seront
disponibles pour des contrats de service avec des entreprises en
infonuagique.
Maintenant, on a
choisi cinq organismes sur la base d'avoir des organismes dont la taille va
représenter les différentes possibilités du gouvernement, dont le volume de
données va être représentatif du gouvernement, mais aussi dont la capacité
technologique va être représentative. Parce que vous savez qu'il y a des
organismes de grande taille, il y a des organismes qui ont une maturité
technologique qui n'est pas la même partout, qui n'est... Alors, il y a des
organismes, donc, qui vont être capables de réaliser la consolidation des CTI
avec peu d'assistance de la part de l'ITQ, mais il y en a d'autres pour
lesquels on va devoir prendre tout en charge.
Donc, on voulait
avoir un échantillon pour valider nos hypothèses, parce que j'ai publiquement
expliqué comment le programme allait fonctionner, comment on allait le
budgéter, c'étaient quoi, les coûts, les économies. Maintenant, on est à la
preuve de concept, si vous me passez l'expression. Donc, cet échantillon-là
nous permet de valider nos hypothèses et ensuite de déployer à plus grande
échelle.
Mme Rizqy :
Avez-vous la liste des données que vous avez classées sensibles versus celles
que vous avez classées non sensibles?
M.
Caire :
C'est-à-dire que c'est la définition, parce que la donnée... chaque ministère
et organisme, quand on va faire la revue diligente du ministère et de
l'organisme, la définition est le prisme à travers lequel on va passer la
donnée pour savoir : Bon, bien, celle-là, elle est non sensible, celle-là,
elle est plus sensible, celle-là, elle est très sensible. Donc...
Et
on n'a pas, au Québec, on n'a pas une cartographie de notre donnée en fonction
de chacune des catégories, d'une part, parce que les catégories n'existaient
pas et, d'autre part, parce qu'on n'a jamais fait cette cartographie-là. Donc,
un des avantages du programme de consolidation des centres de traitement de
l'information, c'est qu'à la fin de
l'exercice, nous allons avoir cette cartographie-là exacte de nos données.
Donc, je vais être en mesure de vous dire : Voici le volume de
données très sensibles dont on dispose, etc.
Mme
Rizqy : Mais, pour faire la sélection de cinq entreprises qui doivent
gérer de l'information, des données, sur une capacité, vous avez
mentionné que vous avez séparé le type de données parce que vous allez garder
des données que vous jugez sensibles. Quelles sont les données que vous avez
jugé sensibles?
M.
Caire :
Bien, c'est-à-dire que je pourrais vous faire parvenir la définition.
Essentiellement, c'est la même que le gouvernement fédéral. C'est des critères
qui sont à rencontrer pour dire : Bon, bien, si tel, et tel, et tel
critères, est-ce que le préjudice est grave? Est-ce que le préjudice... Si tant
est que la volée... la volée, pardon, la donnée était volée, est-ce que c'est
un préjudice qui est négligeable? Est-ce que c'est un préjudice qui est
important? Est-ce que c'est un préjudice qui est grave?
Mme Rizqy :
Mais je vous donne un exemple concret, là. J'ai une décision, là, une décision
d'un tribunal ici, au Québec. Par exemple, mon compte d'Hydro-Québec...
M.
Caire :
Mais, avec votre permission, Mme la députée, je vais le sortir de sa torpeur et
je vais demander à celui... et je le félicite pour sa nomination, le P.D.G. de
l'ITQ, de vous répondre sur la façon dont on a structuré la catégorisation des
données.
La Présidente (Mme
IsaBelle) : Un instant.
M.
Caire :
Avec votre consentement.
La Présidente (Mme
IsaBelle) : Je veux savoir si on a le consentement des autres partis
également. Oui? Député de René-Lévesque aussi? Merci.
Alors, je vous invite
à vous présenter et à nommer votre organisme avant de commencer à prendre la
parole.
M. Rochette
(Guy) : Bien là, si je nomme le bon pour aujourd'hui, là, c'est
vice-président principal, services d'infrastructures et solutions d'affaires au
CSPQ et futur président de l'ITQ au 1er septembre.
Des voix :
...
La Présidente (Mme
IsaBelle) : Oui. En fait...
M. Rochette
(Guy) : L'ITQ, l'Infrastructures technologiques Québec.
La Présidente (Mme
IsaBelle) : C'est qu'on va lui demander de répéter.
Une voix :
...
La
Présidente (Mme IsaBelle) :
M. le ministre, M. le ministre, on va lui demander de répéter, parce
qu'effectivement son micro est... Juste en arrière de votre ordinateur.
Nous-mêmes, on n'a pas entendu ici. Oui. Merci. J'apprécie.
M. Rochette
(Guy) : Je suis vice-président principal des services
d'infrastructures et des solutions d'affaires du CSPQ et, au 1er septembre, je
vais être le président-directeur général d'Infrastructures technologiques
Québec.
La Présidente (Mme
IsaBelle) : Et votre nom?
M. Rochette
(Guy) : Guy Rochette. Bon, donc là, si on parle de la catégorisation
des données, les données ont été catégorisées en trois types de données :
on parle de la donnée non sensible, de la donnée sensible puis de la donnée
extrêmement sensible, très sensible. Donc, il y a des critères qui ont été
faits puis qui sont basés sur le PBMN du
gouvernement du Québec... du Canada et du FedRAMP au niveau, là, du
gouvernement des États-Unis. Le FedRAMP, bien, c'est tous des
critères de sécurité qu'ils se donnent, là, pour voir ça.
Donc je ne sais pas
si vous connaissez le ISO 27001, le SOC 2, type 2 . C'est toutes des
normes de sécurité.
Mme Rizqy :
Moi, je tiens à vous assurer tout de suite, M. Rocher...
M. Rochette
(Guy) : Rochette.
Mme Rizqy :
...les normes ISO, tout ça, à part celles qui sont environnementales, je vais
être bien honnête avec vous, non, je ne
connais pas. Par contre, si vous me parlez en langage clair, il y a
de fortes chances que monsieur et madame à la maison qui nous regardent
vont aussi comprendre.
Donc, moi, par
exemple, je veux savoir, mon Dossier santé, dans quelle catégorie qu'il va
tomber. Catégorie un, pas sensible,
moyennement sensible ou, la troisième catégorie, extrêmement sensible? Mon dossier Revenu Québec, mon dossier à
la SAAQ puis, par exemple, mon dossier éducation, parce qu'on a aussi un
dossier éducation primaire, secondaire qui nous suit, on a notre code permanent
qui nous suit tout le long de notre vie d'élève à étudiant. Moi, c'est plus
comme ça que j'aimerais comprendre, là, les catégories.
M. Rochette
(Guy) : O.K. Nous autres, on a...
Une voix :
...
M. Rochette
(Guy) : O.K.
Mme Rizqy :
Sinon, on a un autre bloc.
La Présidente (Mme
IsaBelle) : ...M. Rochette.
M. Rochette (Guy) : O.K. On a produit un guide d'analyse
de préjudices qui détermine la valeur de la donnée. Et il y a plusieurs...
il y a des catégories au niveau de la donnée, et, en fonction de la donnée, le ministère
ou l'organisme va regarder ce guide-là, qui
a plusieurs critères puis plusieurs étapes et qui va lui
permettre de catégoriser la donnée dans la bonne... dans la donnée
sensible, non sensible ou extrêmement sensible. Et, si la donnée a été évaluée
comme extrêmement sensible, elle va être logée dans l'infonuagique gouvernementale.
Si elle est sensible, elle va être logée
dans l'informatique... dans
l'infonuagique externe, mais seulement que dédiée à certaines compagnies
qui vont respecter les critères de sécurité qui ont été très... qui ont été
élaborés. Et, si elle est non sensible, bien, ça va être placé dans un... il y
aura un éventail plus large de fournisseurs en infonuagique externe.
Mme Rizqy :
O.K. Puis pour que nous, on puisse comprendre, là, par exemple, nos dossiers
étudiants, c'est quelle catégorie?
M. Rochette
(Guy) : Bien là, ça, je ne peux pas le dire par rapport à... parce que
moi, je n'ai pas fait l'analyse de préjudice par rapport à tout ça. Mais,
regarde, je vais vous donner l'exemple...
Mme Rizqy :
O.K. D'accord. Est-ce qu'on peut voir, par exemple, l'opinion juridique pour en
prendre connaissance, pour bien comprendre les catégories puis essayer
d'avoir une meilleure perspective?
M. Rochette
(Guy) : Oui.
Mme Rizqy :
On pourrait l'avoir? Parfait. Alors, si on peut avoir l'opinion juridique, je
vais en prendre connaissance.
• (16 h 50) •
M. Rochette
(Guy) : Oui, oui. Puis aussi on peut vous envoyer le guide, là,
d'analyse de préjudices. Il est tout élaboré.
Mme Rizqy :
Parfait. Oui, j'aimerais bien. Merci.
La Présidente
(Mme IsaBelle) : Donc, vous allez transmettre ce guide à la
commission, à la secrétaire?
Mme Rizqy :
Et l'opinion juridique.
La Présidente
(Mme IsaBelle) : Et le plan? Parfait.
Mme Rizqy :
Merci.
La Présidente (Mme
IsaBelle) : On le fera après la commission. Ça vous va comme ça?
Mme Rizqy :
Oui, oui, oui. Il n'y a pas d'urgence.
La Présidente
(Mme IsaBelle) : Excellent!
M.
Caire : ...Mme la Présidente, à la commission, puis les
membres de la commission en prendront connaissance à leur guise.
La
Présidente (Mme IsaBelle) : Parfait. Mais ça sera après la
commission. Parfait. Il vous reste 24 secondes.
Mme Rizqy : Ah! bien non, c'est
que... Bien, à moins que... Non, parce que je comprends qu'il ne peut pas...
M. Rocher ne peut pas me dire immédiatement la catégorie. Alors donc, je
vais prendre connaissance de l'opinion juridique, du guide, et, à ce moment-là,
je risque de vous revenir avec d'autres questions ultérieurement.
La
Présidente (Mme IsaBelle) : Merci, M. Rochette. Alors, nous
poursuivons avec le troisième groupe d'opposition, avec le député de
René-Lévesque. Vous avez 10 minutes.
M. Ouellet : Merci beaucoup, Mme la
Présidente. Donc, je vais faire du rebond sur la collègue, à savoir... M. le
ministre, vous avez dit qu'on n'avait pas de cartographie. C'est ça que j'ai
bien pu comprendre. Pouvez-vous en dire un peu plus? Pourquoi est-ce qu'on n'a
pas de cartographie ou... Mon autre question, ce serait : Est-ce que les
données actuelles du gouvernement ont été catégorisées? Et, si oui, qu'est-ce
que ça a donné? Et, sinon, quand est-ce que ce sera fait?
M.
Caire : Bien, en
fait, pourquoi il n'y en a pas, parce que ça n'a jamais été fait. Puis ça n'a
jamais été fait parce que chaque ministère et organisme, de par sa loi
constitutive, est propriétaire de la donnée qu'il collecte. Parce que la loi
dit que le ministère et/ou l'organisme est propriétaire de ses actifs, et, à ce
jour, la donnée a été considérée comme un actif. Donc, c'était propre...
c'était la propriété de chaque ministère et organisme. Et donc, au niveau du
gouvernement du Québec, ça n'a jamais été fait.
Donc, maintenant, ce qu'on fait par le programme
de consolidation des centres de traitement de l'information et vu qu'on ramène
ça à sa plus simple expression, on parle de trois sites, notamment, au niveau
du gouvernement, mais aussi avec des contrats de services, avec des entreprises
en infonuagique, ça nous oblige, de ce fait, à procéder à la catégorisation des
données pour savoir où est-ce qu'on va les envoyer. Donc, je vous dirais que,
par la force des choses, on va devoir cartographier cette donnée-là, et là on
va savoir quel est le volume de données non sensibles qu'on possède, quel est
le volume de données peu sensibles et quel est le volume de données extrêmement
sensibles.
L'hypothèse de base, c'était que les données
extrêmement sensibles, ça représentait 20 % du total des informations que
le gouvernement du Québec possédait. C'était l'hypothèse de base. On a déjà
fait des démarches auprès des ministères et organismes pour voir, de leur côté,
si on était à peu près sur la cible, puis je vous dirais que les chiffres qu'on a obtenus nous amènent à penser
que cette hypothèse-là, à quelques pourcentages, devrait se vérifier.
Maintenant, à la fin de l'exercice, là on sera
en mesure de vous donner un volume de données beaucoup plus précis pour chaque
catégorie, et là le gouvernement saura exactement de quels actifs il dispose.
M. Ouellet : Donc, si je comprends
bien, vous aviez déjà énoncé votre volonté d'aller en infonuagique sans avoir
les informations totales sur le nombre de données détenues et surtout sa
catégorisation, qui allait vous faire dire, avant d'avoir les chiffres, qu'on
était autour de 20 %. Là, je comprends que votre choix est déjà fait pour
ce qui est des technologies. Je comprends que vous êtes à catégoriser, qui va
vous amener à cartographier. Vous nous dites que ça devrait tourner autour de
20 %. Ce n'est pas encore le chiffre final. Ce chiffre sera connu, mais ça
pourrait varier. C'est ce que je comprends.
M.
Caire : Oui, tout à
fait. Par contre, je vous dirais que la décision d'aller en infonuagique ne
relève pas du degré de sensibilité de la donnée, dans le sens où toutes les
données que possède le gouvernement vont être stockées en fonction de cette
technologie-là qu'est l'infonuagique, ce qui va... L'influence de la catégorie
de la donnée va être à l'effet que... de quelle façon on va stocker
l'information en infonuagique.
Alors, comme
disait M. Rochette, des données peu sensibles pourraient être conservées
dans un environnement dont les normes de sécurité sont assez strictes.
Des données qui ne sont pas sensibles, par exemple, M. le député, je pense à
notre site donneesquebec.ca, c'est de la donnée ouverte. Alors, vous
comprendrez qu'il n'y a pas... Non, ce n'est pas vrai. J'allais dire : Il
n'y a pas de sécurité à y avoir. Il y a de la sécurité à y avoir, mais ce n'est
pas le même niveau de sécurité. On va avoir de la sécurité parce qu'on ne
voudrait pas qu'un petit comique vienne mettre des choses inappropriées sur
notre site, là. Ça fait qu'on comprend qu'il y a quand même de la sécurité.
Ceci étant dit, on ne souhaite pas qu'il y ait
un site hypersécurisé contre les fraudeurs parce que, dans le fond, c'est des
données qu'on souhaite qu'elles puissent être utilisées par nos concitoyens.
Par contre, de la donnée très sensible, bien,
évidemment, ça va être en infonuagique, mais gouvernemental, parce qu'on va s'imposer à nous-mêmes les plus
hauts standards de sécurité, autant sur la protection électromécanique
que l'accès au bâtiment, que l'accès au serveur, que les couches de protection
de logiciel dont parlait M. Rodrigue, tout à l'heure, pour se protéger
contre des attaques malicieuses, autant sur la formation du personnel. Parce
que, comme je le disais à Mme la députée de
Saint-Laurent... Puis on l'a vu avec Desjardins. L'attaque qu'a subie Desjardins était une attaque d'un employé de
Desjardins qui s'est servi de ses droits pour aller chercher cette donnée-là.
Donc, c'est l'ensemble de cette protection-là qu'on doit voir et pour laquelle
on doit s'assurer qu'on fait le maximum.
M. Ouellet : Je vais changer de
registre, si vous me permettez. De la stratégie numérique on va passer à
l'identité numérique, mais cette fois-ci sur le Web. On sait que, depuis 2006,
le standard du nom de domaine Internet du gouvernement est d'utiliser le
suffixe «gouv.qc.ca». En 2008, l'OBNL PointQuébec a sollicité le gouvernement du Québec afin de l'aider dans ses démarches pour obtenir le
nom de domaine «.quebec». Une motion a été adoptée à l'unanimité à l'Assemblée
nationale pour appuyer sa démarche. En 2014, PointQuébec a obtenu le suffixe
ainsi que le droit de l'utiliser. Ma collègue députée de Joliette, à l'époque,
avait même présenté une motion que la CAQ avait appuyée.
Donc, ma
question au ministre : Est-ce que le standard de 2006 est encore en
vigueur? Et, sinon ou si oui, êtes-vous intéressé à aller de l'avant
avec le suffixe «.quebec»?
M.
Caire : Écoutez, ce
n'est pas des discussions... honnêtement, ce n'est pas des discussions qu'on a
eues, puis pas parce que le sujet ne mérite pas notre attention, mais je vous
dirais que, quand on est arrivés aux affaires, il y avait beaucoup de choses
qui devaient capter notre attention.
Je vous ai donné l'exemple du programme de
consolidation des CTI. Il faut comprendre que, si on s'est lancé là-dedans,
c'est parce qu'il y avait des situations préoccupantes quant à la façon dont on
stockait nos informations. On a parlé de cybersécurité tout à l'heure. C'est un
enjeu qui était extrêmement préoccupant et prioritaire, auquel on s'est adressés. Je vous parle du service québécois
d'identité numérique parce qu'il y a une hypothèque quant à l'utilisation des services numériques. ClicSEQUR
est extrêmement complexe à utiliser, puis c'est un frein à
l'utilisation des services numériques, puis,
en plus, on se rend compte que cette technologie-là est désuète. Donc, il y a eu
beaucoup de dossiers, pour être honnête, puis je pense que le DPI pourra
témoigner que... L'autre jour, il était tout content d'avoir eu 45 minutes
pour dîner. D'ailleurs, c'est beaucoup trop, mais, bon, on s'en reparlera.
Mais, ceci étant dit, ce n'est pas un dossier,
je vous avoue, très, très, très candidement, M. le député, puis pas parce que
ça ne mérite pas qu'on s'y attarde, ce n'est pas un dossier sur lequel on s'est
penché au moment où on se parle. Mais j'aurai beaucoup de plaisir à en discuter
avec vous, effectivement, si le sujet vous intéresse.
M. Ouellet : Bien, on en parle
depuis longtemps puis, en 2014, on s'est assuré d'avoir le «.quebec», qu'il
nous appartienne. La grande question, c'est : Est-ce qu'un jour on va
faire ce virage-là, qui est un peu notre identité et qui, je pense, serait facilitant aussi dans l'ensemble des
communications ou la transmission d'informations à travers le gouvernement du Québec? Le
«.gouv.qc.ca», c'est un peu long, il y a un risque d'erreur, tandis que le
«.quebec» serait, un, d'une part, plus facile
mais, surtout, ferait partie, effectivement, de l'identité québécoise de la
nation québécoise, et je pense que ça serait assurément une chose à
regarder.
Puis je
comprends que, sur le tableau de bord, il y a plusieurs choses. Je ne dis pas
que c'est la priorité numéro un, mais ce que j'aimerais entendre du
ministre de la Transformation numérique, c'est que la transformation numérique
qu'on est en train d'opérer se fasse aussi dans l'identité Web, qui va
permettre au gouvernement du Québec ainsi qu'à ses instances et à ses
fonctionnaires, et à ses organismes qui sont autour du gouvernement d'avoir une
entité unique qui nous permet d'affirmer notre identité, mais aussi notre
unicité à travers cette immense... toile Web, pardon, qu'est l'Internet.
• (17 heures) •
M.
Caire : Bien, je
peux vous dire que le standard est toujours actif, là, ça, ce n'est pas un
problème. Mais, effectivement, moi, je ne suis pas hostile à cette idée-là, pas
du tout. Ceci étant dit, je pense que vous l'avez bien résumé, M. le député,
disons que, dans la liste... Et quelqu'un de très sage m'a dit : Il faut
faire la distinction, quand on arrive dans un poste de gestion, entre ce qui
est urgent et ce qui est important. On s'est attaqué à ce qui était urgent,
puis je vous dirais qu'on n'a pas encore fini de compléter le travail dans les
urgences. C'est certainement un sujet
important qui méritera notre attention lorsque ce sera approprié de le faire,
mais je vous dirais que, pour l'instant, on est vraiment à essayer de
régler les urgences au niveau de la transformation numérique.
La Présidente (Mme IsaBelle) :
Merci. Il reste 20 secondes.
M. Ouellet : Ah! bien, je vais le
reporter à mon prochain bloc, terminer la discussion sur ça.
La
Présidente (Mme IsaBelle) :
Parfait. Alors, nous poursuivons avec un autre bloc avec l'opposition officielle et avec la députée de
Saint-Laurent.
Mme Rizqy : Merci beaucoup. Durant
l'échange entre le député de René-Lévesque et le ministre, je suis allée
fouiller un peu. Puisque vous avez dit que vous catégorisez les données, un peu
à l'instar d'Ottawa, donc, je suis allée voir le site Web d'Ottawa, et il y a
les données confidentielles, secrètes et ultrasecrètes. Alors là, je suis un
peu, je vous dirais, M. le ministre... parce que le cadre d'Ottawa... puis j'ai
aussi un peu regardé, là, je vous dirais que je n'ai pas eu le temps de
regarder les 75 pages, mais j'ai regardé en diagonale le cadre normatif du
Québec, et, même dans le cadre, ce n'est pas précis, c'est quoi qu'on va
considérer confidentiel, secret et ultrasecret.
M.
Caire :
Bien, en fait, de notre côté à nous, là, ce qui est secret, ultrasecret et
confidentiel va se ramasser dans la catégorie de la donnée sensible. Ce dont on
va vous faire part, ce qu'on va vous faire parvenir, c'est le guide dont on va
doter les organismes pour aller plus largement dans le non sensible. Puis,
tantôt, c'est ce que je disais au collègue de René-Lévesque, le Québec s'est
doté d'un site qui s'appelle donneesquebec.ca, qui est de la donnée ouverte. Alors, on peut comprendre qu'une donnée
comme celle-là n'a pas besoin d'être entourée des mêmes mesures de
sécurité qu'une donnée qui est extrêmement sensible, pour laquelle, comme je
vous expliquais, Mme la députée, on est à rehausser l'édifice où loge
actuellement feu le CSPQ — hein,
je peux dire ça, feu le CSPQ? — bon, parce qu'il
faut assurer la sécurité physique des lieux, il faut assurer la sécurité des
accès, il faut s'assurer de la probité des gens qui vont y travailler, il faut
s'assurer que les équipements électromécaniques sont à la fine pointe. On est
aussi, là... l'ITQ est à faire les démarches pour aller se chercher une
certification ISO 27001, qui, comme vous le savez, est le plus haut niveau
de certification en matière de sécurité de l'information. Donc, toutes ces
mesures-là, on les met en place. Et ce qu'on fait au gouvernement du Québec,
c'est pour... Alors, il n'y aura pas de confidentiel, ultraconfidentiel. Ça va
être les données sensibles qui vont regrouper l'ensemble de ces définitions-là.
Maintenant, le guide
qu'on va vous fournir va être celui qui va être utilisé par les ministères et
organismes, qui vont avoir à faire la revue diligente et la catégorisation de
leurs données pour ensuite savoir avec qui ils vont faire affaire pour le
stockage de données. Est-ce que ce sera l'ITQ? Est-ce que ce sera des
entreprises de services infonuagiques qui ont atteint un niveau de
certification raisonnable en matière de sécurité ou est-ce que ce sera des
organismes dont les mesures de sécurité sont moindres, mais qui sont quand
même... dans la mesure où, je vous l'ai dit, qu'il ne faudrait pas non plus
qu'on se ramasse avec des données non pertinentes ou indésirables sur des sites
qui sont du gouvernement.
Mme Rizqy :
Oui, mais je doute que le gouvernement du Québec conserve des données non
pertinentes des citoyens. Et là je suis, en ce moment, en train de lire le
cadre légal et normatif du gouvernement du Québec puis, honnêtement, là, je
n'ai pas lu les 74 pages, là, mais j'ai passé en diagonale durant votre
échange, et il n'y a pas le commencement, là, de quoi que ce soit qui peut me
donner à moi, simple citoyenne quand même élue, de qu'est-ce qui est une donnée
sensible versus qu'est-ce qui est ultrasecret. Donc, moi, là, ce que je
comprends, c'est qu'il y a trois catégories : sensible, moyennement
sensible et ultrasensible. Extrêmement sensible, pour reprendre, je pense, M. Rochette, ses termes. La seule chose qui
va être gardée au niveau du Québec, du gouvernement, c'est des données
extrêmement sensibles, mais les deux autres catégories sont quand même gérées
par le privé, là.
Donc,
moi, je pense que ce qui se conçoit bien s'énonce clairement. Je viens de regarder 74 pages, puis, là-dedans, il n'y a rien, là, qui
dit, exactement, là, qu'est-ce qu'une donnée sensible. Et je crois que les
Québécois doivent comprendre qu'est-ce qui va être privatisé versus qu'est-ce
qui va rester dans la gestion du gouvernement. C'est pour ça que je reviens
avec des exemples simples. Puis là, là-dedans, je m'excuse, mais le cadre, là,
qui est présenté, qui a été publié, il n'y a pas d'exemple simple. Alors, ça
devient très difficile pour moi, là, ça devient un débat pratiquement
théorique. Puis, quand on dit : On vous a donné un cadre légal et
normatif, bien, vous le savez aussi bien que moi, un cadre légal et normatif,
si moi, je ne suis pas capable de le comprendre, puis je suis avocate, le
citoyen, là, qui n'a pas juste ça à faire, il ne comprendra pas plus que moi,
là.
M.
Caire : Bien, je
vous entends, Mme la députée. Ceci étant, je voudrais quand même
faire la part des choses, parce que je comprends ce que vous dites puis
je ne suis pas insensible à ce que vous dites, puis on pourra avoir des
discussions avec les équipes pour savoir est-ce qu'on peut rendre publique une information
digeste sur les définitions qu'on se donne.
Ceci étant dit, Mme
la députée, vous êtes aussi avocate et vous savez que le corpus législatif québécois
n'est pas non plus à la portée de M. et Mme Tout-le-monde parce qu'il y a des
choses qui sont complexes et qui méritent, qu'on soit... je vous dis, qu'on les
adresse d'une façon assez précise. Et, oui, je pense qu'on peut peut-être faire
des efforts pour mieux vulgariser des
informations qu'on donne, mais il reste qu'un cadre normatif, ça se doit quand
même d'être étoffé.
Il y a un guide qui
vient avec ça. Ce guide-là est à l'attention des responsables des ministères et
organismes, qui sont quand même des initiés,
donc, pour être sûr que tout le monde est clair et tout le monde sait ce qu'il
a à faire. Oui, ça se peut qu'on produise des documents qui ne sont pas
à la portée de tout le monde. Est-ce qu'on peut faire un meilleur effort pour
en faire un qui va être plus digeste? Je vous entends, Mme la députée.
Ceci étant dit, je
vais apporter une petite correction, parce que ça, c'est quelque chose qui me
chatouille un petit peu plus quand vous parlez de privatiser la donnée. Moi, je
veux être très clair, on va retenir...
Une voix :
...
M.
Caire :
Non, c'est ça. Justement, non, la gestion demeure la responsabilité des ministères
et organismes. On va utiliser de l'espace infonuagique, on va utiliser des
services infonuagiques, mais le propriétaire de la donnée, le responsable de la
donnée et le gestionnaire de la donnée demeure le ministère et organisme à qui
appartient la donnée. Donc, il y a zéro privatisation de la donnée, quel que
soit son niveau de sensibilité. Parce que privatisation signifie qu'on donne la
propriété. Alors, ça, là, il n'en est pas question, je veux vous rassurer, Mme
la députée.
Mme
Rizqy : M. le ministre, je reprends mot pour mot les propos de votre
collègue qui était, à l'époque, président du Conseil du trésor. C'est
lui qui a utilisé le terme «privatisation».
M.
Caire :
Bien, comptez sur moi pour le corriger comme il le mérite.
Mme Rizqy :
Je sens vraiment ici votre engouement pour protéger ce terme. Par contre, au
niveau factuel, factuellement, c'est quand même... Et vous étiez alors présent,
lors de cette annonce, et M. le président du Conseil du trésor de l'époque, qui
est rendu aujourd'hui ministre de la Santé, a dit : Plus de 80 % des
données seront maintenant gérées par le privé. Et il parlait, à ce moment-là,
des serveurs, et de libérer l'espace du gouvernement, et de prendre de l'espace
au niveau du privé. Et, à ce moment-là, il parlait d'économies.
Moi, là, je ne suis même pas encore
dans ce débat-là, d'économies. Vous savez comment que je suis sceptique
là-dessus quand c'est géré par le privé. Moi, je suis vraiment en train de
comprendre. Juste, un, je veux qu'on cerne notre débat entre vous et moi, là, aujourd'hui,
parce qu'un prénom puis un nom de famille, ça peut sembler pas sensible comme
information si vous vous appelez Martin Ouellet. Ça se peut qu'il y en ait
plusieurs au Canada. Si vous vous appelez Marwah Rizqy, bien, il y en a une,
elle est devant vous. Donc, moi, je vais dire : Bien, c'est quand même un
petit peu sensible parce que, moi, vous allez m'identifier si jamais il y a un
risque de fuite de données.
Et là, c'est
là-dessus que j'ai besoin de vous, parce que dire que les ministères auront
plus d'informations, c'est une chose puis c'est correct, mais le citoyen, c'est
son information personnelle, c'est lui qui doit comprendre les tenants et
aboutissants de la stratégie numérique que vous voulez développer, le citoyen
qui doit comprendre qu'est-ce qui se passe à partir de maintenant, quels sont
les risques. Et il n'y aurait pas un guide aussi important, de 74 pages,
au niveau du Québec, plus celui du fédéral, si ce n'était pas si important. Et je
regarde le cadre normatif, là, il y a une dizaine de lois, là, auxquelles vous
faites référence. Ça veut dire que c'est important. Mais, après ça, il faut le
vulgariser. Et, moi, là, mes questions sont tellement simples. Je veux juste
savoir le dossier santé, qui qui le gère à partir de... où est-ce qu'il va être
stocké? Je vais enlever même de mon vocabulaire, pour vous faire plaisir, le
mot «gérer». Dossier santé va être stocké où? Dossier étudiant va être stocké
où? Le dossier Revenu Québec va être stocké
où? Le dossier permis de conduire va être stocké où? Aussi simple que ça. Si
vous me répondez à ces quatre-là, écoutez, là, je vais être heureuse.
• (17 h 10) •
M.
Caire :
Vous me permettrez de revenir, peut-être, à la genèse de votre question, parce
que j'entends votre appel du pied sur le fait qu'il y a peut-être un effort supplémentaire
à faire sur la vulgarisation de ce qu'on veut faire en termes de catégorisation
des données et comment on va procéder pour décider où est-ce que les données
des Québécois vont être stockées. J'entends votre appel du pied, Mme la députée, puis je prends l'engagement
aujourd'hui de m'asseoir avec les équipes puis dire : Bon, bien, il y a-tu
un effort qu'on peut faire pour s'assurer, là, de produire un document intelligible
pour M. et Mme Tout-le-monde?
Ceci étant dit, vous
comprendrez que c'est des sujets qui sont complexes, qui ne sont pas toujours
si simples que ça à vulgariser. Vous venez du milieu du droit. Quelquefois, je
suis convaincu que vous avez eu la lourde tâche d'essayer d'expliquer à des
citoyens le corpus législatif québécois puis vous vous êtes demandé : Bon,
O.K., comment je leur explique ça maintenant? Mais cet effort-là, on va le
faire.
Maintenant, sur la
base de l'exercice de dire... bien, je vous dirais, il faudrait prendre la
donnée puis la faire passer à travers le processus qu'on va mettre en place.
Puis ça, ça fait partie de ce dont je vous parlais tout à l'heure. Quand on a
parlé des organismes cibles, bien, ça venait aussi avec le fait qu'on va tester
ce processus-là. Et donc on va s'assurer, à travers cet échantillon d'organismes
là, que notre modèle fonctionne bien, qu'il fait le travail. Et ça, ça inclut
le fait que, quand on a fait passer la donnée à travers le prisme du guide et
que cette donnée-là, on se dit : Bon, bien, on la met dans tel niveau
d'infonuagique, que le résultat final nous apparaît être correct, si le
résultat final nous dit : Je ne suis pas sûr que ça donne le résultat
qu'on souhaitait, bien, il faut être capable de changer le modèle puis
d'ajuster le guide.
Mme
Rizqy : Bon, là, si je
comprends bien, les ministères vont utiliser le protocole, ils vont faire
passer, pour reprendre votre expression, le prisme et vont faire une
décision. Une fois que la décision est prise, qui a l'obligation de vérifier
que c'est la bonne décision qui est prise?
M.
Caire :
O.K. En fait, le ministère ou l'organisme propriétaire de la donnée va faire
cet exercice-là. L'ITQ aura l'obligation de valider la décision qui aura été
prise, et, en cas de désaccord, c'est l'ITQ qui va trancher.
Mme Rizqy :
...question. Qui est imputable en cas de mauvais entreposage, en cas de fuite
de données? Qui devient imputable? L'entreprise qu'on a rémunérée ou le gouvernement?
M.
Caire : Bien là,
je veux juste être sûr que je comprends bien votre question. Donc, ce que vous
dites, c'est que je suis un organisme,
je suis en service avec une entreprise d'infonuagique, je stocke de l'information, et il y a un bris de
confidentialité, disons, de la donnée
sensible, il y a un non-respect du contrat. Est-ce que c'est ça votre
question?
Mme
Rizqy : Dès lors qu'il y a
une fuite de données chez un des fournisseurs de services, que ce soit
catégorie 1, 2 ou 3, qui devient responsable? Qui devient imputable?
M.
Caire :
Bien, ça me prendrait un cas.
Mme Rizqy :
Bien, je vais vous donner un exemple.
M.
Caire :
Parce qu'il y a des ententes contractuelles, et, s'il y a bris ou s'il y a
non-respect du contrat, bien, évidemment, c'est l'entreprise qui est en défaut.
Si l'erreur s'est produite au niveau du ministère ou de l'organisme qui est
propriétaire de la donnée, bien, c'est cet organisme-là, à travers son plus
haut dirigeant, qui est imputable. Puis, ultimement, là, puis ultimement, je
vous dirais que c'est moi qui vais répondre à vos questions. Ça, il y a quelque
chose qui me dit ça.
Mme
Rizqy : O.K., oui, mais, avant d'arriver à «ultimement», là, moi, ce
que je regarde vraiment... Je vais vous
donner un exemple, là. Rappelez-vous quand aux serveurs d'Amazon une
ex-employée, lors de son travail chez Amazon, a découvert la brèche, la
personne est partie et finalement a exploité la brèche une fois qu'elle n'était
plus àl'emploi d'Amazon. Amazon s'est virée de bord, en disant : Ah! bien,
ce n'est pas chez nous, le problème. Malgré que c'était une ex-employée, elle
disait : Oui, mais notre client, au niveau de ses données cryptées, ce
n'était pas parfaitement bien crypté, donc, au fond, relayait la faute chez le
client, grosso modo. Et ça, ça risque souvent d'arriver,
que ce soit cette entreprise. Et je ne veux pas cibler cette entreprise. Toutes
les entreprises, dès lors qu'il y a une fuite de données, c'est le
naturel, les compagnies d'assurance qui les représentent vont essayer de
trouver quelqu'un d'autre à blâmer. Alors, moi, j'aimerais savoir : Dans
les contrats, là, que vous avez rédigés, avez-vous pensé à cela?
M.
Caire : Oui. Et d'ailleurs, dans le cas que vous citez, Mme
la députée, l'entreprise a été blâmée par la cour au final. Donc, on a reconnu que c'était la
responsabilité de l'entreprise, ce qui s'était passé, et non pas du
fournisseur de services.
Donc, dans le cas qui
nous préoccupe, dans le cas de l'exemple que vous citez, si, effectivement...
Puis c'est en lien avec ce que j'ai dit, le
ministère et l'organisme demeurent le gestionnaire de la donnée, demeurent
responsables de la donnée quant à sa gestion. L'entente avec l'entreprise
d'infonuagique, c'est le cadre dans lequel on va gérer ça. Et donc, si tant est
que le bris de sécurité venait du fait qu'on a mal géré le départ d'un employé,
clairement, c'est l'organisme qui serait à blâmer. Mais, ultimement, comme je
vous dis, la responsabilité ministérielle fait en sorte que quelque chose me
dit qu'au salon bleu c'est moi ou un collègue qui répondrait à vos questions.
Mme Rizqy :
Oui, mais, vous voyez, il y a une petite contradiction, puis la contradiction
n'émane pas de vous, là. Vous venez de dire,
bien, dans le cas qui nous occupe, dans l'exemple que j'ai donné, malgré que
l'ex-employée a découvert la brèche
alors qu'elle était à l'emploi d'Amazon, vous venez de dire, bon : Bien,
c'est l'entreprise, finalement, qui a été blâmée, pas Amazon, mais le
client, là.
M.
Caire :
Elle n'était pas employée d'Amazon, elle était employée de... je ne me souviens
plus le nom, là, mais, en tout cas.
Mme Rizqy :
Bon, peut-être qu'on ne parle pas du même dossier. D'accord.
M.
Caire :
C'était une ex-employée de l'entreprise qui a été blâmée, et non pas d'Amazon.
Mme Rizqy :
O.K. Peut-être qu'on va...
M.
Caire :
Mais peut-être que je me trompe, là, je vois votre regard sceptique, là. Mais,
ceci étant, dans le...
Mme Rizqy :
Bien, dans le doute...
M.
Caire :
Dans le contexte, je dirais que la responsabilité échoit à l'entreprise qui
n'aura pas su gérer le départ d'un employé soit parce qu'on ne lui a pas enlevé
ses accès, soit parce qu'on n'a pas éliminé son mot de passe, soit parce que...
Bon, je pense que, quand un employé quitte, il y a des gestes à poser. Ce n'est
pas toujours le cas, mais il faut s'assurer que ces gestes-là sont posés. Et
ça, ça fait partie de la responsabilité de l'employeur, de s'assurer que cet
employé-là ne peut pas se servir de ses anciens privilèges pour poser des
gestes qui sont nuisibles.
Mme Rizqy :
Et c'est quoi vos garanties? Parce qu'il y a des entreprises qui sont
milliardaires, Amazon, puis d'autres qui ne le sont pas. Alors, c'est quoi vos
garanties si jamais il y a une... au niveau des respects?
M.
Caire :
O.K. Au niveau des... Parce que, là, je comprends que vous amenez le débat sur
les entreprises fournisseurs de service, alors, à ce niveau-là, on a négocié,
puis c'est une des étapes qui a été peut-être la plus complexe, parce qu'on a
négocié un contrat type pour s'assurer d'un certain nombre de choses, notamment — puis
là, si je dis des niaiseries, Guy, tu me lanceras quelque chose — mais
notamment que, bon, on n'utilisait pas des paradis fiscaux.
M. Rochette
(Guy) : ...
M.
Caire :
Vas-y donc, voir.
M. Rochette
(Guy) : O.K. bien, c'est parce que ce qu'on regarde...
La Présidente (Mme
IsaBelle) : Ah oui!
M.
Caire :
Bien, avec votre consentement.
La
Présidente (Mme IsaBelle) : Oui. Allez-y, M. Rochette.
M. Rochette
(Guy) : Au niveau de la donnée, bien, il faut que le pays ou l'endroit
où est-ce que les données vont être hébergées ont une protection des
renseignements personnels équivalente ou supérieure à celle du Québec et qui
respecte aussi le droit de l'homme. Donc, tu sais, c'est ces deux critères-là.
Donc, ça a tout été analysé. Ça fait que ceux qui nous suggéraient des sites où
les données pouvaient être hébergées mais qui ne respectaient pas ces
conditions-là, bien, ils n'ont pas été retenus.
M.
Caire :
Il n'y a pas des temps de réponse aussi?
M. Rochette
(Guy) : Oui, il y a les temps de réponse, mais ça, ça fait partie
de...
M.
Caire : Oui, c'est ça, on a ajouté... il y a des temps de
réponse minimums, quand on fait une requête, pour aller chercher la
donnée, là. Il y a un ensemble de facteurs qui ont été prescrits et qui font
l'objet de l'entente type.
Une voix :
...
La Présidente (Mme
IsaBelle) : Il reste 1 min 35 s à l'échange.
• (17 h 20) •
Mme
Rizqy : O.K. Alors, moi, j'aimerais juste voir, si c'est possible,
est-ce que... les contrats types,
pouvez-vous les déposer pour qu'on puisse voir le langage et vérifier
l'imputabilité? Si c'est risqué, bien, à ce moment-là, juste dans l'engagement,
dans le briefing technique, de pouvoir le regarder, là.
M.
Caire :
Oui, bien, je vais valider la possibilité de le faire, soit de le déposer, soit
de le faire à huis clos ou je ne sais pas jusqu'à quel point on peut le faire,
Mme la députée. Donc, je vous le dis candidement, je vais regarder qu'est-ce
qu'il est possible de faire pour vous donner l'information la plus complète
possible et je vais vous revenir, là, aussi
rapidement que possible. Mais, comme... De toute façon, c'est déjà entendu,
puis j'espère que... Bien, en fait, je n'ai pas eu l'occasion d'en
discuter avec le député de Rosemont, là, mais, éventuellement, si on se fait un
briefing technique, ça pourra faire partie des éléments à l'ordre du jour.
Mme Rizqy :
...est une personne qui apprécie les briefings techniques.
M.
Caire :
Oui. Non, c'est parce que je ne voulais pas l'informer de l'initiative à micro
ouvert. Étant donné que c'est des discussions qu'on a eues dans
l'intercommission parlementaire, je trouvais ça un peu cavalier de lui
apprendre la chose de cette façon-là et je m'en excuse, mais voilà.
La Présidente (Mme
IsaBelle) : Alors, il reste 18 secondes.
Mme Rizqy :
Oh! je vais le prendre au prochain bloc. Merci.
La Présidente (Mme
IsaBelle) : C'est parfait. Alors, nous poursuivons avec le député de Rosemont.
Juste vous informer que, n'ayant pas pris mes trois minutes à l'ouverture de la
séance, on a réajusté le temps, donc vous avez 10 minutes.
M.
Marissal : C'est luxueux. Merci, Mme la Présidente. Je vais me vautrer dans mes 10 minutes. Je
vais continuer sur cette lignée-là, sur cette vague-là. On en a déjà beaucoup
parlé, vous et nous, l'ancien président du Conseil du trésor aussi, dans le projet
de loi n° 14, dans le projet de loi n° 37.
Bon, c'était dans la précédente civilisation, il y a quand même... il s'est
passé deux, trois affaires depuis, mais la question de l'hébergement de données
en infonuagique, a, pose des questions, en infonuagique privée, b, pose
d'autres questions, et il faut donc s'assurer, si d'aventure on allait dans
cette direction, qu'il y ait quand même, à la fin, ce qu'on appelle l'imputabilité.
Puis l'imputabilité, ce sont les élus dans ce cas-ci, la partie ministérielle,
le parti ministériel, qui doit, ultimement, comme
vous l'avez dit, répondre, mais pas seulement répondre aux questions, parfois on en répond même
de son job. Je ne vous souhaite pas ça, ce n'est pas ça que je suis en
train de dire, mais ça peut arriver, on l'a vu hier à Ottawa, parfois que l'imputabilité
amène jusqu'à ça.
Il ne faudrait pas
non plus établir toute une série de tampons, là, ou de «buffers» qui vont juste
éloigner l'imputabilité ministérielle, parce que le DPI en a parlé avec ITQ,
ITQ tranche. Là, déjà là, il n'y a pas vraiment d'intervention ministérielle.
Je me souviens des longues conversations que j'avais eues avec l'ancien président
du Conseil du trésor là-dessus. Ensuite, vous dites : S'il y a une fuite,
grave ou non, peu importe — c'est
des données personnelles, donc moi, je présume que c'est toujours grave, après
ça, ça peut être extrêmement grave, mais c'est grave — bien,
ce sera l'entreprise qui devra assumer la responsabilité et, je présume, sévir.
Mais on est encore loin, là, de l'imputabilité ministérielle. Donc, on
sous-traite, en quelque sorte, les données personnelles des citoyens et des
citoyennes du Québec et on les éloigne donc d'une protection ultime, qui est
l'imputabilité gouvernementale et ministérielle.
Donc, moi, je pense que ma
première question, là, étant donné tout cela et étant donné qu'il a coulé pas
mal d'eau sous les ponts depuis qu'on a parlé de ça, il y a déjà un siècle et
demi : Vous en êtes où dans vos réflexions et dans vos pourparlers, s'il y
a eu pourparlers, avec les géants que peuvent être Amazon, Google? Sont-ils
toujours dans les plans? Moi, je me souviens
d'avoir visité, à la demande, à l'invitation du maire de Valleyfield, les
installations où on pourrait recevoir, concurremment à Beauharnois qui semblait
être plutôt privilégié. On avait déjà trouvé des terrains, on était déjà en
train de dézoner, on avançait, là, quand même dans ce dossier-là, mais, si
c'est le contraire, vous pouvez me le dire, je ne suis pas, peut-être, à jour.
Et par ailleurs il y avait aussi toute la
question d'un fournisseur québécois. Et certains de ces fournisseurs potentiels
se plaignaient de ne pas arriver à se qualifier parce que les critères étaient
beaucoup trop élevés. Alors, si vous pouvez juste éclairer ma lanterne, mettre
mon horloge à jour, à l'heure.
M.
Caire : Oui, avec
beaucoup de plaisir, puis c'est des débats, des sujets qui sont extrêmement
intéressants. D'entrée de jeu, je me permettrai peut-être de dire au député de Rosemont
que le chiffre que je lui promettais tout
à l'heure, c'est 141. Donc, c'est 141 employés de
l'État qui n'ont pas la capacité d'aller en télétravail sur les
68 000 employés de l'État.
Maintenant, sur la question de la responsabilité,
je ne veux juste pas qu'il y ait d'ambiguïté. Je répondais à la députée de Saint-Laurent
sur quelle démarche on ferait contractuellement s'il y avait bris, mais il est
clair que la responsabilité, elle est toujours ministérielle. Pour moi, il n'y
a pas d'enjeu, il n'y a pas de question. Même si l'entreprise brise son
contrat, je veux dire, c'est le gouvernement du Québec qui a mis en place ce système-là,
c'est le gouvernement du Québec qui a décidé d'aller en services infonuagiques,
c'est notre décision. Et, oui, on a négocié une
entente-cadre, mais c'est de la même façon
que si on engageait une firme de consultants pour livrer x ou y
livrable. Que cette firme-là ne respecte pas son contrat, bien, c'est sûr qu'il
y a des actions à prendre contre la firme,
mais la responsabilité, dans l'état, elle est toujours ministérielle.
Ultimement, c'est le ministre qui répond de ce qui se passe dans son
ministère, et ça, pour moi, il n'y a pas d'ambiguïté.
Maintenant, sur la question on en est où, bien,
on est à compléter le processus dans une deuxième phase. Je vous dirais que la
catégorisation des données nous a permis, justement, d'abord d'aller chercher
plus de fournisseurs québécois, ce qui était, je vous dirais, une très bonne
nouvelle. Nous sommes à finir de les qualifier. J'ai demandé à ce que ça soit complété assez rapidement, merci,
idéalement que ce soit complété avant que nous retournions en Chambre, de façon à ce que les collègues puissent
prendre connaissance des entreprises qui auront la possibilité d'offrir
leurs services aux différents ministères et organismes.
Le collègue de Rosemont ne sera pas surpris si
je lui dis qu'effectivement les grands fournisseurs de services infonuagiques sont au rendez-vous. Mais je vous
dirais que ça a été une agréable surprise de voir le nombre substantiel de fournisseurs québécois qui, potentiellement, se
qualifieront pour solliciter ou, c'est-à-dire, pour offrir leurs
services en infonuagique.
Donc, de ce côté-là, je pense que nos
entreprises québécoises, là, n'auront pas à rougir de la place qu'elles vont
occuper dans le catalogue des services infonuagiques. Il reste, parce qu'il y a
des considérations légales, là, parce que je
comprends que la responsabilité ministérielle... mais on va quand même
s'assurer que les entreprises qui font affaire avec l'État le font dans
un cadre juridique et contractuel qui est très clair et qui va permettre au
gouvernement du Québec, le cas échéant, de prendre des actions si ces
entreprises-là ne livrent pas la marchandise telle que spécifiée par les
contrats.
M. Marissal : Très bien. M. Rochette
disait tout à l'heure : Si nous devions ou que l'entreprise choisie devait
stocker en infonuagique des données dans une autre juridiction, donc dans un
autre pays, il faudrait donc que ce pays ait les normes équivalentes,
minimalement, à celles du Québec. Est-ce que cela ne désengage pas l'entreprise
qui a le contrat, de un, puis, de deux, ne serait-il pas plus simple de les
garder ici, nos données?
• (17 h 30) •
M.
Caire : En fait, je
vous dirais que nous ne pouvons pas interdire le fait que les données
traversent la frontière. La nouvelle entente Québec, Mexique, États-Unis
spécifie, à son article 21, que le stockage de données ne peut pas faire
l'objet d'une restriction. Donc, on ne pourrait pas, selon cette entente-là,
dire : Vous devez conserver les données au Québec. Nous irions contre
l'entente que nous avons ratifiée à cet effet-là.
Par contre, ce
qui peut être fait, c'est de s'assurer qu'il y a un cadre de protection des
données et des renseignements qui sont stockés par l'entreprise qui est
l'équivalent ou qui est supérieur à ce que la loi du Québec prescrit. Ça, on
peut faire ça. On peut aussi exiger d'avoir des temps réponse lorsque le
ministère ou l'organisme fait une requête sur sa base de données. On peut
exiger des temps réponse, on peut exiger que la réponse se fasse à l'intérieur
de tant de millisecondes, par exemple. Donc, on peut mettre ce genre de
contrainte là. On peut exiger, comme l'a dit M. Rochette, que le pays
respecte la Déclaration des droits de l'homme, on peut exiger ça. Donc, ça,
c'est autant de conditions qu'on met dans les contrats, qui nous permettent de
s'assurer que les entreprises...
Et d'ailleurs je vous dirais que plusieurs de
ces grandes entreprises là, que ce soit Amazon, Microsoft, Google, viennent
s'installer au Québec. Alors, l'effet, je dirais, de ça, c'est qu'ils viennent
installer leurs centres de traitement de
l'information au Québec et que ça représente quand même
des investissements substantiels, ça représente de la vente
d'électricité, ça représente des emplois qui sont très payants. Évidemment, là,
c'est des domaines où les emplois sont payants. Donc, il y a des effets
positifs aussi.
La Présidente (Mme IsaBelle) :
Il reste 25 secondes.
M. Marissal : ...noter que, dans le cadre de 37 et de 14,
vous vous rappellerez qu'il y avait une clause qui disait que le gouvernement
du Québec ne peut faire affaire avec un fournisseur reconnu de fraude ou de
malversations. Je vous soumets que ça risque d'être compliqué avec Amazon puis
Google, qui ont accumulé les condamnations puis qui sont en chicane avec à peu
près tous les pays civilisés de la terre. Et je vous soumets simplement que ça
risque d'être un peu compliqué en vertu des amendements qu'on a adoptés dans
les deux projets de loi.
M. Caire :
Bien, en fait, on...
La
Présidente (Mme IsaBelle) : Merci. C'est tout pour l'échange. Merci. Alors, nous poursuivons avec l'opposition
officielle. Vous avez 18 min 40 s. À vous la parole, la députée
de Saint-Laurent.
Mme Rizqy : Merci. Écoutez, permettez-moi de continuer cet échange. M. le ministre, vous avez dit : L'article 21 du nouvel accord négocié Canada, États-Unis et Mexique, l'article 21 de cet
accord, permettez-moi d'y aller, c'est qu'on parle de la législation
nationale sur la concurrence qui interdit les comportements commerciaux
anticoncurrentiels. Donc...
M. Caire :
...article, Mme la députée, là...
Mme Rizqy :
Non, non, c'est le bon article. Vous... Non, c'est...
M.
Caire :
...mais il me semble qu'il y a un article qui... il me semble que c'est 21 qui
spécifie...
Mme Rizqy :
C'est le bon article, mais mon propos... Permettez-moi de formuler ma question.
On parle que les trois pays ne peuvent pas
avoir des règles qui ne favorisent pas les échanges commerciaux. Or, les
données personnelles, c'est des biens hors commerce. Alors, en quoi l'article 21
nous empêche de protéger les données des Québécois, leurs renseignements
personnels? Moi, je ne peux pas,
demain matin, aller vendre, par
exemple, mon identité numérique
ou biométrique, là. Alors, c'est pour ça que, là, ici, je suis vraiment étonnée.
Alors, je ne sais pas s'il y a un juriste dans l'équipe, là, qui pourrait
peut-être m'éclairer.
M.
Caire :
C'est parce que je le dis de mémoire, Mme la députée, mais je me souviens,
justement, c'était dans le cadre du projet de loi n° 14
où on avait discuté de l'amendement et où il est. Mais c'est nommément dit
qu'on ne peut pas interdire le stockage de données. Puis là je n'ai peut-être
pas la bonne formulation, là, mais on ne peut pas empêcher une entreprise de
stocker de la donnée dans son pays, dans un pays qui serait le Mexique, le Canada
ou les États-Unis. Donc, on n'aurait pas le droit de dire, par exemple...
d'interdire à Google ou Amazon de stocker la donnée, dans une entente, aux États-Unis.
Par contre, on peut, comme j'expliquais au député de Rosemont, c'est là où on
va...
Puis il faudrait que
je relise l'accord puis que je vous trouve exactement le texte, parce que je me
souviens de l'avoir lu pendant la commission. C'était le député de René-Lévesque
qui m'avait posé la question. Je me souviens d'avoir lu l'article, parce que M.
le député avait proposé un amendement, puis j'avais dit : Écoutez, je
l'aime, l'amendement, mais on ne peut pas l'adopter, parce qu'on vient en
contradiction avec l'accord Canada, Mexique, États-Unis. Puis j'avais lu
l'article, là, pendant la commission parlementaire. Donc, ma mémoire me trahit,
Mme la députée, là, vous m'en excuserez, mais...
Mme Rizqy :
Avec consentement, est-ce que ça vous dérange, peut-être, si le député de René-Lévesque
se rappelle, lui, de la disposition en question, de mémoire d'homme? Parce qu'il y a quand même juste 34 articles dans...
La Présidente (Mme
IsaBelle) : Est-ce qu'on a le consentement, M. le ministre, de laisser
la parole au député de René-Lévesque?
M.
Caire :
Ah! oui, absolument. Oui, oui.
La Présidente (Mme
IsaBelle) : Allez-y.
M. Ouellet :
Ça ressemble pas mal à ce qu'on avait jasé, mais, la mémoire étant une faculté,
dans les détails, qui peut en oublier certains, on est en train de valider si, effectivement,
c'était bel et bien le cas.
La Présidente (Mme
IsaBelle) : Parfait.
M.
Caire :
Mais, ceci étant dit, comme je l'expliquais, ce que l'on peut faire et ce que
l'on a fait, c'est que, dans les négociations contractuelles, de toute façon,
on met en place des exigences qui font en sorte que les données qui seraient
confiées éventuellement à ces fournisseurs de services là le seront dans un
contexte qui va être approprié à la sécurité que nécessite la valeur de la
donnée qui leur sera confiée en stockage et non en propriété.
Mme
Rizqy : O.K. Il y a peut-être
l'article 19.4, là : «Traitement non discriminatoire des produits numériques.»
Je pense qu'on aurait besoin, ici, d'avoir un éclaircissement un peu juridique,
là, parce que moi, je vous le dis, je ne suis pas du tout
confortable, mais pas du tout, que même l'entreposage soit du secteur privé.
Puis je vous le dis, là, zéro confortable privé étranger. Et, pour moi, privé
étranger, le terme étranger, c'est : d'abord qu'on sort du Québec, ça
tombe étranger. Vous me direz : Mais, Marwah, c'est de l'autre côté, c'est
en Ontario. Je vais vous dire : Non, c'est étranger. Non, écoutez...
M.
Caire : ...René-Lévesque.
Mme Rizqy : Bon, bien, tant mieux.
Au moins, il y en a un qui va être content aujourd'hui. Peut-être même vous. Mais, là-dessus, je pense qu'on a besoin
d'un éclaircissement juridique, parce que je ne pense pas que le Québec
a été consulté là-dedans, là. Et je crois qu'on doit vraiment rester souverains
de notre donnée numérique.
M. le ministre, là, on est en train de traverser
la crise de la COVID-19. On parle de notre autonomie sanitaire, mais il faut
aussi parler de notre autonomie numérique. Et moi, je ne concéderai jamais, là-dessus,
là, quoi que ce soit. Le gouvernement du Québec, nous, on a la responsabilité
de s'assurer que le Maîtres chez nous, bien, qui a été décrété dans les
années 60, bien, Maîtres chez nous en 2020, là, c'est aussi de
contrôler nos données puis que, non, ça n'ira certainement pas dans le pays de
Donald Trump, là. Oubliez ça, là.
M.
Caire : Mais, si... D'abord, avec votre
permission, je vais vous lire, effectivement, l'article 19.11 : «Transfert
transfrontières de renseignements par voie électronique.
«1° Aucune
partie n'interdit ni ne limite le transfert transfrontières de renseignements, y compris de renseignements personnels, par voie électronique
si cette activité s'inscrit dans le cadre d'activités commerciales exercées par
une personne visée.» Alors, bon :
«2° Le présent article n'empêche pas une partie
d'adopter ou de maintenir, en vue de réaliser un objectif ultime de politique
publique, une mesure qui est incompatible avec le paragraphe[...], à condition
que cette...» Et voilà. Donc, on peut limiter, comme je vous ai dit, de façon
contractuelle.
Maintenant, Mme la députée, je vais vous
surprendre, mais je suis d'accord avec vous sur la souveraineté numérique. Par
contre, je ne partage pas votre opinion que le fait de travailler ou de donner
des mandats à des fournisseurs de services de stockage, que ça équivaut à
abdiquer sa souveraineté numérique. C'est là où je ne suis pas d'accord avec vous. La propriété de la donnée, la responsabilité de la gestion de la donnée, l'accès à cette donnée-là demeurent
l'apanage exclusif de l'organisme qui en est le propriétaire. Et je compare ça
un peu à louer un appartement. Je comprends, là, que je ne suis pas
propriétaire, mais ça reste chez nous, là, puis, sauf situation exceptionnelle,
il n'y a personne qui rentre chez nous. Alors...
Mme
Rizqy : Votre comparaison est
parfaite. Honnêtement, elle est excellente, votre comparaison. Mais le problème, c'est le suivant : c'est que,
quand vous êtes locataire, là, vous n'êtes pas propriétaire, puis, oui, malheureusement,
le propriétaire, des fois, il va rentrer chez vous à votre insu, puis là vous
allez prendre votre numéro puis attendre à la Régie du logement pour votre
litige. Mais, pendant ce temps-là, votre droit à la vie privée a été violé.
Alors, c'est là que moi, je vous dis...
M.
Caire : Oui, parce
que, là, vous me donnez une situation où la personne agit illégalement.
Mme Rizqy : Oui, mais...
M.
Caire : Oui, je
comprends, mais, Mme la députée...
Mme Rizqy : Moi, là, mon objectif
avec vous, là, c'est de voir les pires scénarios.
M.
Caire : Mme la
députée...
Mme Rizqy : Puis vous le savez aussi
bien que moi que le risque zéro n'existe pas, vous avez raison, vous le dites souvent, puis je suis d'accord
avec vous. Par contre, nous, notre objectif, c'est de fermer les
brèches le plus possible, puis
de les colmater, puis de ne pas en ouvrir des nouvelles.
Là, moi, ça, là, ça, c'est une nouvelle brèche,
là, qui nous met, là, à risque. Pourquoi ça nous met à risque? Je vous
l'explique. C'est que, là, c'était chez nous, au Québec, dans notre fonction
publique, qu'on n'arrête pas de dire à quel point elle est excellente, puis
j'en conviens, elle est bonne, on peut même la doter davantage de ressources,
je serais très contente, pour l'envoyer où potentiellement? Dans le pays de
Donald Trump. Zéro confortable avec ça. Pourquoi? Parce que, des fois, je vous
le dis d'emblée, là, je suis au salon bleu, des décisions erratiques, il en
prend. Et savez-vous quoi? Il y a aussi le CLOUD Act.
Alors, moi, c'est tout ça, là, que je mets, là.
Et je m'excuse, mais je ne suis pas prête à dire qu'ailleurs c'est mieux que chez nous. Pour moi, là, c'est vraiment
meilleur au Québec. Puis vous me
demandez entre Ottawa puis Québec? Je vais vous dire que c'est meilleur
au Québec.
• (17 h 40) •
M.
Caire :
Ce que je veux vous dire, Mme la députée... Puis d'ailleurs je trouve ça
intéressant que vous parliez du CLOUD Act parce que, justement, le CLOUD
Act visait à restreindre l'espèce de «free-for-all» que le PATRIOT Act avait
créé, et donc à circonscrire de quelle façon on pouvait avoir accès à des
données.
Ceci étant dit, toujours
dans la perspective où les gens respectent les lois, on ne peut pas commencer à
voler des données ou à transiger des données qui ont été stockées chez nous, je
veux dire, pour faire un coup d'argent, là. Je veux dire, la loi, elle est là,
elle est... Les ententes...
Mais, selon
cette logique-là, Mme la députée, il n'y a rien qui ne nous protège de rien. Je
veux dire, une entreprise québécoise, qu'est-ce qui fait... Parce que
c'est une fleur de lys, l'entreprise québécoise ne va pas prendre les données
qui lui sont confiées puis décider de les vendre au plus offrant? Voyons! Je
veux dire...
Mme Rizqy : M. le ministre, d'entrée
de jeu, je vous l'ai dit...
M.
Caire : Non, mais,
si je peux me permettre, Mme la députée...
Mme Rizqy : Oui, mais,
attendez... Il faut que ça soit équivalent, notre échange.
M.
Caire : La
malhonnêteté, ce n'est l'apanage de personne.
Mme Rizqy : Vous avez raison.
M.
Caire : Mais là
vous me parlez de situations où on est malhonnête.
Mme Rizqy : M. le ministre, je
suis d'accord avec vous que le risque zéro n'existe pas. Ça, là, on est déjà d'accord.
D'entrée de jeu, je vous l'ai dit, moi, je ne suis même pas confortable à ce
que les données quittent le gouvernement du Québec pour s'en aller dans le secteur
privé. Ça, je ne suis pas confortable. Mais je ne suis vraiment pas, mais pas
du tout confortable avec le secteur privé étranger.
Et aujourd'hui, là, on est tout le temps sous
attaque. Nos entreprises sont sous attaque, les gouvernements sont sous attaque,
il y a de l'espionnage, espionnage étatique, espionnage commercial. Et c'est là
que je vous dis : Non, je ne suis pas confortable, parce que, tu sais, à
la fin de ma journée... Vous avez raison de dire : Oui, mais, s'il y a un
geste qui a été commis, c'est un geste malhonnête puis illégal. Vous avez
200 % raison de le dire. Mais, à la fin de la journée, c'est qui qui
devient imputable? Où est-ce qu'il va y avoir le recours juridique? Si jamais
la brèche de données a lieu aux États-Unis, est-ce qu'il faut qu'on se rende
aux États-Unis? Est-ce qu'il va falloir... Tu sais, il y a plein, là... À ce
moment-là, c'est une boîte de Pandore pour avoir un peu d'imputabilité. Puis je
vous le dis d'entrée de jeu.
Par exemple, PATRIOT Act puis CLOUD Act, là, il
faut juste ajouter... Le CLOUD Act, là, ça donnait une plus grande portée parce que, là, on venait dire : Non seulement les entreprises américaines, sur le territoire américain, mais, si vous avez
des serveurs à l'extérieur, le CLOUD Act vise les serveurs qui sont à
l'extérieur des États-Unis. Donc, dans le cas d'Amazon, même si, par exemple,
ses serveurs étaient au Québec, le fait que c'est une entreprise américaine, le
CLOUD Act s'applique aux serveurs situés au Québec, et c'est là que... Et ça,
c'est sans compter tout ce qu'ils font par décret dans le Bureau ovale. Et il y
a des affaires que...
M.
Caire : Non, je
comprends, mais, ceci étant, Mme la députée, ce que je veux vous dire, c'est
que ça ne dédouanerait pas la procédure. Je veux dire, ce n'est pas vrai que le
gouvernement américain va sommer une entreprise : Vous faites ceci. Je
veux dire, l'entreprise... Bien, la preuve, c'est qu'à ce jour il n'y a aucun
recours qui a été... nonobstant le fait que ça existe même sous
l'actuel président, qui a quand même fait son quatre ans puis qui nous a
démontré qu'il était capable de beaucoup de choses...
Mme Rizqy : Pas
nécessairement des meilleures.
M.
Caire : ...je ne commenterai pas, mais de beaucoup de choses
et qui était capable de prendre des décisions qui le
caractérisaient, mais il n'y a jamais eu de recours au CLOUD Act où une
entreprise a été forcée de...
De
toute façon, la vérité, Mme la députée, c'est que, quand un gouvernement, qu'il
soit canadien ou américain, pour des raisons d'enquête, a
besoin d'informations, ces informations-là vont souvent transiter par les
services du pays, le service d'enquête ou judiciaire du pays. Parce qu'en
fonction de l'Accord Canada—États-Unis—Mexique, ces ententes-là peuvent
être signées maintenant entre le gouvernement américain, notamment, et le
gouvernement canadien. Et...
Mme Rizqy : Il y a une différence
avec le «Five Eyes».
M.
Caire : Et, si je
peux me permettre, puis je veux juste conclure là-dessus parce que je comprends
votre préoccupation, mais les services policiers vont préférer cette voie-là
qui est beaucoup plus discrète que celle qui nécessite une injonction, ou un
mandat judiciaire, ou un débat devant les tribunaux où la compagnie va
s'opposer à la requête qui lui est faite et qui va étaler au grand jour le fait
que M., Mme Untel est sous enquête de tel, tel, tel service de police pour
telle, telle, telle raison. Souventefois, ces entreprises-là ou ces corps
policiers là ne souhaitent pas ébruiter leurs actions, mais... dans cet univers
théorique là que vous nous proposez.
Mais, dans le
concret, ce que je vous dis, c'est que, contractuellement, on est capables
d'établir un cadre contractuel qui fait en sorte que... De toute façon, ces
entreprises-là viennent s'installer au Québec, Mme la députée. Et sur le fait que... Puis je vous entends, puis je sais
qu'on ne s'entendra pas là-dessus, sur le fait que vous dites : Il ne
devrait pas y avoir de recours à l'entreprise privée pour le stockage
d'informations, bien, là-dessus, on a une divergence. Moi, j'y vois beaucoup
d'avantages. L'innovation. L'entreprise privée, elle est innovante. Ça nous
garde à la fine pointe de la technologie. Ces services-là, et je sais que vous
le contestez, mais on verra, comme nous avons dit souvent... mais il y a des économies
d'échelle à faire, importantes, et pour un service dont on augmente l'efficacité
et la sécurité.
Mme Rizqy :
Oui, mais il y a plusieurs choses dans votre discours et dans votre propos. Premièrement,
de dire que les services policiers vont préférer avoir cette information
discrètement, vous comprendrez que moi, je vais vous dire non parce que les
policiers ont un cadre juridique aussi à respecter et que, donc, il faut qu'ils
s'adressent au tribunal puis avoir le mandat, parce qu'il faut qu'ils passent
par la porte principale et non par la porte de derrière. Alors, ça, c'est...
Puis j'imagine que peut-être que vous avez parlé vite, puis que votre exemple
est arrivé vite, puis que ça, vous partagez la même opinion que moi. Alors, ça,
j'en suis. Vous hochez de la tête, donc, oui, vous partagez la même opinion que
moi.
D'autre
part, ici, là, nous, là, aujourd'hui, à
l'heure actuelle, moi, je n'ai pas de
réponse pour qu'est-ce qui est donnée sensible, qu'est-ce qui est donnée
moyenne, qu'est-ce qui est ultrasensible. Je ne sais pas si c'est mon
dossier de santé, je ne sais pas si c'est mon dossier de permis de conduire,
mais je sais une chose, c'est qu'il y a cinq entreprises, je ne sais pas c'est lesquelles, les cinq
entreprises, qui, elles, vont se partager maintenant une obligation
d'entreposer les données personnelles et confidentielles des Québécois. Puis on
parle d'environ 80 %. Et je sais aussi, d'autre part, parce que, dans
votre échange avec le député de Rosemont... il n'y a rien qui les empêche de transférer ces données ailleurs qu'au Québec, de
la façon que vous interprétez l'accord, le nouvel Accord Canada—États-Unis—Mexique.
Moi, je suis très
curieuse, parce que, là, on est allés vite, on a regardé l'article 19.4,
19.11, mais 19.11 parle de personnes visées,
puis là il y a différents articles, et je n'ai pas eu le temps, pendant notre
échange, de faire deux affaires en même temps, mais je me
demande : Est-ce que la personne visée, comparé à 19.11, est-ce que ça
vise le gouvernement du Québec? Parce que j'ai un doute. Parce que, quand je
regarde les autres dispositions, ça parle d'entreprises financières. C'est assez
spécifique comme personnes visées. Je ne suis pas certaine que ça vise le
gouvernement du Québec et je me demande même, à ce stade-ci, accord ou pas
accord, est-ce qu'il n'est pas trop tard si jamais... Parce que je n'ai pas vu
l'opinion juridique à cet effet puis je vais faire l'exercice par la suite, là.
Mais il n'est jamais trop tard pour demander une dérogation, là.
M.
Caire :
Oui. Bien là, vous comprendrez qu'on est à un autre niveau, là. Mais, de notre
côté, je pense que la meilleure voie de passage a été et elle est, je continue
à le croire, de s'assurer, contractuellement, qu'on met en place un cadre de
protection des données qui seraient confiées à ces entreprises-là qui va être
de nature à correspondre... puis, en fait, puis c'est même prescrit dans la
politique de cybersécurité, qui dit explicitement que les mesures de sécurité
doivent être proportionnelles à la valeur de la donnée. Et donc ça, c'est la politique
que nous avons adoptée, duquel la réglementation va découler et duquel
l'ensemble des contrats types qui ont été élaborés et qui ont été négociés
découlent aussi.
Donc, on veut
s'assurer qu'au-delà, je vous dirais, des philosophies économiques qui nous
animent... je pense qu'il y a un point de convergence qui est le fait qu'on
veut s'assurer, d'une part, que le gouvernement du Québec reste propriétaire
des données qui sont... qui lui ont été confiées par les Québécois, quel que
soit le degré de sensibilité. Ça, c'est... ce n'est pas à ce niveau-là que ça
se décide.
Donc, nous restons
les propriétaires, nous restons les seuls gestionnaires, nous restons les seuls
utilisateurs, et l'accès à ces données-là est réservé au gouvernement du
Québec, sauf les cas que je vous ai mentionnés, là, de donneesquebec.ca, où là
on parle de données ouvertes à la disposition de l'ensemble de la population.
Mais, sinon, je pense qu'on est animés par le même désir de s'assurer que cette
donnée-là, elle est utilisée à bon escient, dans le bon contexte, et qu'elle
est entourée des mesures de sécurité qui sont appropriées. Puis je pense que le
contexte qu'on met en place — les contrats, les ententes, les mesures
de sécurité, les directives — nous amène à un niveau qui, moi, me rend
très confortable par rapport aux décisions qu'on a prises.
Mme Rizqy :
M. le ministre, là, c'est sûr que je ne suis pas confortable, et je ne suis pas
plus convaincue, puis je ne suis pas plus rassurée parce qu'on a commencé les
travaux en disant qu'on a une belle expertise, une belle équipe au sein du gouvernement,
et, à ce jour, c'est le gouvernement qui gérait ça, c'est le gouvernement qui
entreposait les données des Québécois. Je n'ai pas vu pourquoi qu'on devait
s'empresser de privatiser cette gestion d'entreposage des données des Québécois.
Je ne comprends pas cet empressement.
Et, quand on parle
d'économie, moi, vous comprendrez qu'il n'y a pas d'économie à faire sur la
sécurité des renseignements personnels des Québécois. Il n'y en a pas. Et
l'autonomie numérique du Québec, être souverain de sa donnée, c'est... La donnée,
au XXIe siècle, M. le ministre, là, c'est du pétrole, c'est de l'or, ça
vaut vraiment. Et je ne sais pas c'est qui qui va pouvoir me dire c'est quoi,
la valeur de cette information. Je comprends qu'il y a un cadre de
74 pages pour essayer de définir notre protocole, mais en tout cas.
La Présidente (Mme
IsaBelle) : Merci.
• (17 h 50) •
Mme Rizqy : Et ce qui me déçoit, c'est que ces emplois-là,
qui sont au Québec, maintenant vont aller dans le privé et potentiellement même
à l'étranger. Alors, il faudrait qu'on se parle sur l'Accord Mexique—Canada—États-Unis pour voir comment qu'on peut s'assurer
que ça reste au Québec.
La
Présidente (Mme IsaBelle) : Merci. Alors, nous poursuivons avec le
troisième groupe d'opposition. Vous avez 10 minutes. Député de
René-Lévesque.
M. Ouellet :
Merci beaucoup. Puis on est toujours à la recherche de cette mémoire qui nous
fait défaut à quelques reprises. Mais je veux juste m'assurer d'une chose, M.
le ministre. Je comprends bien que vous allez être créatif dans les façons de
faire l'appel d'offres qui va nous permettre de mettre en application certaines
prétentions, sans pour autant être en désaccord avec l'accord États-Unis—Canada—Mexique. Est-ce
que cette créativité-là peut aller aussi loin du fait qu'une fois que le
contrat est donné et que le contrat nous permet d'avoir les données au Québec
elle y demeure aussi longtemps qu'elle existe?
Ce que je voudrais
éviter, là, c'est qu'on donne le contrat, c'est correct, c'est super, les
serveurs sont au Québec, mais, pour une technologie qui permet d'avoir accès à
la donnée encore plus rapidement, en millisecondes, comme vous faisiez référence, avec les dispositions qu'on pourrait
mettre, qu'après trois, quatre ans, bien, on pourrait effectivement
délocaliser ces serveurs-là et les mettre ailleurs. Ce qu'on veut réussir au
départ : Est-ce qu'on est capables de
le verrouiller pour que la donnée sur des serveurs d'entreprises privées au
Québec y demeure aussi longtemps que la donnée existe?
M.
Caire : Bien, en
fait, M. le député, en réponse à votre question... Puis c'est une
excellente question, parce qu'effectivement on pourrait penser qu'il peut y avoir un
changement d'orientation ou de philosophie au sein d'une entreprise. Mais je
pense que la meilleure garantie de cette fidélité-là, c'est les investissements
qui sont nécessaires.
Je
regarde le député de Rosemont, je pense, M. le député qui avait fait
référence aux investissements d'Amazon à Varennes, on parle quand même
de 80 millions d'investissements pour la construction du centre de
traitement de l'information. C'est beaucoup de sous. Et vous comprendrez que ça
implique, pour l'entreprise, d'aller chercher une rentabilité sur cet
investissement-là. Et donc l'idée de transférer vers d'autres centres de
traitement pourrait diminuer cette rentabilité-là.
Maintenant, dans les
contrats comme tels, je pense que... non, je suis certain que nous sommes allés
aussi loin qu'il était possible d'aller dans le respect, comme vous l'avez dit,
des ententes que nous avons signées, de notre propre corpus législatif, pour
s'assurer que ces données-là étaient stockées idéalement au Québec. Je pense
que nous l'avons... Nous y avons réfléchi, on a vraiment regardé ce qui était
possible de faire, puis je pense qu'on est allés aussi loin que possible dans
ce contexte-là.
Puis je vous dirais peut-être
en final que le gouvernement du Québec peut aussi... on a des outils qui nous
permettent d'avoir des incitatifs qui font en sorte que ces entreprises-là
s'installent ici et restent ici. Et je pense, entre autres, M. le député, là, à
notre hydroélectricité, qui est une richesse, mais qui est aussi un facteur
d'attraction, et vous le savez. On pense
tout de suite à l'industrie de l'aluminium, là, puis, bon, je comprends que
notre voisin du Sud fait des siennes encore, là, mais, sinon, cette
industrie-là, on a été capables de la fidéliser grâce à l'hydroélectricité. Et
ça a toujours été très porteur et générateur d'emplois, là, dans des régions
qui en avaient besoin puis où ça a été économiquement rentable, au final, de le
faire comme ça.
Donc, sans dire qu'il
faut que ça devienne une habitude, on comprend que l'hydroélectricité, il faut
que ça puisse être une source de rentabilité pour la société québécoise, mais
ça peut devenir un outil intéressant.
Et d'ailleurs, je souligne
qu'Hydro-Québec est extrêmement agressif actuellement sur sa volonté d'attirer
des entreprises qui font du stockage de données, notamment parce qu'on a, au Québec,
deux avantages incroyables, bon, le deuxième, je ne suis pas sûr que c'est un
avantage, mais l'hydroélectricité et l'hiver. Parce que vous comprendrez que...
Et c'est pour ça que je dis que je ne suis pas sûr que le deuxième est un
avantage, mais bon. Mais...
M. Ouellet : Je vous entends, oui. Je dis juste que, du côté de la frontière
américaine, on peut être très créatifs, justement, pour interpréter à
leur vision ou à leur intérêt certaines dispositions. Et le contexte économique,
actuellement, comme on le connaît... Puis j'en suis, là. On a l'hydroélectricité,
on pourrait subventionner à des tarifs plus bas la venue... mais rien
n'empêche, du côté des États-Unis, d'y aller avec des subventions pour
délocaliser une entreprise ici pour les amener chez eux. On a déjà vu ça.
Ça fait que je vous
demande juste de rassurer les Québécois dans notre capacité... à travers les
ententes qu'on ne négocie pas, hein? Moi... Le Québec n'a pas négocié l'entente
Canada—États-Unis.
Je ne ferai pas un plaidoyer sur notre place
avec laquelle on devrait être pour négocier nos propres ententes. Cela étant
dit, on est tributaires de cette négociation-là, et, malheureusement, il
faut être capable d'être créatif pour y protéger notre identité et notre
propriété.
Il
ne me reste pas beaucoup de temps. Quelques questions en rafale, M. le
ministre. Pour ce qui est du suffixe, est-ce que ça vous intéresse? Et,
si oui, quand on peut aller de l'avant avec le «.quebec»?
M.
Caire :
Oui, ça m'intéresse, puis je vous dirais qu'on aura l'occasion, M. le député,
d'en reparler, vous et moi. Mais c'est important, mais ce n'est pas urgent.
M.
Ouellet : Parfait. Vous avez
parlé, au début des échanges, qu'il y aurait peut-être des changements
législatifs à être apportés pour la
transformation numérique. On vient de faire le projet de loi n° 14... on a
fait, pardon, le projet de loi n° 14. À quoi vous faisiez référence
en termes de changements législatifs qui pourraient arriver ou qui pourraient
nous être proposés en matière de transformation numérique?
M.
Caire : Bien, en fait, 14 était, comme je l'ai déjà dit,
une mesure temporaire. Il faudra réfléchir collectivement à
l'utilisation de la donnée, la portée de la donnée et peut-être au
décloisonnement de la donnée à l'intérieur du gouvernement du Québec, parce
que, sinon, il faudra adopter autant de projets de loi n° 14 qu'on aura de
projets numériques, et ce, à toutes les phases de ces différents projets là.
M. Ouellet : On a fait référence, au
courant de la journée, aussi au fait que le gouvernement du Québec, le CSPQ,
allait stocker des tablettes pour qu'elles soient disponibles à un
redéploiement dans les centres de services pour ce qui est de l'école à
distance. On a connu, par le passé, des délais, c'est-à-dire que ça a pris du
temps avant qu'on reçoive les tablettes, et
ce qu'on s'est fait confier, c'est que ça prenait à peu près deux semaines
avant la configuration.
Là, ce que je veux bien comprendre, là... parce
que, quand on a posé la question, aux crédits, au ministère de l'Éducation, il
n'y a pas d'argent supplémentaire dans les centres de services pour donner un
support technique aux enfants qui auront ces tablettes-là dans les mains,
autant pour savoir si elle est bien installée, ou bien outillée, ou même donner
un support pour l'aide à la technologie. Le collègue de Rosemont faisait
référence au support que nous avions, nous, ici, à l'Assemblée nationale, et
qu'on a encore lorsqu'on a des troubles informatiques.
Je voudrais
connaître, du côté de la Transformation numérique, au sein de votre ministère
ou de votre organisation, quel serait le support adéquat qui serait
offert pour aider les parents et les jeunes lorsqu'ils auront ces tablettes
entre les mains, s'assurer qu'ils ont une tablette à jour, fonctionnelle. Et,
si ça bogue, j'appelle qui pour que ça fonctionne?
La Présidente (Mme IsaBelle) :
1 min 40 s.
M.
Caire : Oui, bien,
écoutez, là vous touchez plus le volet du ministère de l'Éducation. Mais, pour
moi, cette responsabilité-là, qui était celle des commissions scolaires,
devient celle des centres de services. Pour moi, je pense que c'est...
M.
Ouellet : Mais il n'y a pas d'argent. Le ministère de l'Éducation l'a dit : Il
n'y a pas d'argent supplémentaire pour les techs.
• (18 heures) •
M.
Caire : Non, mais
attendez, M. le député. En tout respect, les centres de services reprennent
quand même les services qui étaient
existants au niveau des commissions scolaires. Donc, les gens, les techniciens
en informatique qui existaient dans les commissions scolaires, sont
transférés sous la responsabilité des centres de services, mais ces gens-là sont toujours en activité et ont toujours
une responsabilité par rapport aux écoles de leur territoire. Mais, en même temps, je vous dirais que, pour avoir des
détails plus précis sur ce plan-là, c'est plus mon collègue à
l'Éducation qui peut vous répondre.
M. Ouellet : Il y a 200 000 tablettes
qui vont atterrir à quelque part. Ça va être une gestion particulière. On veut
juste qu'elles atterrissent dans les bonnes mains pour qu'elles soient
utilisées et utilisables. Est-ce que vous avez un rôle à jouer ou vous me
dites : Tout ça repose sur les épaules du ministère de l'Éducation? Quand
je dis «vous»...
M.
Caire : Bien, dans
la mesure où le ministère, si le ministère de l'Éducation... Parce que, oui, on
a toujours un rôle à jouer lorsque les
ministères et organismes nous demandent de l'aide, mais, dans ce qui relève de
leur mission, ils sont responsables d'assurer les services. Nous, on
intervient lorsque le volet est à portée gouvernementale. Lorsqu'il s'agit
d'une mission particulière d'un ministère ou d'un organisme, il est de sa
responsabilité, mais le ministère et l'organisme peut toujours faire appel à
nous pour aller en support. Et, à ce moment-là, oui, on arrive en support et on
va...
M. Ouellet : Mais est-ce que
c'est le...
La Présidente
(Mme IsaBelle) : Alors, merci, c'est tout pour l'échange. On vous
remercie beaucoup. Je précise qu'il y a...
M.
Caire : Ce serait
l'ITQ.
M. Ouellet : Comment? C'est
l'ITQ qui va faire la...
La Présidente (Mme IsaBelle) :
Je précise qu'il y a un plan et un document qui va vous être transmis
éventuellement, et il y a un contrat type qu'il y aura la possibilité d'être
transmis, mais que le ministre doit vérifier. C'est bien ça? Parfait.
Une voix :
...
La
Présidente (Mme IsaBelle) : Ah! et une opinion juridique,
effectivement — je l'avais
noté sur l'autre feuille mais pas
ici — et une
opinion juridique. Merci. Alors, écoutez, merci pour les informations qui ont
été échangées. Très intéressant.
Compte tenu de l'heure, la commission ajourne
ses travaux jusqu'au mercredi 19 août, à 11 h 30, où elle
entreprendra l'étude du volet Travail du portefeuille Travail, Emploi et
Solidarité sociale. Merci. Bonne soirée à vous tous et toutes. Merci.
(Fin de la séance à 18 h 02)