Journal des débats (Hansard) of the Committee on Labour and the Economy

(Neuf heures quarante-cinq minutes)

La Présidente (Mme D'Amours) : À l'ordre, s'il vous plaît! Ayant constaté le quorum, je déclare la séance de la Commission et de l'économie du travail ouverte. Je vous souhaite la bienvenue et je demande à toutes les personnes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de procéder aux consultations particulières et auditions publiques sur le projet de loi no 38, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives.

Mme la secrétaire, ya-t-il des remplacements?

La Secrétaire : Oui, Mme la Présidente. Mme Tremblay (Hull) est remplacée par Mme Abou Khalil (Fabre); Mme Cadet (Bourassa-Sauvé) est remplacée par Mme Setlakwe (Mont-Royal—Outremont); Mme Lakhoyan-Olivier (Chomedey) est remplacée par Mme Prass (D'Arcy-McGee); et M. Leduc (Hochelaga-Maisonneuve) est remplacé par M. Bouazzi (Mautice-Richard).

La Présidente (Mme D'Amours) : Merci. Nous débuterons ce matin par les remarques préliminaires puis nous entendrons par la suite les témoins suivants : la Commission d'accès à l'information du Québec et Pr Sébastien Gambs. J'invite maintenant le ministre de la Sécurité et du numérique à faire ses remarques préliminaires. M. le ministre, vous disposez de 6 minutes. La parole est à vous.

M. Caire : Merci, Mme la Présidente. Bien, je vous dirais que je serai bref, parce que j'ai hâte qu'on puisse entrer en échange avec les gens qui viennent faire des représentations, mais, d'entrée de jeu, dire d'abord que je suis très heureux d'être ici. Je veux saluer ma collègue de Mont-Royal Outremont. Je veux saluer mes collègues de la partie ministérielle, mon adjoint parlementaire, la députée de Fabre et les juristes qui vont avoir... je ne sais pas si c'est le bonheur de nous accompagner au long de cet exercice, ils sauront nous le dire. Mais un exercice important, Mme la Présidente, parce qu'il y a deux ans le gouvernement du Québec a pris une décision qui était quand même importante, celle de créer un ministère de la Cybersécurité et du Numérique, qui est une première en Amérique du Nord. Il y a des agences gouvernementales qui existent, mais le gouvernement du Québec souhaitait donner toute l'importance à la cybersécurité et au numérique, que...  ces deux sujets-là, qui sont distincts, mais interreliés. On comprend que c'est la transformation numérique qui appelle à la cybersécurité. Et donc de confier ça à ce qui est la plus haute autorité dans notre régime parlementaire, c'est-à-dire le ministère.

Maintenant, aujourd'hui, le contexte évolue, le ministère doit évoluer aussi, puis, je vous dirais, la mise en place du ministère nous permet aussi de faire quelques constats, constats que vous allez retrouver dans les différents articles du projet de loi omnibus qui a été déposé, le projet de loi no 38.

M. Caire : ...cette... ces modifications-là s'inscrivent, Mme la Présidente, dans une logique qui a commencé, je vous dirais, avec la loi 95, où on se rend compte que la transformation numérique du gouvernement, pour toutes sortes de bonnes et surtout de mauvaises raisons, rencontre des difficultés importantes. La loi 95 est venue améliorer cette situation-là de façon significative, avec une possibilité, au niveau de la valorisation de la donnée, de faire de la donnée un actif gouvernemental.

Et la loi 95, Mme la Présidente, qui a été suivie de la loi 64, qui est maintenant la loi 25, a créé un cadre juridique extrêmement solide, extrêmement robuste au Québec. Moi, je le dis à qui veut l'entendre, la loi 25 est de loin la plus sévère au Canada, en Amérique du Nord puis potentiellement en Amérique, puisque calquée sur le régime de protection des renseignements... des données européen. Et donc, on peut se targuer, au gouvernement du Québec et au Québec, d'avoir un cadre législatif qui est très robuste.

Maintenant, il faut aussi voir la transformation numérique pour ce qu'elle est, c'est-à-dire une occasion pour le gouvernement de donner des services à la population, de rendre des services à la population, de simplifier la vie de la population. Le P.L. 38, son objectif principal vise ça, vise à permettre au gouvernement du Québec, dans un contexte de protection des renseignements personnels, de protection de la vie privée, de protection de nos institutions démocratiques, parce que la cybersécurité aujourd'hui a aussi pour mandat de s'assurer, sur le territoire québécois, qu'on protège nos institutions démocratiques et nos secteurs d'activité stratégiques, et donc c'est ce qu'on vise avec le PL 38, cette simplification-là, cette augmentation de la capacité à améliorer les services aux citoyens, la vie de nos concitoyens et de faire du Québec un endroit cybersécuritaire, Mme la Présidente. Donc, j'ai bien hâte d'entendre les gens qui vont venir nous guider dans nos réflexions. Puis je nous souhaite à tous de bonnes consultations et une bonne étude du PL 38. Merci, Mme la Présidente.

• (9 h 50) •

La Présidente (Mme D'Amours) : Merci, M. le ministre. Maintenant, j'invite Mme la députée de Royal... Mont-Royal-Outremont, pardon, à faire ses remarques préliminaires pour une durée de 4 min 30 s.

Mme Setlakwe : Merci, Mme la Présidente. Donc, à mon tour, là, de saluer tous les membres de la commission, vous, Mme la Présidente, les membres, la secrétaire, M. le ministre, c'est la deuxième fois qu'on va collaborer ensemble sur un projet de loi, la députée de Fabre aussi, en fait, on s'est croisées déjà quelques fois en commission, tous les autres députés, là, du côté du gouvernement, ça me fait plaisir de... ça me fera plaisir de collaborer avec vous tous. Soyez assurés, comme toujours, qu'on va travailler de façon constructive pour... dans la révision du projet de loi. Je veux d'ailleurs vous remercier pour le briefing technique d'hier qui a été très apprécié. Aujourd'hui, on commence les consultations, donc nous serons à l'écoute.

On va commencer avec la Commission d'accès à l'information, qui nous a soumis un mémoire très, très détaillé, très élaboré, comme d'habitude. Mais j'aimerais rappeler, puis vous l'avez mentionné, M. le ministre, qu'on est réunis aussi aujourd'hui, moins de deux ans avant... depuis la création du ministère, oui, un ministère très important, Cybersécurité et Numérique, mais ce n'est pas la... donc, ce n'est pas la première fois qu'on révise la législation qui vient encadrer ce nouveau ministère. Ça ne fait pas longtemps, là. Lors de la 42e législature, en mai 2021, il y a eu présentation du projet de loi n° 95, vous l'avez mentionné, la loi modifiant la LGGRI, la Loi sur la gouvernance et la gestion des ressources informationnelles présentée par vous, là, qui était... vous étiez, à l'époque, ministre délégué à la Transformation numérique gouvernementale. Aussi, durant la 42e législature, en octobre 2021, donc ça fait deux ans, il y a eu subséquemment la présentation du projet de loi six, Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique, toujours présentée par vous à l'époque, le ministre délégué à la Transformation numérique gouvernementale.

Depuis ce temps-là, donc, c'est depuis le 1er janvier 2022 que le ministère existe. Oui, le rôle est très important, et oui, je comprends que la situation évolue et qu'il faut aussi faire les ajustements nécessaires en fonction de cette évolution. Et on sait que, malheureusement, depuis la création du ministère, je ne dis pas qu'il y a que des mauvaises choses qui sont arrivées, pas du tout, la tâche, elle est grande, je vais y revenir, mais depuis ce temps-là, il y a eu le fiasco de SAAQclic, là, dont les Québécois ont souffert. Il y a eu des files d'attente pour servir les citoyens. Malheureusement, les succursales ont fermé pendant quelques semaines, puis quand les succursales ont repris leurs activités, bien, il y a eu évidemment un engorgement, un embouteillage. La capacité de traitement a été...

Mme Setlakwe : ...excédé, créant un effet de masse dans les centres de service. En fait, ce qui s'est passé, ce qu'on a vu, c'est que le gouvernement a comme surestimé l'adhésion à la plateforme et sous-estimé le besoin d'un grand nombre de Québécois de continuer d'être accompagné par des êtres humains, là, d'aller en succursale, d'être accompagné dans leurs transactions, somme toute, fort simples, là.

Le service gouvernemental du ministre a aussi été critiqué. Il y a une firme externe qui a produit un rapport, un audit récemment, qui a montré du doigt le SAG du ministère de la Cybersécurité et du Numérique. Encore une fois, l'adhésion à ce service de sécurité a été surestimée. Des clients ont été incapables de s'y inscrire. La firme confirme que la gestion incomplète et réactive des enjeux d'intensification était connue par la SAAQ et par le ministère de la Cybersécurité et du Numérique en juin 2022.

Donc, je peux comprendre aujourd'hui, là, qu'on veuille apporter des ajustements, qu'on veuille asseoir le leadership du ministre, qu'on veuille donner plus de pouvoir, qu'on veuille établir des priorités. Étant donné qu'il y a plus de 2 500 projets en ressources informationnelles en cours, ils ne peuvent pas tous être au même niveau de priorisation, il y a quand même aussi des limites au niveau des ressources humaines. Il faut établir des priorités. Il faut que vous, M. le ministre, soyez en mesure d'allouer les ressources au bon moment, au bon endroit pour que ces projets prioritaires là voient le jour. Tout ça évidemment pour le bien-être de la population québécoise qui, somme toute, demande simplement d'avoir des plateformes conviviales étant donné les défis numériques énormes, là, au XXIe siècle, pensons santé, éducation qui sont prioritaires. Donc, honnêtement, au niveau du p.l. 38, j'ai certainement une ouverture et je serai à l'écoute.

La Présidente (Mme D'Amours) : C'est tout le temps que nous avions, madame. Merci. Donc, je souhaite maintenant la bienvenue à la Commission d'accès à l'information du Québec. Je vous rappelle que vous disposez de 10 minutes pour votre exposé, puis nous procéderons à la période d'échange avec les membres de la commission. Je vous invite donc à vous présenter et à commencer votre exposé, s'il vous plaît.

Mme Poitras (Diane) :Merci, Mme la Présidente. Alors, je suis Diane Poitras, présidente de la Commission d'accès à l'information. Je suis accompagnée par Me Naomie Ayotte, qui est membre de la section de la surveillance, de Mme Ralitsa Dimova, qui est directrice de la direction de la surveillance à la commission, et de Me Jean-Sébastien Desmeules, qui est secrétaire général et directeur des affaires juridiques.

Alors d'abord, merci pour cette occasion de partager avec vous nos commentaires au sujet du projet de loi n° 38. À titre d'organisme chargé de promouvoir l'accès aux documents et la protection des renseignements personnels, la Commission d'accès à l'information commente trois dispositions du projet de loi dans son mémoire.

Les deux premières concernent l'obligation applicable aux sources officielles de données numériques gouvernementales, de faire approuver par la commission les règles de gouvernance dont elles doivent se doter. Le projet de loi propose de retirer cette obligation, la source officielle n'aurait qu'à transmettre ces règles à la commission à l'avenir. Cela s'appliquerait aussi aux demandes d'approbation qui sont en cours.

L'autre disposition qui fait l'objet de commentaires dans notre mémoire, mais que je n'aborderai pas dans ma présentation, est celle permettant au gouvernement d'autoriser la mise en oeuvre d'un projet pilote qui vise à étudier, expérimenter, innover dans le domaine de la cybersécurité ou du numérique, ou à définir des normes applicables dans ces domaines. La commission propose un ajout à cet article du projet de loi pour bonifier la protection des renseignements sensibles qui pourrait être utilisée dans le cadre de tels projets.

Alors, voyons d'abord l'article 10 du projet de loi, qui prévoit le retrait de l'obligation faite aux sources officielles de données de faire approuver leurs règles de gouvernance par la commission. Je rappelle que cette approbation est nécessaire pour qu'elle puisse commencer à recueillir, utiliser ou communiquer des renseignements personnels dans leur rôle de source officielle. Bien que récente, l'expérience démontre l'apport positif que représente ce processus d'approbation préalable et l'intervention préventive et proactive de la commission qui le permet. Elle peut formuler des commentaires constructifs et inviter l'organisme à bonifier au besoin ces règles de gouvernance, ce qui améliore la protection des renseignements personnels pour l'application du régime de sources officielles de données. Cette approbation contribue également à accroître la confiance des citoyens dans la gestion de leurs renseignements dans le cadre de la transformation numérique dont vous avez tous les deux parlé. Elle s'inscrit donc directement dans les objectifs de la LGGRI. À l'opposé, remplacer cette approbation par une simple transmission des règles de gouvernance à la commission...

Mme Poitras (Diane) :...comporte à notre avis des risques pour la protection des renseignements personnels et peut miner la confiance du public. Et je m'explique.

Une source officielle de données se voit confier par le gouvernement un rôle particulier qui lui permet de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins identifiées dans un décret. C'est un régime d'exception qui vise à faciliter la circulation des renseignements personnels et leur utilisation à des fins différentes de celles prévues au moment de leur collecte auprès des citoyens. La source officielle doit donc mettre en place des règles de gouvernance spécifiques au contexte pour lequel elle est désignée et adaptées aux risques supplémentaires résultant de ce rôle et de la circulation accrue d'informations qui en résultent. Plus qu'une simple formalité administrative, l'obligation de faire approuver par la commission ses règles de gouvernance permet d'assurer la protection des renseignements personnels sous la responsabilité de la source officielle dès le début de l'exercice de ce rôle, ce qu'une intervention de la commission a posteriori ne peut permettre.

La modification proposée aurait pour effet d'obliger la commission à intervenir en mode réactif en ayant recours à ses pouvoirs de surveillance et d'enquête si les règles de gouvernance qui lui sont transmises sont insuffisantes ou inadéquates. Elle interviendra... Elle interviendrait donc après que l'organisme a déjà commencé à recueillir, utiliser et communiquer des renseignements personnels. Dans ce scénario, ce sont les renseignements personnels des citoyens qu'on met ainsi à risque en retirant l'autorisation préalable de la commission, sans compter l'impact du déclenchement d'une enquête de la commission, d'une ordonnance ou, pire, d'un incident de confidentialité sur la confiance des citoyens dans la manière dont l'administration publique protège ces renseignements.

• (10 heures) •

Le régime de plus grande mobilité des données qui est mis en place par la LGGRI repose entre autres sur la confiance du public dans les mesures permettant d'assurer la protection des renseignements personnels. Cette loi prévoit d'ailleurs expressément que les pouvoirs qu'elle confère en matière de données numériques gouvernementales, dont la désignation de sources officielles, doivent être exercés de manière à respecter le droit à la vie privée et à promouvoir la confiance du public. L'approbation préalable de la commission contribue à cette confiance.

C'est important de distinguer aussi les règles de gouvernance que doit adopter un organisme, à titre de source officielle, de celles prévues par d'autres lois récentes qui ne prévoient pas une approbation préalable par la commission, par exemple les règles de gouvernance que doit adopter tout organisme public depuis l'entrée en vigueur de la loi 25 ou encore les règles que doit adopter le ministre de la Santé en vertu de la loi 5 sur les renseignements de santé et de services sociaux. Dans les deux cas, les règles de gouvernance sont d'application générale et applicables aux fonctions courantes des organismes visés. C'est donc normal que la commission n'ait pas approuvé l'ensemble de ces règles de gouvernance générales.

Or, la situation de la source officielle est tout autre. Comme je l'ai mentionné, les règles de gouvernance prévues par la LGGRI visent à mettre en place une gouvernance spécifique au rôle de source officielle. Cette obligation s'apparente davantage à celle qui est faite à l'Institut de la statistique du Québec. Dans le cadre du nouveau rôle qu'il exerce en matière d'accès aux renseignements à des fins de recherche, il doit établir des règles de gouvernance spécifiques, et ces règles de gouvernance doivent être soumises à la commission pour approbation.

À notre avis, l'approbation préalable des règles de gouvernance par la commission est non seulement justifiée, mais nécessaire dans le contexte de la LGGRI. Elle permet un dialogue constructif avec l'organisme public dans une dynamique de prévention de situations de non-conformité, par opposition à l'approche répressive et réactive qui résulterait de la modification législative proposée.

Enfin, puisque cette obligation d'approbation des règles de gouvernance est toute récente, la commission s'interroge sur les motifs justifiant de retirer la possibilité d'intervenir ainsi efficacement en amont pour accompagner les organismes et prévenir des situations affectant la protection des renseignements personnels des citoyens. C'est pourquoi on recommande le retrait de l'article 10 du projet de loi.

Pour sa part, l'article 19 du projet de loi prévoit le retrait de l'approbation de la commission... prévoit que le retrait s'appliquerait aussi aux demandes qui sont en cours. Une seule demande serait visée, celle du ministère de la Cybersécurité et du Numérique, qui a été désigné source officielle de données aux fins du service d'authentification gouvernementale. Ce rôle inclut la création du registre d'attributs d'identité aux fins du service québécois d'identité numérique. Ce registre contient des renseignements d'identité sur l'ensemble de la population du Québec, incluant leur numéro d'assurance maladie, leur numéro d'assurance sociale, un...

Mme Poitras (Diane) :...un identifiant unique et d'autres renseignements d'identité. La sensibilité de ces renseignements et la convoitise que suscitera ce registre national d'identité requièrent que des règles de gouvernance robustes et efficaces soient mises en place avant qu'ils puissent agir comme source officielle.

Le processus d'approbation des règles de gouvernance du MCN, qui tire à sa fin, n'aurait donc pas à être complété si cet article était adopté. La commission n'aurait pas à émettre d'approbation avant que le MCN agisse à titre de source officielle pour le registre d'attributs d'identité.

Depuis la présentation de sa demande d'approbation, des échanges constructifs entre la commission et le MCN ont contribué à une amélioration notable des règles de gouvernance initialement proposées par le MCN, et ce, au bénéfice des citoyens dont les renseignements sont impliqués.

La commission a reçu, en fin de soirée hier, des documents permettant possiblement de compléter le dossier du MCN. On a les analyses à l'heure où on se parle. Elle souhaite poursuivre ce processus d'approbation des règles de gouvernance et recommande le retrait de l'article 19 du projet de loi. La sensibilité des renseignements contenus au registre d'identité le justifie.

Je vous remercie de votre attention. Je suis disponible pour échanger avec vous au cours des prochaines minutes.

La Présidente (Mme D'Amours) : Merci, Mme Poitras. Maintenant, je vais céder la parole au ministre et vous avez un temps de 16 minutes 30 s, M. le ministre.

M. Caire : Parfait. Merci, Mme la Présidente. Maître Poitras, bonjour. C'est un plaisir de vous revoir puis à tous les membres de la commission, c'est un plaisir de vous voir. Me Desmeules aussi, ça faisait longtemps qu'on ne s'était pas croisés. En fait, d'entrée de jeu, Me Poitras, je vais faire un commentaire général qui fait suite à l'intervention de ma collègue de Mont-Royal Outremont concernant le service d'authentification gouvernementale parce qu'il y a des choses, je pense, qui méritent quand même d'être précisées. Effectivement, dans l'audit de PricewaterhouseCoopers, il y a des observations qui ont été faites sur la communication entourant le déploiement du service, mais, sur la fonctionnalité du service, je pense qu'il faut reconnaître qu'il fonctionne très bien, au point où il a été en nomination aux OCTAS en juin dernier comme un des quatre meilleurs services numériques qui a été déployé au Québec en 2022-2023. Alors, ça, ce n'est pas moi qui le dis, là, c'est factuel. Puis c'est important de le préciser parce que Me Poitras soulignait à raison que toute la question de la transaction numérique doit se baser sur la confiance, et les Québécois peuvent avoir confiance au service d'authentification gouvernementale. Première mise au point.

Maître Poitras, vous ne serez pas étonnée si je vous dis que nous avons quelques points de désaccord, mais je vais me nourrir de nos discussions, puis j'écoute vos commentaires, je reçois vos commentaires avec ouverture, parce qu'il y a des éléments que vous amenez sur lesquels je voudrais qu'on échange, vous et moi. D'abord, vous parlez de la LGGRI comme un régime d'exception. Premier point de désaccord.

(Interruption) Excusez-moi, le chat dans la gorge, c'est désagréable, je veux présenter mes excuses à tout le monde. Bon, le p.l. n 3, en santé, est un régime d'exception. Là-dessus, vous et moi, on va être d'accord. Le PL 23 de mon collègue en Éducation va devenir... à terme, si l'Assemblée nationale adopte le projet de loi, va devenir un régime d'exception. Mais la LGGRI n'est pas un régime d'exception en ce sens que la règle générale, qui est la loi 25, s'applique en totalité. Donc, d'entrée de jeu, tout ce qui se fait à travers la LGGRI doit respecter intégralement la loi 25 qui est notre régime général.

De plus, la LGGRI impose des mesures particulières de respect de la vie privée et protection des renseignements personnels. 12.10, 12.11 de la loi nous font des obligations supplémentaires, plus les règles de gouvernance. Donc, quand vous dites qu'il faut approuver du fait que c'est un régime d'exception, j'aimerais ça peut-être qu'on échange là-dessus. Parce que, du point de vue du MCN, c'est le PL trois, c'est la loi sur le centre national de dépôt de données de santé et de services sociaux qui est un régime d'exception, et peut-être, éventuellement, si l'Assemblée nationale adopte le projet de loi n° 23, ce sera le cas en éducation, puis nous n'en sommes pas un.

Donc, pourquoi une règle exceptionnelle? Parce qu'il n'y a que les règles de gouvernance prévues aux sources officielles de données qui sont soumises à cette obligation-là d'approbation, il n'y en a pas dans la loi 25, il n'y en a pas dans le p.l. n° 3 et il n'y en a pas dans le PL 23. Donc, vous demandez pourquoi, bien, parce que, pour nous, c'est une harmonisation du cadre législatif, parce que c'est le seul régime. Bien, en fait, la seule exception, c'est que c'est le seul régime qui doit avoir... dont les règles doivent être approuvées par la CAI. Donc, pourquoi cette vision-là dans les faits?

Mme Poitras (Diane) :Pourquoi le... c'est dans le...

Mme Poitras (Diane) :...régime d'exception. En fait, quand je dis que c'est un régime d'exception, je ne veux pas dire que c'est un régime qui déroge à la loi sur l'accès, vous avez raison là-dessus. Par contre, il permet une plus grande mobilité des renseignements personnels en établissant un régime. Puis c'est par référence à des dispositions de la loi qui fait que ça le respecte, mais, en soi, dans cette loi, on a convenu qu'on pouvait permettre une plus grande circulation de renseignements, qu'on pourrait les utiliser à d'autres fins, déterminées par décret, mais à d'autres fins que celles pour lesquelles ils ont été recueillis. Et ça permet à des organismes qui ne sont pas, peut-être, détenteurs d'informations, d'être responsables de renseignements personnels. Donc, ce n'est pas un régime qui déroge à la loi sur l'accès, j'en conviens.

Quant à l'harmonisation, encore une fois, je le souligne, il faut bien distinguer des règles de gouvernance d'application générale aux fonctions courantes d'un organisme de celles d'une source officielle qui se voit confier un rôle spécifique visant la mobilité, une plus grande mobilité des données puis, dans certains cas, des renseignements sensibles. Et, pour nous, ça s'apparente davantage à l'obligation d'approbation et au nouveau rôle qu'on a confié à l'ISQ, de donner accès à des renseignements à des fins de recherche, qui est un rôle en marge de son rôle courant.

Et je souligne que même les règles de gouvernance courantes des organismes publics, en vertu de la loi 25, doivent au moins être approuvées à l'interne par le comité d'accès à l'information et de protection des renseignements personnels. On considère que la source officielle, ça justifie une approbation autre de l'organisme de surveillance indépendant, au même titre que l'ISQ.

• (10 h 10) •

M. Caire : Bien, en fait, puis ça, c'est l'autre sujet que vous abordez que je trouve intéressant, parce que la LGGRI est le seul cadre législatif où il y a une internalisation de l'utilisation des informations. Et je m'explique, Me Poitras, parce que je me rends compte que ce n'est peut-être pas clair, là. Quand on parle du p.l. 3, par exemple, le centre national de dépôt de santé et de services sociaux va s'appliquer autant à des entités publiques qu'à des entités privées. Même chose... excusez-moi, même chose pour le p.l. 23, alors que les sources officielles de données ne s'adressent qu'aux seules entités publiques.

Et, si je pense à l'Institut de la statistique, il y a deux différences majeures entre ce qu'une source officielle de données va faire, versus l'Institut de la statistique. Premièrement, une source officielle de données vise à déconcentrer la donnée, parce qu'il y a trop de données de toutes sortes de natures qui sont concentrées, dû au fait de l'incapacité des organismes à communiquer entre eux l'information.

Donc, quand vous parlez de mobilité de la donnée, Me Poitras, là-dessus, vous avez tout à fait raison, c'est l'objectif, mais c'est pour contrer le fait qu'en l'absence de cette mobilité-là, ce que les organismes publics font, c'est qu'ils vont collecter toute l'information dont ils ont besoin. Ce qui fait que vos données, vos renseignements personnels se trouvent surmultipliés dans un paquet de bases de données qui sont soumises à des règles générales, qui sont protégées technologiquement, bon, comme on peut, qui augmentent la surface d'attaque et donc qui augmentent significativement le risque de fuites de données. Donc, l'idée de la source de données, c'est de déconcentrer ces données-là dans différents endroits, de diminuer l'impact d'une fuite de données par le fait que la donnée sera... il y aura moins de données.

Or, l'Institut de la statistique fait le contraire, l'Institut de la statistique va collecter énormément de données de toutes natures sur l'individu, sur sa santé, sur ses finances, sur son éducation, sur ses conditions socioéconomiques, ce que les sources de données ne feront jamais. Et, en plus, l'Institut de la statistique va rendre ça disponible, autant pour le secteur public que le secteur privé. Donc, personnellement, puis avec égard pour la commission, je pense qu'on compare deux choses qui ne sont pas comparables, à mon humble avis.

Donc, de ce fait-là, est-ce que vous ne pensez pas, justement, que l'Institut de la statistique et une source de données devraient être traités de façon différente? Parce que leur mission est différente, leur condition est différente, la situation dans laquelle ils évoluent est différente. Cette comparaison-là, je ne sais pas... peut-être élaborer un peu là-dessus, là.

Mme Poitras (Diane) :Bien sûr. Moi, je prendrais un exemple concret, le registre...

Mme Poitras (Diane) :...identité numérique, le registre d'identité numérique, comme vous le mentionnez, à terme, effectivement, ça peut éviter que tous les organismes publics recueillent des données d'identité et qu'on concentre, au sein d'un seul... de la source officielle, on va l'appeler comme ça, le registre d'identité, puis c'est lui qui va avoir la responsabilité de valider l'identité d'une personne. Mais cette grande concentration au sein d'un même organisme fait, justement, que c'est là qu'il faut qu'il soit protégé, parce que si, à cet endroit-là, à la source officielle, les renseignements dont il est responsable, il arrive un incident, il arrive quelque chose, il n'y a pas une gouvernance, des règles de gouvernance suffisantes qui sont en place, dans le cas, entre autres, du registre d'identité, c'est même la capacité pour le citoyen de... identité. Tu sais, je l'ai dit, la convoitise que va susciter le registre d'identité. Puis, en plus, il est à un seul endroit. Je comprends que c'est peut-être plus facile de le protéger, mais nous, ce qu'on dit, c'est : Parfait, mais pourquoi ne pas garder les règles que les parlementaires ont jugées adéquates, lors de l'adoption de la loi... du projet de loi n° 95, en disant : On va faire des sources officielles de données numériques, plus grande mobilité, valorisation? On va demander au... il doit faire une évaluation des facteurs relatifs à la vie privée pour voir c'est quoi, les risques propres à son rôle de source officielle, et adopter des règles de gouvernance pour bien protéger les renseignements personnels. Puis on va demander à l'organisme de surveillance indépendant d'approuver ces règles-là. De dire qu'on va simplement les transmettre, ça met, à notre avis, les... la protection des renseignements personnels à risque, parce qu'il peut commencer à recueillir, utiliser et communiquer des renseignements. Et on ne comprend pas pourquoi ce serait justifié de retirer cette obligation-là, qui nous apparaît tout à fait nécessaire dans le contexte de la source officielle, on ne voit pas ce qui justifie de changer ce régime-là aujourd'hui.

M. Caire : Bien, en fait, je vais vous amener sur le terrain de peut-être la loi 25, en fait, des autres régimes, parce que, dans les faits, les arguments que vous évoquez là sont applicables tout à fait aux autres régimes, mais vous me dites : Oui, mais il y a des règles générales. Oui, mais la LGGRI impose des lois... là, on ne parle pas d'approbation de règles, on parle d'articles de lois, d'obligations légales qui sont plus grandes que dans les autres régimes. Donc, en fait, j'ai envie de vous dire...

Parce que, comprenons-nous bien, là, le Centre national de dépôts de santé et de services sociaux va collecter énormément d'informations et des informations sur la santé. Et les informations sur la santé, le législateur, à travers la loi 25, a décidé que, d'emblée, c'étaient des renseignements sensibles. Parce que, vous vous en souviendrez, Me Poitras, on avait cette discussion-là sur, bon, tu sais, les renseignements personnels, puis les renseignements sensibles, puis quelle est la distinction entre les deux. Et le législateur... puis je pense... Mais là je ne veux pas vous mettre des mots dans la bouche que vous n'avez pas prononcés, mais je pense qu'il y avait une recommandation aussi de la Commission d'accès à l'information d'aller dans cette direction-là. En tout cas, à tout le moins, le législateur y est allé.

Donc, on reconnaît, là, qu'on va créer, de façon nationale, un dépôt national de services... de renseignements de santé et de services sociaux pour lesquels on dit : Bien, les règles générales, c'est suffisant, c'est un régime d'exception, les règles générales, c'est suffisant. On a, d'un autre côté, la source officielle de données qui va collecter moins de données, moins de données sensibles, parce que le spectre est moins large, même si c'est des données de renseignements, pour lesquelles non seulement on est soumis entièrement au régime général, mais en plus il y a des mesures législatives supplémentaires qui sont prises, auxquelles il faut rajouter une autre obligation supplémentaire. C'est la logique inverse que je ne comprends pas, je vais être honnête avec vous, mais j'aimerais peut-être vous entendre là-dessus.

Mme Poitras (Diane) :Écoutez, je n'ai pas la loi cinq devant moi, mais mon souvenir est que les règles de gouvernance qui doivent... que doit adopter le ministre de la Santé et des Services sociaux sont celles qui vont s'appliquer à l'ensemble des organismes du réseau de santé et services sociaux. Vous, vous me parlez du système national de dépôt, pour lequel j'imagine qu'on va prévoir des règles. C'était un des commentaires qu'on a faits dans le mémoire, l'absence des tenants et aboutissants de ce qui va encadrer ce système-là. Donc, je... On n'est pas en train de parler de la même chose, là. Moi, je vous parle des... les règles de gouvernance qui doivent être adoptées et qui n'ont pas à être approuvées par la commission dans le cadre de ce projet de loi là. Ce sont les règles générales applicables aux organismes de santé et de services sociaux dans l'exercice de leurs fonctions courantes, donc un peu similaires à la loi 25...

Mme Poitras (Diane) :...Moi, je pense que... je répète que les sources officielles, dans leur rôle spécifique de source officielle, méritent, compte tenu de ce que j'ai mentionné, méritent que la commission puisse intervenir de façon préventive et ait un dialogue constructif pour au besoin bonifier avant que commence la cueillette, l'utilisation et les communications de renseignements. Et, encore une fois, est-ce que... À la limite, est-ce que vraiment l'harmonisation des règles justifie de retirer quelque chose qui à date montre qu'il est efficace et permet de bonifier des règles de gouvernance dans un dossier spécifique? Moi, je vous pose la question.

M. Caire : Écoutez, je vous dirais, là... Ce que je ne comprends pas dans... puis peut-être vous pourriez me préciser ça, qu'une règle soit générale ou spécifique, ce que vous dites quant aux conséquences de... sont les mêmes. Je veux dire, je n'entends pas que la commission entend abdiquer son pouvoir de surveillance sur la façon dont les données de santé vont être gérées par le Centre national de dépôts de santé et de services sociaux. J'imagine que le pouvoir de... pas j'imagine, le pouvoir de surveillance de la CAI est effectif parce qu'on l'a amené dans la loi 3. On a copié, en fait, les mêmes pouvoirs dans la loi 3, que vous avez par la loi 25, donc ce pouvoir de surveillance là, vous les avez. J'imagine qu'en cas d'incident de sécurité les conséquences seront les mêmes. Donc, les pouvoirs sont les mêmes, les dangers sont les mêmes, la convoitise est la même. Et les conséquences d'une intervention de la CAI, éventuellement, en cas de bris de confidentialité ou d'incident de sécurité seront les mêmes.

• (10 h 20) •

Donc, le fait qu'une règle soit générale ou qu'une règle soit particulière, qu'elle s'applique à tous les organismes ou qu'elle s'applique à un organisme, honnêtement, je ne vois pas en quoi ça justifie d'avoir, justement, un régime d'exception, d'une part.

D'autre part, bien, pour moi, l'approbation des règles, c'est une hypothèque au pouvoir de surveillance de la CAI. Je veux dire, comment la CAI pourrait, dans une enquête, désapprouver des règles qu'elle a approuvées? Je ne sais pas. C'est parce que vous allez approuver des règles de gouvernance. Vous allez faire une enquête et vous allez désapprouver les règles de gouvernance que vous avez approuvées?

La Présidente (Mme D'Amours) : 30 secondes.

Mme Poitras (Diane) :On ne va pas désapprouver des règles qu'on a approuvées. On va s'assurer qu'elles sont respectées, qu'elles sont adéquates. Ça se peut que les règles ne soient pas adéquates compte tenu d'une situation qui a changée, qui a évoluée, qu'elles ne sont pas mises en application suffisamment.

Donc, je ne vois pas en quoi ça altère notre pouvoir d'enquête. C'est d'ailleurs la mécanique qui est prévue dans la Loi sur l'ISQ.

M. Caire : ...les règles ou que vous ne les approuviez pas, ça ne change rien au fait que vous allez vérifier si les règles, qui ont été mises en place, ont été respectées, a va faire partie du pouvoir...

La Présidente (Mme D'Amours) : C'est tout le temps que nous avions pour le premier bloc d'échanges. Nous sommes maintenant au deuxième bloc d'échanges avec la députée de... Mont-Royal-Outremont, pardon, et la parole est à vous.

Mme Setlakwe : Merci, Mme la Présidente. Bien, poursuivons l'échange. Merci pour vos interventions. Les débuts de réponse... Je pense qu'il faut ramener ça à un niveau de dialogue que M. et Mme Tout le monde va comprendre parce qu'on est pas mal dans le technique, puis c'est correct, c'est technique, mais il ne faut pas perdre de vue, là, que quelqu'un qui nous écoute, là, je ne suis pas sûre qu'il nous suive.là. Puis je veux juste ramené ça à la population puis au citoyen qui veut avoir... veut aller sur son ordinateur. Il veut faire des transactions bien simples avec l'État, par exemple sur des permis de conduire, des plaques d'immatriculation, mais plus que ça, là, avec Revenu Québec avec.... Bon là, on sait qu'on s'en va vers un système beaucoup plus efficace au niveau des renseignements de santé, en éducation aussi. Je pense que tout le monde souhaite que les données soient fluides, que les données circulent pour qu'ultimement... on ne fait pas ça pour le plaisir dans l'abstrait, là. pour qu'ultimement le gouvernement offre des meilleurs services, qu'il y ait une meilleure efficacité, etc.

Moi, le bout, là, qui m'inquiète, c'est quand on parle de, comme, abdiquer, ou abandonner, ou court-circuiter un processus qui est en cours. Puis ce que je comprends du processus avec la CAI, ce n'est pas un processus, là, punitif. Moi, ce que j'entends, c'est qu'une source officielle, par exemple le ministère de la Cybersécurité et du Numérique, détient, dans le cadre du SAG, là, du service d'authentification gouvernementale... Je l'ai fait moi-même, là. On rentre dans le SAG, on s'inscrit puis on sait qu'après on va avoir notre identité numérique qui va servir à différentes fins. On le souhaite, ça, il n'y a pas d'enjeu. Donc...

Mme Setlakwe : ...le MCN est une source officielle, c'est de ça dont on parle, là, le statut de source officielle de données pour les fins du SAG. Puis le SAG, on entre nos informations, là, c'est très sensible, là, pas juste notre nom, notre prénom, date de naissance, résidence, numéro d'assurance maladie, numéro d'assurance sociale, n'est-ce pas? Bon, là, on n'est pas... je pense qu'on ne pourrait pas avoir plus sensible, plus personnel que ça. Et là ce que je comprends, c'est qu'il y a un processus en cours d'échange avec la CAI de révision de règles de gouvernance, puis il y a un échange qui était en cours, là, pour... puis je ne pense pas qu'on ait... Je ne sais pas pourquoi qu'on mélange ça avec le pouvoir de surveillance de la CAI, par la suite, là, quand les lois, quand les régimes sont opérationnels. Là, ici, on est au stade de... vous révisez des propositions, vous échangez, vous émettez des... Qu'est-ce que vous faites exactement? Vous émettez des commentaires pour bonifier, il y a un échange écrit, puis là on est... est-ce qu'on est près de la fin de ce processus là ou non? Il reste encore des mois, des années?

Mme Poitras (Diane) :En fait, on doit approuver les règles de gouvernance, donc on examine les règles de gouvernance qui nous sont soumises par l'organisme, dans ce cas-ci, par exemple, le MCN, on regarde est-ce que ça correspond à ce qui est ce qui est attendu? Est-ce que c'est adéquat pour protéger les renseignements personnels des Québécois? En cause ici, bien, le fameux registre qui contient toutes ces informations sensibles. Si on juge... si la direction de la surveillance juge qu'il reste du travail à faire, elle communique avec l'organisme. Et plutôt que de monter ça au commissaire, puis dire refusé, communique avec l'organisme, a un échange en disant : Pose des questions et demande de bonifier certains aspects que l'on ne considère pas suffisants, pour lesquels on a des questions, des interrogations. Et c'est ce processus-là qui est en cours, qui... il est plus près de la fin qu'il l'était. On a reçu des documents hier en fin de soirée, je ne suis pas en mesure de vous dire... ils sont en analyse présentement. On agit toujours avec diligence. On est très au fait des enjeux de délais dans le projet. On veut bien arriver à une approbation, mais on n'approuvera pas quelque chose qui ne nous semble pas adéquat. Mais ce dialogue-là et constructif pour nous, parce qu'il a permis, entre autres, dans ce cas-ci, de bonifier de façon très importante la première version qui nous avait été donnée. Et sinon, si on fait juste une simple transmission, ça veut dire qu'on aurait reçu des règles de gouvernance que l'on ne considérait pas suffisantes et que les échanges auraient commencé avec les risques que ça comporte pour les données des citoyens. Et nous, on considère que le processus d'approbation permet, un, un dialogue constructif, préventif, plutôt que d'intervenir après coup, quand les communications ont commencé et que là les informations sont peut-être un peu plus à risque. Ça dépend du dossier, ça dépend de la suffisance des règles de gouvernance qui nous sont soumises évidemment.

Mme Setlakwe : Je comprends. Donc, tout ça, encore une fois, pour en arriver à des règles de gouvernance optimales pour protéger ces renseignements-là qu'on a mentionnés, là, qui sont des données sensibles qui concernent les Québécois.

Est-ce que, dans les faits, il y a... il y en a combien, là, de ces sources officielles? Là, on comprend qu'ici, si on met en... si on adoptait ce matin le projet de loi, il y a comme un dossier qui est en étude, mais est-ce qu'il y en a eu dans le passé, il y en avoir d'autres?

Mme Poitras (Diane) :C'est le premier et le seul pour l'instant qui a été désigné comme source officielle. On peut penser qu'il y en aura d'autres, mais, pour l'instant, c'est le seul dossier de source officielle. L'autre processus d'approbation de règles de gouvernance qu'on a fait, c'est avec l'ISQ et les règles sont approuvées, ont été approuvées l'été dernier, je crois.

Mme Setlakwe : O.K. Parce qu'il y a un passage dans votre mémoire, vous dites que vous faites une distinction qui, selon vous, est appropriée entre un organisme qui détient des données dans le cadre normal de ses fonctions. Pouvez-vous nous donner des exemples de ça versus... bien, source officielle, là, je comprends qu'on a un exemple concret puis c'est le ministère qui détient toutes sortes d'informations personnelles en vertu du registre, mais le registre, c'est la même chose que le SAG?

Mme Poitras (Diane) :C'est un registre qui sert aux fins du SAG.

Mme Setlakwe : O.K. On parle du même dossier.

Mme Poitras (Diane) :Oui.

Mme Setlakwe : Mais juste élaborer un peu là-dessus parce qu'il y a comme deux régimes, il y a un régime plus simple qui s'applique à un organisme qui met en place des règles pour traiter de... pour traiter ou pour, oui, dans la gestion, dans la protection des renseignements qu'il détient, mais dans le cours normal de sa mission.

Mme Poitras (Diane) :Oui, en fait, depuis la loi n° 25 qui est... depuis l'entrée en vigueur en septembre...

Mme Poitras (Diane) :...dernier de cette obligation-là, tous les organismes publics doivent adopter des règles de gouvernance pour protéger, pour assurer une bonne gouvernance et encadrer la protection des renseignements personnels qu'ils détiennent dans le cours normal de leurs activités, donc, peu importe l'organisme, là, les renseignements qu'on peut détenir au sujet des citoyens. Prenons l'exemple de la Société d'assurance automobile, bon, tous les renseignements relatifs au permis de conduire, par exemple, ou à d'autres... tout le régime d'indemnités des accidents automobiles, bon, ils doivent adopter des règles de gouvernance pour protéger l'ensemble de ces renseignements-là.

La source officielle de données, ce qu'on exige, avec la LGGRI... la source officielle de données, ça peut être un organisme qui est désigné pour assurer une plus grande mobilité de renseignements qui vont être désignés dans un décret. Alors, comme ici, on a identifié les renseignements qui seraient contenus au registre d'entités. J'essaie de penser à une hypothèse, ministère de l'Éducation, le ministère de l'Éducation pourrait devenir une source officielle de données pour tout organisme qui veut confirmer qu'une personne a bien un diplôme d'études secondaires, collégiales, universitaires. J'imagine, je ne sais pas, j'imagine que le ministre a plus... une meilleure idée que moi des sources officielles qu'il envisage de désigner, mais ça pourrait être un exemple. Donc, qu'est-ce qui est mis en place pour s'assurer que l'utilisation de ces renseignements dans le contexte de sources officielles et les communications que ça va impliquer, ou des utilisations à une autre fin. Parce qu'il ne faut pas oublier que la LGGRI, dans le décret, le gouvernement peut décider d'utiliser des renseignements à une autre fin que celles pour lesquelles ils ont été recueillis.

• (10 h 30) •

Donc, qu'est-ce qu'on met en place pour s'assurer que, dans le cadre de ce rôle et de ces utilisations, de ces collectes, de ces communications de renseignements, qu'est-ce qu'on met en place de spécifique qui va permettre de protéger ces renseignements dans ce contexte? Et c'est pour ça que, dans la LGGRI, si vous regardez, il y a une évaluation, hein, une évaluation des facteurs à la vie privée, un grand mot qui veut dire : il faut qu'on fasse une analyse de risques avant pour voir quels sont les risques spécifiques à la protection des renseignements personnels pour ce nouveau rôle là que je vais jouer et, à partir de là, quelles sont les règles de gouvernance que je dois mettre en place pour minimiser ces risques? Ça se peut qu'on réfère à des règles particulières pour certaines choses, qu'on dise : Oui, ce volet-là, c'est correct, exemple, qui va pouvoir avoir accès et décider de, oui, j'ai une demande d'un tel organisme dans le cadre de ma source officielle pour communiquer un renseignement, l'employé qui a ça. Qui va avoir accès à ces renseignements-là, comment il va déterminer si, oui ou non, il peut l'envoyer, dans quelle situation. Bref, des règles qui encadrent toute cette fonction de source officielle afin d'assurer la protection des renseignements personnels dans ce rôle spécifique. Je ne sais pas si c'est plus clair.

Mme Setlakwe : Non, non, c'est... moi, je trouve ça très clair. Puis là ce que je comprends, c'est que, bon, pour des raisons qui vont rester à être expliquées, là, on veut mettre fin au processus plus rapidement, on va même permettre que, dans le futur, il n'y ait pas cet échange en amont, cette approbation par la CAI, qu'il y ait simplement une obligation pour l'organisme qui va agir comme source officielle de juste transmettre ses règles de gouvernance.

Mais il me semble que... je ne sais pas qu'est-ce que vous en pensez, est -e que vous pensez qu'en fait l'exercice qui est fait actuellement, on pourrait aller au bout de l'exercice et de la réflexion et d'en arriver à des règles de gouvernance peut-être, bien, qui feraient en sorte... qui protégeraient davantage le renseignement pour des utilisations futures. Mais ces règles-là pourraient servir comme... bien, comme modèle, comme précédent dans le futur pour d'autres sources officielles. Parce que, là, on va en avoir de plus en plus, là, de situations qui vont donner lieu, je pense, à des désignations de sources officielles, oui?

Mme Poitras (Diane) :En fait, la commission avait comme... avait commencé un projet qu'elle a mis de côté pour traiter les deux demandes qui nous étaient faites, mais on a comme projet de faire un guide ou un manuel de procédure, appelez-le comme vous voulez, pour un peu dire quelles sont nos attentes. Si vous avez à faire une demande d'approbation à la commission, voici ce qu'on doit retrouver dans vos règles de gouvernance. Et, effectivement, la première version qui a été déposée par le MCN était insuffisante, à notre avis. Et on avait reçu celle de l'ISQ puis on les a invités à aller voir l'ISQ. Ils ont bien compris la portée des règles de gouvernance. Ils ont fait un travail impeccable de cohérence.

Mme Poitras (Diane) :...est très... Qui explique très bien comment toutes ces règles vont s'appliquer aux différentes étapes, on appelle le cycle de vie de l'information, là, c'est-à-dire de la collecte à l'utilisation à la communication, etc. Alors, oui, je pense que les deux processus qu'on a vécus, d'approbation, on est en train de bonifier l'espèce de manuel ou de guide qui va servir et qui devrait faciliter la tâche, là, pour les prochaines sources officielles de données.

Mme Setlakwe : Merci. En effet, quand on prend le temps, après ça, on peut peut-être le répliquer et ça va servir de bonnes pratiques pour la suite des choses, avec d'autres sources officielles. O.K., merci pour ça. Puis j'ai bien compris l'exemple. Donc, la SAAQ, par exemple, dans son quotidien, traite des accidents, des... toutes sortes de données qui ont rapport avec le dossier de conduite d'un usager. Mais là, quand on parle de concentrer au même endroit des données très sensibles, par exemple le numéro d'assurance sociale, et qu'après ça ces données-là pourraient servir à d'autres fins et être transmises à d'autres organismes, moi, je ne vois pas pourquoi qu'on n'aurait pas un guide, dont on a pris le temps, là, de s'assurer qu'il est exhaustif et que... En tout cas, je pense que ça vaut la peine qu'on aille au bout du processus pour s'assurer que la personne qui va devoir, après ça, agir dans le quotidien et répondre à des demandes et se poser des questions, est-ce que je devrais transmettre, est-ce que je devrais... Va pouvoir se référer à un guide qui va lui donner la marche à suivre pour la suite des choses. En tout cas pour moi, ça me semble clair. Merci.

Et là vous avez dit que dans... aujourd'hui, vous ne souhaitez pas parler des projets pilotes. Vous en avez parlé dans votre mémoire, mais je serais curieuse de vous entendre sur les règles qui sont mises en place, là, qui sont proposées dans le projet de loi pour tester des situations. Moi, je pense que l'idée est bonne, là, de se donner le pouvoir de mettre en place des projets pilotes pour une durée limitée, je pense, c'est trois ans. Et vous avez émis des commentaires dans votre mémoire, mais vous ne souhaitez pas en traiter ce matin ou...

Mme Poitras (Diane) :Oui, je peux...

Mme Setlakwe : Vous vous êtes concentrée sur les premiers aspects, je pense.

Mme Poitras (Diane) :simplement question de temps qui nous était alloué dans la présentation. Je veux juste préciser, avant de parler de ça, rapidement. C'est important par exemple que les règles de gouvernance qui doivent être adoptées vont être propres à chaque... À la situation de chaque organisme, là. Il n'y a pas un... j'ai juste «one size fits all», je m'excuse pour l'anglais, une taille unique pour tout le monde, là. Je pense qu'il faut que chaque organisme fasse l'exercice. Mais on peut avoir un guide de : bien, dans vos règles de gouvernance, assurez-vous qu'on y retrouve tel sujet, tel... Vous avez abordé tel sujet, tel sujet, tel sujet, là.

Mme Setlakwe : Non, non, je comprends. On ne voudra pas le répliquer, mais au moins à savoir le niveau de détail et les points à couvrir et le contenu. Bien oui, le contenu va être... Vous ne voulez pas faire du mur-à-mur.

Mme Poitras (Diane) :Non, c'est ça.

Mme Setlakwe : Vous voulez faire du sur-mesure. Je comprends.

Mme Poitras (Diane) :tout à fait. Pour les projets pilotes, en fait, la suggestion qu'on fait, là, dans le projet de loi, il est prévu que le gouvernement peut adopter des projets pilotes pour expérimenter, étudier ou innover dans le domaine de la cybersécurité ou du numérique, ou définir des normes applicables. Puis on prévoit que l'article... Que ces projets-là doivent se faire dans le respect des dispositions législatives applicables, notamment en matière de protection des renseignements personnels et de vie privée, ce qu'on trouve tout à fait adéquat, évidemment. Mais on prévoit que le gouvernement peut déterminer des normes et des obligations applicables, dans le cadre de ce projet pilote là, dans le respect, évidemment, de la PRP et de la vie privée.

On propose aux parlementaires de s'inspirer de l'article six de la Loi favorisant la transformation numérique de l'administration publique, qui prévoit que le gouvernement... On est dans un autre type de projet, j'en conviens, mais il y a une disposition intéressante qui prévoit que le gouvernement doit édicter des règles particulières lorsqu'il existe un degré élevé d'attente raisonnable en matière de vie privée, dans le cadre de ce projet-là, si on utilise des renseignements sensibles. Aussi la façon dont on va les utiliser est plus susceptible, là, de porter atteinte à la vie privée, donc on propose que le Gouvernement... D'ajouter à l'article qui est prévu dans le projet de loi cette obligation, dans ces cas-là, d'adopter des règles particulières pour protéger ces renseignements sensibles, tout simplement.

La Présidente (Mme D'Amours) : Merci. C'est tout le temps que nous avions.

Mme Poitras (Diane) :Merci.

La Présidente (Mme D'Amours) : Donc, Mesdames, M., merci de votre contribution à notre commission.

Je suspends les travaux quelques instants afin de permettre à notre prochain invité de prendre place. Merci.

(Suspension de la séance à 10 h 38)

(Reprise à 10 h 43)

La Présidente (Mme D'Amours) : Nous reprenons nos travaux, et je souhaite maintenant...

La Présidente (Mme D'Amours) : ...la bienvenue au professeur Sébastien Gambs. Je vous rappelle, monsieur, que vous disposez de 10 minutes pour votre exposé, puis nous procéderons à la période d'échange avec les membres de la commission. Je vous invite donc à vous présenter et à commencer votre exposé, s'il vous plaît.

(Visioconférence) 

M. Gambs (Sébastien) : Bonjour. D'abord, merci pour l'invitation. Je m'appelle Sébastien Gambs, je suis professeur en informatique à l'UQAM et Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives. Et donc aussi je travaille sur la cybersécurité.

Donc, en ce qui concerne le projet de loi n° 38, je note que, justement, en termes de sécurité, il y a des avancées qui me semblent importantes, en particulier sur le fait que le ministère de la Cybersécurité va jouer un rôle central, je dirais, sur harmoniser les bonnes pratiques des différents ministères et organismes publics. Donc, je note en particulier que le ministère devient vraiment responsable de la transition numérique et aussi peut définir les bonnes pratiques de cybersécurité et demander aux différents organismes de s'y... de s'y conformer. Donc, ça, c'est très bien. Je pense que ça va permettre d'essayer d'avoir un... une uniformisation, vraiment, des bonnes pratiques de cybersécurité. Je note aussi qu'il y a la possibilité de définir des projets prioritaires, donc de demander aux organismes aussi de... je dirais, de prendre en main certaines... certains projets qui sont d'importance vitale. Je note aussi qu'en termes de sécurité on parlait dans le projet de loi de la possibilité d'interdire l'usage d'un logiciel. Donc, on imagine, dans les discussions qu'on a eues avec TikTok ou d'autres logiciels assez récemment, le fait que la loi permette justement, dans un contexte où il faut réagir rapidement, de pouvoir diffuser à tous les organismes du ministère le fait que certains logiciels devraient être bannis ou avoir un usage limité à cause des enjeux de cybersécurité, c'est une façon effectivement d'être assez réactif dans le cadre de problèmes.

Les questions que j'avais, je pense, sur lesquelles il faudrait réfléchir, c'est qu'on va demander à ces organismes-là de mettre en place des bonnes pratiques de cybersécurité, ce qui est effectivement une bonne chose, mais la question des ressources pour les accompagner, pour moi, me semble une question importante. Donc, est-ce qu'on va mettre en place des guides de bonnes pratiques? Est-ce qu'il y a des... du personnel du ministère de la Cybersécurité qui va être embauché et déployé dans ces différents ministères pour aider aussi à mettre à jour, je dirais, le niveau de sécurité au bon niveau? Ça, ça me semble des questions importantes aussi à discuter et résoudre. Peut-être qu'ils seront effectivement résolus une fois que le projet de loi est adopté.

Je pense, aussi au niveau des projets qui vont être demandés au ministère, tout ce qui est un registre public ou ces projets-là et leur état d'avancement, donc je... le projet de loi mentionne que les ministères doivent informer le ministère de la Cybersécurité sur l'avancement des projets de manière régulière. Je pense qu'en termes de transparence et de confiance envers le citoyen, ça serait bien que cette information-là soit aussi disponible publiquement sur un site Web ou un registre que le citoyen pourrait consulter, de manière à savoir, sur ces projets d'importance vitale pour les Québécois, quel est l'état d'avancement de ces différents projets, est-ce qu'il y a eu des problèmes, afin de faciliter, je dirais, l'audit et la transparence envers le citoyen.

Par contre, la... le point sur lequel j'avais des doutes, c'est en ce qui concerne l'identité numérique. Pour moi, l'identité numérique, ça va collecter et utiliser des données personnelles des citoyens. C'est un service qui va être central au niveau de la cybersécurité du gouvernement québécois. Donc, je ne voyais pas trop pourquoi dans la loi est-ce qu'on demanderait... on enlèverait à la Commission d'accès à l'information le fait de participer, justement, à la bonne pratique de gouvernance et de cybersécurité qui serait liée aux données personnelles. Donc, je note qu'on leur donne toujours le pouvoir de surveillance a posteriori, mais moi qui travaille sur la protection des données personnelles et la cybersécurité, en général c'est souvent trop tard, une fois qu'on a collecté beaucoup de données personnelles, si on... on agit après, une fois qu'il y a une fuite de données en termes de vie privée. Donc, je pense que le dialogue a posteriori entre la Commission d'accès à l'information et le ministère de la... de la Cybersécurité est vital pour s'assurer que les données qui sont collectées suivent des principes, par exemple de minimisation de données, on ne collecte que les données nécessaires, que les règles de gouvernance et de cybersécurité soient aussi respectées.

Donc, globalement, j'avais un avis très positif sur le projet de loi n° 38, mais je me posais la question en particulier de cet aspect-là du projet, pourquoi enlever les prérogatives de la Commission d'accès à l'information sur un système mis en place par le gouvernement qui va collecter des données personnelles des Québécois, qui va être central au niveau de la...

M. Gambs (Sébastien) : ...vérité et d'identité numérique du Québec. Donc, plutôt que de.... de juste passer à un système de surveillance ou si jamais il y a un problème de sécurité, ce sera trop tard. Je pense que le dialogue avec la Commission d'accès à l'information pour s'assurer que les...  ce qui est mis en place suit les bonnes pratiques en termes de sécurité me semble nécessaire de ce point de vue là.

Et je ne vous donnerai pas beaucoup d'exemples, mais il y a eu des systèmes d'exemples de centralisation d'identité numérique par le passé, comme par exemple en Inde avec un système qui s'appelait Aadhaar, où malheureusement les données de plus de 1,1 milliard de personnes ont fuité suite, justement, à des problèmes de sécurité. Et l'Inde avait choisi, justement, d'être relativement opaque sur la façon de traiter les données et de, je dirais, de faire affaire avec une compagnie privée plutôt que d'avoir un dialogue public. Donc, je dirais que des fuites de données liées à des systèmes d'identité numérique nationale, il y a déjà eu des exemples. Donc, je pense qu'il faut vraiment faire attention avec ce type de système, de vraiment respecter les meilleures mesures en termes de protection des données personnelles. Voilà, je voulais. Je termine peut-être un petit peu en avance, mais cela fera sûrement plus de temps pour les explications.

La Présidente (Mme D'Amours) : Merci beaucoup! Maintenant, nous sommes prêts à l'échange. M. le ministre, la parole est à vous.

• (10 h 50) •

M. Caire : Merci beaucoup, Mme la Présidente. Bonjour Pr Gambs. Merci d'avoir participé à cet exercice. Vous amenez des... des questions qui sont intéressantes, puis d'entrée de jeu. Bon, je vois qu'il y a plusieurs éléments du projet de loi avec lesquels vous êtes d'accord. Et comme je n'ai jamais rien appris de quelqu'un avec qui j'étais d'accord, je vais donc amorcer la discussion sur les questionnements que vous soulevez, notamment sur la Commission d'accès à l'information. Je pense que c'est un sujet qui est important, mais, d'entrée de jeu, je pense qu'il faut préciser, puis ça, c'est peut-être le point de désaccord, premier point de désaccord que j'ai avec vous, puis je voudrais vous entendre là-dessus parce que vous parlez d'une identité numérique centralisée.

Or ma conception des choses, c'est que ce n'est pas une identité numérique centralisée, c'est une... Je vous dirais que c'est une... C'est d'éliminer des sources d'identité numériques qui sont trop nombreuses. C'est un petit peu ce que j'expliquais tout à l'heure avec la Commission d'accès à l'information, l'incapacité des organismes de s'échanger de l'information, parce que c'est beaucoup trop complexe, beaucoup trop bureaucratique, beaucoup trop lourd. Ce que les organismes font, c'est qu'ils collectent donc pour eux-mêmes, par eux-mêmes la totalité des informations dont ils ont besoin, ce qui fait qu'on se ramasse avec plus d'une centaine... de plusieurs centaines, pas plus d'une centaine, plusieurs centaines d'organismes qui collectent des informations et des renseignements personnels sur notre identité

Vous qui oeuvrez dans le domaine de la protection des renseignements personnels et qui avez une vision de la cybersécurité, vous savez à quel point ça fait autant de surfaces d'attaque, autant d'opportunités de fuites de données et qu'il n'y a pas un organisme qui est capable d'assurer le même niveau de protection. Si par exemple, j'ai 300, 400, 500, 600 banques de données, puis là c'est plus que ça dans le cas du gouvernement, là, où j'ai des renseignements d'identité. C'est plus dur à protéger que si je n'ai qu'une seule banque de données où ces renseignements-là. Puis, à titre de source de données, officielle de données, c'est elle qui s'assure de communiquer ces renseignements de santé.

Donc, au vu de ça, est ce que vous diriez que le principe de la source de données nous amène plutôt vers une meilleure sécurité des renseignements personnels par rapport à la situation actuelle, ou vous dites... Parce que vous vous parlez de l'Inde, puis je ne sais pas, je ne connais pas le système de l'Inde, là, mais au vu de la façon dont ça fonctionne chez eux puis ça fonctionne chez nous, je pense... Ma prétention toute modeste, puis je voudrais vous entendre là-dessus, c'est que ce que nous allons faire avec les sources de données va augmenter au contraire notre capacité à protéger les renseignements personnels plutôt que de les mettre à risque.

M. Gambs (Sébastien) : Bien, le fait de centraliser les données, ça va permettre d'avoir plus de ressources pour assurer leur sécurité, mais ça va aussi accroître l'appétit potentiel d'attaquants. Donc, la question qui va se poser aussi, c'est peut-être la quantité et la diversité des données qui vont être agrégées au niveau de cette source officielle. Est-ce que, par exemple, le principe de minimisation des données va être respecté en termes de collecter vraiment l'information qui est nécessaire? Pour ça...C'est pour ça que j'insistais aussi beaucoup sur la discussion avec la Commission d'accès à l'information. Donc, le... Pour répondre à votre question, oui, on élimine une partie des risques en essayant de centraliser et d'augmenter les ressources pour protéger, mais on va aussi augmenter l'appétit des attaquants. Et si on agrège beaucoup de données de manière centralisée, si vous avez une fuite de sécurité sur ce système-là, bien, ça va... ça va lier à une plus grosse fuite de données. J'imagine aussi que ce registre centralisé peut...

M. Gambs (Sébastien) : ...anciennement, on va collecter des informations qui sont plus importantes que chacune de ces sources séparées, même s'il y a des redondances dans certaines de ces sources.

M. Caire : ...la réponse à votre question, c'est non, parce que, par exemple, un organisme va devoir collecter l'ensemble des renseignements personnels sur un citoyen avec qui il a des échanges. Donc, nom, prénom, adresse, numéro de téléphone, date de naissance, etc., plus les renseignements qui sont nécessaires à sa prestation de services. Donc, dans le cas de la SAAQ, bien, évidemment, tous les renseignements liés au dossier du conducteur, quelques renseignements de santé, notamment pour sa classe de conducteur, s'assurer que, bon, est-ce qu'il a des restrictions? Donc, la multiplication des banques d'information, c'est une multiplication de la collecte des renseignements personnels.

Et là où je voudrais peut-être vous entendre un petit peu plus, quand vous dites : Ça va augmenter l'appétit, bien, si, moi, j'ai une cible avec 400, 500 ou 600 portes d'entrée pour aller chercher exactement les mêmes renseignements ou j'ai une cible avec une seule porte d'entrée, est-ce que vous ne pensez pas que la cible avec une seule porte d'entrée va être plus facile à protéger qu'une cible avec 500 ou 600 portes d'entrée différentes pour aller chercher exactement les mêmes informations, peut-être même plus? Parce que les banques qui sont collectées par les organismes ne se limitent pas aux renseignements personnels qui sont nécessaires à l'identification du citoyen puis à la prestation de services, à la communication avec lui, plus les informations qui sont relatives aux services qui doivent être données par l'organisme. Donc, vous ne pensez pas que c'est plutôt cette situation-là qui, au point de vue de la protection des renseignements, fait problème?

M. Gambs (Sébastien) : Bien, si on prend l'exemple que vous donniez, de la SAAQ, là, sur le permis de conduire, j'imagine que ces données là de permis de conduire ne sont pas démultipliées, à l'heure actuelle, au niveau de tous les ministères, c'est vraiment la SAAQ qui les a. Donc, si on commence à centraliser les données de la SAAQ dans cette source de données officielle, j'imagine qu'il y a d'autres données qui sont détenues par d'autres ministères, liées à leur finalité qui vont aussi être agrégées dans cette source-là, donc ça me semble quand même agréger beaucoup de données. Donc, oui, il y a une seule porte à protéger, mais je pense que la quantité de données qui vont se retrouver au niveau de cette source-là va être plus importante que les... Donc, si je prends l'exemple du permis de conduire, j'imagine qu'il n'y a pas... les autres ministères n'ont pas besoin d'avoir les informations liées à ce que la SAAQ détient. Cette donnée-là n'est pas une donnée démultipliée, par exemple.

M. Caire : Non, vous avez raison, mais la SAAQ doit... Je vous donne un exemple, allons-y avec trois ministères, trois organismes qu'on connaît bien. L'Agence du revenu va collecter, évidemment, tous les renseignements personnels nécessaires à l'identification du citoyen. Donc, au lieu... Et donc ça veut dire plus que... plus les renseignements sur le dossier fiscal. La SAAQ va collecter tous les renseignements nécessaires à l'identification, communication avec les citoyens, plus les renseignements relatifs au permis... au dossier de conducteur, allons-y plus large, là, au dossier de conducteur. La RAMQ va collecter tous les renseignements relatifs à l'identité du citoyen, plus certains éléments de son dossier médical. L'idée de la source de données, c'est de dire que tous ces organismes-là ne collectent plus aucune information sur l'identité du citoyen puisqu'ils vont devoir passer par le service d'authentification gouvernementale. Donc, les renseignements personnels relatifs à l'identité des citoyens, à la façon de communiquer, sont extraits, sortis de ces bases de données. Donc, l'attaquant, oui, a accès au dossier de conduite, mais il n'y a pas d'individu associé à ça. Du côté de la RAMQ, il va avoir accès à une partie du dossier médical, mais il n'y a pas d'individu relié à ça. Ou alors il vient à la source officielle de données, puis, oui, il a accès à des informations s'il réussit à passer la défense sur les renseignements personnels, mais il n'y a pas d'information sur le dossier de conduite, il n'y a pas d'information sur le dossier médical, il n'y a pas d'information sur le dossier fiscal, parce que tout ça a été éclaté dans différentes sources de données officielles. C'est un peu ça, le principe, là.

M. Gambs (Sébastien) : Oui, mais, enfin, vous prenez l'exemple du dossier de conduite. Le dossier de conduite, c'est... en général, il y a des informations identifiantes ou quasi identifiantes, ou même le dossier médical, le code postal, par exemple, l'âge et le genre d'une personne suffisent à l'identifier de manière unique, même si ce n'est pas des identifiants directs.

M. Caire :  Actuellement, oui, mais pas avec un concept de source de données. En fait, pour vous donner l'exemple, je vous dirais, bon, moi, je viens du domaine de l'informatique, je vous disais ce qu'on veut mettre en place, c'est un modèle de base de données, modèle relationnel, donc une information... Non, en fait, la réponse à votre question, c'est non, puisque ces renseignements.

M. Caire : ...sur le code postal, sur l'adresse de courriel, sur, bon, la date de naissance étant relative à l'identité du citoyen. Elles ne sont plus dans les banques de la SAQ. La SAQ va venir chercher ces informations-là à la source officielle, si la loi l'y autorise, évidemment. Donc, d'où la question des règles de gouvernance, qu'est-ce que la loi autorise à faire et qu'est-ce que l'utilisateur peut faire selon les quatre principes, là, de la gestion de la donnée. Bon, est-ce qu'on est en ajout? Est-ce qu'on est en modification? Est-ce qu'on est en lecture? Ou est-ce qu'on est en suppression? Ça, c'est les quatre éléments de la gestion de la donnée. Et donc là c'est de gérer les permissions, donc les règles de gouvernance vont être plus dans la gestion de permissions.

Donc, pour relancer la discussion sur la CAI, bien, l'approbation... pour nous, l'approbation... D'abord, c'est le seul régime où il y a une approbation. La loi n° 3 ne prévoit pas d'approbation. La loi n° 25 ne prévoit pas d'approbation. La loi n° 23 ne prévoit pas d'approbation. Donc, pour ce qui est du périmètre gouvernemental, c'est le seul régime qui prévoit une approbation, et le fait de retirer l'approbation ne retire pas à la CAI son pouvoir de recommandation qui est prévu par la loi, son pouvoir d'ordonnance qui est prévu par la loi, son pouvoir de surveillance qui est prévu par la loi. Donc, de dire qu'il ne peut avoir un travail qui se fait en amont, c'est inexact puisqu'au moment où on transmet les règles de gouvernance, il n'y a absolument rien qui empêche la CAI de rentrer en dialogue avec l'organisme. C'est juste l'étape d'approbation qui n'a pas été répliquée nulle part, dans aucune autre loi qui a été adoptée a posteriori. C'est cette étape-là qu'on dit : Bon, bien, de toute évidence, il n'y a pas de plus-value. Puis je n'ai pas entendu encore d'arguments qui me laissaient dire qu'il y avait une plus-value à faire ça, parce que ça ne retire rien à la CAI.

• (11 heures) •

M. Gambs (Sébastien) : Bon, encore une fois, vu que ça va être un système central du gouvernement québécois, ça me semble la discussion encore plus en amont plutôt que... enfin, vous êtes sûr d'harmoniser les règles avec les bonnes pratiques, avec la commission d'accès, ça nous semble nécessaire. Je pourrais imaginer que ce type de... enfin.

Donc, déjà, pour revenir aussi à un de vos points précédents, ce qui serait vraiment utile aussi de l'aspect analyse cybersécurité, ça serait vraiment d'avoir une liste des... quelles sont les informations personnelles qui vont rester. Imaginons que l'architecture est mise en place et qu'elle est utilisée, on a la source officielle de données, quelles sont les données vraiment qui vont être collectées, qui vont rester dans chacun des acteurs officiels et quelles sont les données qui vont être dans la source officielle.

En termes d'identité numérique, il y a aussi plusieurs façons de faire l'identité numérique. Quelles sont les données qui sont collectées à chaque fois qu'un citoyen va se connecter à un service? Qu'est-ce que l'État retient? Qu'est-ce qui est transmis à un tiers, éventuellement, dans le cadre d'une connexion? Ça, ça me semble central aussi pour évaluer l'aspect cybersécurité globale et vie privée. Et donc ces aspects-là, je ne sais pas si c'est déjà quelque chose qui est prévu dans un futur proche, d'avoir une transparence vraiment sur la finesse des détails et des informations qui vont circuler...

M. Caire : Bien, c'est prévu que ça se fait par décret, pour répondre à votre question. Tout ça est déterminé dans le décret qui est adopté par le gouvernement. Un décret, par définition, est un document public.

M. Gambs (Sébastien) : Donc, je pense que la... ça, c'est important, vraiment, pour juger le niveau de sécurité et de vie privée de cette solution-là. Et, encore une fois, je sais que la CAI a un pouvoir de surveillance et de sanction a posteriori, mais en termes de vie privée, de ce qu'on appelle la vie privée par conception ou sécurité par conception, c'est toujours mieux de vraiment définir les règles de gouvernance et de dialogue avant, avant de déployer le service, de manière à s'assurer que toutes les parties prenantes qui représentent la société, incluant la Commission d'accès à l'information qui a la responsabilité de la protection des données personnelles, puissent être mises d'accord sur... je dirais, qu'il y a un consensus sur les bonnes pratiques pour aussi, je dirais, améliorer la confiance du citoyen envers ce service-là. Donc, imaginez que ce service-là est déployé, mais que la commission n'a pas encore eu le temps de donner son approbation, il peut y avoir des... en termes d'acceptabilité sociale. Aussi, le citoyen pourrait dire : Mais, O.K., pourquoi est-ce que le service a été déployé alors qu'il n'y a pas eu encore une validation, je dirais, par la commission d'accès, même si la loi ne l'oblige pas effectivement à faire cette validation-là? Mais ça me semble aussi... En termes de confiance numérique, de confiance du citoyen, je pense que c'est important.

On a vu beaucoup de projets ces dernières années en termes de numérique dans différents pays ne pas fonctionner simplement parce que, je dirais, la confiance du citoyen n'était pas là. Donc, parfois, la technique peut être très bonne, mais si la validation par les différents garde-fous, par les différentes entités représentant le citoyen ne sont pas là, des fois la question de l'acceptabilité sociale peut faire qu'un projet qui est très bon sur le papier techniquement pourrait ne pas fonctionner...

M. Caire : ...bien, dans le cas du registre d'identité, qui soutient la SAAQ, on est à plus d'un 1 300 000 comptes créés, et je pense qu'avec aucun incident de sécurité, à mon humble avis, je pense que ça, c'est plus de nature à créer la confiance du citoyen qu'est-ce que la CAI a approuvé ou non les règles de gouvernance. Mais encore là, j'écoute... je vais être intéressé à vous entendre. Et l'autre chose, parce qu'on... il y a quelque chose sur lequel, moi aussi, je veux vous entendre, parce qu'on dit beaucoup : Bien, si la CAI n'approuve plus les règles, c'est comme si la CAI n'avait plus la possibilité en amont de travailler avec l'organisme, alors qu'elle a un pouvoir de recommandation. Donc, cette capacité-là, du moment où les règles sont transmises à la CAI, cette capacité-là d'avoir des échanges, des discussions et d'exercer ce pouvoir de recommandation là, voire prendre une ordonnance et obliger l'organisme à modifier certains éléments de sa règle, ces pouvoirs-là, donc, demeurent, c'est que c'est comme si le travail en amont était strictement relié à la question de l'approbation.

Puis vous allez amener un élément très important dans votre intervention qui a... en fait, qui a justifié le fait que cette disposition-là n'a été reprise dans aucune loi, je le rappelle, qui a été adaptée après, que ce soit la loi, que ce soit le PL trois, que ce soit dans le p.l. n° 23, et c'est le fait que, si la commission, pour toutes sortes de raisons, n'a pas la capacité dans l'immédiat de se pencher sur les règles, bien, ça veut dire que la source de données, elle est hypothéquée jusqu'à tant que... Donc, tout le principe et les bénéfices d'une source de données sont hypothéqués par le fait que, potentiellement, la CAI n'aura pas la capacité momentanée, on comprend, là, momentanée de faire ce travail-là d'approbation.

Et je rappelle aussi que la LGGRI, articles 12.10, 12.11, rajoute des obligations légales aux sources officielles de données, quant à la protection des renseignements personnels, la protection de la vie privée, qui ne sont pas des dispositions qu'on retrouve dans les autres lois. Donc, déjà, non seulement la source de données va être le seul régime soumis entièrement à la loi 25, à notre propre... à notre régime général de protection des renseignements personnels, ce qui n'est pas le cas du p.l. n° 3, ce qui n'est pas le cas du p.l. n° 23, mais en plus elle se rajoute des obligations légales puis en plus elle se rajoute une obligation d'approbation. Donc, je ne sais pas, il me semble qu'il y a quelque chose là-dedans d'exagéré.

La Présidente (Mme D'Amours) : Merci. Merci beaucoup, M. le ministre. Maintenant, je vais... la parole pour la période d'échange à l'opposition officielle. Mme la députée Mont-Royal Outremont, s'il vous plaît.

Mme Setlakwe : Merci, Mme la Présidente. Donc, merci, Pr Gambs, d'être ici avec nous ce matin. Je voudrais peut-être vous permettre de répondre aux dernières interventions du ministre, là, juste pour clore peut-être l'échange au niveau de cette... du fait que, dans le projet de loi, on veuille supprimer une étape d'approbation préalable des règles de gouvernance par la CAI. Vous avez sans doute écouté la CAI ou, en tout cas, lu leurs mémoires. Donc, vous, vous pensez que ce n'est pas... si je vous comprends bien, ce n'est pas du tout superflu et c'est plutôt nécessaire de le garder dans la LGGRI.

M. Gambs (Sébastien) : Oui, moi, je pense que c'est nécessaire, si je... Du coup, je reprends la dernière question très rapidement... je n'entends plus ce que... Là, on parle de plusieurs sources potentielles officielles de données dans le futur, mais, à ma connaissance, pour l'instant, il y en a une qu'elle est au registre d'identité, et le fait d'hypothéquer les bénéfices de l'identité numérique, c'est de toute façon des projets... Une identité numérique, c'est quelque chose qui se bâtit en des années. Donc, j'imagine que la Commission d'accès à l'information, même si elle prend deux mois, je veux dire, pour se pencher, je pense qu'il faut bien faire les choses, si je devais résumer. Et donc, pour répondre à votre question, ça me semble effectivement une étape nécessaire, de le garder, effectivement. Et le fait que ça rajoute un ou deux mois de délai par rapport à des projets d'identité numérique qui prennent souvent des années à être conçus, je pense que c'est des délais qui sont acceptables dans le fait de vouloir avoir un système qui est central à l'État québécois, qui va concerner tous les citoyens, dont on va être sûr que la sécurité et la protection des renseignements personnels à un niveau vraiment maximum.

Mme Setlakwe : Merci. Et puis, généralement, là, vous êtes donc expert au niveau de protection de vie privée, éthique des données, vous avez fait, j'imagine... vous l'avez mentionné, vous êtes.

Mme Setlakwe : ...vous avez fait un comparatif avec des régimes qui existent ailleurs. Si on se compare, là, vous êtes d'accord avec l'énoncé du ministre que notre régime de protection des renseignements personnels, il est robuste. C'est ce que le ministre a dit, d'entrée de jeu, ce matin, avec la loi 25. Je pense que j'aimerais ça vous entendre là-dessus. Et, une sous-question, est-ce qu'il y a des zones où on est plus faible ici, au Québec, et sur lesquelles il faudrait porter une attention particulière?

M. Gambs (Sébastien) : Globalement, là, je dirais qu'avec la... bien, le projet de loi n° 25, pour la loi 25, qui a été voté récemment, je pense qu'on a la chance, au Québec, effectivement, d'avoir fait une mise à jour de la législation sur la vie privée qui s'aligne avec ce que je vois en termes de meilleures pratiques. Donc, on s'est inspiré en partie du règlement européen, tout en gardant les spécificités du contexte québécois. Comme je disais dans les zones... je pense que la loi sur la vie privée est robuste. Comme je disais sur le projet de loi lui-même, 38, je pense qu'il y a toute la question des ressources qu'on va avoir pour aider les ministères et les organismes publics à se mettre à jour sur les bonnes pratiques de sécurité qui me semblent importante. Donc, on dit, dans la loi, qu'on... que le ministère de Cybersécurité peut alors prescrire de se mettre à jour en termes de pratiques de cybersécurité, mais je pense qu'il y a tout un travail, après, vraiment, en pratique, d'avoir des ressources en termes de personnel, de guides de bonnes pratiques pour vraiment aider ces ministères-là aussi à faire, je dirais, la transition. Ça, ça me semble être un point important. Donc, ce n'est pas lié à la législation sur la vie privée, mais c'est, je pense, un aspect important pour rehausser la cybersécurité au niveau du gouvernement du Québec.

• (11 h 10) •

Mme Setlakwe : Donc, généralement, j'entends que vous voyez d'un bon œil plusieurs des dispositions dans le projet de loi n° 38.

M. Gambs (Sébastien) : Oui, globalement, mais je pense que... ça a dû ressortir aussi de l'intervention précédente, globalement, je trouve qu'il y a beaucoup de très bonnes choses. C'est vraiment la partie où on retire à la Commission d'accès à l'information le fait de devoir donner son approbation qui me semble être le point de désaccord et le point problématique. J'ai suivi aussi les échanges qu'il y a eu tout à l'heure et je pense que c'est vraiment la disposition sur laquelle il y a eu le plus de commentaires et de débats.

Mme Setlakwe : Est-ce que vous croyez qu'en retirant cette étape et en ne complétant pas le processus en amont, on augmente le risque qu'il y a des incidents de confidentialité?

M. Gambs (Sébastien) : Oui, je pense. Il y a aussi un enjeu qui m'inquiète, éventuellement, moi, c'est le fait qu'on collecte des données d'identité numérique quand le citoyen utilise son identité pour se connecter à différents services et qu'on veuille changer la finalité, donc commencer à valoriser ou vendre ces données, par exemple, dans un autre contexte, sans avoir besoin de demander l'approbation de la Commission d'accès à ce cadre-là, donc il pourrait y avoir des risques de... je dirais, de perte de contrôle des données ou de... imaginez qu'on les valorise d'une certaine manière, mais que, finalement, la commission dit : Non, a posteriori, si ces données-là ont déjà quitté la sphère de contrôle du gouvernement, c'est trop tard. Donc, il y a tous les enjeux aussi de pouvoir valider, je dirais, la gouvernance ou de ce qui va être fait, se donner a priori plutôt qu'a posteriori pour limiter, justement, les risques en termes de vie privée.

Mme Setlakwe : Généralement, quel est votre degré d'appréciation par rapport au SAG, le service d'authentification gouvernementale?

M. Gambs (Sébastien) : Globalement, je pense que j'ai un plutôt bon niveau d'appréciation. Comme je le disais tout à l'heure, moi... le diable se cache dans les détails. Donc, le fait d'avoir vraiment des détails aussi sur ce qui est envisagé pour les futures étapes de l'identité numérique, c'est quelque chose que je regarde aussi avec des collègues, de manière à pouvoir essayer d'évaluer les risques de vie privée et de sécurité. Mais je dirais que le SAG, le système d'authentification, je dirais que le niveau de sécurité me semble plutôt bon. Et donc j'ai un avis plutôt positif en général.

Mme Setlakwe : Est-ce que... donc, j'imagine aussi que vous suivez... je ne sais pas si votre expertise s'étend aussi généralement, là, au virage numérique, évidemment, c'est intimement relié ou... Oui, allez-y.

M. Gambs (Sébastien) : Non, non, je dirais plutôt à l'identité numérique. Le virage numérique, ça peut représenter plein d'autres aspects qui ne sont pas liés à la cybersécurité ou la protection des données personnelles. Donc, oui, je suis un peu, mais il y a beaucoup de choses qui sont, par exemple, liées au génie logiciel, qui ne sont pas de mon domaine de compétence directement. Donc, l'identité numérique, je suis beaucoup. Je suis aussi... étant français d'origine, il y a beaucoup de choses qui se passent en Europe en ce moment avec le projet de loi européen sur l'identité numérique. Mais, voilà, pour répondre à votre question.

Mme Setlakwe : Avez-vous une opinion sur la biométrique, l'utilisation des données biométriques? Est-ce que vous pensez que c'est un... c'est une...

Mme Setlakwe : ...qu'on ne devrait pas... sur laquelle on ne devrait pas s'aventurer ou... Quand vous dites que vous avez des réserves ou que votre champ d'intérêt porte surtout sur l'identité numérique et vous dites donc que le SAG, c'est un bon point de départ. Vous suivez la suite des choses. Qu'est-ce que vous suivez exactement et qu'est-ce que vous... qu'est-ce qui vous inquiète pour les Québécois?

M. Gambs (Sébastien) : Donc, en termes d'identité numérique, là, et de... Donc, la biométrie, ça peut être un facteur pour augmenter la sécurité, mais en général, je dirais que les bonnes pratiques, c'est d'éviter d'avoir une base centralisée des données numériques des personnes. Donc, il y a des possibilités de stocker la biométrie des personnes dans un appareil qu'on contrôlerait comme un portable ou une carte à puce sécurisée. C'est ce qui est fait, par exemple, s'il y en a parmi vous qui ont des iPhone, la reconnaissance du visage qui est utilisée, la biométrie, je dirais, améliore la sécurité de l'iPhone. Mais Apple n'a pas collecté une base de données centralisée des caractéristiques des visages des usagers. C'est la biométrie qui est stockée localement.

Donc, c'est pour ça que je disais que le diable se cache dans les détails, dans le sens où la biométrie peut aider à améliorer la sécurité, mais il faut éviter d'avoir une base de données centralisée de la biométrie, encore une fois, parce que ça deviendrait une surface d'attaque où il pourrait y avoir des fuites qui sont liées à cette donnée-là. Et la biométrie est une donnée extrêmement sensible puisque vraiment elle caractérise ce qu'est une personne, et on peut déduire d'autres informations à partir de ces données.

Mme Setlakwe : Merci. Est-ce que... Au niveau de la cybersécurité, est-ce que vous avez... qu'est ce qui vous préoccupe plus particulièrement? Puis est-ce que vous voyez... Bien, vous avez déjà dit que dans le projet de loi n° 38, vous étiez favorable aux outils que le ministre, le ministère se donne, se dote. Est-ce que vous voyez des zones d'ombre? Évidemment, on n'est pas à l'abri, là, de cyberattaques et j'ose dire que jusqu'à maintenant on a peut-être seulement vu la pointe de l'iceberg. Est-ce qu'on est bien préparé?

M. Gambs (Sébastien) : Donc, je dirais une des choses importantes, ça serait que toutes les évolutions futures au niveau technologique de l'identité numérique, ça serait toujours bien... On a beaucoup d'experts en cybersécurité au Québec, le fait de publier les standards et vraiment les détails techniques de ce qui va être mis en place pour que les experts en cybersécurité puissent donner leur avis et donner leur expertise. Je pense, ça me semble vraiment quelque chose d'important pour le futur.

Une autre étape qui me semble importante, c'est aussi, quand on a des fuites de sécurité, d'être transparent sur ces fuites-là et de publier qu'on a été victime d'une fuite de sécurité. Ça, ça contribue aussi à la transparence, au citoyen, mais ça contribue aussi à, je dirais, à essayer d'améliorer la politique de cybersécurité de manière globale. Je dis ça parce qu'il y a quelques années, quand je donnais le fait de publier les failles de sécurité, ou plutôt les incidents de sécurité qu'on a eus, parfois les gens me regardaient en disant : Bien, ça va augmenter les risques des attaques. Mais au contraire je dirais que ça fait partie des bonnes pratiques en termes de transparence et pour dire aux citoyens : Bien, voilà, on a une fuite de sécurité, mais maintenant tel ministère a audité la faille, a corrigé la faille, a mis en place les correctifs.

Donc, voilà, l'aspect transparence me semble être quelque chose sur lequel on devrait travailler.  Donc, je ne sais pas, ça pourrait être un registre des failles de sécurité, aussi bien des organismes privés que publics, qui seraient mis en place au niveau du Québec pour être capable d'avoir une vision vraiment globale des incidents de cybersécurité qui ont eu lieu et de comment les... quels ont été les correctifs mis en place.

Mme Setlakwe : Merci. En termes de... Vous avez émis un commentaire, puis là vous venez d'y allusion, je pense, de façon un peu indirecte, mais vous... l'autre élément sur lequel vous proposez qu'on apporte un ajustement au projet de loi, c'est sur, justement, la transparence puis... là, je ne l'ai pas sous les yeux exactement, là, l'article, mais on prévoit une obligation de faire état du progrès au niveau... ou l'état d'avancement de certaines initiatives. Donc, vous voyez ça d'un bon œil, mais vous pensez qu'on devrait aller plus loin.

M. Gambs (Sébastien) : Donc, si j'ai...

Mme Setlakwe : Pouvez-vous élaborer un peu sur...

M. Gambs (Sébastien) : Oui. Pardon, je ne voulais pas vous interrompre. De ce que j'ai compris du projet de loi, c'est que c'est une obligation des ministères de rendre compte au ministère de la Cybersécurité, mais pas une obligation de rendre compte au public de manière générale, donc quitte à avoir une obligation d'avancement qui est faite au niveau du ministère. Ça me semble important aussi d'être transparent, et ce registre-là pourrait être ouvert aussi à la population. Et je pense que ça permettrait d'être transparent sur quels sont l'état de tous ces projets-là, de savoir quelle est la progression de ces projets-là. Souvent, les citoyens se... On voit dans pas mal de projets, pas forcément liés au numérique, mais dans d'autres cas où il y a des délais dans la mise en place de projets de transport collectif. Et je pense qu'à chaque fois la question de confiance du citoyen pourrait être aussi renforcée par la transparence en disant : Bien, je ne sais pas, tel projet...

M. Gambs (Sébastien) : ...numérique, on a pris deux mois de retard, mais voici l'état où on est et voici ce que... quelles sont les prochaines étapes. Voilà.

Mme Setlakwe : Merci. Donc, oui, on voit que vous souhaitez avoir une plus grande transparence pour pouvoir suivre.

Est-ce que vous avez visité le tableau de bord des projets en ressources informationnelles du gouvernement? Est-ce que vous pensez qu'il est adéquat? Non.

M. Gambs (Sébastien) : Non. Je ne l'ai pas regardé, donc c'est peut-être un... Je m'excuse, si ça...

Mme Setlakwe : Ah, non, il n'y a pas d'enjeu. Non, non, non, mais on échange, là, parce que j'aurais été curieuse de savoir si, à votre sens, le tableau de bord est assez complet, est-ce qu'il va assez loin. Est-ce que...

M. Gambs (Sébastien) : Je n'ai pas pris connaissance, donc je suis... Je pourrais répondre après, mais je suis désolé, je n'ai pas...

Mme Setlakwe : Il n'y a pas d'enjeu, tout ça est relativement récent, mais il revêt une grande importance pour nous tous.

Est-ce que généralement vous êtes en mesure de vous prononcer, là, sur les leçons qu'on doit tirer du fiasco à la SAAQ? Est-ce qu'on doit... Évidemment, on s'entend, là, que le fiasco à la SAAQ, il y a une bonne part qui relève de la SAAQ, du fait que les succursales avaient été fermées, le SAG, le fameux Service d'authentification gouvernementale a été pointé du doigt finalement par des experts externes comme n'étant pas... n'ayant pas été optimal, il y avait des lacunes qui avaient été identifiées d'avance. Bon, généralement, vous avez dit que le SAG ce n'est pas un mauvais système, mais est-ce qu'avec le recul qu'on a aujourd'hui, vous êtes en mesure de vous prononcer sur les leçons qu'on doit tirer? Est-ce qu'on est... Aujourd'hui, avec le projet de loi, pensez-vous que le projet de loi, s'il avait été adopté avant le déploiement de SAAQclic, est-ce qu'on aurait pu éviter certains déboires?

• (11 h 20) •

M. Gambs (Sébastien) : Bien, j'imagine que, justement, sur la reddition de comptes sur l'avancement des projets, ça aurait pu permettre une meilleure coordination et transparence. Donc, je ne sais pas si on aurait évité les déboires, mais on aurait pu éventuellement voir que certaines étapes du projet avaient été faites trop vite ou qu'il manquait certaines choses. Donc, je pense que c'est vraiment important... L'aspect de transparence, je pense que c'est vraiment important pour éviter ce type de déboires dans le futur.

Et comme je le disais tout à l'heure, pour l'identité numérique, même si on rajoute un de moins en gardant la phase d'approbation par la Commission d'accès, ça me semble être une façon aussi d'éviter certains déboires qu'on pourrait avoir dans le futur avec un projet qui a été déployé sans prendre en compte tous les aspects de protection de la vie privée et de sécurité. Voilà.

Mme Setlakwe : Merci. Bien, écoutez, moi, j'aurais terminé au niveau de mes questions. Si vous avez quelque chose à ajouter, c'est le temps, il nous reste à peu près 1 min 45 s.

M. Gambs (Sébastien) : Non, globalement, comme je le disais, je vois beaucoup de points positifs dans le projet de loi, mais c'est vraiment la question de garder le rôle de la Commission d'accès pour assurer la protection maximale au niveau de la vie privée qui, je pense, est le point de désaccord aux discussions sur le projet de loi.

Mme Setlakwe : Merci beaucoup, Pr Gambs.

La Présidente (Mme D'Amours) : Merci. Avant de conclure les auditions, je procède au dépôt du mémoire d'un organisme qui n'a pas été entendu lors des auditions publiques.

Je vous remercie tous pour votre contribution à nos travaux. La commission ajourne ses travaux sine die. Merci.

(Fin de la séance à 11 h 22)