Journal des débats (Hansard) of the Committee on Labour and the Economy
Version préliminaire
43rd Legislature, 1st Session
(début : November 29, 2022)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Tuesday, November 28, 2023
-
Vol. 47 N° 33
Clause-by-clause consideration of Bill 38, An Act to amend the Act respecting the governance and management of the information resources of public bodies and government enterprises and other legislative provisions
Aller directement au contenu du Journal des débats
9 h 30 (version non révisée)
(Dix heures)
La Présidente (Mme D'Amours) : Bonjour,
tout le monde. Ayant constaté le quorum, je déclare la séance de la Commission
de l'économie et du travail ouverte.
La commission est réunie afin de
poursuivre l'étude détaillée du projet de loi n° 38, Loi modifiant la Loi
sur la gouvernance et la gestion des ressources informationnelles des
organismes publics et des entreprises du Gouvernement et d'autres
dispositions... Dispositions, pardon, législatives.
Mme la secrétaire, y a-t-il des
remplacements?
La Secrétaire : Oui, Mme la
Présidente. Mme Tremblay (Hull) est remplacée par Mme Abou-Khalil
(Fabre); et Mme Cadet (Bourassa-Sauvé) est remplacée par Mme Setlakwe
(Mont-Royal—Outremont).
La Présidente (Mme D'Amours) : Merci.
Lors de l'ajournement de nos travaux, jeudi dernier, nous venions d'adopter l'article 10.
Nous en sommes donc à l'étude de l'article 11. M. le ministre, vous pouvez
procéder à la lecture de cet article, s'il vous plaît.
M. Caire : Merci. Bonjour, Mme
la Présidente. Bonjour, collègues. Merci, Mme la Présidente. Donc, l'article 11
se lit comme suit : L'article 19 de cette loi est modifié par l'ajout,
à la fin, de l'alinéa suivant :
«Le ministre assure le leadership de la transformation
numérique et de la sécurité de l'administration publique.».
Donc, l'article 19, on va rajouter un
paragraphe. Déjà, l'article 19 établissait qu'on était chargé d'élaborer
et de proposer au gouvernement des politiques, et là on vient spécifier que le
leadership en matière de transformation numérique et de cybersécurité est
assuré par le ministre.
La Présidente (Mme D'Amours) : Merci.
Commentaires sur l'article 11?
Mme Setlakwe : Oui. Oui,
merci, Mme la Présidente. Bonjour à vous tous.
Donc, je dirais que c'est un ajout de
taille, là, c'est une disposition importante du projet de loi, et j'ai quelques
questions, là, d'ordre général. Puis je ne veux pas revenir sur toutes les
discussions qu'on a eues jeudi dernier. Juste peut-être commencer par nous
expliquer ou nous confirmer si ce type de libellé-là, où un ministre prévoit,
enchâsse dans une loi son leadership, ici on dit spécifiquement que le ministre
assure le leadership de la transformation numérique et de la cybersécurité de l'administration
publique, est-ce qu'on retrouve ce type de libellé ailleurs dans le corpus
législatif?
M. Caire : Oui, au niveau du
ministère de l'Économie et de l'Innovation, c'est essentiellement le même
libellé que vous allez retrouver.
Mme Setlakwe : Est-ce que...
Merci. Vous avez mentionné, la semaine dernière, ça a été mentionné durant le
briefing technique, qu'il y avait ou que vous avez tiré certains constats
depuis la création du ministère. Puis c'est normal, les choses évoluent. Il y a
des dossiers qui ont été mis de l'avant, il y a eu le dossier SAAQclic, on
pourra peut-être y revenir tout à l'heure. Mais, vous avez mentionné
spécifiquement qu'il y a des fausses perceptions associées à la mission du
ministre de la Cybersécurité et du Numérique, donc par rapport à votre mission.
Donc, peut-être, la prochaine question serait...
10 h (version non révisée)
Mme Setlakwe : ...pourquoi
réagir à ce stade-ci? Pourquoi avoir... ne pas avoir prévu ce texte-là, ce
libellé-là dès la constitution du ministère? Puis est-ce que c'est en réaction
au dossier SAAQclic ou à un autre dossier?
M. Caire : Non, en fait, je
vous dirais... Bien, c'est un ensemble de dossiers. Donc, ce qu'on constate, c'est
qu'il y a beaucoup d'initiatives, puis, vous le savez, Mme la députée, on a
parlé des 2538 projets. Puis je vous dirais que c'est aussi en lien avec le
portefeuille de projets prioritaires où on voit qu'il y a un appétit pour une
transformation numérique au sein du gouvernement. Il y a une volonté de faire
la transformation numérique, mais cette volonté-là de le faire en cohérence
avec une vision gouvernementale, ça, c'est moins présent. Les ministères et les
organismes, puis je descendrais même au niveau de tous les organismes, sont
beaucoup dans mon organisation, la transformation numérique de mon
organisation. Et on a moins ce réflexe-là de dire : Oui, mais mon organisation,
c'est une entité du gouvernement. Donc, la transformation numérique, elle doit
être gouvernementale, et je dois participer, comme organisation
gouvernementale, à cette transformation numérique là et pas juste la
transformation numérique.
Donc, quand on a créé le ministère, il y
avait cette volonté-là d'avoir cette cohésion-là. Mais on se rend compte
maintenant, à presque deux ans d'existence, que cette disposition-là, elle doit
marquer de façon plus formelle, plus enchâssée dans la loi, en fait.
Mme Setlakwe : Pour donc
mettre de l'avant les projets...
M. Caire : Le réflexe soit
des organismes, soit... Où est-ce que je suis, moi, dans cette vision-là
gouvernementale et moins dans... tu sais, comment moi, j'assure ma transformation
numérique, puis les autres, ils feront... c'est selon ce qu'ils ont besoin, là.
Donc, d'avoir cette idée-là, de dire : Un instant, là, il faut que, tout
le monde, on se fédère autour de l'idée que nous sommes le gouvernement du
Québec et nous devons nous transformer numériquement. Puis, quand je vous
disais, il y a un lien avec le portefeuille de projets prioritaires, bien, ça,
ça veut dire peut-être qu'on va prioriser des projets puis d'autres devront
être, disons, plus patients, mais que ça se fait au bénéfice de l'ensemble.
Mme Setlakwe : Donc, j'entends
qu'il y avait du travail en silo.
M. Caire : Oui, oui, tout à
fait. Absolument. C'est vrai en cybersécurité puis c'est vrai en transformation
numérique aussi, beaucoup, beaucoup. On a fait une première grosse avancée avec
la loi 95, mais adopter la loi, la mettre en application puis que les gens
comprennent la portée de la loi, des fois, il y a des décalages. Puis là je
pense qu'on est à l'étape de se dire : Bon. Bien, écoutez, ce n'est pas
juste légal, là, c'est un concept. On a mis en place un ministère pour assurer
la... aussi pour assurer la transformation numérique du gouvernement de façon
plus cohérente. Et donc il est normal que ce ministère-là assure le leadership.
Puis là maintenant on vient le marquer de façon plus formelle.
Mme Setlakwe : Mais est-ce
que vous ajoutez des pouvoirs ou c'est simplement de rendre explicite ce qui
était...
M. Caire : C'est de rendre
explicite ce qui était implicite.
Mme Setlakwe : O.K. Puis,
dans le quotidien... Puis je ne veux pas reprendre la discussion qu'on a eue la
semaine passée, là, vous avez vraiment bien expliqué la séquence, le plan de
transformation numérique, ce qui émane des organismes, le portefeuille des projets
prioritaires adoptés par le gouvernement après votre recommandation, la
programmation qui en découle, etc. Mais, dans le quotidien de la vie du
ministre du Numérique et de la Cybersécurité numérique, qu'est-ce que ça veut
changer d'avoir ce texte-là?
M. Caire : Bien, ça va amener
le réflexe, un peu ce que je vous disais la semaine dernière, ça va amener le
réflexe dans les ministères et organismes d'abord de se sortir de mon
organisation puis de se voir comme une entité du gouvernement du Québec. Donc,
de dire : O.K. Ce plan-là, cette vision-là, cette transformation-là, on
veut la faire gouvernementale, d'une part, et, d'autre part, d'avoir le réflexe
de tourner les yeux vers le ministère. Bon. Parce que, dans le quotidien, ça
veut dire : O.K. Quelles sont les orientations du gouvernement, par
exemple, dans l'intégration de l'intelligence artificielle? C'est quoi, les
grands axes sur lesquels on veut... on veut développer l'intelligence
artificielle? Est-ce que le ministère de la Cybersécurité et du Numérique peut
mettre à ma disposition des ressources qui vont m'aider dans... des ressources,
des expertises qui vont m'aider dans cette transformation numérique là? Ce qui
est le cas, hein, on a on a mis en place le Centre québécois d'excellence numérique
puis on veut que cette entité-là puisse aussi aider puis amener de l'expertise...
M. Caire : ...à l'interne,
dans la transformation. Donc, c'est vraiment d'avoir le réflexe, quand on pense
transformation numérique, de penser au ministère de la Cybersécurité comme
étant un acteur vers lequel on peut se tourner.
Mme Setlakwe : Je comprends,
puis... Mais d'avoir prévu ailleurs, là, cette espèce de hiérarchie, parce
qu'on a parlé de différents pouvoirs ou d'obligations légales, là, d'exécuter
les projets prioritaires, ça, ce n'était pas suffisant?
M. Caire : Non, parce que,
comme je vous disais, les projets prioritaires... puis un portefeuille de
projets prioritaires, il va être quand même... on veut qu'il soit limité, parce
que, l'idée, c'est justement de dire : il faut arrêter de s'en aller
partout, mais, comme je vous disais, une fois que ces projets-là, prioritaires,
sont exécutés, les organismes peuvent quand même disposer de ressources qui
vont leur permettre d'exécuter leur propre plan. Mais ça aussi doit faire
l'objet d'une cohésion puis d'une cohérence avec l'ensemble.
Puis Je vous donne un exemple. Si j'ai
besoin de faire de la gestion immobilière, pour une raison X, bon, bien, est-ce
que je suis la seule entité du gouvernement qui a besoin de faire de la gestion
immobilière? Probablement pas. Alors, est-ce que le ministère de la
Cybersécurité et du Numérique peut me dire est-ce qu'il y a, par exemple, déjà
un tronc commun, une application qui serait transversale, qui pourrait me
permettre de faire ça? Est-ce qu'on peut mutualiser ces ressources-là? Est-ce
qu'il y a lieu de faire un projet à plusieurs ou est-ce qu'il y a déjà quelque
chose? Alors, comprenez-vous? C'est d'avoir le réflexe de dire : même dans
sa propre transformation numérique, tu sais, ce n'est pas juste de dire :
Bien là, O.K., le projet prioritaire, c'est correct, c'est le gouvernement,
puis on embarque là-dedans, mais le reste, là, ça m'appartient, c'est moi. On
revient dans le moi. Puis c'est juste de briser ce réflexe-là puis se
dire : Un instant, oui, vous avez des besoins, puis oui, vous êtes les
mieux placés pour répondre à ces besoins-là, puis oui, vous devez être capables
de vous transformer numériquement pour être plus performants, plus efficaces. Mais
ça ne vous dédouane pas de regarder, par exemple, au niveau des orientations,
au niveau des standards, au niveau de la mutualisation, au niveau des bonnes
pratiques, comment on peut faire ça. Et ça, ça aussi, ça va s'inscrire dans une
volonté gouvernementale d'agir de façon commune et conforme.
• (10 h 10) •
Mme Setlakwe : Merci.
Évidemment, là, ce nouvel alinéa s'inscrit dans une loi qui existe déjà. Puis
juste l'article suivant, dans la LGGRI, 19.1, on dit que «le ministre peut
signifier aux organismes publics des attentes en matière de transformation
numérique». Ça, honnêtement, je trouve que cette disposition-là, il me semble
que ça vient un peu diluer ou ça vient... Ça ne vient pas créer de la
confusion, selon vous? Vous venez de dire que, tu sais, en amont, là, il y a
tout le processus à suivre, l'exécution des projets prioritaires, le
leadership, là on... Tu sais, vous comprenez ce que je veux dire, là? Le
nouveau texte s'inscrit entre le premier alinéa de 19 et l'article subséquent,
19.1. Après ça, on vient dire tout simplement «le ministre peut signifier aux
organismes des attentes».
M. Caire : Oui.
Mme Setlakwe : Bien, il me
semble que... comment vous l'expliquez, cette disposition-là? Comment ça se
marie avec ce qu'on vient de discuter, avec cet ajout qu'on veut faire à 19?
M. Caire : Parce qu'au niveau
des attentes en matière de transformation numérique on est plus dans la volonté
d'exécuter. C'est-à-dire que, bon, comme comme je vous disais la semaine
dernière, les ministères et organismes doivent élaborer des plans de
transformation numérique, bon, bien, il faut s'assurer, à ce niveau-là, est-ce
que le plan est suffisamment ambitieux, est-ce que le plan amène l'organisation
dans une transformation numérique qui est vraiment... qui vise vraiment
l'efficacité et le service aux citoyens, est-il privilégié par rapport à la
commodité interne, est-ce que les priorités sont aux bonnes places, est-ce qu'on
est vraiment...
Puis je vais vous donner un exemple. Sans
mentionner d'organisme, Mme la députée, je vais vous donner, tu sais, un plan
de transformation numérique où l'essentiel des projets visait la transformation
numérique des processus à l'interne. Donc, au niveau du confort des employés de
l'organisme, c'était excellent, par contre, tout le volet interface avec le
citoyen, à notre avis, était... passait deuxième. Alors, quand on parle de
signifier des attentes, c'est dire : Bien non, vous devez prioriser le
citoyen, donc vos projets devraient viser à donner un service plus efficace...
M. Caire : ...au citoyen, puis
après ça, vous... ou trouver un équilibre, par exemple. Donc, les attentes, on
est plus à ce niveau-là.
Mme Setlakwe : O.K., je
comprends. Donc, vous avez donné un exemple, dans le fond, au... au... au stade
de l'élaboration des... du plan de transformation numérique?
M. Caire : Essentiellement.
Mme Setlakwe : Par exemple?
M. Caire : Oui. Oui.
Mme Setlakwe : Parce que ce
n'est pas juste de dire: Laissons les organismes élaborer leur plan, je vais
évaluer tout ça...
M. Caire : C'est ça.
Mme Setlakwe : ...je vais
créer une priorité...
M. Caire : C'est qu'il faut
quand même dire: Écoutez...
Mme Setlakwe : ...vous pouvez
intervenir, oui?
M. Caire : Voilà. Vous avez
tout à fait raison.
Mme Setlakwe : O.K. Je... Je
me... Je me rapporte à des discussions qu'on a eues à... à l'étude des crédits.
On a parlé de la maturité numérique des organismes publics. Il y a quatre
catégories, là. Puis ça, c'est en vertu de l'outil qui s'appelle «Radar
numérique»?
M. Caire : Oui.
Mme Setlakwe : C'est une
mesure de la maturité numérique organisationnelle des organismes publics du
gouvernement en fonction de, bon, 18 bonnes pratiques numériques
gouvernementales. Donc, sans savoir exactement où les... où les ministères ou
les organismes se situent, là, dans ces quatre catégories-là, novice,
numérique, ouverte, productive, on sait quand même qu'ils ne sont pas tous au
même niveau, là, il y aurait comme quatre niveaux. Comment est-ce que vous
allez vous inscrire? Comment vous allez exercer votre leadership vis-à-vis ces
différentes catégories-là, sachant que la maturité est variable?
M. Caire : En fait, c'est
une... c'est une excellente question qui nous ramène au point que vous venez de
soulever sur les attentes, parce que, ça aussi, ça, ça peut faire partie des
attentes qu'on va signifier au niveau de l'augmentation de la maturité
numérique. Et comment on va le faire? Bien, premièrement, par la normalisation,
la standardisation, puis ça, c'est important, parce que les... les... la
maturité numérique doit se mesurer aussi en fonction de certains paramètres qui
sont communs à l'ensemble des... des... des organismes. Donc, ça, c'est les...
les premières choses, bon, et, comme vous le voyez, là, à ce niveau-là, le
ministère a déjà des pouvoirs, et donc, par rapport à ces... ces normalisations-là,
ces standards-là, on peut signifier aux... aux ministères et organismes dans
nos attentes de dire: Bon, bien, on s'attend à ce que tu mettes l'emphase, par
exemple, sur ta capacité opérationnelle en matière de transformation numérique.
Donc, c'est... ça... ça vient vraiment
faire une espèce de cohésion sur l'ensemble, le plan de transformation
numérique, la maturité numérique de l'entreprise, les attentes qu'on est
capables de signifier. Puis le leadership, bien, c'est justement... En parallèle,
comment on peut assumer le... le leadership, c'est en les aidant là-dedans.
Donc, nous, il faut mettre... Parce que, vous remarquez, dans... dans le projet
de loi, je pense qu'il y a un certain équilibre entre les pouvoirs qu'on a,
mais les obligations qu'on se donne aussi, puis il faut que le ministère ait
des obligations. Donc, nous, on veut être capables d'accompagner nos ministères
et organismes dans l'acquisition de... de... de... d'expertises ou de
capacités... de capacités opérationnelles. Donc, c'est pour ça qu'on va mettre
en place des ressources qui vont permettre... excusez, qui vont permettre à
ces... à ces ministères et organismes-là d'atteindre les standards puis
d'atteindre le niveau de maturité numérique qui seront signifiés dans les
attentes.
Mme Setlakwe : Est-ce que
vous sentez une certaine résistance de certains... certains ministères,
certains organismes à...
M. Caire : Non. Ce n'est pas
de la...
Mme Setlakwe : ...à ouvrir
leurs livres et à exposer leurs... leurs défis?
M. Caire : Non. Non,
là-dessus, non. Non, là-dessus, non. Là où les... les... les organismes sont
plus craintifs, c'est dans la... notre... notre capacité à nous d'harmoniser
nos attentes par rapport à... à... à ce qu'eux doivent faire. Parce que c'est
sûr que le ministère de la Cybersécurité et du Numérique, sa raison d'exister,
c'est la transformation numérique, ce qui n'est pas le cas des organismes. Leur
raison d'exister, c'est... c'est une prestation de services. Le numérique, c'est
un outil puis c'est un support.
Alors, eux, dans leur conception des
choses, c'est sûr que la priorité, c'est livrer le service pour lequel ils
sont... ils sont en place, ils sont là, et souvent ils peuvent voir les
exigences en matière de numérique comme un... un fardeau supplémentaire qui est
mis sur leurs épaules. Ça, je le vois beaucoup. Puis c'est... c'est pour ça
qu'il faut qu'on soit capables, nous, de les accompagner dans la gestion du
changement, il faut qu'on soit capables de les accompagner dans le...
l'augmentation de leurs capacités opérationnelles puis il faut qu'on soit
capables de les accompagner aussi dans les... peut-être les lacunes d'expertise
pour lesquelles ils n'ont pas un intérêt. Je veux dire, chaque organisme du
gouvernement n'aura pas une cellule de...
M. Caire : ...d'expertise en
intelligence artificielle. On comprend qu'il n'y aurait pas de volume pour ça,
il n'y aurait pas d'intérêt. Donc, la mise en commun de ces ressources-là, puis
l'accès à ces ressources-là, pour les différents ministères et organismes, ça,
c'est... ça fait partie des craintes qui sont exprimées souvent puis auxquelles
nous, on doit répondre. Donc, c'est de créer, je vous dirais, cet environnement
de confiance là, qui va faire en sorte qu'ils vont bien comprendre pourquoi on
leur demande de faire ça, quel est l'avantage, là, qu'est-ce qu'il y a
là-dedans, pour les ministères et organismes, dans leur capacité
opérationnelle, puis en quoi ça vient les aider à augmenter leur capacité à
bien remplir leur mission.
Mme Setlakwe : Est-ce qu'il y
en a qui viennent vous dire d'emblée, là : Moi, tu sais... On a vraiment
le souhait, là, d'arriver dans l'ère moderne puis d'offrir des plateformes, tu
sais, conviviales, à notre... à la population, aidez-nous? Est-ce qu'il y en a
qui disent : Venez nous... On aimerait être priorisés?
M. Caire : Oui, oui, puis par
où commencer, souvent.
Mme Setlakwe : Puis vous
donnez des exemples ou...
• (10 h 20) •
M. Caire : Oui, bien, je veux
dire, au ministère de l'Environnement, tu as un ministère qui a une belle
volonté de transformation numérique. C'est une organisation qui travaille
beaucoup sur sa maturité numérique. Je pense que l'Environnement voit
l'importance puis la capacité de ça. Puis effectivement, ils sont en demande
pour dire : Bon, bien, on a des projets, mais comment on peut les
réaliser, par où commencer, comment on priorise tout ça? Ça fait que ça, on en
a, on en a même surprenamment plus qu'on pourrait penser. Parce qu'il y a une
volonté des organismes publics de se transformer numériquement. Il n'y a pas
d'enjeu à savoir : non, moi, je veux continuer à travailler... (panne de
son)... C'est surtout comment on le fait, par où on commence, puis comment on
priorise ça. Puis, comme je vous disais, de ne pas voir ça comme un fardeau
supplémentaire, dire : écoutez, là, moi j'ai déjà suffisamment à faire,
là, il ne faut pas m'en rajouter sur les épaules, parce que, tu sais, les
ressources ne sont pas infinies, ressources humaines, ressources financières,
et puis, nous, bien, si on priorise ça, on ne fait pas autre chose, donc
comment on peut concilier les deux. Puis ça, ça fait partie des choses pour
lesquelles nous, on peut être en soutien.
Mme Setlakwe : Puis, encore
une fois, on en a parlé la semaine dernière, mais il n'y a pas, au sein de
votre ministère, il n'y a pas un enjeu de ressources humaines?
M. Caire : Non, non. Puis je
vous dirais... puis je suis très fier de dire qu'on vient tout juste de
recruter un spécialiste en intelligence artificielle qui a quitté le Mila, je
pense que... une organisation que vous connaissez, qui a quitté le Mila pour
venir travailler au ministère de la Cybersécurité et du Numérique. En fait,
moi, j'ai un solde migratoire positif par rapport à l'entreprise privée. Donc
en 2022, je n'ai pas les chiffres de 2023, mais j'ai 175 ressources de
plus qui sont parties de l'entreprise privée pour venir travailler au ministère
que j'ai de ressources qui sont parties du ministère pour aller travailler dans
le privé. Donc, on a une belle capacité d'attraction, on a des beaux projets,
on a des défis qui sont stimulants, qui sont intéressants. Puis, écoutez, là,
sur les 1 900 ressources, un petit peu plus, qu'on a au ministère,
bon, vous en avez 800 qui travaillent vraiment plus SAGIR, bon, les domaines
administratifs en périphérie, mais ce qui nous laisse entre 1 100 et
1 200 ressources qui sont vraiment dédiées aux technologies de
l'information, c'est important. Puis ça, c'est juste au ministère, parce que
dans les ministères et organismes, il y a aussi des ressources qui travaillent
en technologies de l'information.
Mme Setlakwe : Puis, est-ce
que... Quand vous dites que, donc, vous avez un solde migratoire positif, il y
en a plus qui sont venus vers le ministère, donc le public, que d'employés qui
ont quitté vers le privé, mais qu'en est-il de la haute direction?
M. Caire : bien, je vous
dirais que c'est des cycles qui sont normaux, là. Bon, vous l'avez vu
récemment, bon, le sous-ministre a été changé, puis je vous dirais que c'est
peut-être même un record, parce que, trois ans dans le poste de DPI, bien,
c'est des... c'est un poste, puis là je parle particulièrement du DPI, c'est un
poste qui est extrêmement exigeant, extrêmement exigeant. Je pense qu'on ne
mesure pas à quel point le DPI du Québec est sursollicité. Il n'y a pas de
jour, il n'y a pas de soir, il n'y a pas de fin de semaine, je veux dire,
c'est... parce qu'avec la loi 95, bon, il est devenu, dans les faits, le chef
gouvernemental de la sécurité et de...
Mme Setlakwe : ...pour ceux
qui nous écoutent, c'est qui, le DPI?
M. Caire : Le dirigeant
principal de l'information, qui se trouve à être le sous-ministre en titre du
ministère de la Cybersécurité. Vous avez raison de le préciser, Mme la députée.
Donc, il est le chef gouvernemental de la sécurité et de l'information, il est
le chef de la transformation numérique, il est le gestionnaire de la donnée
numérique gouvernementale, en plus d'être le dirigeant principal. Évidemment,
ces trois fonctions là, il peut les déléguer à un sous-ministre adjoint qui
va... mais la responsabilité demeure la sienne...
M. Caire : ...alors, c'est
extrêmement, c'est extrêmement exigeant comme poste.
Mme Setlakwe : Là, on
cherche...
M. Caire : Non, non, non.
Mme Setlakwe : ...on cherche
quelqu'un.
M. Caire : Non, non.
Mme Setlakwe : Il n'y a pas
d'enjeu.
M. Caire : Non, non, le poste
est...
Mme Setlakwe : Il y a eu des
changements, c'est ça?
M. Caire : Bien, le
sous-ministre, mais on a accueilli M. Le Bouyonnec...
Mme Setlakwe : Ah oui! C'est
ça.
M. Caire : ...qui est
maintenant dans ces postes-là. Au niveau des sous- ministres adjoints, bien, c'est
sûr que ça, c'était comme... c'est un nouveau ministère, donc il y avait un
nouvel organigramme, on essayait de restructurer les choses. Mais le ministère,
c'est la fusion de plusieurs entités, hein, on pensait à ITQ, on pense au
Sous-secrétariat du dirigeant principal de l'information, d'autres entités qui
étaient dans d'autres ministères qu'on a regroupés. Donc, on arrivait avec des
cultures différentes. On arrivait avec une philosophie, une vision qui est
différente, un rôle qui est différent.
Alors, c'est normal, puis je pense que,
dans les premières années, il y a des gens qui sont d'accord avec ce qu'on
fait. Il y a des gens qui ne sont pas d'accord avec ce qu'on fait. Donc, il y a
des mouvements comme ça, ce n'est pas anormal, mais, somme toute, je pense
qu'on s'en sort assez bien, puis nos postes sont comblés. Puis, comme je vous
disais, madame la députée, je comprends que, quand on regarde l'organigramme,
on dit : Il y a beaucoup de postes qui sont à pourvoir, mais, dans les
faits, nos soeurs... nos soeurs, excusez, nos cibles d'heures rémunérées sont
même dépassées, là. Alors, on est en discussion avec le Conseil du trésor à cet
effet-là, mais même si je voulais embaucher, je ne peux pas.
Mme Setlakwe : On devrait
tous faire un plaidoyer au ministère... au ministre des Finances, parce que les
défis sont grands, ça prend du monde.
M. Caire : Croyez-moi, je
plaide, je plaide, je plaide. Mais, en même temps, bon, le ministre des
Finances a toutes sortes de réalités.
Mme Setlakwe : Il a des choix
à faire.
M. Caire : Il a des choix à
faire.
Mme Setlakwe : Donc, vous
avez parlé de l'intelligence artificielle deux, trois reprises, et on sait que
l'intelligence artificielle, bon, avance à vitesse grand V, puis ça va
changer... ça change déjà notre monde et ce n'est pas terminé. Ça relève
principalement du ministère de l'Économie et de l'Innovation, mais vous en avez
parlé. Comment est-ce que vous, vous vous inscrivez, vous, votre ministère
dans...
M. Caire : Bien, en fait, le
ministère de l'Économie, son rôle, c'est de soutenir l'écosystème, les
entreprises privées, les milieux de recherche, bon, les universités dans leur
capacité à développer l'innovation, le savoir et le savoir-faire. Le
ministère... mon ministère, nous, on va travailler en collaboration avec ces
acteurs-là pour intégrer l'intelligence artificielle au sein du gouvernement.
Donc, c'est... Puis on va le voir plus tard, la question que vous posez là,
vous allez le voir plus tard, en fait, à l'article suivant où, effectivement,
quand on parle de l'utilisation de technologie, notamment de l'intelligence
artificielle, bien, c'est sûr que le ministère a un rôle à jouer. Le ministère
doit être consulté. On doit pouvoir donner notre avis sur les orientations qui
sont prises. Puis, à plus forte raison, lorsqu'on parle de projets de
développement ou d'intégrer ces technologies-là dans les ministères et
organismes, c'est évident que le ministère de la Cybersécurité et du Numérique
a un rôle à jouer de, bon, normalisateur, standardiser, s'assurer, évidemment,
qu'on répond aux questions éthiques.
D'ailleurs, on a déposé... j'ai déposé la
première stratégie d'intégration de l'intelligence artificielle où il y avait
quand même certaines prérogatives à respecter, quant au déploiement de cette
technologie-là, parce que, bon, ça, amène, évidemment, un remodelage de
certaines fonctions, donc des compétences supplémentaires. Il faut s'assurer
que notre monde est accompagné là-dedans. Il y a des postes, on ne se le
cachera pas, Mme la députée, qui sont appelés à disparaître, mais il faut être
capable de travailler avec les ressources pour les amener ailleurs en
requalification. Donc, on est très, très, très actif à ce niveau-là.
Mme Setlakwe : Mais on n'a
pas légiféré spécifiquement sur ces enjeux-là.
M. Caire : On n'a pas encore
légiféré spécifiquement sur ces enjeux-là. Actuellement, le Conseil de
l'innovation a fait une grande consultation, un rapport est déposé. On a
demandé à Me Nicolas Vermeys, que vous connaissez peut-être à l'Université de
Montréal, qui est un des grands spécialistes en droit des technologies, avec un
comité, de faire le point sur le cadre législatif québécois, parce que,
malheureusement, on analyse la situation du Québec, mais avec le prisme du
cadre législatif, par exemple, aux États-Unis, ou ailleurs au Canada, alors
qu'au Québec, on a un cadre législatif, avec la loi 25, notamment, avec la Loi
concernant le cadre juridique des technologies de l'information, qui a été adoptée
il y a 20 ans, qui était très, très innovant à ce moment-là, on a un cadre
législatif qui est déjà plus solide. Je ne vous dis pas qu'il ne faut pas qu'il
soit modernisé, puis qu'il ne faut pas qu'il soit amené au XXIe siècle, mais
déjà on a un cadre...
M. Caire : ...législatif qui
est plus solide que ce qu'on va voir ailleurs en Amérique du Nord. Donc
potentiellement, oui, légiférer, mais il faut que la loi réponde... d'abord,
s'ancre dans la réalité québécoise d'une part, et d'autre part, il faut que
cette-loi là réponde aux besoins. Et, pour répondre aux besoins, bien, encore
faut-il les identifier correctement.
Mme Setlakwe : Donc,
l'analyse est en cours?
M. Caire : Oui.
Mme Setlakwe : Vous, vous
avez participé, j'imagine, M. le ministre, à la consultation?
M. Caire : Oui. Puis je
conduis moi-même une consultation, là, à travers l'écosystème, là, avec la
cybersécurité, là. Par extension, on parle aussi, là, de l'ensemble des autres
facteurs en transformation numérique, justement, parce qu'ultimement c'est moi
qui aurai à porter les projets de loi, si tant est qu'il y en a.
Mme Setlakwe : Puis donc ce
n'est pas un projet en soi, là, mais c'est... ce n'est pas un projet
prioritaire en soi, mais c'est prioritaire?
• (10 h 30) •
M. Caire : Oui, oui. Bien, je
vous dirais que oui. Parce que plus on travaille en amont, moins on laisse la
situation s'en aller dans toutes les directions, donc c'est important. Puis
même une fois qu'un cadre législatif est adopté, le temps que la société civile
s'y adapte... La loi 25 a été adoptée en 2020, Mme la députée, vous vous
en souviendrez, elle a été mise en pleine application à partir de septembre
2023, là, parce qu'on l'avait échelonnée sur trois ans, justement, pour que...
puis il y a encore beaucoup, beaucoup, beaucoup d'entreprises ou d'organismes
du secteur privé qui sont à se demander, mais comment ils vont être capables de
faire face à ce nouveau cadre législatif là. Donc, la société civile s'adapte,
mais pas... peut-être pas au même rythme qu'on pourrait le croire. Puis c'est
important, donc, de... quand on adopte un cadre législatif, de le faire assez
rapidement puis laisser le temps à la société de s'adapter à ce cadre
législatif là, de bien le comprendre, de comprendre la portée des
responsabilités, les obligations, les droits qui sont... qui font partie...
Tout ça, ce n'est pas intuitif, là.
Mme Setlakwe : C'est
intéressant, la discussion, parce que je pensais vraiment que... en tout cas,
je voulais clarifier votre rôle dans cet énorme enjeu qui nous touche tous, là.
Ça ne s'en va pas, on vit avec. J'ai... On reçoit, nous, vous savez, là, les
députés, vous en recevez, vous aussi, mais on reçoit toutes sortes de questions
de citoyens, puis il y en a qui s'intéressent vraiment de façon détaillée au
projet de loi qu'on étudie. On en est bien heureux, là. Mais il y a un résident
ou un... je ne sais pas si c'est un de mes résidents, peu importe, qui était
consterné de remarquer qu'aucune mention d'intelligence artificielle n'était
faite dans le projet de loi qu'on étudie : «Alors que l'intelligence
artificielle, et plus particulièrement son encadrement, occupe de plus en plus
de place dans notre société, comme on discute, il est désolant de constater
qu'en 2023 nous n'avons pas d'article de loi ou de règlement désignant au
minimum qui est responsable et imputable...»
Des voix : ...
M. Caire : Écoutez...
Mme Setlakwe : «...des
systèmes, c'est ça, des systèmes en intelligence artificielle déployés par nos
services publics.»
M. Caire : Oui, j'ai lu la
même... le même commentaire. Puis, ce que je dirais aux citoyens... Bien, je
reviendrai un peu d'abord sur la réponse que je viens de vous faire. Le cadre
législatif québécois n'est pas le cadre législatif du reste de l'Amérique du
Nord. Donc, il y a déjà des dispositions qui sont prises avec la loi 25
sur la protection des renseignements personnels, sur les processus décisionnels
automatisés. La loi 25 en parle déjà. Donc, il y a cet aspect-là de la
loi. Il y a la loi concernant le cadre juridique des technologies de
l'information, qui est plus la loi qu'on va privilégier pour l'encadrement de
ce qui est technologie.
Le pourquoi de cette loi, pourquoi on ne
retrouvera pas, dans la loi no 38, mention de l'intelligence artificielle,
bien, c'est parce qu'on vient modifier les grands paramètres du ministère de la
Cybersécurité et de ses prérogatives. Mais oui, éventuellement, cette
question-là, on devra trouver des réponses et des solutions, mais ça se fera
ultérieurement, dans un autre projet de loi, si tant est, comme je vous dis,
là, qu'il y a nécessité de légiférer, là.
Mme Setlakwe : Mais, le
véritable leadership, c'est vous ou c'est le ministre de l'Économie?
M. Caire : Bien, c'est moi
qui vais porter la loi. La loi concernant le cadre juridique des technologies
de l'information, c'est une loi dont je suis responsable, comme je suis
responsable de la Loi sur la gestion et la gouvernance en ressources informationnelles,
là. C'est les deux grandes lois dont je suis responsable. Donc, c'est moi qui
vais porter ce... Mais, évidemment, on travaille en collaboration avec mon
collègue du... ministre de l'Économie, parce que, lui, de par son rôle de
développeur de notre économie, c'est sûr qu'il y a un impact important dans cet
écosystème-là, donc on travaille en collaboration.
Mme Setlakwe : Pensez-vous
que, jusqu'à maintenant, on y résiste, là, dans les services publics, ou on a
intégré la technologie?
M. Caire : Ah non, il n'y a
pas de résistance. Il y a surtout un questionnement sur...
10 h 30 (version non révisée)
M. Caire : ...qu'est ce qu'on
fait avec ça, là, parce qu'on entend toutes sortes de choses puis, bon, on
voit... GPT. Mais comment l'intelligence artificielle peut vraiment venir nous
aider dans l'organisation du travail, la prestation de services, la diminution
des erreurs, l'augmentation de notre capacité de traitement, donc de diminuer
les temps de traitement. On est à travailler là-dessus. On est à mettre en
place un centre d'expertise en automatisation et en intégration de l'intelligence
artificielle au ministère pour aider les ministères et organismes, justement, à
bien saisir ce que l'intelligence artificielle, pour l'instant, peut faire,
parce que vous l'avez dit, là, c'est en évolution.
Ce que l'intelligence artificielle fait
aujourd'hui, ce n'est probablement rien par rapport à ce qu'elle va faire
demain. Donc, nous, c'est un processus continu de mise à niveau de la
connaissance. Puis ça nous amène aussi vers les ministères et organismes à dire :
Bien, tu sais, on va se donner des projets, on va travailler, on va intégrer
ça, mais on va le faire de façon ordonnée, dans le respect de la stratégie d'intégration
d'intelligence artificielle qu'on a déposée, parce qu'il faut se donner un
cadre éthique, un cadre légal. Il faut aussi mesurer les impacts de ça sur nos
employés et accompagner nos employés là-dedans, là, dans la gestion du
changement, accompagner les décideurs aussi, là, parce que je parle des
employés, mais tous ceux qui ont la gestion de l'État, entre les mains, doivent
être accompagnés pour bien comprendre ce que ça veut dire l'intégration de l'intelligence
artificielle puis comment ça peut les aider, mais quelles sont les limites à ne
pas dépasser.
Mme Setlakwe : Est ce qu'il y
a des organismes, des ministères qui viennent de l'avant et vous disent :
Accompagnez-nous, là... Oui.
M. Caire : Oui, on a
plusieurs projets, notamment, avec la justice, là, pour avoir un greffe où on
utilise l'intelligence artificielle, un moteur de recherche juridique. Il y a
plusieurs projets, un agent conversationnel aussi dans un autre organisme
pour... bien, donneesquebec.ca, agent conversationnel, pour être capable d'avoir
accès à de la donnée ouverte. Mais comme c'est de la donnée non structurée,
quelquefois, les recherches peuvent être ardues, donc dire, bon, on va intégrer
un agent conversationnel pour lequel on va juste poser la question comme on le
fait, puis lui va faire cette recherche-là à travers cette donnée-là non
structurée, puis ramener les réponses. Donc, oui, il y a plusieurs beaux
projets en intelligence artificielle.
Mme Setlakwe : Mais c'est
énorme, là, plus on en parle, plus je trouve ça gros. Puis est-ce qu'il y a un
risque... Les projets prioritaires, dont on a parlé, en éducation, en santé, il
y en aura d'autres, on va attendre que vous les mettiez de l'avant, vous les
adoptiez puis vous divulguiez publiquement, là, quels sont les projets
prioritaires. Mais est-ce qu'il y a un risque, finalement, la gestion ou l'encadrement
de l'intelligence artificielle devienne... tu sais, qu'on n'ait pas le choix
de, finalement, mettre nos efforts là-dessus? Quel est l'échéancier que vous
avez en tête, là? On a parlé de la consultation, de la... Qu'est-ce qui a été
déposé récemment? La politique.
M. Caire : En fait, c'est le
rapport du Conseil d'innovation et le rapport du Comité sur l'analyse de notre
cadre législatif. C'est les deux rapports qui ont été déposés. Puis, pour
répondre à votre question...
Mme Setlakwe : À quel moment
déjà, ça a été déposé, ça?
M. Caire : Le Conseil de l'innovation
a déposé, au mois d'octobre, si ma mémoire est bonne, je ne voudrais pas vous
induire en erreur, mais il me semble, c'est au mois d'octobre. Puis le Comité
sur l'analyse du cadre législatif, c'est, il y a deux semaines qu'on a eu la
présentation.
Puis, pour répondre à votre question, je
vous dirais : Non, il n'y a pas de danger parce que l'intégration de l'intelligence
artificielle, dans les faits, n'est pas un projet en soi. L'intégration de l'intelligence
artificielle va se faire...
Mme Setlakwe : Non, je sais,
mais...
M. Caire : ...à l'intérieur d'un
projet, c'est ces projets-là qu'on va prioriser. Donc, ce qui est important, c'est,
oui, puis je vous suis totalement là-dessus, s'assurer que le portefeuille de
projets prioritaires est vraiment priorisé. Mais, à l'intérieur de ces
projets-là, la composante d'intelligence artificielle, s'il y en a, va devoir
faire l'objet d'une expertise puis de démontrer la plus-value de ces
projets-là. Mais l'intelligence artificielle n'est pas un projet en soi, l'intelligence
artificielle va faire partie des projets et c'est ces projets-là qu'on va
prioriser.
Mme Setlakwe : O.K. Puis on s'entend
qu'il va falloir ajuster le cadre législatif, ça, vous l'avez mentionné...
M. Caire : ...
Mme Setlakwe : ...oui, il n'y
a pas d'échéancier par rapport à ça encore.
M. Caire : Je vous dirais qu'on
vise le printemps prochain.
Mme Setlakwe : O.K. donc, si
on revient à l'article 19 modifié, qui sera fort probablement modifié, quand
vous dites que vous assurez... quand la loi dit que «le ministre assure le
leadership de la transformation numérique et de la cybersécurité...
Mme Setlakwe : ...l'administration
publique, suite à notre échange, moi, j'entends que ça inclut l'intelligence
artificielle.
M. Caire : Oui, oui, ça
inclut l'intelligence artificielle. D'ailleurs, c'est la raison pour laquelle
c'est mon ministère, c'est moi qui ai déposé la stratégie d'intégration de
l'intelligence artificielle, qui est... comme elle est approuvée par le
gouvernement, ça devient une politique gouvernementale, mais c'est l'initiative
du MCN.
Mme Setlakwe : Puis on ne
devrait pas le prévoir spécifiquement ici, là?
M. Caire : Non. Non, parce
que le ministère est responsable de la cohésion, de la standardisation, donc
les pouvoirs qu'on a sont sur la transformation numérique. L'intelligence
artificielle, c'est une composante de la transformation numérique.
Mme Setlakwe : O.K. Me Bacon
semblait avoir quelque chose à ajouter. Non? O.K. Merci. Donc, c'est
intéressant, on a... les prochains mois vont être très occupés. Il y a toutes
sortes d'enjeux d'éthique, là, qui se posent, là, qui... pas juste d'éthique,
de...
• (10 h 40) •
M. Caire : Mais encore là, je
vous dirais, au Québec, on n'est pas si mal. Puis je ne dis pas qu'il n'y a
rien à faire, là, comprenez-moi bien, là. C'est un domaine qui va très vite,
c'est un domaine qui nous amène de plus en plus loin. Mais, tu sais, on a quand
même la déclaration de Montréal, qui était une belle innovation en matière
d'éthique. Au niveau de la stratégie d'intégration de l'intelligence
artificielle, on a des éléments éthiques qui sont prescrits par la stratégie,
qui doivent quand même être respectés par les ministères et organismes. Donc,
comme je vous dis, loin de moi l'idée de vous dire qu'il n'y a plus rien à
faire, mais on n'est pas non plus... tu sais, entre il n'y a plus rien à faire
puis c'est le désert total, je pense qu'on se situe quand même relativement
bien.
Mme Setlakwe : Est-ce que les
employés ont signé... Est-ce qu'il existe comme une espèce de code de conduite
que les... ou de bonnes pratiques que les employés signent ou dont ils prennent
connaissance? Non?
M. Caire : Non, ce n'est
pas... Mais tout le monde, compte tenu que la stratégie est un document à
portée gouvernementale, tout le monde est tenu de la respecter.
Mme Setlakwe : O.K. O.K.
juste pour... là, finalement, on... Je trouve ça superintéressant, la
discussion qu'on a sur l'intelligence artificielle. Mais pour revenir, donc, à
la transformation numérique, qui inclut le... ou en tout cas dont
l'intelligence artificielle est une composante, donc on revient sur l'idée
d'introduire ce libellé, que «le ministre assure le leadership de la
transformation numérique et de la cybersécurité de l'Administration publique.
Vous avez dit que dans les faits, dans le fond, ce leadership-là existait déjà,
mais comme c'est nouveau, les organismes, il faut leur donner un signal clair?
M. Caire : C'est ça.
Mme Setlakwe : O.K. Ce
texte-là, en soi, ne vous donne pas plus de pouvoirs. Les pouvoirs, vous les
aviez?
M. Caire : Oui.
Mme Setlakwe : Mais ailleurs,
dans le texte de loi, je pense qu'on a clairement ajouté des pouvoirs au
ministre. Oui?
M. Caire : Oui, oui.
Mme Setlakwe : Il y a des
outils?
M. Caire : Oui.
Mme Setlakwe : Sans revenir
sur toute la saga SAAQclic, c'est quand même un dossier qui a été problématique
pour les Québécois, puis le déploiement, on s'entend, SAAQclic, avec SAG, je ne
veux pas revenir sur la discussion qu'on a eue jeudi, mais ce que j'ai retenu
de ce que vous avez... de notre échange, vous avez été très clair dans le fait
que pour vous, le principal problème en était un de communication. Parce qu'on
a lancé SAAQclic et la première étape, qui était l'authentification de la
personne qui voulait accéder à la nouvelle plateforme. Mais donc, sachant ça,
parce qu'on est encore, je pense... puis c'est important de tirer les leçons,
là, de ce dossier problématique qui a été qualifié de fiasco, est-ce que ce
nouveau texte là, qu'on étudie ce matin, aurait changé quelque chose?
M. Caire : Non. Non parce que
ce n'est pas une question de définir le leadership du ministre. Comme je vous
expliquais, quand on parle d'une société d'État, c'est, je vous dirais, dans le
cas du service d'authentification gouvernementale... Bon, quand vous regardez
l'audit de PricewaterhouseCoopers, il nous disait : vous auriez peut-être
dû faire le lancement à l'automne, mais à l'automne, on ne pouvait pas, on
était en projet pilote avec le MFA. Parce qu'il faut comprendre que la SAAQ
n'est pas le premier client du service d'authentification gouvernementale,
c'est le MFA, mais c'est une petite application que le MFA mettait à la
disposition des éducatrices pour lesquelles c'était le service
d'authentification gouvernementale qui était la façon d'y accéder. Et donc on
parle de quelques dizaines de personnes qui avaient cet accès-là, puis, nous,
ça nous donnait un premier point de référence sur le bon fonctionnement du
système. SAAQ était notre premier gros client. Et donc, quand ils ont fait
cette annonce-là, on a pensé que...
M. Caire : ...compte tenu...
vous comprendrez que, bon, le lancement de l'application du MFA s'est fait dans
une grande discrétion, puis c'est normal, compte tenu du peu de clientèle que
ça touchait, là. Le SAAQ était le premier gros client, donc on a pensé que, de
faire une communication commune était une bonne idée. Mais ce n'était
absolument pas une bonne idée, là, je veux dire, ça faisait juste semer de la
confusion. Puis vous l'avez dit vous-même puis vous avez raison, pour les gens,
le SAG puis SAAQclic, c'est la même chose, alors que ça n'a rien à voir. Puis
là où c'est pénalisant, c'est que ça ne permettait pas non plus de bien
expliquer le processus par lequel on passe pour créer le compte d'identité.
Puis expliquer ce processus-là était important parce que c'est de donner
confiance au système, puis c'est de bien expliquer la démarche, puis qu'est-ce
qu'on a mis en place pour accompagner le citoyen, puis, bon. Ça fait que, sans
revenir sur toute la saga, comme vous l'avez dit, ça, effectivement, ce n'était
pas la bonne façon de procéder.
Mme Setlakwe : Donc mais vous
aviez le leadership, vous auriez pu dire : non, non, ce n'est pas la façon
de faire?
M. Caire : Oui, oui,
absolument, c'est avec l'accord, avec la bénédiction du MCN que ça s'est fait,
avec l'accord du Secrétariat aux communications gouvernementales et avec les
autorités de la SAAQ, là, qui voulaient... qui étaient très heureux d'annoncer
le nouveau système. Oui, oui, tout à fait. Il n'y a pas de... ce n'est pas une
question que je n'avais pas le leadership. C'est une question qu'on a fait une
mauvaise évaluation de l'impact de ça sur la compréhension de ce qu'on était en
train de faire, autant du côté de la SAAQ que nous, du côté du ministère.
Mme Setlakwe : Puis là vous
ne jugez pas bon de faire... Parce que je comprends, là, que SAG a sa propre
mission et va continuer d'exister bien au-delà de... pas «au-delà», mais, ça
SAAQclic aussi. Mais SAG va servir à plusieurs fins?
M. Caire : En fait, SAG va
servir...
Mme Setlakwe : C'est la porte
d'entrée?
M. Caire : De tous les... à
terme, à terme, parce qu'il y a une question d'arrimage, mais à terme, ça va
être la porte d'entrée de toutes les prestations électroniques de services du
gouvernement du Québec, minimalement. Puis je ne vous cache pas, Mme la
députée, qu'on est en discussion avec les autorités municipales, avec le
gouvernement fédéral, qui évalue, puis là, je ne veux pas présumer de la
décision qui sera prise parce qu'ils sont totalement autonomes des décisions
qu'ils prendront, mais qui pourraient éventuellement utiliser le service
d'authentification gouvernementale du gouvernement du Québec. Donc, on est
largement au-delà de SAAQclic. Mais SAAQclic était notre premier gros client,
parce qu'on parle de plusieurs millions d'utilisateurs, là, donc, ça, c'était
intéressant comme... de lancer ce système-là en même temps.
Mme Setlakwe : O.K. Donc, il
n'y a pas lieu de... Si... Puis là, la prochaine étape serait avec Revenu
Québec, je pense?
M. Caire : On a des projets
avec le ministère de la Santé. Là, je ne peux pas en dire plus pour l'instant
parce que je ne veux pas non plus présumer des décisions qui seront prises au
niveau du ministère de la Santé. L'Agence du revenu, très certainement parce
que le SAG va remplacer clicSEQUR, donc, éventuellement, oui, mais je vous
dirais à peu près tout ce qu'il y a de prestations électroniques de services au
gouvernement du Québec, là. Puis on a un calendrier assez ambitieux, là, au
printemps 2024, là, pour aller greffer de plus en plus de services au SAG.
Mme Setlakwe : Est-ce qu'on
peut suspendre une petite minute?
M. Caire : Oui.
La Présidente (Mme D'Amours) : Oui.
Mme Setlakwe : Parce que je
pense qu'on arrive à la fin, là, des questions, mais juste question de...
Merci.
La Présidente (Mme D'Amours) : Je
vais suspendre les travaux quelques instants.
(Suspension de la séance à 10 h 47)
(Reprise à 10 h 54)
La Présidente (Mme D'Amours) : Nous
reprenons nos travaux. Nous en étions en discussion avec l'article 11, Mme la
députée.
Mme Setlakwe : Merci, Mme la
Présidente, de m'avoir accordé cette brève suspension. Donc, j'aurais peut-être
une dernière question ou un dernier sujet à aborder avec le ministre par
rapport à cet article important, là, qui est l'article 11, qui, on le rappelle,
introduit la notion de leadership de façon explicite. J'essaie de voir comment
s'inscrit le leadership du ministre dans un dossier qui a fait l'objet des
médias récemment, là, en fait, dans les derniers mois, la protection des
renseignements personnels en santé, les dossiers médicaux des Québécois. Il y
avait eu un reportage de la presse au printemps, qui avait fait... qui avait
dressé un portrait... en fait, ils avaient même dit que c'était difficile de
dresser un portrait tellement il y avait peu de mesures de protection en place,
il y avait peu de journalisation, énormément de bris de confidentialité, mais
donc dans certains cas, impossibilité d'en dresser un inventaire. On reste sur
notre appétit avec... suite à ce dossier-là. Nous, on avait demandé à
l'opposition officielle que le gouvernement se penche là-dessus par voie... On
avait demandé un mandat d'initiative, bon, ça n'a pas été fait.
Là, plusieurs mois plus tard, la
Vérificatrice générale, pour la première fois, tire des constats, c'est la
première fois qu'elle avait audité deux CISSS et des établissements ou le ministère,
et qui vient nous dire finalement que, vraiment, il y a une non-protection des
renseignements personnels en santé. Il y a des accès non autorisés, il y a des
employés qui quittent, qui ont encore accès, des post-it avec des mots de passe
non, tu sais, non robustes. En tout cas, on pourrait... je pourrais élaborer
longuement sur les constats de la Vérificatrice générale, je ne le ferai pas,
on en a parlé un peu la semaine dernière. Je pense qu'on s'entend tous, là,
qu'il y a quelque chose à faire pour améliorer la protection de nos
renseignements de santé. Éventuellement, on va avoir, j'espère, un bon système
en place, le DSN, le dossier santé numérique, mais ce n'est pas pour demain
matin. Et donc on est face à cet enjeu qui est franchement épeurant, là, pour
les Québécois qui se disent : Mais qui surveille, qui s'assure que mon
dossier n'est pas accessible à n'importe qui pour des raisons non légitimes? On
veut que ce soit les bonnes personnes qui y aient accès pour des fins
d'efficacité.
Donc là, je me ramène ici au projet de
loi, on vient dire, vous avez.... On vous assure le leadership, mais, dans le
fond, vous dites : Je l'avais déjà, mais là on va le dire clairement,
comme ça, tout le monde va avoir cette vision... pas cette vision-là, mais tout
le monde va devoir ramer dans la même direction, on va savoir que c'est le
ministère qui est en charge, qui assure le leadership de la transformation
numérique. Là, on a parlé tout à l'heure de la maturité numérique des
organismes. Et, quand on établit la maturité numérique des organismes, c'est en
fonction de 18 bonnes pratiques numériques gouvernementales, dont une qui est
la neuvième, «assurer la sécurité de l'information et la protection des
renseignements personnels». C'est dit clairement, là, que les organismes...
Puis d'ailleurs, on le sait, qu'ils ont une obligation, et même le ministère a
une obligation, dans sa loi constitutive, d'établir des exigences de sécurité
de l'information.
Donc, ma question, c'est : Comment on
a pu échapper, échapper ça? Comment se fait-il...
Mme Setlakwe : ...que vous
n'avez pas établi les exigences. Comment se fait-il qu'on laisse des ministères
et organismes qui détiennent des renseignements personnels et confidentiels,
comment est-ce qu'on... comment se fait-il qu'on les laisse naviguer comme ça,
à l'aveugle, ou ne pas mettre les mesures en place, ne pas classifier
l'information, etc.?
M. Caire : Oui. Bien, en
fait, ça revient un peu à la discussion qu'on a eue la semaine dernière, où la
trop grande prolifération des endroits où on va collecter et entreposer de la
donnée, ça amène un besoin très large en ressources. Ces ressources-là n'ont
pas toute la formation, n'ont pas toute l'expertise pour assurer un
environnement cybersécuritaire sécuritaire, point, parce que ce n'est pas juste
des problèmes de cybersécurité, là je veux dire, il y a carrément des employés
qui ont accès aux dossiers papier ou qui ont accès à des informations sur les
dossiers papiers auxquelles ils ne devraient pas avoir accès, et donc pour moi,
le... puis je ne vous dis pas que c'est le seul, là, mais le...
Mme Setlakwe : ...
• (11 heures) •
M. Caire : Oui. Oui, oui. Si
vous voyez l'ensemble du... souvent, il y a encore beaucoup trop de dossiers
papier, dossiers électroniques, mais beaucoup trop de dossiers papier aussi,
donc il y a une question de numérisation. Mais donc la loi sur laquelle vous et
moi on a collaboré d'ailleurs, la loi 5, avec le Centre national de dépôt
de renseignements de santé et de services sociaux, va faire en sorte, puis
c'est un peu aussi la discussion qu'on a eue à l'article 10, donc, de
réduire le nombre de sources de données, de s'assurer que ces sources de
données là sont administrées par des gens qui ont toutes les expertises nécessaires
à le faire correctement. Ça, c'est la façon dont on va être capables de régler
le problème.
Maintenant, comment on a pu laisser faire
ça? Bien, je vous dirais, tu sais, on traîne un bagage, là, je veux dire, on
arrive de quelque part, puis malheureusement, je vous dirais que la protection
des renseignements personnels n'a peut-être pas eu toute la considération
nécessaire. Maintenant, avec l'adoption de la loi 25, dont les derniers
articles ont été mis en vigueur à partir de septembre de cette année, c'est sûr
que ça aussi, ça amène des obligations légales supplémentaires, là. Donc, c'est
un ensemble de mesures qu'on met en place qui vont corriger cette situation-là,
qu'on connaît. Mais entre... Comme c'est un peu ce que je vous disais tantôt,
entre le moment où on met en place la mesure, où on l'adopte, puis le moment où
elle est pleinement efficace, malheureusement, il y a un temps nécessaire
d'adaptation. Puis malheureusement, ces situations-là...
Soit dit en passant, il y a des
situations, si je ne me trompe pas, là, qui ont été soulevées par la
Vérificatrice générale qui datent de 2021, là, tout n'est pas... 2021, 2022, il
me semble. Donc, ça, c'est l'autre affaire aussi. C'est que, entre le moment où
la Vérificatrice générale fait son rapport puis le moment où elle... son audit,
pardon, puis le moment où elle dépose le rapport, il y a un laps de temps qui
s'écoule, là. Donc, c'est un petit peu décalé dans le temps, là. Puis, ceci
étant dit, je n'insulterai pas votre intelligence, Mme la députée, en vous
disant que cette situation-là, maintenant, n'existe plus, là. Ça, ça existe
encore, malheureusement, puis on essaie de mettre en place les mesures le plus
rapidement possible pour contrer ça. La gestion des accès, écoutez, la gestion
des accès, ce n'est pas la première fois, là, que la Vérificatrice générale
dénonce le fait... ce qu'elle a dénoncé, mais dans d'autres secteurs, parce que
ce n'est malheureusement pas exclusif à la santé, là, il y a d'autres
situations qui ont été décriées par la Vérificatrice générale, il y a plusieurs
années, où, effectivement, la gestion des accès des employés qui ont quitté ou
qui ont changé de ministère ou qui gardaient les accès, ça a toujours été
problématique. Mais ce qui est absolument fondamental, c'est de réduire le
nombre de sources de données, c'est d'augmenter les expertises pour gérer ces
sources de données là à tous les niveaux, autant les accès que les protections
numériques que, bon. Puis on va... là on va être capables de mettre en place un
cadre administratif qui va éliminer ce genre de situation là.
Mme Setlakwe : O.K. je
comprends, là, qu'à terme la mise en application de la loi cinq devrait nous
amener dans la bonne direction?
M. Caire : Oui.
Mme Setlakwe : Mais ce n'est
pas pour demain. C'est... je ne pense même pas que c'est pour 2024.
M. Caire : Oh! Il faut.
Mme Setlakwe : Il faut...
11 h (version non révisée)
Mme Setlakwe : ...que ce soit
pour... O.K.
M. Caire : Ah, il faut, il
faut.
Mme Setlakwe : Oui? Le
Dossier santé numérique va être en place pour...
M. Caire : Mais ça, si je
peux me permettre, le Dossier santé numérique, c'est un projet. L'application
de la loi cinq, c'est... peut se faire indépendamment du Dossier santé
numérique, là. Ce n'est pas...
Mme Setlakwe : La loi 5
mettait en place les obligations.
M. Caire : La loi 5
vient... puis ces discussions-là que nous avons eues vous et moi d'ailleurs, la
loi cinq vient changer le cadre législatif et la façon dont on va gérer les
données de santé. Comme la loi 95 l'a fait pour l'ensemble du gouvernement,
dans un régime général, la loi 5 fait... vient faire un regroupement des
régimes particuliers, des sept ou huit régimes particuliers qui existaient, là,
vous vous en souvenez sans doute, pour avoir un seul régime pour les données de
santé. Mais oui, c'est sûr que ça va changer, parce que, justement, c'est cette
pluralité-là, de bases de données ou de centres d'information ou de collections
de données, qui se retrouve un peu partout dans le réseau de la santé. Ça va
être terminé, là, on va être capables d'amener ça au niveau du réseau de la
santé, géré par le Réseau de la santé. Puis là, bien, les différents organismes
de la santé vont accéder à cette même banque là, mais à travers la gestion des
permissions et la gestion des accès. C'est ça.
Mme Setlakwe : Je pense qu'on
dit la même chose. À terme, quand le système va être fonctionnel puis que...
Là, il y a deux projets pilotes dans deux CISSS... deux CIUSSS, j'oublie tout
le temps.
M. Caire : Oui. Je veux faire
une distinction qui est très importante, Mme la députée. Le Dossier santé
numérique, c'est l'applicatif. Ça, ça va s'asseoir sur la gestion des données.
Donc, la loi cinq, c'est les fondations, c'est comment on va gérer la donnée au
niveau de la santé, indépendamment de la couche applicative qui va nous
permettre d'y avoir accès. Ça, c'est le DSN. Mais la fondation, puis c'est la
même chose sur la loi 95 avec les sources de données, ça, c'est la
fondation, c'est comment on gère les données, où sont les données, qui y a
accès, qui va les gérer, qui va les protéger, qui est responsable de ça. Ça, c'est
ce qu'on a fait, vous et moi, au printemps avec la Loi 5 pour la santé. C'est
ce qu'on a fait en 2021 avec les collègues, avec la loi 95. Puis ça, ça se
met en place. Puis là, puis c'est pour ça qu'on a eu cette discussion-là à l'article 10,
parce que, tu sais, on veut déployer les sources de données, et tout ça, puis,
bon, il faut accélérer ce processus-là, la loi 5 va le faire au niveau de
la santé. Donc, on pourrait, indépendamment de toute autre considération
applicative, aller de l'avant avec ça puis avoir une façon de gérer nos données
puis de continuer à travailler avec les systèmes qui sont existants. Ça serait
un peu plus compliqué, là, parce qu'il y a une multiplicité de systèmes, puis
ça rendrait la chose complexe. Mais l'interfaçage qui nous permet d'accéder à
la donnée, ça, c'est le DSN, mais la donnée et sa gestion, c'est un autre
projet. Puis ça...
Mme Setlakwe : Je pense qu'on
dit la même chose.
M. Caire : Ça se peut.
Mme Setlakwe : Je pense qu'on
dit la même chose. Je me souviens très bien que, oui, oui, il y a les
obligations de transmettre, de ne pas garder la donnée pour soi, donc les
organismes entre eux ont l'obligation de transmettre la donnée, la transmettre
pour des fins de recherche. En tout cas, on ne reviendra pas sur le... On ne
viendra pas là-dessus, mais à terme, on devrait améliorer. Mais là on est dans
une situation problématique avec les dossiers de santé. Juste pour rectifier,
là, vous avez dit que cet... en tout cas, vous avez parlé de dossiers papier.
Vous savez que le rapport de la VG touche les dossiers numériques et non pas
les dossiers papier?
M. Caire : Oui, je sais,
mais...
Mme Setlakwe : O.K. Oui. Puis
la période couverte par ses travaux, c'était du 1er avril 2016 au 31 mars
2023.
M. Caire : Mais, ce que je
voulais vous dire, Mme la députée, je comprends ce que vous me dites sur le
rapport de la VG, mais... Et le problème... Il y avait aussi ces problèmes-là
avec les dossiers papier.
Une voix : ...
Mme Setlakwe : O.K. Ma
collègue a raison, les travaux ont porté surtout sur la période de janvier 2021
à mars 2023. Mais c'est... Tout porte à croire, là, que ça ne s'est pas
amélioré entre... à moins que vous me dites que ça s'est amélioré entre mars
2023 de... et novembre 2023?
M. Caire : C'est une bonne
question. Honnêtement, je ne me risquerais pas à une réponse, là. Je...
Mme Setlakwe : Vous ne savez
pas si ça s'est amélioré depuis?
M. Caire : Bien, écoutez, le
rapport de 2023, j'imagine que depuis ce temps-là... Je ne sais pas quelles
mesures seront prises et auront été prises au niveau des CISSS et des CIUSSS,
mais ce que moi, je vous dis, c'est qu'avec l'adoption de la loi 5, là on
va changer la façon de gérer les données et la façon d'accéder aux données. Et
la façon d'administrer la donnée va changer d'une façon très importante.
Mme Setlakwe : Non, non. Tout
à fait. Mais là...
M. Caire : ...il faut aller
vers ça.
1set Mais aujourd'hui, là, face à cette
problématique-là, moi, je regarde les textes de loi, là, puis on est en train
de parler du texte de loi qui va être modifié, il me semble que ça relève de
vous, M. le ministre, là, de voir à ce que l'information soit protégée, de voir
à établir des exigences. Je suis en train de lire la loi constitutive du
MCN : «Le ministre assume les responsabilités suivantes, à l'article 3,
huitième paragraphe, établir les exigences, en matière de sécurité de
l'information, applicables aux organismes publics et ordonner à ces derniers,
lorsque requis, de mettre en œuvre ces exigences afin d'assurer la protection
de leurs actifs informationnels et des informations qu'ils supportent.»
M. Caire : Tout à fait. Et il
y a des standards qui sont établis, il y a les 15 mesures minimums qui ont été
établies, pour lesquelles les ministères et organismes doivent les mettre en
application. Il y a le projet de consolidation des centres de traitement. Comme
je vous le disais, on passe de 577, on veut ramener ça à quatre. Mais, Mme la
députée, une fois qu'on a dit ça, une fois qu'on a fait ça, puis une fois qu'on
est en chantier pour le faire, entre le moment où on prend la mesure puis le
moment où la mesure est pleinement mise en application, il y a une démarche qui
s'effectue. Puis c'est la même chose pour la loi 5.
Du moment où on l'a adoptée... Bon, la loi
est adoptée, les règlements qui découlent... qui doivent en découler sont pris
ou vont être pris. Après ça, on va mettre en place le centre de dépôt. Mais il
y a une façon de faire puis il y a un parcours. L'idée n'est pas de
dire : Je vais rendre meilleure la situation actuelle, l'idée, c'est de
dire : La situation actuelle, elle ne nous amène pas vers ce qu'on
souhaite avoir comme protection de nos renseignements personnels. Dans la
situation actuelle, ce que je dis depuis le début, à 577, centres de traitement
de l'information, gérez ça puis amenez ça à un niveau de sécurité qui est
acceptable. C'est impensable.
• (11 h 10) •
Mme Setlakwe : Je comprends,
mais, dans votre leadership, dans l'intérim, qu'est-ce qui s'est fait?
M. Caire : Bien, c'est ce que
je suis en train de vous expliquer, ce qui se fait, c'est qu'on dit aux
ministères et organismes : Vous amenez... Vous fermez les centres de
traitement. Vous amenez ça vers les centres de traitement, les quatre centres
de traitement. Dépendamment de la classification des données, vous amenez ça
soit dans le nuage gouvernemental, soit vous allez en nuage public. Alors, il y
a une catégorisation de la donnée qui s'est faite parce que ça, ça ne s'est
jamais fait.
Vous savez, Mme la députée, il s'est fait
énormément de choses, mais on partait de loin, là. On n'avait pas d'idée... On
n'avait pas d'inventaire de nos données, on n'avait pas d'idée. Il y a des
banques de données qu'on avait au gouvernement du Québec, puis là je vous
parle, quand je suis arrivé, on ne se souvenait même plus qu'on avait ces
banques de données là. Donc là, on partait de là. Alors, qu'est-ce qu'on fait?
Bien, on fait des inventaires, on fait la catégorisation, on met en place le
nuage gouvernemental. On met en place le courtier en infonuagique qui va
permettre aux ministères et organismes d'aller chercher un fournisseur en
infonuagique plus rapidement. C'est un système qui fonctionne bien puis qui
nous est envié dans bien d'autres provinces, parce que, justement, ça permet
une agilité. Mais il faut quand même prendre le temps de le faire, il faut
quand même prendre le temps de mettre ça en place.
Donc, oui, il est possible que la
Vérificatrice générale ait constaté des lacunes, puis c'est ce qu'elle fait
dans son rapport, mais on est en voie de corriger ça. Donc, qu'est-ce qu'on
fait puis qu'est-ce qu'on assume comme leadership? Bien, on dit : Vous
allez, on va mettre fin à ces pratiques-là, parce que ces pratiques-là ne nous
amènent pas à une gestion optimale et cybersécuritaire de nos données. Il faut
changer les façons de faire.
Mme Setlakwe : Il me semble,
en tout cas, il me semble que, dans l'intérim, dans l'exercice d'un leadership
adéquat, il aurait fallu serrer la vis puis il n'est pas trop tard pour le
faire.
M. Caire : Mais serrer la
vis...
Mme Setlakwe : Assurer qu'il
y ait des mesures, assurer que les mots de passe soient changés, assurer qu'il
n'y ait pas de post-it sur les ordinateurs...
M. Caire : Mais il y a des
mesures... Oui, mais...
Mme Setlakwe : ...assurer que
des employés qui ont quitté n'aient plus accès.
M. Caire : Il y a des mesures
qui sont prises, Mme la députée, il y a des mesures qui sont prises, il y en a.
Et, à partir du moment où les mesures sont prises, bien, il appartient aux
gestionnaires de les faire respecter.
La Présidente (Mme D'Amours) : C'est
maintenant terminé pour la députée de Mont-Royal-Outremont, pour son temps de
20 minutes. Est-ce que j'ai d'autres interventions concernant l'article 11? Si
je n'ai pas d'autre intervention, l'article 11 est-il adopté?
Des voix : ...
La Présidente (Mme D'Amours) : Adopté
sur division. L'article 12, M. le ministre...
M. Caire : ...alors, il se lit
comme suit, Mme la Présidente : L'article deux de la Loi sur le ministère
de la Cybersécurité du Numérique (chapitre M-17.1.1) est modifié par
l'insertion, après l'alinéa, du suivant :
«Le ministre doit assurer la cohérence et
l'harmonisation des actions gouvernementales dans les domaines de la
cybersécurité et du numérique et, à cette fin, être associé à l'élaboration des
mesures ainsi qu'aux décisions ministérielles dans ces domaines et donner son
avis lorsqu'il le juge opportun.»
Donc, l'idée, ça revient à la discussion
qu'on avait eue, qui est dans la lignée du leadership, c'est de s'assurer que,
si d'autres organisations ont des initiatives ou ont des projets en matière de
cybersécurité et de numérique, bien, de s'assurer qu'il y a cette cohérence-là
au niveau du gouvernement, donc, cette vision-là de cybersécurité et de
cohérence au niveau gouvernemental, et c'est ce que l'article vient préciser.
La Présidente (Mme D'Amours) : Y
a-t-il des interventions sur l'article 12?
Mme Setlakwe : Oui, s'il vous
plaît, Mme la Présidente. Donc, ici, on a changé de loi, là, on n'est plus dans
la LGGRI.
M. Caire : C'est la Loi sur
le ministère, oui.
Mme Setlakwe : Qu'on est en
train de changer. Donc, je ne comprendrai pas, encore une fois, pourquoi on le
fait à ce stade-ci. Je pense que vous avez déjà répondu, là, que la situation a
évolué, puis que vous avez remarqué un travail en silo. Donc, honnêtement, sur
le fond, je comprends que vous vouliez préciser ce rôle-là «d'assurer la
cohérence et l'harmonisation des actions gouvernementales dans les domaines de
la cybersécurité, du numérique», ça va, «et, à cette fin, est associé à
l'élaboration des mesures».
«Le ministre doit être associé à
l'élaboration», il me semble que c'est un certain détour. Est-ce qu'on peut
m'expliquer le libellé, pourquoi vous n'êtes pas donc... Pourquoi ce n'est pas
simplement que «le ministre doit élaborer des mesures». Vous devez être associé
à l'élaboration des mesures ainsi qu'aux décisions ministérielles dans ces
domaines.
M. Caire : Bien, c'est parce
qu'il peut arriver qu'un ministère ou un organisme, à l'intérieur de sa
mission, de ses prérogatives, bon, va avoir un projet ou va mettre en place des
mesures. Donc, pour s'assurer que ces mesures-là sont en cohérence avec ce qui
se fait, on doit y être associé. Donc, ce que ça peut vouloir dire, par
exemple, c'est de déposer un mémoire conjoint au Conseil des ministres. Vous
pariez du ministère de l'Économie tout à l'heure, bon, bien, le ministère de
l'Économie peut mettre en place des programmes, peut mettre en place des
mesures spécifiques pour favoriser l'élaboration de la cybersécurité, donc pour
s'assurer d'une cohérence. Ce que ça vient dire, c'est qu'il faut que le
ministère de la Cybersécurité soit partie prenante de cette décision-là pour
assurer l'harmonie, assurer la cohérence, la cohésion.
Mme Setlakwe : Je comprends.
C'est la suite du premier énoncé, là, parce que c'est «à cette fin, être
associé à l'élaboration des mesures ainsi qu'aux décisions ministérielles»,
parce que ça se fait conjointement avec les ministères concernés.
M. Caire : C'est ça, oui. En
fait, c'est une façon de dire au ministère : Si vous avez des mesures, des
programmes qui concernent la transformation numérique et/ou la cybersécurité,
vous devez vous référer au ministère de la Cybersécurité et du Numérique pour
s'assurer que ce que vous faites est en conformité, est en harmonie avec les
politiques gouvernementales.
Mme Setlakwe : Mais il n'y a
pas d'obligation ici, là, il n'y a pas d'obligation des autres ministères. Tout
ce qu'on dit, c'est un peu flou, là : «Le ministre doit être associé à
l'élaboration des mesures.»
M. Caire : Bien oui, c'est
ça.
Mme Setlakwe : ...
M. Caire : C'est «doit». Oui,
il y une obligation, c'est,,,
Mme Setlakwe : Oui, mais là,
vous avez dit, en tout cas, vous avez dit : «Les ministères concernés
doivent élaborer des mesures puis doivent être...
M. Caire : Je n'ai pas dit
qu'ils devaient élaborer des mesures. Ce que je dis, c'est que, dans le cas où
un ministère ou un organisme prend des mesures qui touchent la cybersécurité ou
le numérique, il doit s'assurer, au niveau du ministère de la Cybersécurité et
du Numérique, que ce qu'il fait est en conformité avec ce que nous, on fait.
Donc, c'est dans ce sens-là où on dit : Quiconque doit y être associé, ce
qui veut dire, dans le fond, que le ministère ne perd pas sa capacité à agir
parce qu'il...
M. Caire : ...de numérique, tu
sais, ce n'est pas... on ne met pas les ministères et organismes en tutelle,
c'est... donc ils ont quand même une capacité d'agir dans ce qui relève de leur
prérogative. Puis ce n'est pas parce que ça touche la cybersécurité et le
numérique qu'ils n'ont plus le droit d'avoir des initiatives ou d'avoir des
programmes ou des projets, ils peuvent, c'est juste de s'assurer que, quand
c'est le cas, bien, on... vous vous associez le ministère de la Cybersécurité
et du Numérique, à ses initiatives, à ses programmes, à ses projets, pour
assurer la cohérence, pour assurer l'harmonie. Et moi, de ce côté-là, je peux
aussi, si je le juge à propos, dire à un collègue qui a un programme x, y en
cybersécurité, admettons, à dire : Bien, écoute, moi, je pense que, pour
telle et telle raison, tu devrais plutôt aller dans cette direction-là. Donc,
j'ai aussi la possibilité.... j'aurai aussi la possibilité de donner mon avis
dans les programmes qui seront élaborés par les collègues, si je pense que
c'est important de le faire.
Mme Setlakwe : Ça, ce
bout-là, le dernier bout, ça... je comprends, oui, donner votre avis lorsque
vous le jugez opportun.
M. Caire : C'est ça.
Mme Setlakwe : Donc, vous
n'avez pas l'obligation de le faire, vous le faites au besoin. Ça, il n'y a pas
d'enjeu. Moi, c'est vraiment le bout du milieu.
M. Caire : Oui, parce que ce
n'est pas...
Mme Setlakwe : Allez-y. Je
m'excuse.
M. Caire : Non, mais je veux
dire, ça ne veut pas dire qu'il serait toujours pertinent de le faire. Donc
c'est pour ça que c'est «s'il le juge à propos»... «opportun», pardon.
• (11 h 20) •
M. Caire : En tout cas, moi,
je serais curieuse d'entendre Me Bacon, là, sur le deuxième énoncé, «le
ministre doit être associé à l'élaboration». Mais donc, pourquoi il n'y a pas
une obligation d'être consulté ou d'émettre des recommandations ou de
participer à l'élaboration?
M. Caire : Bien, il y en a
une. Bien, il y a une obligation, parce que, quand on dit «le ministre doit»,
c'est une... Vous dites : le ministre doit...
Mme Setlakwe : oui, mais de
quelle façon...
La Présidente (Mme D'Amours) : Je
veux juste vous interrompre quelques instants. C'est que je vous laisse aller,
ça va bien, c'est une belle discussion, qui est très, très respectueuse. Sauf
qu'il faut que vous pensiez qu'il y a des gens qui vous suivent puis qui
écrivent les verbatim que vous parlez. Ça fait que, si vous vous interpeler
pendant qu'il y a une réponse ou qu'il y a une question, s'il vous plaît, juste
attendre, pour la technique, ça va être un petit peu plus facile, s'il vous
plaît.
Mme Setlakwe : Vous avez
raison.
M. Caire : Oui.
La Présidente (Mme D'Amours) : Donc,
M. le ministre.
M. Caire : Bon. En fait,
l'article dit «le ministre doit assurer la cohérence et l'harmonisation des
actions gouvernementales dans le domaine de la cybersécurité et du numérique
et, à cette fin, être associé à l'élaboration des mesures ainsi qu'aux
décisions ministérielles dans ces domaines.» Donc, ce n'est pas une option,
c'est une obligation. Donc, elle est là, l'obligation.
Mme Setlakwe : Là, je
comprends que le «doit» s'applique aux deux, il n'y a pas d'enjeu, là. Mais
c'est «doit être associé», moi, c'est juste ça que je trouvais qui n'était pas
clair. Mais si c'est clair pour vous que vous devez être impliqué dans la
rédaction, dans la réflexion entourant l'élaboration des mesures, si les légistes
considèrent que c'est assez clair. Parce que, pour moi, «être associé». Je ne
sais pas, il me semble, ce n'est pas un terme légal, être associé à quelque
chose. Vous y participez, vous...
M. Caire : Sur la légalité,
je vais laisser... en fait, sur l'aspect légistique, je vais laisser Maître
Bacon vous vous répondre. Mais l'intention du législateur, c'est de faire en
sorte que, oui, le ministre de la Cybersécurité et du Numérique doit être
partie prenante lorsqu'il y a une décision ou un programme ou une intention en
matière de cybersécurité et de numérique, le ministère de la Cybersécurité et
du Numérique doit être associé à cette démarche-là. Ça, c'est sûr que c'est
l'intention du législateur. Maintenant, sur la question légistique, je vais
laisser, Me Bacon.
La Présidente (Mme D'Amours) : J'ai
besoin du consentement pour que Me Bacon puisse prendre la parole.
Consentement?
Des voix : Consentement.
La Présidente (Mme D'Amours) : Donc,
Maître Bacon, veuillez dire votre titre et puis répondre à la question, s'il
vous plaît.
Mme Bacon (Nathalie) : Oui,
bonjour, Mme la Présidente. Nathalie Bacon, légiste au ministère de la
Cybersécurité et du Numérique.
Effectivement, lorsqu'on a rédigé cet
article-là, on a été également un peu surpris par le mot «associé». Vous faites
bien de poser la question. C'est... On avait des précédents législatifs d'une
part à la Loi sur le ministère de l'Économie et de l'innovation et aussi à la
loi sur le ministère des Affaires municipales. Autrement dit, il y a une espèce
de vocabulaire qui est utilisé entre ministres, et le mot «doit être associé»,
donc il le doit, ce n'est pas une option, donc on ne peut pas passer par-dessus
le ministre de la Cybersécurité et du Numérique, on doit l'associer. Mais ces
mots-là ont une forme de flexibilité, c'est-à-dire que le ministre n'est pas
obligé de tenir le crayon, mais il peut participer...
Mme Bacon (Nathalie) : ...travaux,
selon ce qu'on lui demandera ou selon ce que lui verra avec son expertise, du
début à la fin de la mesure ministérielle. Donc, normalement, le sens que ça
prend dans l'appareil gouvernemental, j'imagine que c'est des choses que vous
savez, là, pour le cheminement des mémoires au Conseil des ministres en vue
d'une décision gouvernementale, notamment dans le cadre de la prise d'un
programme pour des... mettons, le versement de subventions, alors ce sera le
mémoire conjoint avec le ministre responsable et le ministre de la
Cybersécurité.
Mme Setlakwe : Merci
beaucoup, Me Bacon. Non, non, ça me... vous m'instruisez, là, j'en apprends,
là. Je ne savais pas exactement qu'est-ce que ça voulait dire. Je comprends que
c'est une expression qui existe dans d'autres lois. Puis, en fait, on n'est pas
en train d'établir une forme de hiérarchie, là. On s'entend qu'ils doivent
travailler ensemble, conjointement?
Mme Bacon (Nathalie) : Mme la
Présidente, exactement, c'est une façon de respecter la... nos collègues, là,
ministres, là, la hiérarchie ministérielle.
Mme Setlakwe : C'est ça. O.K.
Je comprends. Alors que, dans d'autres libellés, on aurait pu dire ou en tout
cas élaborer une forme de droit de veto ou de dire : On doit être
consultés, on doit l'approuver. Je comprends. Moi, l'explication me satisfait.
Merci.
La Présidente (Mme D'Amours) : D'autres
interventions?
Mme Setlakwe : Non.
La Présidente (Mme D'Amours) : L'article 12
est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : Merci.
L'article 13. M. le ministre, s'il vous plaît.
M. Caire : Oui, Mme la
Présidente. Article 13. L'article quatre de cette loi est modifié :
1° par l'insertion, dans le troisième
alinéa et après «étendue», de «les conditions d'utilisation, incluant, en ce
qui a trait aux responsabilités du ministre et des utilisateurs»;
2° par l'ajout, à la fin, de l'alinéa
suivant :
«Le ministre peut fournir à un organisme
public tout autre service en ressources informationnelles en vue de répondre à
un besoin particulier d'un tel organisme lorsque ce dernier lui en formule la
demande.».
Donc, Mme la Présidente, bon, là, on est
dans la capacité de donner des services, rajouter des services. C'est un petit
peu la discussion qu'on avait tout à l'heure, avec la députée, sur... On a des
responsabilités, on a aussi des obligations, puis on veut être capables d'aider
nos ministères et organismes dans leur transformation numérique et dans leur
maturité numérique.
La Présidente (Mme D'Amours) : Merci.
Des interventions pour l'article 13?
Mme Setlakwe : Oui, s'il vous
plaît. Bien, j'aurais aimé ça que le ministre lise le commentaire. Juste,
permettez-moi de le lire. Donc, qu'est-ce qu'on est en train de faire à un et
deux? Puis j'aimerais ça avoir des exemples précis, là. On a dû... vous avez dû
sentir, donc, qu'il y avait des... ou peut-être qu'il y a des... c'est
justement suite à des cas vécus, des cas d'espèce que vous avez senti le besoin
d'ajouter ce libellé-là?
Une voix : ...
M. Caire : Oui. Je peux...
Moi, je peux vous le lire, le commentaire, si vous voulez. Le paragraphe un de
l'article 13 du projet de loi prévoit que le ministre peut fixer des
conditions d'utilisation pour les services qu'il rend aux organismes publics en
infrastructure technologique et en système de soutien commun dans l'objectif de
clarifier le partage des responsabilités entre le ministre et les organismes
publics. Le paragraphe deux de l'article 13 du projet de loi prévoit la
responsabilité pour le ministre de fournir un service en ressources
informationnelles en vue de répondre aux besoins particuliers d'un organisme.
Bon.
Puis sur le besoin particulier, c'est
parce qu'actuellement on peut fournir des services d'infrastructure, on peut
fournir des services communs, mais si un ministère, par exemple, avait un
besoin particulier, puis on parlait d'intelligence artificielle tantôt, je ne
peux pas fournir le service, là, selon la façon dont le ministère a été conçu.
On est vraiment sur les... En fait, c'est un petit peu la philosophie du CSPQ
qu'on a importée, là. Tout ce qui est en service partagé, services communs,
services d'infrastructure ont donné ça. Mais, si on veut aller dans des
services plus particuliers, pour un ministère, pour un organisme, ça, bien, on
ne pouvait pas le faire, ce n'était pas dans la loi constitutive du ministère.
Donc là, on vient d'ajouter cette possibilité-là pour le ministère d'aller
vraiment dans du service plus personnalisé.
Puis pour les conditions d'utilisation
puis les responsabilités, bien, on s'en va... aussi au niveau des services de
télécommunications, au niveau des services en infonuagique, comme je vous
disais, là, tout à l'heure, bien, il y a le nuage gouvernemental, il y a la
possibilité d'aller vers le nuage public, donc, dans quelles conditions on va
vous amener au nuage gouvernemental, dans quelles conditions vous allez
utiliser le service public. Même chose au niveau des télécommunications, on a
le déploiement de tout le réseau de télécommunications et des services internet
aussi, avec le RITM, là, qu'on est en train de...
M. Caire : ...avec le réseau
gouvernemental des télécommunications. Donc là, c'est qu'est-ce que nous, on
offre comme services, qu'est-ce que vous, vous avez l'obligation de faire,
selon quelles conditions vous pouvez utiliser ces services-là. On vient
rajouter cette possibilité-là.
Mme Setlakwe : Est-ce que
vous avez eu des commentaires comme quoi c'était trop contraignant?
M. Caire : Non. Non, non,
mais je pense qu'avec, je vous dirais, la fusion des différents organismes puis
la constitution du ministère, c'est des précisions qui sont importantes, mais,
je vous dirais, ce n'est pas nécessairement parce qu'on a eu des situations
conflictuelles.
Puis, pour ce qui est des services
particuliers, bien, c'est un petit peu ce que je disais tout à l'heure, là,
oui, le mandat du ministère était vraiment dans le service commun, service
d'infrastructure, mais on n'avait pas cette dimension-là, d'avoir un service plus
particulier, donc dans un service pour un organisme ou un ministère, d'aller
vers... Puis je vous dirais que moi, je souhaite qu'on puisse avoir ce
volet-là, comment je dirais, de consultation interne, donc de faire en sorte
qu'à l'interne on a cette expertise-là puis on la met en commun. Mais là on va
vraiment plus au niveau du particulier, donc ça ajoute, je dirais, une corde à
l'arc du ministère.
• (11 h 30) •
Mme Setlakwe : Puis qu'est-ce
que vous avez donné comme exemple déjà en termes de... au niveau de
l'intelligence artificielle ou autre?
M. Caire : Oui, c'est ça le
centre québécois d'excellence numérique va développer des cellules d'expertise
en intelligence artificielle, en automatisation, sur l'Internet des objets, en
quantique. On a vraiment un beau bouquet d'expertises qui se développe. Puis ce
qu'on dit aux ministères et organismes : Bien là, on n'est plus dans le
service commun, on n'est plus dans le service d'infrastructure, on est... là on
commence à être plus dans la consultation. Puis on voudrait être capables de
faire ça avec nos ministères, d'être capables de dire : Bon, bien,
Écoutez, on a ces services-là, puis vous pouvez les utiliser. Mais là on va
s'adresser à un ministère en particulier dans un projet particulier, donc c'est
là-dessus que, comme je vous disais, qu'on rajoute une corde à notre arc.
La Présidente (Mme D'Amours) : D'autres
commentaires?
Mme Setlakwe : Oui.
La Présidente (Mme D'Amours) : Pardon.
Mme Setlakwe : Juste peut-être
une dernière question. Mais ça, évidemment, c'est un pouvoir, ce n'est pas une
obligation. «De fournir tout autre service en ressources informationnelles en
vue de répondre à un besoin particulier d'un tel organisme lorsque ce dernier
lui en formule la demande». O.K., donc ce n'est pas... Non, non, c'est ça, ce
n'est pas contraignant, mais vous...
M. Caire : Non, c'est
vraiment la possibilité de le faire.
Mme Setlakwe : Mais il faut
que la demande soit faite, c'est ça qui est écrit, là, il faut que ça soit
suite à une demande?
M. Caire : Oui, oui.
Mme Setlakwe : O.K.
M. Caire : Oui. C'est pour ça
que je vous dis c'est pour ça que... C'est parce que dans la conception qu'on
avait du Centre québécois d'excellence numérique, on se disait : Ça
pourrait devenir, à petite échelle, sur des domaines précis, peut-être plus une
espèce de boîte de consultation pour nos ministères et organismes dans des
champs d'expertise qui sont précis.
Mme Setlakwe : Merci.
La Présidente (Mme D'Amours) : Merci.
L'article 13 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article 14.
M. le ministre, s'il vous plaît.
M. Caire : ...l'article 14.
Cette loi est modifiée par l'insertion, après l'article cinq, du suivant :
«5.1. Le ministre fournit aux organismes
publics les services de certification incluant les services de répertoire y
afférents ainsi que des services de signature électronique que le Gouvernement
détermine.
«Un décret pris en vertu du premier alinéa
détermine les services visés par les conditions et modalités de leur fourniture
ainsi que les cas et les conditions selon lesquels un organisme public est tenu
de recourir pour répondre à ses besoins. Il peut autoriser le ministre à
déléguer certaines fonctions relatives aux services à un organisme public pour
permettre sa mise en œuvre. Il peut également prévoir le transfert au ministre
d'actif informationnel d'un organisme public ainsi que toutes les obligations
qui en résultent.
«Lorsqu'un décret est pris en vertu du
premier alinéa... Lorsqu'un décret pris en vertu du premier alinéa concerne des
services de certification et de répertoire, il doit contenir l'énoncé de
politique prévu à l'article 52 de la Loi concernant le cadre juridique des
technologies de l'information, chapitre C-1.1.».
En fait, je vous dirais que ça, ça vient
compléter un vestige de l'étape où il n'y avait pas de ministère de la
Cybersécurité, donc tous les services de certification, de répertoire, tout ça
était au ministère de la Justice. Quand on a créé le ministère, la
responsabilité est devenue la responsabilité du ministère de la Cybersécurité,
mais tout le volet opérationnel est resté au ministère de la Justice. Or,
aujourd'hui, je vous dirais que, bon, on a développé l'expertise en
cybersécurité, et tout ça, donc, on se dit, à terme, ça serait...
11 h 30 (version non révisée)
M. Caire : ...important de
rapatrier cette fonction-là au ministère de la Cybersécurité dans
l'opérationnel, mais on... on... on veut le faire graduellement, là, d'où le
libérer de le faire par décret et/ou d'avoir la possibilité de continuer à... à
impartir ça au ministère, parce qu'il faut y aller quand même par étapes,
c'est... c'est... c'est des services qui sont quand même assez importants,
assez gros, assez névralgiques, là. Donc, c'est important de... de... de le
faire selon une certaine séquence, là, pour ne pas être... être en rupture de
services non plus.
Mme Setlakwe : Donc, il y a
un plan de transition?
M.
Caire
: Oui,
tout à fait.
Mme Setlakwe : Ça peut
prendre combien d'années?
M. Caire : C'est une bonne
question. Je vous dirais que ce n'est pas... il n'y a pas urgence de... Bon.
Premièrement, il y a... il y a... il y a quand même certaines mises à niveau à
faire initialement sur nos... là, toute notre infrastructure avec les publics,
dans un premier temps, donc en collaboration avec le ministère de la Justice.
Après ça, bien, le rapatriement, je vous dirais peut-être... bien là, je
m'avance pas mal, mais d'ici la fin du mandat, là.
La Présidente (Mme D'Amours) : D'autres
commentaires, Mme la députée?
Mme Setlakwe : Oui. Est-ce...
Merci. Est-ce qu'il y a d'autres pouvoirs comme ça qui demeurent entre les
mains du ministère de la Justice dans le cadre de votre mission?
M. Caire : Non. Non. Ça,
c'était vraiment... Bien, parce que le ministère de la Justice, si vous pensez
à la Loi concernant le cadre juridique des technologies de l'information, le...
le... tout le volet sur la preuve, la preuve numérique, ça relève du ministère
de la Justice. Mais, tu sais, on est vraiment dans la gestion de la preuve puis...
Donc, ça, qui est vraiment une mission de cybersécurité, je vous dirais que
c'était... c'était le dernier volet.
Mme Setlakwe : Est-ce que,
ça, ça évolue rapidement? J'imagine que oui, tu sais. Est-ce que... Oui, une
fois que c'est mis sur pied, il y a déjà toujours des nouvelles versions?
M. Caire : Oui, oui, oui,
vraiment. Oui, puis, tu sais, c'est... c'est une expertise qui est quand même
particulière, là. Toutes les infrastructures avec le public, là, c'est... Bien,
nous, on développe ce volet-là.
Mme Setlakwe : Puis ça, vous
l'avez à l'interne, l'expertise, ou vous dépendez aussi de l'externe?
M. Caire : Non, on a ça à
l'interne.
Mme Setlakwe : Donc, là, on a
comme... Est-ce que c'est le même libellé qui existait dans la loi... la loi
sur... en tout cas, du ministère de la...
M. Caire : Non. Bien là, ça,
c'est un libellé qui vise la transition.
Mme Setlakwe : Oui, les
services de certification. Ah! mais c'est «incluant». Ça fait que... Parce que,
si ça évolue, il y a place à...
M. Caire : Oui, oui, tout à
fait.
Mme Setlakwe : Ce n'est pas
exhaustif comme liste. O.K.
M. Caire : Non, non.
La Présidente (Mme D'Amours) : Je
vous rappelle d'attendre que les personnes aient terminé leur intervention
avant de commenter, s'il vous plaît, pour le bien de nos gens qui nous suivent,
qui suivent nos travaux, s'il vous plaît. Merci, M. le ministre. Mme la
députée.
Mme Setlakwe : Ainsi donc, le
libellé est suffisamment large que vous ne serez... vous n'aurez pas besoin de...
M. Caire : Non.
Mme Setlakwe : ...de modifier
la loi dans... dans quelques mois?
M. Caire : Non, parce qu'on
va pouvoir travailler par arrêtés ministériels.
Mme Setlakwe : Ça, ici, il
n'y a pas eu de... c'est ça, il n'y a pas d'enjeu ici, là, il n'y a pas
personne qui vous a dit: Non, on veut...
M. Caire : Non. Non, je pense
que tout le monde comprend que ça... ça... c'est logique.
Mme Setlakwe : O.K.
La Présidente (Mme D'Amours) : D'autres
commentaires?
Mme Setlakwe : Oui, ce ne
sera pas long, Mme la Présidente. Puis dans quels cas est-ce que vous déléguez
certaines des fonctions? Ça, ça existe déjà aussi? Parce que vous dites: vous
vous occupez de rendre les services, il y a un décret qui est émis, ça
détermine les services, les conditions et les modalités de leur fourniture
ainsi que les cas et les conditions selon lesquels un organisme public est tenu
d'y recourir pour répondre à ses besoins. Et vous, vous contrôlez vraiment tout
ça?
M. Caire : C'est ça.
Mme Setlakwe : Vous pouvez
autoriser... Le décret peut autoriser le ministre à déléguer certaines
fonctions relatives aux services à un organisme public. Par exemple?
M. Caire : Si... si... si
d'aventure, dans la transition, on... on se disait: Bon, bien, il y a peut-être
pertinence de laisser une partie de... de... de... des opérations au ministère
de la Justice ou... à ce moment-là, on a la... pardon, on a la possibilité de
le faire.
Mme Setlakwe : O.K. Mais il
n'y a pas d'enjeu en ce moment, là, avec... de... de... de retard ou de...
de... de... d'un mandat de cet autre ministère qui n'est pas... qui n'est pas
exécuté, là, tu sais?
M. Caire : Non. Non, c'est
vraiment parce que, nous, on développe cette expertise-là, puis, dans la
logique de la mise en place du réseau gouvernemental de cyberdéfense, il y a
une volonté de rapatrier les expertises plus pointues au ministère puis de...
de... de... d'assurer le... le... la mise à niveau de ça... bien, le maintien à
jour, je devrais dire, plutôt que la mise à niveau.
Mme Setlakwe : O.K. Merci.
Puis comment se fait-il qu'on décrit très bien ce que le...
Mme Setlakwe : ...le décret
doit prévoir, prévoyait aussi que le décret peut permettre, «peut prévoir le
transfert au ministre d'actif informationnel d'un organisme public ainsi que de
toutes les obligations qui en résultent.» Puis à la fin... Oui, allez-y.
M. Caire : Parce qu'il y a
des ressources qui travaillent là-dessus au ministère de la Justice, donc on
pourrait...
Mme Setlakwe : Exact, on
rapatrie.
M. Caire : C'est ça.
Mme Setlakwe : Dernier
alinéa, «lorsqu'un décret pris en vertu du premier alinéa concerne des services
de certification et de répertoire, il doit contenir l'énoncé de politique prévu
à l'article 52 de la Loi concernant le cadre juridique des technologies de
l'information», donc pourquoi on a fait cette distinction-là? Puis qu'est-ce
que ça vient dire, exactement, cet énoncé de politique?
Des voix : ...
M. Caire : Je vais vous lire
l'article en question, Mme la députée.
Une voix : ...
M. Caire : Alors,
«l'article 52 du cadre prévoit l'énoncé de politique d'un prestataire de
service de certification ou de répertoire, indique au moins», là vous avez neuf
éléments qui doivent être prescrits dans ces politiques-là. Donc, c'est de
dire : on va respecter le décret que nous allons prendre, dans le
rapatriement, va respecter les différentes obligations qui sont prévues à cet
article-là.
• (11 h 40) •
Mme Setlakwe : Merci.
La Présidente (Mme D'Amours) : ...question.
Donc, l'article 14 est-il adopté?
Des voix : Adopté.
La Présidente (Mme D'Amours) : L'article 15.
M. le ministre, s'il vous plaît.
M. Caire : Oui. Alors, Mme la
Présidente, l'article 15. L'article sept de cette loi est modifié par le
remplacement de «l'article quatre et» par «aux articles 4 et 5.1 ainsi
que».
Ça, c'est de la concordance, là, parce
qu'il y a le nouvel article 5.1, qu'on vient d'adopter à
l'article 14.
Le Président (M. Tremblay) : Parfait.
Des commentaires?
Mme Setlakwe : Oui, ça ne
sera pas long, merci.
Le Président (M. Tremblay) : Oui.
Mme Setlakwe : C'est de la
concordance pour ajouter 5.1, qu'on vient d'ajouter, en effet. Non, je n'ai pas
de question, M. le Président.
Le Président (M. Tremblay) : Parfait.
L'article 15 est adopté?
Des voix : Adopté.
Le Président (M. Tremblay) : M.
le ministre, à l'article 16, s'il vous plaît.
M. Caire : M. le Président,
l'article 16 se lit comme suit : cette loi est modifiée par
l'insertion, après l'article 10, du suivant :
«10.1. Le Gouvernement peut autoriser la
mise en œuvre par le ministre d'un projet pilote visant à étudier, à
expérimenter ou à innover dans le domaine de la cybersécurité ou dans celui du
numérique ou à définir des normes applicables en un tel domaine.
«Un projet pilote peut viser les
organismes publics ou les entreprises du gouvernement au sens de la Loi sur la
gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement, chapitre G-1.03, toute autre
entreprise ou les citoyens dans le respect des dispositions législatives
applicables, notamment en matière de protection des renseignements personnels
et de la vie privée. Le Gouvernement détermine les normes et les obligations
applicables dans le cadre d'un projet pilote. Il détermine également le
mécanisme de surveillance et de reddition de comptes applicable dans le cadre
d'un projet pilote. Un projet pilote est établi pour une durée maximale de
trois ans, que le gouvernement peut prolonger d'au plus un an. Le gouvernement
peut en tout temps modifier un projet pilote pour y mettre fin. Les résultats
du projet pilote doivent être publiés sur le site internet du ministère de la
Cybersécurité et du Numérique au plus tard un an après la fin du projet
pilote.».
Puis c'est un peu ce qu'on indiquait, Mme
la députée, qu'on veut être capables de... bon, on n'a pas de pouvoir
réglementaire, donc on veut être capables, par projets pilotes, de tester des
hypothèses. Compte tenu du mandat régalien du ministère en matière de
cybersécurité, là, on veut aller dans... tester des hypothèses, être capables
de voir comment on peut appliquer ce mandat-là à la société civile, les
entreprises privées, etc. Comme je vous disais, pour donner un exemple plus
précis, si on allait vers une obligation de divulgation, bien, qu'est-ce que ça
voudrait dire, qu'est-ce que ça aurait comme impact, quel serait l'encadrement
pour assurer la pérennité de l'entreprise, le secret industriel, etc. Donc...
Puis là, bien, ça, c'est un exemple, mais il y en, il y a quand même pas mal
d'autres exemples, là, pour lesquels on pourrait vouloir tester, là, la
capacité de mettre en place des normes, des standards, etc.
La Présidente (Mme D'Amours) : Des
commentaires, Mme la députée?
Mme Setlakwe : Oui. Bien, ça,
je pense que c'est un autre article clé, là, dans votre projet de loi?
M. Caire : Tout à fait. Oui,
il va être très, très, très utile, parce que, comme je...
M. Caire : ...je disais, le
ministère de la Cybersécurité et du Numérique, c'est une formule qui est très
innovante par rapport à ce qui se fait. Il y a beaucoup d'agences qui existent,
mais il n'y a pas de ministère. Puis, en plus, le ministère, ce qui est une
première au Canada, a une mission régalienne sur son territoire. Donc, ça, oui,
c'est important pour nous, pour être capables. Comme je disais, là, d'avancer
dans la mise en place de notre mandat, mais de le faire avec... comment je
dirais ça, avec une certaine marge de manœuvre pour essayer des choses. Il faut
se donner la capacité d'essayer des choses puis de dire : Oups! Non, on va
corriger le tir parce que ça ne s'en va pas dans la bonne direction ou on
n'atteint pas l'objectif ou... Puis on veut être capables aussi de collaborer
avec la société civile, là, dans la mise en place de ça. Parce que, si on n'a
pas cette collaboration-là, ces partenariats-là, à travers les projets pilotes,
on va avoir de la difficulté à fédérer les... la société civile.
Mme Setlakwe : Est-ce que
vous avez, donc, des exemples? Parce que c'est vraiment très large. Puis je ne
dis pas que ça n'a pas sa raison d'être, pas du tout. Puis vous touchez ici,
donc, plus au domaine privé ou pas forcément?
M. Caire : bien, je dirais
oui.
Mme Setlakwe : Oui, surtout?
M. Caire : Je dirais oui, je
dirais oui. Domaine privé, comme je vous, des exemples, bien, la divulgation
obligatoire, la définition de ce que c'est, un secteur stratégique, qu'est-ce
que c'est, un secteur stratégique en matière de cybersécurité, qu'est-ce qui
est stratégique, qu'est-ce qui est... Alors, on... Je pense que c'est important
de pouvoir tester des hypothèses.
Mme Setlakwe : Donc,
disons... Merci. Disons que le projet de loi est adopté, là, assez rapidement,
qu'est-ce que... ça va être quoi, votre mission, à court terme? Ce seraient
quoi, vos projets pilotes, à court terme? Ça serait dans quels secteurs que
vous interviendriez?
M. Caire : Bien, en fait, je
vous dirais, les premiers projets seraient potentiellement justement d'être
capables de voir comment on peut étendre notre réseau de cyberdéfense sans
nécessairement intégrer au réseau de cyberdéfense la société civile, intégrer
dans le sens où il y a une hiérarchie qui s'installe. Comme le réseau
gouvernemental de cyberdéfense, c'est une organisation hiérarchique, le
ministère est au centre de ça, puis il y a des indications d'application, des
ordres qui sont donnés au Centre opérationnel de cyberdéfense, qui sont
déployés dans les ministères, puis c'est vraiment comme ça que ça a été
construit. Puis, même dans la hiérarchie des ministères, il y a des organismes
à tous les niveaux qui sont chargés d'assurer la cyberdéfense de ces... C'est
très hiérarchique. Je ne pense pas qu'on puisse étendre ça à la société civile,
ce pouvoir-là, hiérarchique, mais par contre, on peut peut-être étendre le
réseau gouvernemental de cyberdéfense en mettant en place certaines pratiques,
notamment la divulgation d'incidents. Mais, pour ça, je pense qu'il faut qu'on
soit capables de le faire plus à travers des projets pilotes, parce que, comme
je disais, on n'a pas de pouvoir réglementaire. Donc, moi, je ne vais pas
prendre un règlement puis en vertu duquel telle ou telle ou telle entreprise va
être obligée de faire telle ou telle chose, tu sais. On va le faire à travers
des... comme je disais, des projets pilotes, où là, on va tester des
hypothèses. On va dire : Bon, bien, voici comment on... puis je pense
qu'on devrait opérer. Est-ce qu'on met en place les... est-ce qu'on développe
les 18 mesures partout sur le territoire, si oui, c'est quoi l'impact,
puis, bon, c'est tout ça, comment ça coûte, est-ce que les petites entreprises
ont la capacité de faire ça, qu'est-ce que ça prendrait comme soutien pour y arriver.
Donc, avec un projet pilote dans des secteurs ciblés, bien, on est capables de
tester ces hypothèses-là.
Mme Setlakwe : Je comprends.
Là, vous ne nous dites pas dans quels secteurs vous souhaitez intervenir de
façon prioritaire.
M. Caire : Je dis... Bien, je
dirais, il faut définir quels sont les secteurs stratégiques. Moi, en tout
respect, je ne suis pas sûr que le gouvernement du Québec... Tu sais, le
dépanneur, qui est très certainement un commerce qu'on adore tous, mais, tu
sais, une cyberattaque, c'est plate, mais bon, ça ne vient pas d'impacter le
Québec. Par contre, les secteurs de l'énergie, ah, là on est ailleurs. Donc,
s'il y avait... puis là, je ne pense pas à Hydro-Québec, parce que je pense
qu'on a eu cette discussion-là au début de la conversation, mais il y a des
entreprises privées qui travaillent dans le domaine de l'énergie, bien, ça,
peut-être que l'impact est autre. Au niveau de notre économie, il y a des
entreprises, des institutions qui sont plus...
M. Caire : ...névralgiques,
dont l'impact va être beaucoup plus grand s'il y avait une cyberattaque. Donc,
ça... Alors, il faut les identifier puis il faut voir comment on interagit avec
eux autres. C'est pour ça que les projets pilotes, vous avez raison, ça, c'est
un point, un pan très important du projet de loi pour la suite des choses.
Mme Setlakwe : Donc, vous
souhaitez intervenir en priorité dans des... en tout cas, ce n'est pas une
déclaration formelle que vous faites ce matin, là, mais une des priorités, ce
serait des entreprises privées dans secteur de l'énergie? Ça pourrait être
l'éolien.
M. Caire : Des entreprises
privées dans des secteurs stratégiques, mais, oui, dans des secteurs qui sont
stratégiques pour l'économie québécoise. Oui. Oui, parce que c'est... On le
voit, là, quand on sort du domaine public, évidemment, mais, le domaine public,
on est déjà dans le réseau gouvernemental de cyberdéfense. Mais quand on va
dans l'entreprise privée, il y a des secteurs qui sont névralgiques pour l'économie,
le secteur bancaire, entre autres, bon, on parle de l'énergie, c'est un autre
secteur qui est important. Bien, on peut paralyser l'économie d'une société à
travers des cyberattaques concertées, donc comment on peut travailler avec ces
secteurs-là pour assurer une plus grande cybersécurité de nos secteurs
stratégiques.
Mme Setlakwe : D'autres
exemples?
M. Caire : Non, je pense que
ça donne une bonne idée, là, de l'intention.
Mme Setlakwe : Est-ce que
vous pensez qu'il y a suffisamment de sensibilisation de la population?
• (11 h 50) •
M. Caire : Oui, dans les
secteurs stratégiques, oui, mais c'est la cohésion qu'il faut gagner. Donc,
moi, je dis toujours : le silo est l'ami du cyberattaquant. Alors, c'est
cette cohésion-là qu'on veut aller chercher. Mais les secteurs névralgiques
sont... ont probablement à un bon niveau de conscience du risque. Mais, si on
travaille en cohésion, en cohérence, on est plus efficaces.
Mme Setlakwe : Merci. La CAI
avait... On a parlé de la CAI, la semaine dernière, là, la Commission d'accès à
l'information, qui a soumis... en fait, qui est une des seules entités à avoir
soumis un mémoire. Il y en a eu très peu. On n'a pas eu beaucoup de... beaucoup
d'échanges durant les consultations, il y a beaucoup de groupes qui se sont
désistés. Mais la CAI est venue, bon, nous parler des articles 10 et 19.
Ça, on en a parlé. En fait, le... toute la question des règles de gouvernance,
ça, ça va, on en a parlé abondamment. Mais au niveau de l'article 16, ils
ont des enjeux, là. Ils disent que «l'article 16 va permettre au
gouvernement d'autoriser la mise en œuvre d'un projet pilote, bon, ça, ça va,
qui vise à étudier, expérimenter, innover dans le domaine de la cybersécurité
ou du numérique, ou à définir des normes applicables.» Est-ce que vous avez
considéré leurs préoccupations? Là, j'y arrive, là, dans... ils avaient...
M. Caire : Bien, en fait,
oui. Je vous dirais que, si vous regardez le deuxième alinéa, l'idée était
effectivement de... Parce qu'en fait la CAI dit : Vous devriez faire comme
on le fait dans le projet de loi n° 14, mais on n'est pas... Ce n'est pas
le même champ d'intervention. La loi 14, on vise des projets en ressources
informationnelles qui sont d'intérêt gouvernemental, alors que là, on vise des
projets pilotes qui vont nous permettre d'aller plus vers le normatif ou la
définition de règles, de normes. On n'est pas dans la mise en place d'une
application en technologies de l'information, où là, on va chercher dans les
banques d'information du gouvernement des données, des informations.
Maintenant, le projet pilote... Puis on a
rajouté le deuxième alinéa pour dire : Écoutez, c'est sûr que ce projet
pilote là va se faire dans le respect des dispositions législatives
applicables, on penser à la loi 25 notamment, mais on n'est pas dans des
projets à ressources informationnelles, on est dans des projets qui visent à établir
des normes, des façons de faire, des standards.
Mme Setlakwe : Puis vous
dites que ça doit respecter... dans le respect des dispositions législatives
applicables?
M. Caire : Oui, oui. Bien
oui, il faut. Bien, le gouvernement peut établir aussi des normes applicables
aux projets pilotes, donc...
M. Caire : ...dépendamment, on
se donne aussi la souplesse de dire : Bien, dépendamment du projet pilote,
il y a peut-être certaines normes supplémentaires qui devront être mises en
place, puis là, on a la possibilité de le faire avec le deuxième alinéa. Mais c'est
fonction du projet pilote. Tu sais, de façon générale, on va respecter les
lois, puis de façon particulière, on pourra rajouter des normes et des
obligations.
Mme Setlakwe : «La commission
suggère d'ajouter à l'article 16 que le Gouvernement doit édicter des
règles particulières dans le cadre d'un projet pilote lorsqu'il existe un degré
élevé d'attente... d'atteinte raisonnable en matière de vie privée sauf si une
disposition d'une loi ou d'un règlement prévoit déjà une protection adéquate.
Une telle précision pourrait bonifier l'article 16.»
M. Caire : Bien, en tout
respect, je ne suis pas d'accord avec la CAI, parce que, faire une évaluation
des facteurs relatifs de la vie privée, c'est un travail qui est quand même
très important. Et de le faire systématiquement sans savoir c'est quoi, le
projet pilote, ça vise quoi, tu sais, c'est comme de dire : dans tous les
projets pilotes, sans savoir ce que vous allez faire, sans savoir les
hypothèses que vous allez tester, vous devriez faire une évaluation des
facteurs relatifs à la vie privée. Mais il y a des projets pilotes, Mme la
députée, qui n'auront aucun impact sur la vie privée, là. On s'entend, là, on
parle d'une capacité normative. Alors, ce n'est pas... on ne parle pas de...
comme je dis, là, d'un projet en ressources informationnelles, qui accède à des
données, qui va traiter de la donnée, qui, dans certains cas, va en générer. On
n'est pas là du tout, là. Donc, moi, je pense que le deuxième alinéa fait bien
le travail. Compte tenu de la raison pour laquelle l'article 16 est
édicté, je pense que ça fait le travail.
Mme Setlakwe : Oui, ça le
fait, c'est sûr. Ça le fait de façon moins stricte, je dirais. Ce qu'eux
disent, à la CAI, ce n'est pas de faire cette évaluation-là dans tous les cas,
c'est de dire «que le gouvernement doit édicter des règles particulières dans
le cadre d'un projet pilote lorsqu'il existe un degré élevé». Est-ce que ça,
c'est une notion connue, un degré élevé d'attente? Non, je pense qu'ils se sont
trompés. C'est «d'atteinte raisonnable en matière de vie privée»? C'est
«atteinte».
M. Caire : Bien, c'est pour
ça que je vous parle d'évaluation des facteurs relatifs à la vie privée. C'est
parce que, ce que ça sous-entend, c'est qu'il faudrait systématiquement faire
cette évaluation-là pour valider est-ce qu'il y a un degré... au degré
d'atteinte à la vie privée. Mais ça, on le sait, si on fait l'évaluation puis
selon ce qui... la formulation qui est utilisée par la CAI. Puis, oui, on va le
retrouver dans la loi 95, on va le retrouver dans la loi 25,
notamment, là. Mais ça, c'est, oui, quand il y a des projets en ressources
informationnelles, mais on n'est pas dans des projets en ressources
informationnelles.
Mme Setlakwe : O.K. Troisième
alinéa, c'est la durée. Pourquoi vous avez choisi trois ans?
M. Caire : Parce qu'en
général je vous dirais que ça nous... après trois ans, là, tu sais, si on n'a
pas une bonne idée des hypothèses qu'on veut tester... Tu sais, normalement, ça
risque d'être moins que ça, là, les projets puis la durée des projets pilotes.
Mais en trois ans, on est capables, je pense, de collecter une bonne
information, des cas qui vont être très parlants. Puis on se rajoute aussi la
possibilité de l'étirer d'un an, là, dans les faits, donc ça peut aller jusqu'à
quatre ans. Mais on parle quand même de projets pilotes sur du normatif en
cybersécurité, là. L'idée générale, c'est... Je vous dirais que c'est d'aller
même peut-être un petit peu plus vite que ça, là.
Mme Setlakwe : Mais ça ne dit
pas que c'est... vous, vous semblez dire : ça vise du normatif, mais ça...
à la lecture de cet article-là, ça me semble très large. Non?
M. Caire : Oui. Bien, c'est
parce que, si vous regardez, bon, «expérimenter ou innover dans le domaine de
la cybersécurité ou dans celui du numérique ou à définir des normes applicables
à un tel domaine», donc, oui, on est vraiment dans l'idée de pouvoir établir un
cadre normatif.
Mme Setlakwe : O.K. Donc,
trois ans plus un an?
M. Caire : Oui.
Mme Setlakwe : Puis après, on
vient dire «le gouvernement peut en tout temps modifier un projet pilote».
M. Caire : Oui.
Mme Setlakwe : Ça, là, c'est
assez large, là. Modifier, ça veut dire, dans le fond, vous...
M.
Caire
: Oui,
mais en même temps, c'est de se donner la capacité de dire : Aïe! On ne
s'en va pas pantoute dans la bonne direction, là. Ça fait que là, on fait quoi,
on continue pendant trois ans pour en arriver à la conclusion qu'on... tu sais,
qu'on ne va pas dans la bonne direction? Bien, c'est d'avoir cette agilité-là,
qui est nécessaire dans un domaine où on innove. Puis quand on innove, il faut
avoir de l'agilité, là.
Mme Setlakwe : Puis quelles
sont vos obligations de rendre compte des...
M. Caire : ...17, puis là,
c'est le...
Mme Setlakwe : De... de...
de... Oui.
M. Caire : Oui, c'est le
dernier...
Mme Setlakwe : C'est le
dernier, hein?
M. Caire : Oui. ...projets
pilotes doivent être publiés sur le site Internet du ministère de la
Cybersécurité et du Numérique au plus tard un an après la fin du projet pilote.
Mme Setlakwe : Mais là, c'est
très long. Moi, je trouve ça très long, là. Ça peut durer quatre ans, ça peut
être modifié, puis là, si c'est modifié... Mais on... on reste à l'intérieur du
terme initial ou non?
M. Caire : Oui. Oui, mais...
Bien... Oui, mais, en même temps, c'est... l'idée, c'est de se dire: Bon, bien,
on se donne plus de temps selon la loi. Mais, comme je vous dis, dans les
faits, un projet pilote qui aura duré quatre ans, effectivement, je suis
d'accord avec vous, c'est long, mais là, on va probablement être dans quelque
chose à un autre niveau.
Donc, c'est de se donner de la marge de
manœuvre, parce que, tu sais, la loi, bon, elle est adoptée, puis, si on se
rend compte qu'on ne s'est pas donné assez de marge de manœuvre, il faut
revenir en mesures législatives, on est peut-être mieux de s'en donner un peu
plus puis d'en avoir besoin d'un peu moins.
Mme Setlakwe : Merci. Puis
quelle est la... Ah! juste... Je serais curieuse de...
M. Caire : Bien, Me... Me
Bacon disait: C'est... c'est des durées qui sont standards.
Mme Setlakwe : O.K. C'est
quoi, vos comparables?
La Présidente (Mme D'Amours) : Me
Bacon.
Mme Bacon (Nathalie) : Mme la
Présidente, les comparables, il y en a plusieurs, là: vous avez le Code de la
sécurité routière; vous avez la Loi encadrant le cannabis; vous avez la Loi sur
les contrats des organismes publics; la Loi mettant fin à la recherche
d'hydrocarbures, le chapitre R-1.01; après ça, le chapitre I-13.3, Loi sur les
infrastructures... l'instruction publique; le chapitre P-29, Loi sur les
produits alimentaires; et le chapitre H-1.01, Loi sur l'hébergement
touristique. On ne devrait pas en avoir oublié.
La Présidente (Mme D'Amours) : Merci.
C'est tout le temps que nous avions. Donc, je vous remercie pour votre
collaboration.
Compte tenu de l'heure, la commission
ajourne ses travaux sine die. Merci, tout le monde.
(Fin de la séance à 12 heures)