(Neuf heures trente minutes)
Le Président (M. Simard) : Alors,
chers collègues, bienvenue à tous. Je constate que nous avons quorum. Je
déclare donc la séance de la Commission des finances publiques ouverte.
Comme vous le savez, nous sommes réunis
virtuellement afin de procéder aux consultations particulières et aux auditions
publiques sur le projet de loi n° 95, Loi modifiant la Loi sur la
gouvernance et la gestion des ressources informationnelles des organismes
publics et des entreprises du gouvernement et d'autres dispositions
législatives.
Mme la secrétaire, bonjour. Y aurait-il des
remplacements ce matin?
La Secrétaire : ...
Remarques préliminaires
Le Président (M. Simard) : Bien. Alors,
nous allons donc, comme à l'habitude, débuter par nos remarques préliminaires. Et je cède d'emblée la parole au ministre.
Monsieur, nous vous écoutons. Vous disposez de six minutes.
M. Éric Caire
M.
Caire : Merci, M.
le Président. Écoutez, évidemment, un plaisir pour moi d'être ici. Donc, vous
me permettrez, d'entrée de jeu, de saluer
mes collègues de la partie ministérielle, mon collègue
de La Pinière, mon collègue
de Rosemont pour cette consultation particulière sur le projet de loi n° 95,
M. le Président, projet de loi n° 95 qui est un projet extrêmement important
pour la suite des choses parce qu'il induit un changement de culture
extrêmement important. Et les consultations particulières vont être d'autant
plus intéressantes qu'on va probablement avoir plusieurs points de vue de
plusieurs sources différentes de notre société.
Et il faut toujours garder en tête que
l'objectif du p.l. n° 95 est d'induire un
changement de culture. Il nous amène vers du droit nouveau, il nous amène vers
une philosophie qui ne trouve pas énormément d'écho ailleurs, à savoir qu'on
veut maintenant considérer la donnée comme un actif gouvernemental. Et ça, ça
répond à, je dirais, une nécessité de la transformation numérique, à savoir
concilier la valorisation, l'utilisation de la donnée tout en assurant la
sécurité de la donnée en question.
Et, M. le Président, nous vivons actuellement
dans ce que moi, je qualifierais du pire des deux mondes, à savoir que la
donnée est difficilement accessible et n'est pas valorisée, valorisée au sens
d'utilisée, au sens où, très souvent, le citoyen se transforme en employé de
l'État parce que deux entités gouvernementales sont incapables de se parler, et, ce faisant, on demande à nos
citoyens de répondre à des questions pour lesquelles nous possédons la réponse,
mais, parce que nous ne nous parlons pas, nous forçons le citoyen à nous
communiquer, à de très multiples reprises, les mêmes informations. Donc, une
situation où on ne valorise pas, où on n'utilise pas la donnée, et c'est le
citoyen qui en fait les frais.
Parallèlement à ça, la sécurité, bien, M. le
Président, je veux dire, les événements des derniers jours, voire des dernières années, se passent de commentaires.
Il faut être meilleurs. Il faut rehausser notre capacité, notre expertise,
notre façon de travailler. On ne peut plus aborder la cybersécurité comme nous
l'avons fait dans les dernières années. Et
c'est aujourd'hui une question de réseau, c'est une question d'expertise, c'est
une question d'outils technologiques, c'est une question de procédures,
de façons de faire qui nécessitent qu'on change de façon importante... en fait,
je vous dirais, qu'on soit diamétralement
opposés à ce que nous faisons actuellement dans plusieurs actions du
gouvernement.
C'est très exactement
ce à quoi nous amène le projet de loi n° 95, qui s'inscrit dans une
logique, M. le Président, d'actions
que le gouvernement a posées dans les dernières années, à savoir l'élaboration
d'une politique de cybersécurité, la mise en place du Centre gouvernemental de
cyberdéfense, le déploiement des centres opérationnels de cyberdéfense
pour constituer le réseau gouvernemental de cyberdéfense, des ententes de
collaboration qu'on a avec, notamment, le gouvernement fédéral pour être
capables d'échanger l'expertise, pour être capables d'échanger de
l'information, des outils technologiques, donc cette idée-là d'avoir un réseau
qui est capable de réagir en amont de la menace mais aussi qui est capable de réagir à des attaques réussies, donc de contrer
ces attaques-là, de limiter les dégâts lorsqu'il y en a. Alors, c'est
tout ça, maintenant, qu'il faut considérer, et le projet de loi n° 95 nous
fait faire un pas de plus dans cette direction-là, un pas extrêmement
important, M. le Président.
Le projet de
loi est un projet de loi, essentiellement, d'opérations technologiques, et
c'est dans ce sens-là, M. le Président, qu'il faut l'aborder, que nous
allons l'aborder, évidemment, dans une perspective d'écoute, dans une
perspective de sensibilité par rapport aux commentaires qui nous seront faits,
bien évidemment, M. le Président, parce que,
comme n'importe quel autre projet de loi, celui-là est très certainement
perfectible. Et donc je suis en mode...
et je veux le dire aux collègues, en mode
collaboratif, en mode informatif, en mode disponible, parce que l'objectif ultime, c'est de doter le Québec
d'un État qui est capable d'assumer une transformation numérique au bénéfice
des citoyens et qui
est capable de rehausser sa capacité à protéger les informations, de quelque nature que ce soit, qui lui sont confiées et d'en
assurer la disponibilité, la confidentialité et l'accessibilité.
Donc, M. le Président, très heureux de
participer à ces consultations particulières, et je me mets, à partir de
maintenant, en mode écoute, M. le Président.
Le Président (M. Simard) : Je vous
remercie, M. le ministre. Je cède maintenant la parole au porte-parole de
l'opposition officielle, le député de La Pinière. Cher collègue.
M.
Gaétan Barrette
M. Barrette : Pour une période, M.
le Président...
Le Président (M. Simard) : De quatre
minutes.
M. Barrette : Merci, M. le
Président. Alors, à mon tour de saluer et de vous saluer, M. le Président, en
case départ, évidemment. M. le ministre,
salutations à votre équipe et évidemment salutations aux collègues des
oppositions, avec qui nous allons travailler sur ce projet de loi, ainsi
qu'à leurs équipes.
C'est un projet de loi qui est court mais qui
est de très grande envergure. Je pense qu'il y a une disproportion entre l'envergure du projet de loi et sa longueur,
comme ça arrive souvent dans certaines lois. Ce n'est pas quelque chose
de nouveau.
D'entrée de jeu, je pense aussi que c'est un
projet de loi qui est nécessaire. Il est nécessaire, d'une part, parce qu'on
est en 2021. Plus que jamais, on est à l'ère de la gestion de l'information,
et, plus que jamais, il y a lieu d'en tirer le plus d'éléments possible dans
l'intérêt de la société et donc des citoyennes et des citoyens qui la
constituent.
Ayant dit ça, il est très probable qu'il y ait
certaines oppositions dans la réflexion qu'on va tenir, parce qu'évidemment on
sort d'une époque où la donnée personnelle est une donnée qui est souvent vue
comme étant un trésor individuel à ne pas partager, alors que, dans bien des
circonstances, c'est le partage qui est le trésor. C'est de ce partage-là, du
moins dans une organisation qui est celle qu'est un gouvernement, où on peut en
tirer le maximum d'éléments utiles pour la société. Donc, il va y avoir une
collision de concepts, c'est sûr qu'il va y avoir cette collision de concepts
là, et ce sera à nous de s'assurer que les protections soient en place.
Ayant dit ça, évidemment, je ne peux pas faire
autrement, et les gens le soupçonnent en m'écoutant... ne pas faire le lien
avec le projet de loi n° 64. Les deux doivent
s'arrimer. Ça ne peut pas être deux projets parallèles. Ce sont deux projets
qui, d'une certaine manière, de grande manière, sont connectés, dans leur
finalité, même, je dirais. Alors, ils doivent non seulement coexister, mais ils
doivent s'arrimer de la façon la plus précise possible, efficace possible en matière de sécurité. Et je dirais que
ce sera probablement pour moi l'élément principal ou un des éléments
principaux sur lesquels je vais m'attarder.
Je pense qu'il y a... Sémantiquement, dans le
projet de loi et dans nos propos, il faudra bien faire attention, et je le dis
d'entrée de jeu. Évidemment, pour ceux qui nous écoutent, là, valorisation, ça
rime souvent avec commerce. Alors, je ne pense pas que l'État soit ici dans un
mode de valorisation à l'enseigne du commerce. Je ne le pense pas, mais le
ministre pourra me contredire éventuellement, un peu plus tard dans nos... Mais
je pense que, de ce côté-là, il y a une prudence extrême à y avoir de façon à
ce qu'on puisse, de l'autre côté de la médaille, s'assurer que ce dont j'ai
parlé se réalise.
Alors, ce sont les angles, là, parce que j'ai
quatre minutes, et il ne me reste que quelques secondes, ce sont les angles que
je vais aborder, et en terminant, en comprenant bien que, là, il y a une
opportunité tournée vers le futur qui est de tirer le maximum d'effets
bénéfiques de l'utilisation de la donnée tout en évitant, évidemment, d'en
faire un commerce. Alors, M. le Président,
je termine là-dessus. On aura évidemment amplement de temps ultérieurement pour
élargir sur ce fond-là. Merci.
• (9 h 40) •
Le Président (M. Simard) :
Bien. Merci à vous, cher collègue. Et je cède maintenant la parole au député de
Rosemont qui dispose d'une période d'une minute.
M.
Vincent Marissal
M. Marissal : Avant de partir
le chronomètre, M. le Président, je voudrais juste vous dire que mon système a lâché trois fois depuis le début de nos travaux.
Je ne sais pas si je suis le seul à vivre ça. Pourtant, je suis dans l'immeuble
du parlement, à mon bureau. Je veux juste vous dire que, si d'aventure un tel
problème devait perdurer, ça va être assez compliqué d'écouter les témoins. Je
vous le dis, là, pour que ce soit su d'entrée de jeu. Avec votre permission, je
vais maintenant commencer ma minute d'intervention.
C'est un projet de loi important. Puis je salue
les collègues rapidement, parce que je n'ai qu'une minute. Évidemment, on le
prend d'un angle positif. Souvenez-vous des Russes, en 1972, qui étaient venus
pour apprendre. Moi, je... Apparemment, ça s'applique encore aux Canadiens de
Montréal, d'ailleurs, aujourd'hui, 50 ans plus tard. Moi, je suis là aussi
pour apprendre, parce qu'on a beaucoup à apprendre dans ce nouveau secteur, et
je suis là pour contribuer aussi.
Cela dit, je vous le dis
tout de suite, un peu comme le député de La Pinière, moi, quand j'entends
«actif», «valorisation», il y a des petites
lumières rouges qui s'allument dans ma tête. Non, je n'entends pas des voix, mais j'ai des alertes rouges dans
ma tête, qui disent : Attention! C'est un actif qui appartient aux
citoyens, et le gouvernement en est le
dépositaire, non pas le propriétaire. Alors, je vais lancer, moi, ma réflexion
sur ce projet de loi là sur cette base-là mais avec beaucoup d'ouverture
d'esprit.
On a déjà fait des projets de loi, là,
n° 14, n° 64, n° 95, non, ce n'est pas les billets chanceux
d'une loterie, c'est des projets de loi qui vont tous dans la même direction,
depuis que le gouvernement est au pouvoir. Mais on a beaucoup de travail à
faire pour s'assurer qu'on préserve cette précieuse richesse que sont nos
données personnelles, mais, je le répète, là, pour que ce soit clair,
j'entreprends ces travaux avec beaucoup d'ouverture d'esprit. Merci.
Auditions
Le
Président (M. Simard) :
Merci à vous, cher collègue. Alors, d'ici la suspension de nos travaux cet
avant-midi, nous recevrons deux
intervenants. Et nous commençons par M. Steve Waterhouse. Monsieur,
êtes-vous bien avec nous en ce moment?
M. Steve Waterhouse
M. Waterhouse (Steve) : Oui, M. le Président.
Le Président (M. Simard) : Super!
Heureux de vous accueillir. Alors, pour les fins de notre procès-verbal,
auriez-vous l'amabilité de vous présenter à nouveau? Je dis «à nouveau» parce
que, bien sûr, vous êtes un habitué de notre commission.
M. Waterhouse (Steve) :
Certainement, monsieur. Je suis Steve Waterhouse, un ancien officier de
sécurité informatique au ministère de la Défense nationale et chargé de cours
au microprogramme, en maîtrise, à l'Université de Sherbrooke en protection de
l'information, au volet prévention.
Le
Président (M. Simard) :
Merci. Alors, nous vous écoutons. Et vous savez que vous disposez de
10 minutes.
M. Waterhouse (Steve) : Merci, M. le
Président. MM. les élus, merci. C'est une opportunité rêvée de partager ça avec vous alors que le présent projet de loi n° 95 est plus que
nécessaire, il est primordial, comme j'entendais d'entrée de jeu.
Témoins récemment de toutes ces fuites de données, collectivement, nous nous
demandons à quand cesseront ces fuites, comment peut-on les prévenir.
En premier lieu, j'ai pour mon dire, c'est de
réaliser qu'appliquer le principe de sécurité par l'obscurité n'a plus sa place au XXIe siècle. Comme dans tous
les plans de protection et dans n'importe quel contexte, il faut connaître ce que l'on veut protéger et contre quoi.
J'apporte souvent le point que les évaluations de menaces et des risques, les
EMR, sont la base des prises de décision que tous les dirigeants, en fait, à
n'importe quel niveau, pratiquent sur une base régulière.
Le cyberrisque, quant à lui, nécessite une
attention particulière, car il en est suffisant... il en suffit de peu pour créer un événement malheureux de perte de
données, qui en résulte souvent à des vols d'identité ou des demandes de
rançon.
Il est reconnu, dans l'entreprise privée, qu'à
bien des égards la classification d'information est réalisable en sept étapes,
c'est-à-dire réaliser une évaluation des risques liés aux données
sensibles, développer une politique de classification
formalisée, découvrir l'emplacement de vos données, catégoriser les types de
données, identifier et classer ces données, activer les contrôles de prévention
et contrôler et maintenir les mesures.
Sept
étapes appliquées globalement par le Conseil du trésor seraient à être reprises
et travaillées à chacun des ministères, selon moi, afin qu'ils précèdent...
procèdent, pardon, individuellement à leurs propres évaluations selon leurs
missions. À titre d'exemple, le MAPAQ n'a pas autant de données que le ministère
de la Santé et des Services sociaux à protéger et gérer, mais il doit appliquer
quand même les mêmes règles de marquage d'information en sa possession.
L'administration publique s'est dotée d'une référence de
base pour la classification des actifs informationnels au Québec, en
2016, appelée Guide de catégorisation de l'information ou, son
sobriquet, PR-057, qui, à mon sens, n'est
nullement le format et l'outil pour effectuer efficacement l'exercice de la
classification à proprement dit. De procéder avec une évaluation par la
disponibilité, l'intégrité et la confidentialité de base est un début mais
n'est nullement pratique dans sa mise en
application des quatre niveaux de... de sensibilisation, pardon, des données
adoptés au PR-057, surtout
dans l'identification des données sensibles selon leur évaluation.
Les provinces de l'Ontario, de la Saskatchewan, de la
Colombie-Britannique, de l'Alberta, du Nouveau-Brunswick et du Yukon ont
produit une politique de classification de l'information en inspiration du
modèle du gouvernement fédéral, en annexe A du présent mémoire, depuis 2017.
Une sorte d'uniformité dans les pratiques de classification facilite le partage
des trucs et astuces entre les provinces et le fédéral. Du moins, il facilite
l'implantation des cadres.
Et récemment les
organisations qui utilisent la suite Microsoft Office 365 peuvent
programmer les niveaux de confidentialité et étiquettes de rétention en
fonction des stratégies et des politiques dédiées. L'idée est d'approcher le
besoin de classifier adéquatement pour que ce soit rapide et efficace tout en
appliquant une forme de prévention de diffusion non
autorisée des données, par la vocation de prévention de pertes de données, en
anglais, le «data loss prevention», vers l'extérieur du gouvernement du Québec.
Il est important d'apporter, dans cette politique, comment
les données seront protégées, en traitement, composées ou modifiées, au
repos, dans l'entreposage, en transit, donc dans la transmission de celles-ci,
et de quelle manière les données physiques et électroniques seront détruites,
en considération de leur niveau de classification, à la fin de leur vie utile.
À titre d'exemple,
depuis plusieurs années existe un moyen de transmission des courriers
électroniques sécuritaire via une infrastructure à clé publique au ministère de
la Justice du Québec. Cette façon de faire pourrait servir l'ensemble du
gouvernement, voire même avec le citoyen, lorsque le projet d'identité
numérique sera à terme et mature. De cette façon, les informations en transit
demeureraient confidentielles, un risque de fuite de moins, et adresseraient le
besoin de signature numérique tel que mentionné dans les notes explicatives du
présent projet de loi.
Dans ce projet de loi n° 95, il serait approprié
d'adresser comment les contrats devraient exiger la cybersécurité pour
tout développeur, agence qui gère les données citoyennes afin d'éviter les
situations récentes comme avec le portail des garderies 0-5 ans et du portail
Clic Santé. De ces situations, à qui revient la responsabilité de la posture de
sécurité, voire la protection des données
citoyennes de ces contractés? Les policiers pourront-ils prendre les
dépositions des citoyens lorsqu'une plainte ou une divulgation pour
fuite d'information leur est apportée?
Un exemple, comment c'est simple, à
l'annexe B... présente une page, un tableau synthèse pour guider les
contractuels, tout comme les fonctionnaires, à aller dans ce sens. La majorité
des développeurs avec des projets similaires,
ci-haut mentionnés, sinon pas tous, n'ont pas ou très peu de ressources en
cybersécurité et documentent très peu les politiques publiques de
protection des renseignements personnels et protection à la vie privée.
Merci à
nouveau pour cette opportunité d'échange avec vous. Je suis maintenant
disponible à répondre à vos questions.
Le Président (M. Simard) : Merci à
vous, M. Waterhouse. Alors, je cède maintenant la parole au ministre, qui
dispose de 16 min 30 s pour sa période d'échange.
M.
Caire :
Merci, M. le Président. Bien, d'abord, merci beaucoup, M. Waterhouse, de
participer à cet exercice. Vous êtes un expert reconnu dans l'espace
public, donc je pense qu'aujourd'hui les parlementaires vont avoir un grand
bénéfice d'échanger avec vous.
D'entrée de jeu, puis ce n'est pas une question
piège, là, parce que le gouvernement du Québec a sorti un schéma de
catégorisation des données, justement... Parce que moi, je suis à la même
enseigne que vous, je trouve qu'on doit...
en fait, je suis convaincu qu'on doit cesser de catégoriser la donnée par celui
qui l'utilise, parce que sinon une même donnée utilisée par la Santé
devient protégée par tous les régimes de protection, mais, si elle est utilisée
par le Tribunal administratif du logement,
elle devient publique, et tout le monde peut s'en servir tout à fait légalement,
sans contrainte. Donc, c'est un peu schizophrénique comme façon de faire. Et
moi, je dis qu'on est à l'ère où on doit réfléchir et que la catégorisation de
la donnée doit se faire sur la base de sa sensibilité et de sa valeur et non
pas sur la base de celui qui s'en sert.
Maintenant, nous avons déposé à la Commission
des institutions le modèle de catégorisation en sept niveaux, comme vous le
prescrivez. Je ne sais pas si vous avez eu l'occasion de le voir. Et, si oui,
j'aimerais ça avoir vos commentaires là-dessus.
• (9 h 50) •
M. Waterhouse (Steve) : M. le
ministre, non, je n'ai pas eu l'occasion de voir et consulter ce document-là. Et
j'ai pourtant cherché publiquement, avec les accès, donc, publics que j'ai,
mais rien n'a transpiré dans ce sens, si jamais il a été publié, ce qui indique
tout bonnement qu'il n'a pas été catégorisé, indexé, là, par les moteurs de
recherche, évidemment.
Mais ça serait très intéressant parce que...
Est-ce que c'est trop d'avoir sept niveaux de classification, alors que
l'ensemble des provinces que j'ai mentionnées tout à l'heure, ils ont adopté
quatre niveaux, tout simplement, pareil
comme dans le PR-057, mais en relation avec le modèle du gouvernement fédéral
de protégé A, B, C et public comme types de niveaux de sécurité?
M.
Caire :
Bien, c'est pour ça que j'aurais été intéressé à avoir vos commentaires
là-dessus. Puis, ceci étant dit, cette commission
parlementaire n'est pas la fin des échanges, donc je serai très heureux d'avoir
vos commentaires là-dessus, effectivement.
Je vais vous amener
peut-être sur un autre sujet, parce que je pense que, sur le mémoire tel que
vous le déposez, je ne peux pas être plus d'accord que ça, là, puis, tu sais,
on va se parler entre convertis, mais j'aimerais vous amener peut-être sur
votre passé dans une organisation chargée de la cybersécurité. Le projet de loi
n° 95, évidemment, va se baser sur la politique de
cybersécurité du gouvernement du Québec. On tend à déployer le réseau. Donc, le
vaisseau amiral est le Centre gouvernemental de cyberdéfense, mais chaque
ministère se dote d'un centre opérationnel de cyberdéfense. Donc, l'idée, c'est
d'avoir un réseau.
Évidemment, et on
nous a fait le commentaire, puis je veux vous entendre là-dessus, la
gouvernance, c'est une gouvernance de type militaire. Parce que la prétention
que j'ai est à savoir que, quand on parle de cyberdéfense, bien, évidemment, on
parle de procédures, on parle... les fameux SOP, là, qu'il faut avoir, on
parle... qu'est-ce qu'il faut mettre en place comme mesures de protection,
comment on doit réagir en amont, en aval d'une attaque, et tout ça. Le
maître-mot, c'est le temps d'intervention. Plus ce temps est court, et plus
l'intervention est efficace. J'aimerais vous entendre
là-dessus. Est-ce que vous êtes plutôt du type : Oui, une gouvernance
militaire ou vous dites : Non, je pense que... Parce que tout à l'heure
vous parliez, là, de chaque ministère et organisme qui devrait catégoriser sa
donnée. Êtes-vous du type plutôt... de dire : Non, il faut laisser chaque
organisation s'occuper de sa sécurité? Comment vous, vous voyez ça, cette
organisation-là?
M.
Waterhouse (Steve) : Bien, M. le ministre, c'est de la musique à mes
oreilles, de la façon que vous l'apportez, parce que je prône dans le même
sens. Et, quand j'ai commencé avec la réseautique en 1994, 1995, les réseaux
s'installaient au sein des différents ministères, au fédéral, et tout était à
bâtir, un peu comme on est à l'étape, présentement... en discussion de cette
commission.
Et
je suis d'avis qu'il faut mettre en place une façon unifiée d'adresser le
cyberrisque. C'est perdant... C'est perdu d'avance, je devrais dire, si tous
les ministères commencent à faire une interprétation du cyberrisque à son
niveau. Il faut qu'ils le fassent, oui, mais en unisson avec la politique
centrale, qui, à ce moment-là, va donner les efforts qui vont tendre à la même
direction. Sans quoi, ce sont tous des maillons faibles qui vont se tenir
ensemble, et ce n'est qu'une question de temps avant qu'ils se fassent
exploiter, comme c'est présentement la situation.
Or,
oui, je suis dans le sens que ça devrait être une forme empirique, oui, pour
dire : Avec des procédures, des façons de faire à la militaire, comme on
dirait. Cependant, il faut qu'il y ait un changement profond de culture comme
vous avez dit d'entrée de jeu. S'il n'y a pas cette culture-là de dire que la
menace, elle est omniprésente 24/7, qu'on est sous attaque présentement, au
moment où est-ce qu'on se parle, bien, les gens ne réaliseront pas qu'une
grande fin de semaine de trois jours, bien, ce n'est pas vrai qu'il n'y aura
pas d'attaque. Les belligérants, les factions en opposition le savent très bien,
savent quand est-ce qu'on dort, savent quand est-ce qu'il y a des congés, et ce
sont les moments d'opportunité qu'ils ont pour pouvoir, à ce moment-là, tenter
de pénétrer le système et d'exploiter cette information-là.
M.
Caire :
Merci. Un autre objectif du projet de loi n° 95, qui
est un changement de culture assez profond... Puis j'écoutais les collègues
puis je suis tout à fait d'accord avec eux, de dire : La donnée appartient
aux citoyens, et le gouvernement du Québec en est le dépositaire. Maintenant,
ce n'est pas la réalité législative au Québec. La réalité législative au Québec,
c'est : le citoyen est propriétaire de ses données, mais chaque organisme
qui collecte la donnée en est le détenteur, et en a la responsabilité, et, je
dirais même, n'a pas, de prime abord, la possibilité de le partager. Donc, on essaie d'induire un changement
de culture qui dit : Effectivement, la donnée, elle appartient aux
citoyens. Ça, je pense que, là-dessus, personne ne va avoir de longs débats.
Maintenant, quand
c'est collecté par un organisme qui opère au nom du gouvernement du Québec ou à
l'intérieur du gouvernement du Québec, il
devient donc la responsabilité du gouvernement d'en assurer, oui, la protection
mais aussi la mobilité, la valorisation, ce qui permet à un organisme de
réutiliser la donnée plutôt que de la collecter et donc de surmultiplier les
bases de données, et donc d'éclater complètement les centres, les sites où ces
données-là sont conservées, conservées avec une expertise à géométrie variable,
avec des moyens techniques et matériels à géométrie variable et donc qui
augmentent significativement le risque que ces données-là fassent l'objet d'une
fuite.
Donc, la philosophie
qui est induite par le projet de loi n° 95 est de dire :
On va instituer des sources de données, donc
des organismes qui seront mandatés par le gouvernement pour collecter certains
profils de données qui seront partageables dans le respect des lois. Et
j'écoutais le député de La Pinière tantôt et je ne peux pas être plus
d'accord avec lui que ça, il est clair que nos lois sur les protections des
renseignements personnels doivent être mises au
goût du jour. Ça, c'est le p.l. n° 64, là, mais, le p.l. n° 95, son rôle est de dire, que... dans le respect de ces lois-là, qui
peut avoir accès à quoi et dans quelle forme aussi, parce que, quelquefois, il
n'est pas nécessaire de communiquer un renseignement personnel, on peut
simplement confirmer un état et sans
communiquer le renseignement personnel.
Donc, c'est vraiment
ça, d'avoir des sources de données officielles qui vont s'échanger des
informations lorsque c'est requis par une prestation de services, dans le
respect des lois actuelles, mais surtout en ayant cette capacité-là augmentée
de sécuriser l'information, parce qu'il n'y aura pas surmultiplication des
sites. Donc, ça, c'est la philosophie. J'aimerais ça vous entendre là-dessus,
M. Waterhouse. Comment vous, vous voyez ça? Est-ce que vous voyez des lacunes à
cette façon de faire là, des avantages? Comment vous abordez ça, vous?
M. Waterhouse
(Steve) : Bien, M. le ministre, premièrement, je suis d'accord avec
vous, il faut que ça soit dans le respect du citoyen, parce que, présentement,
le citoyen est échaudé avec les multiples fuites de données internes, au gouvernement du Québec, comme
à l'externe, avec un paquet de compagnies comme on en entend à chaque
semaine. Et le citoyen veut tout simplement s'assurer qu'à chaque soir qu'il se
couche il n'y aura pas, le lendemain matin à la une du journal, une fuite
d'informations qui va, à ce moment-là, lui peser sur les épaules, encore une
fois, pour les prochaines 20, 30, 40, 50 années en amont.
Devant cette
possibilité-là, c'est certain que plus qu'il y a de disparités dans la façon de
gérer la donnée, comme on disait tout à l'heure, avec la classification, bien,
plus il y a de moyens qui ne seront pas mis en place pour protéger adéquatement
la sensibilité de ces données. Prenons, par exemple, lorsqu'il y a des
contrats, comme on parle... on a
parlé récemment, avec les différents fournisseurs, et qu'ils doivent... du
donneur d'ouvrage, exécuter une tâche x, mais qu'il n'y a pas de
supervision quant à la réalisation pour effectuer des vérifications d'usage une
fois le projet complété. Est-ce que ça rencontre toutes les normes et est-ce
que ça respecte aussi la sécurité, l'intégrité et la disponibilité qui est
attendue d'un service gouvernemental? Si ça, c'est toujours absent des contrats
qui sont donnés à l'extérieur, parce que l'expertise est là, il ne faut pas se
le cacher, bien, c'est certain qu'il y a nécessairement un gros potentiel de fuite de données, si ce n'est
pas pour dire de mise à risque des données citoyennes, qu'il soit à
l'extérieur ou à l'interne du gouvernement du Québec.
• (10 heures) •
M.
Caire : Oui, bien, merci beaucoup pour cette réponse-là,
mais je veux quand même vous amener peut-être un petit peu plus loin, parce qu'on est vraiment au niveau de la
configuration de comment on peut s'échanger des données.
Et allons-y sur la
base des contrats dont vous parlez. Est-ce que ces contrats-là nécessitent
implicitement ou explicitement que des données soient collectées? Est-ce que ce
n'est pas la première question qu'on devrait se poser? Parce que
malheureusement, dans le modèle actuel, lorsqu'il y a prestation de services,
le réflexe est de collecter une donnée que l'on possède déjà.
Prenons l'exemple de
Place 0-5 ans. Il n'y avait pas d'information là-dedans qui n'était pas connue
du gouvernement du Québec. Donc, est-ce que cet organisme-là avait besoin de se
faire le collecteur et le dépositaire d'autant
d'informations que le gouvernement possédait déjà? C'est un petit peu dans ce sens-là que je pose ma question,
parce que, si on limite la collecte de données, si on limite le nombre de sites
où une même donnée va se retrouver entreposée, est-ce qu'on ne limite pas du
même coup les risques qui sont inhérents aux fuites de données? C'est un petit
peu ça, le sens de ma question.
M. Waterhouse
(Steve) : Bien, tout à fait, je réponds à la positive de votre question.
Et c'est tout simplement d'établir des moyens techniques par lesquels il y a
entente et collaboration entre le donneur d'ouvrage et l'exécutant. Ça va de
soi. Maintenant, est-ce que les systèmes, à l'intérieur des différents ministères,
qui vont à l'extérieur sont prêts à recevoir une connectivité de l'extérieur de
manière sécurisée permettant justement de puiser ou échanger des données selon
le type d'application?
Mais j'ai pour mon
dire, M. le ministre, que toute application développée à l'externe devrait
revenir à l'intérieur, sur l'infrastructure du gouvernement, pour ainsi assurer
la pleine confidentialité de toutes les données qui seraient utilisées. Ça
serait beaucoup plus sécuritaire, à mon sens, de le pratiquer de cette façon-là
plutôt que de dépendre que l'entité vers laquelle on a demandé une tâche, une
exécution ou un travail x... bien, qu'elle respecte en tous points cette
façon-là. Parce qu'on a épluché plusieurs de ces fournisseurs, et très peu
respectent les fondements de base de la cybersécurité. Parce qu'eux, ils
produisent tout simplement un produit, un logiciel, peu importe l'outil, pour
être, à ce moment-là, disséminé, puis il y en a qui le font de façon très
cavalière. Alors, c'est pour ça que je réitère
que ça devrait être ramené à
l'intérieur du gouvernement pour que ça soit bien pris en charge, supervisé et encadré.
M.
Caire :
Bien, en fait, il y a deux éléments, dans votre réponse, que je voudrais
discuter ou que je voudrais explorer avec vous peut-être de façon plus précise.
Le premier élément, c'est l'accès à l'information. Le deuxième élément, c'est
l'utilisation d'applications.
La politique de
cybersécurité — puis,
bon, on ne se le cachera pas, là, M. Waterhouse, là, que vous avez
collaboré à l'élaboration de la politique de cybersécurité, donc je pense que
vous la connaissez bien — prescrit
effectivement qu'avant de déployer une application ou de mettre en ligne un
site on devrait vérifier l'état de sécurité, le fameux «security by design»,
là, qui est prévu par la politique de cybersécurité. Je ne vous le cache pas
qu'il est actuellement appliqué à géométrie variable, là. Mais ça, c'est effectivement
un des rôles du Centre gouvernemental de cyberdéfense de s'assurer que ça,
c'est fait.
Donc,
ce que vous dites, c'est que, dans le
fond, quand une entreprise
signe une entente avec le gouvernement,
on devrait traiter ces systèmes comme des systèmes à être déployés. Donc, il
faudrait les tester, il faudrait s'assurer qu'ils sont sécuritaires, dans un
premier temps. Ça, c'est ma question... si j'ai bien compris ce que vous dites.
Puis, dans un
deuxième temps, ce que vous dites, ce n'est pas tellement qu'il faut négocier
des paramètres de sécurité avec les
entreprises mais de discuter de paramètres d'accès aux systèmes du
gouvernement, qui, eux, seraient évidemment préjugés sécuritaires.
Est-ce que j'ai bien compris, là, ce que vous nous dites?
M. Waterhouse
(Steve) : Bien, je vais le repréciser. Dans un premier temps, les
exigences du ministère devraient faire, à ce
moment-là, office d'obligation que... L'exécutant devrait se conformer, parce
que le gouvernement apporte, à ce
moment-là, des données qui sont sensibles, sont réputées sensibles, donc plus
sensibles... qu'eux travaillent des données publiques. À ce moment-là,
vous serez d'accord comme moi que c'est d'appliquer toujours les mesures les
plus contraignantes selon la sensibilité qui est à traiter.
Donc, dans un premier
temps, ce serait peut-être d'avoir des systèmes de développement qui seraient
soit parrainés par le gouvernement ou, du moins, rendus sécuritaires, aux
normes du gouvernement, hébergés chez l'exécutant ou à l'intérieur du
gouvernement, reste à définir, mais il reste toujours bien... que le
gouvernement doive avoir son mot à dire sur où le développement, le traitement
de l'information sera fait, et par la suite comment est-ce que cette information-là
doit être interprétée et lue. Donc, si...
Puis,
à l'annexe B, c'est pour ça que je l'apportais, ce petit résumé là qui...
c'est l'agence de transport CATSA, à l'aéroport, que, eux, bien, ils répondent
des normes du gouvernement fédéral et ils ont mis une façon assez simple
de résumer ce qu'ils doivent respecter en termes de traitement d'information,
l'acheminement, l'archivage, etc. Et, si ce genre d'annexe là est apporté, en
exemple, là, vers les exécutants d'un contrat : Bien, voici les exigences
que le gouvernement du Québec s'attend de vous... Et ça, il faut que ce soit
imposé, il ne faut pas que ce soit suggéré, parce que, si c'est suggéré, c'est
clair qu'ils vont en disposer. Ils vont aller le chemin le plus court pour
accomplir la tâche, pour se faire payer rapidement mais...
M.
Caire :
D'où l'idée de le mettre dans les clauses contractuelles.
M. Waterhouse (Steve) :
Définitivement. Puis c'est ça que j'apportais dans les notes d'entrée, parce
que, si ce n'est pas présent, même s'ils le disent haut et fort : Oui,
oui, oui, on est pour les bonnes vertus, on s'attend de toujours protéger la cybersécurité, on sait que c'est important, mais
qu'il n'y a personne qui est impliqué, en termes de métiers de
cybersécurité, dans les organisations, c'est certain que ça va passer à côté,
puis on a des résultats comme on voit dans les journaux.
M.
Caire : O.K. Et,
dans les clauses contractuelles, au fond, ce que vous nous dites, c'est qu'il
serait prescrit qu'on doit respecter les
normes, les standards et les politiques du gouvernement. Donc, vous n'y allez
pas de façon méta, à savoir vous devez avoir telle ou telle application.
Ce que je veux dire, c'est qu'on ne serait pas à l'étape de dire : Pour
faire affaire avec le gouvernement, vous devez utiliser tel ou tel type de
système. On est vraiment, vous le dites, dans un sens plus large.
M. Waterhouse (Steve) : Il faut. Il
faut, parce qu'à ce moment-là, comme on dit en anglais, ça va être
«future-proof», ça va être à l'épreuve du temps. Et, si vous précisez, au
moment précis d'aujourd'hui, une telle méthode,
un tel outil, bien, dans cinq ans,
six ans, si ce n'est pas vous qui êtes encore en poste, votre successeur,
il aura oublié comment ça a été fait, et, à ce moment-là, ça devient une
méthode ou un moyen qui est vétuste et qui n'est plus à jour. Et, à ce
moment-là, ils vont respecter la
norme, c'est écrit noir sur blanc, mais ils vont être en deçà des normes
au moment où est-ce que ce sera utilisé. Ça fait que c'est pour ça que c'est de
le mettre selon les règles en vigueur...
Le Président (M. Simard) : En
conclusion.
M. Waterhouse (Steve) : ...de telle
référence, le plus large possible.
M.
Caire : M. le
Président, est-ce que je comprends que mon temps est expiré?
Le Président (M. Simard) : Tout à
fait. Et vous aviez d'ailleurs 17 min 30 s.
M.
Caire :
16 minutes?
Le Président (M. Simard) : Non, vous
aviez 17 min 30 s parce que M. Waterhouse n'avait pas pris
tout le temps qui lui était imparti, donc nous l'avons réparti dans chacun des groupes
parlementaires. Alors, vous avez écoulé votre temps.
M.
Caire : Alors,
permettez-moi de remercier M. Waterhouse pour cette très intéressante
conversation.
Le Président (M. Simard) : Très
bien. Conséquemment, puisque le député de René-Lévesque ne sera pas présent, du
moins dans le cadre de la première intervention, y aurait-il consentement afin
que nous puissions répartir équitablement entre les deux groupes d'opposition
les 2 min 45 s qui lui étaient allouées?
M.
Caire : Consentement.
Le Président (M. Simard) : Y a-t-il consentement
de tous les collègues?
Des voix : Consentement.
Le Président (M. Simard) : Très
bien. Ce qui ferait que, puisque vous aviez déjà un peu plus de temps que prévu également pour l'opposition, grosso modo, je calcule à vue d'oeil en
regardant mon secrétariat, vous disposeriez, M. le député de La Pinière,
d'environ 13 minutes.
M. Barrette : Ah! 13 minutes?
Le
Président (M. Simard) : Bien
oui. Vous ne pouvez pas dire qu'on n'est pas généreux avec vous ce matin.
M. Barrette : Bien, vous êtes d'une
grande générosité. Je vais le prendre puis j'en suis très heureux. Alors,
allons-y. Alors, bonjour, M. Waterhouse.
M. Waterhouse (Steve) : M. le député.
M. Barrette : Bien, bienvenue, évidemment,
à cette commission-ci. Écoutez, je vais... pour le bénéfice de ceux qui nous écoutent, je vais quand même
établir une chose. Je ne pense pas que ça ait été établi précédemment. Le ministre nous a informés que vous aviez été consulté pour
la rédaction ou, du moins, la réflexion qui a mené à la rédaction du projet
de loi n° 95. C'est exact?
M. Waterhouse (Steve) : Bien, au
même titre que, présentement, je présente devant vous.
M. Barrette :
Non, non, je comprends, mais c'est parce que c'est important pour les gens qui
nous écoutent de savoir que vous avez participé à la rédaction du projet de
loi. Ce qui ne me dérange pas du tout, là.
M.
Waterhouse (Steve) : Bien,
je n'ai pas participé à la rédaction du projet de loi, M. le député, là, seulement à la politique...
M.
Caire : C'est à la politique
de cybersécurité, M. le député.
Le
Président (M. Simard) : M. le ministre, pour l'instant, la parole ne vous appartient pas. La parole
n'appartient qu'au député de La Pinière. Monsieur, veuillez poursuivre.
M. Barrette : Ce n'est pas grave,
M. Waterhouse. C'est simplement pour établir que vous avez été dans la
game, si vous préférez, là. Je ne veux pas vous prêter ni d'intentions ni de responsabilité.
Ça fait mon affaire que vous... Vous avez été là pendant le processus qui a
mené le ministre à déposer son projet de loi. Parce que, quand je lis votre
mémoire, votre mémoire est quand même critique, de façon significative, de la
situation actuelle.
• (10 h 10) •
M. Waterhouse (Steve) : Oui.
M. Barrette : Bon. Vous considérez,
quand je lis votre mémoire, que la situation actuelle en matière de... pas
juste de cybersécurité mais en matière de sécurité au sens global du terme...
qu'elle laisse à désirer. Et ce n'est pas une critique du gouvernement actuel
ni des précédents. C'est l'État qui est de même. L'État est rarement
contemporain dans sa gestion des données. Ça, on va dire ça comme ça. C'est ce
que vous constatez à la grandeur du gouvernement. Donc, il y a lieu d'agir.
M. Waterhouse (Steve) : Oui,
monsieur. C'est le constat aussi de d'autres professionnels de la cybersécurité
en province aussi.
M. Barrette : C'est d'autant plus
intéressant d'avoir ce bout de conversation là qu'on arrive avec un projet...
on a actuellement, comme je l'ai dit dans mon introduction, deux projets
de loi, là, qui traitent de sécurité des données ou de gestion de la donnée. Il
y a le 64, il y a le 95. Manifestement, il était
temps d'agir, parce qu'on n'est pas très, disons, à date dans nos standards de
gestion de la donnée. On s'entend là-dessus.
M. Waterhouse (Steve) : Tout à fait.
M. Barrette : Bon. Un coup que j'ai
dit ça, là, quand j'ai lu votre mémoire, la première réflexion qui m'est venue
à l'esprit est la suivante, puis là je vous demande votre opinion, vous avez vu
le gouvernement, vous avez été consulté pour une partie de la cybersécurité...
je suis obligé de conclure, à la lecture de votre mémoire, que jamais, au grand
jamais, la loi n° 95, même si elle est adoptée,
par exemple, d'ici trois semaines, ne devrait être mise en application
tant que ce que vous avez évoqué dans votre mémoire n'a pas été corrigé.
M. Waterhouse (Steve) : Bien, c'est
le but de la présente discussion, je crois, M. le député, et j'espère qu'elle
sera considérée, ce que j'apporte, et les autres qui me suivront apporteront
aussi comme réflexions, parce que c'est important, à ce moment-ci, de bien
redresser qu'est-ce qui n'est pas en place et de mettre les jalons qui sont nécessaires à tracer le chemin de demain. Parce
que, présentement, oui, le gouvernement, il est 20 ans en arrière, M. le
député, et, s'il y en a qui ne croient pas ça, bien, désolé, là, je vous
l'apporte en réflexion, parce que le gouvernement du Québec comme d'autres
aspects gouvernementaux à travers le pays n'ont pas suivi l'évolution
technologique, et elle va d'une vitesse à grand V. Et, si personne ne met,
justement, un chemin, des balises avec lesquelles s'aligner pour le futur,
bien, c'est certain, le gouvernement du Québec sera toujours à la remorque des
événements et non pas un leader en avant.
M. Barrette : Donc, je comprends
votre réponse, là. Elle va dans le sens que... dans le même sens que moi, mais
moi, je vais un pas plus loin, là. Le pas plus loin, c'est qu'avant de mettre
des données, 95, là, ce dont on parle aujourd'hui, va mener à, mettons... on va
résumer, là, on va avoir une espèce de hub où la donnée va se retrouver ou, du
moins, va transiger. Ce que vous nous dites, là, et ce que je dis, là, c'est
qu'avant que quoi que ce soit circule dans ce hub-là, là, il va falloir que
tout au complet soit mis en place, complètement et non partiellement. Est-ce
qu'avec ça vous êtes d'accord ou non?
M. Waterhouse (Steve) : Je suis
d'accord, M. le député, parce que, sinon, ça va créer des maillons faibles, et
ils seront un autre élément de risque et de contention.
M. Barrette : Parfait. On
s'entend là-dessus. J'ai bien compris votre mémoire et votre pensée.
Maintenant, quand je lis votre mémoire, et vous
en avez vous-même fait... vous y avez fait référence dans l'échange que vous venez d'avoir avec le ministre,
je comprends que vous avez établi, dans votre mémoire, un maximum. Et
même le fédéral n'est pas au maximum. Est-ce que j'ai bien compris?
M.
Waterhouse (Steve) : M. le député, je ne comprends pas le maximum que
vous référez.
M. Barrette :
Bien, vous avez mis les... Dans la catégorisation, par exemple, là, vous avez
mis un certain nombre de catégories. Sept, de mémoire. Vous avez constaté qu'au
fédéral il y en a quatre. C'est dans ce sens-là. Est-ce que, quand vous, vous
parlez d'un certain nombre de catégories, pour prendre cet exemple-là, il est absolument nécessaire... Est-ce que
le fédéral, ça devient un point de référence qui est un cran en dessous de ce
qu'on devrait faire, ou c'est le maximum
que personne n'atteindra jamais dans le public, ou est-ce qu'à l'inverse, à l'inverse, on se contente d'un minimum?
M. Waterhouse
(Steve) : Oui, je comprends votre question maintenant. Ayant évolué
avec le système fédéral, puis c'est quand même un modèle mature d'une
cinquantaine d'années, il y a trois niveaux qui ne sont pas d'intérêt national
et trois niveaux d'intérêt national. Et ça, cette norme-là, avec laquelle les
autres provinces, je mentionnais, se sont inspirées, d'avoir un minimum, puis
ça, c'est dans l'industrie privée aussi, ça se passe comme ça, quatre niveaux, trois niveaux, c'est pas mal
la norme qui est établie. Ça se veut, à ce moment-là, de vraiment mettre
des catégories minimales pour, à ce moment-là, identifier qu'est-ce qui est
critique de qu'est-ce qui l'est moins pour appliquer les bonnes mesures.
Si
on en met plus pour être capable de vraiment granulariser la classification de
ces données-là en importance et en sensibilité, surtout, bien, peut-être
que ce sera trop onéreux d'en mettre sept versus quatre, trois ou cinq,
peut-être. C'est un exercice qui est à revoir. Et, comme le ministre me le
mentionnait tout à l'heure, le ministre Caire, bien, j'aimerais bien ça voir ce plan de sept catégories, qui serait
intéressant à travailler, mais j'ai pour mon dire que quatre, c'est quand même, à date, une norme, appliquée par
toutes les autres provinces mentionnées plus tôt, qui ferait en sorte
qu'on va faire un travail de fond très intéressant.
M. Barrette :
Est-ce que je dois comprendre que, dans votre esprit, le niveau de sécurité est
équivalent selon le... pour chacun des niveaux et que c'est la
granularisation qui change en passant de quatre à sept?
M. Waterhouse (Steve) : Fort
probablement. Il faudrait que je voie en détail les sept classifications
qui sont énumérées ici, mais, définitivement, il faut qu'il y ait rattaché, à
ce moment-là, importance de la donnée versus niveau 4,
versus niveau 5, 6 et 7, etc., plus quelles sont les mesures à appliquer
pour la protéger, cette donnée-là, en transit, en repos, en destruction.
C'est tout ça qui vient faire en sorte... Plus qu'il y a de niveaux, plus ça
devient complexe à gérer dans le temps. En
mettre quatre, niveaux, à date, c'est très simple à respecter, mais, quand on
parle de sept, bien, à ce moment-là, il va falloir s'équiper pour
travailler plus longuement.
M. Barrette :
Donc, vous, vous liez, et ça, ça a un impact dans toute décision
gouvernementale... vous liez un coût aux niveaux en question. Et plus...
M. Waterhouse
(Steve) : Définitivement.
M.
Barrette : Bon. Et puis là je ne sais pas dans quel ordre, là, vous
les mettez, là. Le plus coûteux, ça doit être 1, j'imagine, ou 7, je ne
le sais pas, là.
M. Waterhouse (Steve) :
Bien, le plus sensible... En fait, l'élément le plus sensible, admettons, les
stratégies du cabinet du premier ministre,
bien, il faut-tu qu'elles soient... présentement, devraient-elles être
classifiées au même titre que le
rapport d'impôt d'un citoyen? La réponse est non. Donc, comment est-ce qu'on
protège les secrets cabinet, si on peut juste interpréter ça comme ça
pour l'instant, pour l'exemple, et quel moyen de cryptographie on va appliquer?
Quel moyen pour transporter l'information entre deux personnes? Est-ce qu'un
courrier électronique normal est suffisant?
La réponse, c'est non. Bon, bien, avec quels moyens qu'on protège cette
transmission? Et, après coup, c'est
quoi, la durée de vie d'une donnée secret cabinet? Est-ce qu'elle doit être
archivée? Si oui, comment, combien de temps, etc. Il y a toutes des
politiques comme ça. Les sous-politiques doivent être dérivées pour, à ce
moment-là, compléter la désignation de ce
niveau de sécurité. Et, comme vous dites, peut-être, niveau 7, ce serait
le plus important.
Et
après ça, quand on arrive à la donnée publique, bien, la donnée publique, c'est
qu'est-ce qu'on retrouve sur Internet pour tout le monde, mais la donnée
collectée par un ministère au gouvernement, confiée à ce gouvernement-là,
ne devrait certainement pas être de l'information publique. Donc, de cette
perspective, c'est d'identifier comment est-ce que le gouvernement, le ministère protège l'information citoyenne, de
quel niveau, etc. Ça, c'est qu'est-ce qui devrait être relié étroitement
à cette classification.
M. Barrette :
Bien là, je vais vous faire rire, là, mais, pour le citoyen moyen, là, je pense
que sa donnée est plus importante que la stratégie du premier ministre. Avec
tout le respect que je dois au premier ministre, là, je pense que le dommage de
la fuite de la donnée du premier ministre va toucher le premier ministre, alors
que la banque de données, elle, de citoyens, au pluriel, ça m'apparaît plus
dommageable. Je ne pense pas que la donnée stratégique du premier ministre va permettre de voler son
identité et de faire un emprunt, de contracter une hypothèque à son nom, là,
alors que dans d'autres...
M. Waterhouse (Steve) : Non, mais la
perte de stratégie provinciale envers, exemple, des transactions hydroélectriques interprovinciales pourrait
endommager les relations gouvernementales. Ça, pour moi, c'est important.
M.
Barrette : Non, c'est vrai. Je ne vous dis pas que ça n'a pas de
valeur, là. Je vous dis que, pour le citoyen lui-même, là, le citoyen lambda,
là, lui, là, il se considère 7, lui, là, si le 7 est le maximum.
M. Waterhouse
(Steve) : Tout est relatif du point de vue qu'on le regarde, effectivement.
M. Barrette :
O.K. Alors, vous, là, je n'ai pas vu... ou peut-être que j'ai mal lu votre
mémoire, je n'ai pas vu de priorisation dans les niveaux. Est-ce que j'ai mal
lu?
M. Waterhouse
(Steve) : Bien, tout est à définir, M. le ministre, parce que... Moi,
je préconise le niveau... le modèle fédéral
qui... Il y a trois niveaux de base d'intérêt non national, A, B et C, C étant
le plus grave, A étant le moins grave
dans son importance, comme d'autres provinces l'ont appliqué de cette
manière-là, alors que le PR-057, bien, lui, il le réfère à niveau 1
à 4, 4 étant le plus grave.
M. Barrette :
O.K. Bien là, vous préférez lequel dans les deux, là?
M. Waterhouse
(Steve) : Je préférerais un modèle aligné sur le modèle fédéral,
sachant sa simplicité et son efficacité, qui
a été prouvée à travers le temps. Mais, à ce moment-là, ça reste à
définir et de le mesurer, de le jauger, là, dans le temps. Mais il faut nécessairement qu'il y en ait une, façon de catégoriser, de
classifier cette information-là, dès que possible.
M. Barrette :
O.K. Quand vous regardez la situation, parce que vous avez quand même fait un
survol de la situation, quand vous regardez l'ensemble de la... je suis-tu
obligé de conclure, puis vous me confirmerez ou non, qu'au bout, à la clé, là,
il y a du personnel en quantité significative, là?
M. Waterhouse
(Steve) : Vous avez été entrecoupé. Pourriez-vous répéter, s'il vous
plaît?
M. Barrette :
J'ai dit : Quand j'écoute... quand je lis votre mémoire et que j'écoute
vos commentaires, je suis obligé de conclure qu'en bout de ligne, pour se
rendre au bon niveau, on a de l'embauche à faire.
• (10 h 20) •
M. Waterhouse
(Steve) : Pas autant de l'embauche, M. le ministre, que de former de
manière qualitative les gens soit en place ou à venir à l'intérieur des
enceintes du gouvernement, parce que, nécessairement, ce n'est pas... c'est une
nouvelle science, c'est une nouvelle façon de travailler, et qu'est-ce qui a
été appris voilà 25 ans n'est pas nécessairement à jour pour qu'est-ce
que... le travail est à faire aujourd'hui.
La classification
d'information, la gestion d'information, oui, c'est intemporel, d'une certaine
façon, mais, la façon de le faire moderne, bien, il faut que les gens soient à
jour pour être capables d'apporter les meilleures solutions possible.
M. Barrette :
M. le Président, il me reste combien de temps?
Le Président (M.
Simard) : 40.
M.
Barrette : 40 secondes. O.K. Vous estimez, pour faire cette
transition-là, que ça prendrait combien de temps?
M. Waterhouse (Steve) : Bonne
question. Le moins de temps possible, c'est certain. Mais il faut qu'ils
soient concentrés, les efforts, dès maintenant pour être capable de développer,
justement, une méthodologie qui soit applicable dans les plus brefs délais.
C'est la meilleure réponse que je peux vous générer à ce moment-ci.
M. Barrette :
Oui, mais «ballpark», là. Vous avez été dans des grandes organisations, vous
là, là. Pour arriver, là... «Ballpark», là.
Je ne vous demande pas à la seconde,
au jour, au mois près, là, à la limite, même pas à l'année près. C'est
une transition qui prend combien de temps avant d'être fonctionnelle avant de
partager les données, là?
M. Waterhouse
(Steve) : Est-ce qu'on parle d'une transition en partant de zéro et
créée à partir de rien ou convertir qu'est-ce qui est en place?
M. Barrette :
Non. À partir de ce que vous avez vu à date, là.
M. Waterhouse
(Steve) : Bien, c'est de convertir qu'est-ce qui est déjà en place.
Et, je vous dirais, il faut prendre le temps
qu'il faut. Et est-ce qu'un an... Je pourrais dire... prescrire un an, c'est
certain, mais il faut le faire le plus rapidement possible. J'aimerais
ça que ce soit fait le mois prochain.
Le Président (M.
Simard) : Très bien. Alors, cher collègue, malheureusement, nous
devons arrêter ici.
M.
Barrette : Merci, M. Waterhouse.
M. Waterhouse
(Steve) : Bienvenue, monsieur.
Le
Président (M. Simard) : Merci à vous également, cher collègue. Je cède
maintenant la parole au député de Rosemont, qui dispose d'environ
4 min 10 s.
M. Marissal :
Merci, M. le Président. Merci au PQ de m'avoir donné ces quelques secondes. Je
vais franchir le cap des quatre minutes. M. Waterhouse, je vais commencer
là où a commencé mon collègue de La Pinière mais avec une question
beaucoup plus pointue. Avez-vous été rémunéré pour avoir participé à
l'élaboration de la politique de cybersécurité du gouvernement?
M. Waterhouse
(Steve) : Aucunement. Même pas le stationnement de payé, aucun café.
M. Marissal :
O.K. Très bien. Vous comprenez la question. Si c'est bon pour vous, c'est bon
pour nous de le savoir, parce que, de la façon dont ça avait été dit, on aurait
pu penser que vous aviez été mis à contribution, ce qui, évidemment, changerait
votre rôle ici. Alors, je suis heureux de l'entendre. Et merci de votre
contribution bénévole.
Quand on regarde la
liste des témoins, vous en êtes le premier, et c'est bien, je pense que vous
deviez figurer pas mal au top de la liste, au-dessus de la liste, devrais-je
dire, de tous les partis ici représentés. On reconnaît votre expertise. Mais moi, je m'étonne, en regardant la
liste, de un, de voir qu'elle est plutôt courte. On a neuf ou 10 groupes
à ce jour, alors que le ministre, paradoxalement, parle de droit nouveau, de
territoire à défricher, de révolution, puis là on va «wraper» ça, on va fermer
ça en quelques jours, deux jours, là, de témoins. Je trouve ça paradoxal.
J'aimerais ça vous entendre là-dessus.
Et ce que je trouve
particulièrement paradoxal, c'est qu'il n'y a pas de collecteur de données de
l'État dans la liste qui a été retenue par le gouvernement. Je pense, par
exemple, à la RAMQ, là, qui est probablement... et Revenu Québec, qui sont les
deux plus gros collecteurs de données. Serait-il utile de les entendre?
M. Waterhouse
(Steve) : Bien, les entendre pour... Eux, ce sont des exécutants dans
l'accumulation des données, puis ils vont
dire : Bien, nous, on regarde vers le haut, on attend que les politiques
descendent pour être capables d'exécuter leur mission. Je ne sais pas
qu'est-ce qu'ils auraient apporté de plus, à part d'élaborer ou d'énumérer un
constat d'où ils en sont et où ils veulent aller, peut-être. Ça, c'est comme ça
que j'entends qu'ils auraient pu contribuer et donner un état de la situation
dans laquelle ils baignent, manquant de ressources, manquant peut-être de
stratégie. Ça, c'est la façon que j'aurais pu voir leurs apports.
Mais, les autres
professionnels qui sont manquants à l'appel, c'est peut-être parce qu'ils sont
justement submergés de travail, tellement qu'il y en a à faire. Ils n'ont
peut-être pas entendu l'appel au moment opportun. Il y a plein de facteurs
comme ça qui expliquent mal pourquoi qu'il n'y a pas plus d'appelés ici aujourd'hui.
M. Marissal :
Mais on est d'accord pour dire que ces deux entités-là, là, que je nomme, par
exemple, là, RAMQ, puis c'est à dessein que je le fais, là, il y a eu des
débats là-dessus déjà, et Revenu Québec, vont devoir, au premier chef,
participer, là, à ce qu'on est en train de faire là.
M. Waterhouse
(Steve) : Bien, moi, je les vois juste comme des exécutants. Une fois
que la politique sera dessinée et la stratégie
sera adoptée et descendue, ça ne doit pas devenir un débat mais bien une
exécution en partance de la stratégie globale, et qu'ils puissent à ce
moment-là arrimer leurs procédures en fonction de cette stratégie-là, sans quoi ça va devenir une boucle sans fin, et,
comme le député de Lotbinière le mentionnait tout à l'heure, l'échéancier
ne sera jamais atteint parce que ce sera toujours en termes de poursuite de
discussions et de remises en question de tout ce qui devrait être fait.
Alors, j'ai pour mon
dire, M. le député, il faut que ce soit, à un moment donné, avec des décisions.
Et, comme disait le ministre Caire tout à l'heure, oui, il faut que ce soit à
la militaire, à un moment donné, il faut que ce soit directif, sans quoi ça va
toujours être à recommencer.
M. Marissal :
Je crois que vous vouliez dire le député de La Pinière, si je ne m'abuse.
M. Waterhouse
(Steve) : La Pinière. J'ai dit... La Pinière, excusez.
M. Marissal :
La Pinière. Ce n'est pas grave. On se confond souvent. Il y en a 125, puis
ça se ressemble parfois un peu, dans l'orthographe à tout le moins.
Vous avez dit tout à
l'heure, puis je pense que votre constat est partagé, là : Le gouvernement
du Québec est 20 ans en arrière. Moi, je suis un gars prudent dans la vie,
là, puis je ne hais pas ça, faire ça par étapes, puis je me dis : Ne serait-il pas préférable de
rattraper le retard, du moins en grande partie, avant de se relancer dans une
nouvelle révolution où on parle de valorisation de données, où on ouvre
toutes sortes de nouvelles avenues?
M. Waterhouse
(Steve) : Tout dépend, M. le ministre... M. le député, pardon, de
quelle façon on le voit, parce que moi, j'ai... De la façon que le projet de
loi n° 95 va apporter, c'est vraiment d'actualiser qu'est-ce qui a été fait par le passé puis de le mettre au goût
moderne. Moi, c'est de la façon que je l'ai compris. C'est comme faire faillite
puis de repartir. Donc, qu'est-ce qui
a été fait par le passé, aussi chambranlant que c'est, comme je le décris, pour
dire que le gouvernement est en retard de 20 ans...
Le Président (M. Simard) : Très
bien.
M.
Waterhouse (Steve) : ...en sorte que ça va...
Le Président
(M. Simard) : Très bien.
M. Marissal :
Merci, M. Waterhouse.
M.
Waterhouse (Steve) : Merci.
Le
Président (M. Simard) : Alors, merci. Merci beaucoup, M. le
député de Rosemont. M. Waterhouse, merci pour votre intervention et
votre contribution à nos travaux.
Sur ce, nous allons
suspendre quelques instants, le temps de faire place à nos prochains invités.
(Suspension de la séance à
10 h 27)
(Reprise à 10 h 39)
Le Président (M.
Simard) : Donc, chers collègues, nous sommes en mesure de reprendre
nos travaux. Et nous sommes en compagnie des
représentants de la Commission
d'accès à l'information du Québec.
Madame, monsieur, soyez les bienvenus. Pour les fins de nos procès-verbaux,
auriez-vous l'amabilité de vous présenter, s'il vous plaît?
Commission d'accès à
l'information (CAI)
Mme
Poitras (Diane) : Alors, bonjour. Je suis Diane Poitras. Je
suis présidente de la Commission d'accès à l'information. Et je suis
accompagnée de Me Jean-Sébastien Desmeules, secrétaire général et
directeur des affaires juridiques à la commission.
Le
Président (M. Simard) :
Bienvenue. Vous savez que vous disposez de 10 minutes pour votre
présentation.
• (10 h 40) •
Mme
Poitras (Diane) : Merci, M. le Président.
Alors, d'abord, bonjour à tous et merci pour cette invitation à prendre part
aux présentes consultations particulières au sujet du projet de loi n° 95.
C'est un projet de
loi qui vise plusieurs objectifs, et il s'inscrit dans la foulée de plusieurs
autres initiatives et doit donc être analysé en tenant du compte de celles-ci,
et je parle entre autres, évidemment, du projet de loi n° 64, qui
propose une réforme des lois sur la protection des renseignements personnels.
La commission ne commentera que les dispositions du projet de loi qui ont un
impact sur la protection des renseignements personnels compte tenu, notamment,
du temps qui lui est imparti et des conséquences importantes de ce qui est
proposé sur les renseignements
personnels et la vie privée des citoyens et citoyennes du Québec.
Avant d'aborder ces
conséquences, la commission tient à souligner que la transformation numérique
de l'administration publique peut et doit s'effectuer dans le respect des
principes de protection des renseignements personnels — la
Stratégie de transformation numérique gouvernementale insistait d'ailleurs sur
le respect de ces principes — et, de l'avis de la commission, le projet
de loi s'écarte de cet engagement. En effet, le très vaste régime d'exception
qui est proposé par le chapitre II.4 du projet de loi aurait pour effet de
remplacer, à toutes fins pratiques, le régime général de la Loi sur l'accès
pour les renseignements personnels numériques. Et je m'explique.
Pour bien comprendre
les conséquences du projet de loi, il est utile de rappeler brièvement ce
qu'est la protection des renseignements personnels puis de prendre la mesure de
la portée des modifications proposées à la Loi sur la gouvernance et la gestion
des ressources informationnelles.
Alors, commençons par
la protection des renseignements personnels. À titre de composante du droit à
la vie privée, qui est protégé par la
charte, la protection des
renseignements personnels, ça
comprend un ensemble de principes qui visent à donner au citoyen le
contrôle sur ses informations, principalement par le biais du consentement. Ces
principes vont bien au-delà des seuls enjeux relatifs à la confidentialité ou à
la sécurité de l'information. En résumé, ils prévoient qu'il faut limiter la
collecte, l'utilisation, la communication et la conservation des renseignements
personnels à ce qui est nécessaire. Ce sont à ces principes et au principe du
consentement que certaines dispositions du projet de loi dérogent ou permettent
au gouvernement de déroger par simple décret en prévoyant des exceptions qui ne
sont pas suffisamment circonscrites, à notre avis, ni encadrées par des mesures
suffisamment robustes.
La portée de la
LGGRI, maintenant, bien, il faut se rappeler que c'est une loi qui s'applique à
un très grand nombre d'organismes publics : les ministères, les organismes gouvernementaux, les organismes scolaires et établissements d'enseignement
supérieur, de santé et de services sociaux. En fait, les municipalités et, pour
certaines obligations, les entreprises de l'État sont pratiquement les seuls organismes
publics à en être exclus. Quant aux renseignements qui sont visés par le projet
de loi, ce serait toute donnée numérique gouvernementale détenue par ces organismes.
Ça inclut les renseignements personnels de
toute nature comme les renseignements d'identité, de santé, financiers, fiscaux,
scolaires, sociaux, policiers, pour ne donner que ces exemples.
Enfin, tel que libellé dans le projet de loi,
les fins administratives ou de services publics, là, qui conditionnent les
principes de mobilité et de valorisation de ces données, que nous verrons dans quelques
instants, englobent la presque totalité des activités d'un organisme public. Il
est difficile d'identifier quelles activités ne feraient pas partie de l'une ou
l'autre des fins décrites au projet de loi.
Alors,
ces précisions permettent de bien saisir toute la portée du projet de loi. Ce qui est proposé est susceptible, à notre avis, de s'appliquer
dans la très grande majorité des situations impliquant des renseignements personnels
numériques détenus par la plupart des organismes publics assujettis à la
Loi sur l'accès. C'est pourquoi la commission croit que ce régime d'exception
au principe de protection des renseignements personnels deviendrait vraisemblablement
la norme. Voyons maintenant quelles exceptions sont proposées par le projet de loi.
D'abord, il pose comme principe que toutes les
données numériques détenues par les organismes publics sont un actif informationnel
stratégique du patrimoine numérique gouvernemental et dont la mobilité, la
valorisation à des fins administratives et de
services publics sont d'intérêt gouvernemental. L'application de ce principe
aux renseignements personnels se
concilie difficilement avec le fait que les citoyens confient leurs
renseignements aux organismes publics dans un contexte et à une fin
spécifiques. Ils ne renoncent pas pour autant à la propriété de leurs
renseignements ni à exercer tout contrôle
sur ceux-ci, surtout que, souvent, ils n'ont pas le choix de les transmettre
aux organismes publics.
Cet élément central du projet de loi va donc à l'encontre
d'un des principes fondamentaux de la protection des renseignements personnels,
soit celui de permettre à l'individu d'exercer le contrôle sur ses
renseignements. Or, le projet de loi
permettrait au gouvernement d'utiliser ou de communiquer des renseignements
personnels numériques à des fins
auxquelles les citoyens n'ont pas consenti et dont ils n'ont pas été informés.
Ces exceptions seraient déterminées par cinq décrets du gouvernement.
Deuxièmement, lorsqu'elles impliquent des
renseignements personnels, la mobilité et la valorisation des données
numériques sont évidemment susceptibles d'aller à l'encontre des principes de
limitation de la collecte, d'utilisation et de la communication des
renseignements personnels. Plus précisément, le projet de loi permettrait au
gouvernement, par décret, d'autoriser la collecte, la communication et
l'utilisation de renseignements personnels pour une finalité différente de
celle à laquelle les citoyens ont consenti, et sans tenir suffisamment compte
du respect de leur vie privée. Il
permettrait aussi de concentrer au sein d'un même organisme public des
renseignements personnels parfois très sensibles, avec les risques que cela
comporte, comme l'actualité tend malheureusement à le démontrer.
La commission comprend très bien que l'un des
objectifs du projet de loi est d'instaurer un nouveau cadre de gestion des
données numériques gouvernementales qui réduirait les silos entre les
organismes publics, et ce, afin de favoriser l'efficacité de l'administration
publique et la prestation de services des citoyens. Toutefois, elle considère
que ces objectifs peuvent être atteints sans porter atteinte de façon aussi
importante aux principes fondamentaux visant à protéger les renseignements
personnels.
La commission croit aussi que l'adoption de ce
volet du projet de loi minerait certains efforts actuels pour rehausser la protection des renseignements
personnels dans le cadre de la réforme qui est prévue par le projet de loi n° 64. C'est
pourquoi la commission recommande de revoir l'approche proposée par le projet
de loi n° 95, du moins pour les renseignements personnels.
La modification du régime général de la Loi sur
l'accès permettrait d'intégrer les objectifs poursuivis tout en s'assurant de
la cohérence de ces modifications avec la réforme en cours et du respect des
principes de protection des renseignements personnels. Cette avenue permettrait
aussi d'éviter de créer un régime législatif distinct du régime général de
protection des renseignements personnels et de multiplier les lois qui
prescrivent des exceptions au régime général.
L'application simultanée de plusieurs lois et de
nombreux décrets occasionnerait, à notre avis, d'importantes difficultés
d'interprétation, pour les organismes publics, qui peuvent être évitées. Il en
serait de même pour les citoyens, qui sont les premiers concernés par les
impacts du projet de loi et les risques de ne plus être en mesure de connaître
à quelles fins leurs renseignements personnels pourront ultimement être
utilisés ou communiqués.
La commission convient que des modifications
législatives sont requises pour adapter le cadre juridique actuel au nouvel environnement numérique.
Toutefois, ces modifications et d'éventuelles exceptions au régime général
et prépondérant prévu par la Loi sur l'accès doivent se trouver dans cette loi,
qui a un statut quasi constitutionnel, soulignons-le ou rappelons-le. Aussi,
ces exceptions doivent être spécifiques et limitées à ce qui est légitime et
nécessaire. Elles doivent aussi être encadrées par des mesures de contrôle
adéquates.
L'étude du projet de loi n° 64 est
justement l'occasion d'effectuer ces changements. Dans son mémoire, la
commission formule des recommandations visant à guider cet exercice. Elle est
disponible pour y collaborer afin de prévoir comment faciliter l'innovation,
l'efficacité gouvernementale et l'amélioration des services aux citoyens mais
dans le respect des principes de protection des renseignements personnels.
L'innovation et la transformation numérique
peuvent aussi être une occasion d'améliorer le contrôle des citoyens sur leurs renseignements. Elles ont
permis le développement de plusieurs techniques permettant l'utilisation de
renseignements personnels sans qu'il soit possible d'identifier les personnes
qu'ils concernent. Ces développements devraient aussi être pris en compte dans
l'évaluation de la nécessité de prévoir des exceptions aussi étendues.
Je vous remercie de votre attention. Il me fera
plaisir d'échanger avec vous au cours des prochaines minutes.
Le
Président (M. Simard) :
Merci à vous, Mme la présidente. Et je cède maintenant la parole à M. le
ministre.
M.
Caire : Merci, M.
le Président. Bonjour, Me Poitras. Comment allez-vous?
Mme Poitras (Diane) :
Ça va bien, merci. Et vous?
M.
Caire : Bien oui!
Merci, merci. Bien, d'abord, merci d'avoir pris le temps de regarder le projet
de loi. Merci de vos commentaires. Je suis convaincu que ça va alimenter notre
réflexion.
Vous avez amené, par
contre, des éléments sur lesquels je souhaite peut-être revenir. Vous parlez
d'un régime d'exception. Or, la loi n° 95 ne prévoit aucune exception,
prévoit le respect intégral de toutes les règles, lois et directives qui
existent. Donc, comment vous en arrivez à la conclusion que 95 présente un
régime d'exception?
• (10 h 50) •
Mme Poitras (Diane) :
Merci pour cette question. En fait, peut-être qu'il faut nuancer. Elle ne
prévoit pas de dérogation. Elle ne dit pas : Ça s'applique malgré la Loi
sur l'accès, mais, en prévoyant des possibilités d'utiliser, de communiquer ou
de recueillir des renseignements dans des situations autres que celles qui sont
prévues dans la Loi sur l'accès, et sans le
consentement de la personne concernée, on prévoit un régime d'exception au
principe de limitation de la collecte, de l'utilisation et de la
communication des renseignements personnels.
M.
Caire : Mais il y a
des lois qui prévoient ça. En fait, ça m'étonne, parce que même 64 prévoit
qu'on peut communiquer un renseignement personnel sans le consentement si les fins
sont compatibles, si c'est manifestement dans l'intérêt de la personne. Et on
arrive avec 95, qui dit : Nous allons intégralement respecter ces
dispositions-là.
Les décrets vont venir préciser. Puis, vous
l'avez mentionné, là, un décret ne peut pas être plus permissif qu'une loi. Il
doit nécessairement être plus sévère. Donc, encore là, je vous avoue, puis je
ne suis pas tout seul, là, j'ai de la
difficulté à suivre comment vous en arrivez à la conclusion que ça, c'est un
régime d'exception, s'il y a
obligation du respect du cadre législatif et réglementaire intégral. Je
ne comprends pas, là.
Mme Poitras (Diane) :
Je vais prendre un exemple concret. Il n'y a rien comme un exemple concret pour
essayer de comprendre. Comme vous le
soulignez, dans la Loi sur l'accès,
on limite les situations. Le principe de base, pour l'utilisation, on va
prendre un exemple en utilisation de renseignements, la loi dit : Comme
organisme public, tu peux utiliser les renseignements que toi, tu as recueillis
aux fins pour lesquelles tu les as recueillis puis que tu as déclarées au
citoyen quand tu les as recueillis. On dit... Il y a une exception, dans la Loi
sur l'accès, qui dit : On peut l'utiliser
à des fins compatibles. Vous l'avez souligné. La loi n° 95
vient de donner toute une autre série d'exceptions, qui sont prévues au
chapitre II.4, qui sont les fins administratives ou de services publics.
Tout ça, ce sont des nouvelles exceptions qui permettent et à l'organisme qui a
recueilli et qui détient les renseignements de les utiliser, et à tout autre
organisme public de les utiliser à ces fins-là dans la mesure où c'est prévu
dans un décret.
M.
Caire : Mais...
Parce que, là, je me fais le porte-parole d'une vingtaine de juristes, là, qui
ont collaboré à ce... dont le SAIRID, et qui ne voient pas ce régime
d'exception là non plus, parce qu'il est clair que soit on respecte la loi,
soit on demande le consentement dans la prestation de services.
Mais à mon tour peut-être de donner un exemple
où on va demander à un citoyen qui inscrit son fils à l'école d'aller chercher
un certificat de naissance qu'on va amener à l'école, que l'école va valider,
que l'école va retourner au Directeur de
l'état civil pour faire valider si le certificat de naissance qui a été
présenté est le bon. Bien, ce que la loi dit, c'est : Bon, bien, écoutez, parlez-vous, là, puis laissez le
citoyen en dehors de ça. C'est un peu ça qui est la finalité de...
Est-ce que vous voyez là un régime d'exception?
C'est un peu ça, dans le fond, l'idée du projet
de loi, c'est de dire que, si j'ai déjà la réponse, je valide auprès de
l'organisme détenteur si la loi me permet d'avoir accès à cette information-là,
parce que la loi prévoit que j'ai... Puis
vous l'avez dit, hein, souvent, les organismes vont collecter auprès du
citoyen, parce que, dans la Loi d'accès actuelle, il est prévu que, si je collecte une information
personnelle dans le cadre d'une mission qui m'est donnée par la loi, j'y ai
accès, donc on respecte intégralement cette
façon de faire là, et, si vous n'y avez pas accès, bien, vous devrez obtenir le
consentement du citoyen. C'est un peu ce que 12.10 dit. Donc, encore là, j'ai
un peu de difficulté à voir en quoi c'est une exception par rapport à ce qu'on
fait déjà.
Mme
Poitras (Diane) : En fait,
le consentement ne se retrouve nulle part dans le projet de loi n° 95.
Toutes les communications, les utilisations qui sont prévues, c'est indiqué
qu'elles peuvent se faire sans le consentement du citoyen.
Si l'intention était de dire... Dans l'exemple
pratique que vous donnez, c'est très simple, lors du premier contact avec le
citoyen, dire : Acceptez-vous, là? On va s'occuper de valider tout ça
plutôt que de vous retourner puis vous faire faire les démarches à notre place.
Il n'y a aucun problème. Ça, ce serait correct. Mais, si on respecte, si vous me dites : Les principes... on a
l'intention de respecter les principes de la loi, pourquoi alors prévoir le
chapitre II.4 du projet de loi
n° 95? Parce qu'il permet de faire des choses que la Loi sur l'accès ne
permet pas. Sinon, on n'a pas besoin du chapitre II.4 et de toute
la section sur les renseignements personnels.
Nous, ce qu'on vous dit, c'est : C'est
clair qu'il y a des situations où on peut faciliter la vie du citoyen, etc., limiter les démarches que lui a à faire, alors
qu'on a déjà l'information. La commission n'est pas contre ça, pas du tout.
Ce qu'elle dit, c'est : Prenons le chemin de la Loi sur l'accès. On est en
train de la réformer. C'est le temps de briser les silos que vous voulez faire
pour atteindre les objectifs que vous poursuivez par 95. Mais le chemin qui est
choisi, c'est des exceptions beaucoup trop larges, pas suffisamment
circonscrites et pas suffisamment encadrées.
M.
Caire : O.K. Puis
en même temps... Bien, en fait, écoutez, je respecte hautement votre opinion.
Ceci étant, nous n'y voyons pas d'exception, dans le sens où il y a un
engagement et une obligation, 12.10, de respecter les lois, les directives et
les règlements intégralement.
Mais tout à l'heure vous disiez : De toute
façon, les organismes vont aller collecter l'information auprès du citoyen. Ça, c'est l'état actuel des choses. C'est
pour ça, tout à l'heure, M. Waterhouse nous a dit que cette
multiplication-là des sites où on conservait des données, des renseignements
personnels multipliait dans les mêmes proportions les
risques. Vous semblez dire le contraire, à savoir que, si on y va du côté des
sources de données, c'est ça qui multiplie les risques. Comment vous conciliez
votre interprétation de la sécurité des renseignements, qui est assez
contradictoire avec celle que M. Waterhouse vient de nous donner, qui lui
dit plutôt : Non, au contraire, allez-y vers les sources de données parce
que c'est ça qui va vous offrir une meilleure sécurité de l'information?
Mme Poitras (Diane) :
Si on... Peut-être qu'on s'est mal compris. On n'est pas contre le fait,
notamment, d'instaurer des... Si une des
façons d'atteindre l'objectif est d'instaurer des sources officielles de
données — je
m'excuse, je ne me souviens pas exactement du terme, là, mais vous savez
sûrement à quoi je réfère...
M.
Caire : Oui,
c'était ça.
Mme Poitras (Diane) :
...c'est ça — et
que cette source pourra être la source qui alimente certains autres organismes
dans certaines circonstances, qui seraient définies dans la loi, par contre, ou
avec le consentement du citoyen, ce n'est
pas une... on dit juste : Attention, est-ce que cette source doit
nécessairement concentrer un grand nombre de renseignements de santé, fiscaux, sociaux, policiers, etc.? Il n'y a
pas de balise à cette possibilité de concentration là dans la loi
actuelle.
Alors, on n'est pas contre le principe. Ce qu'on
vous dit, c'est que ça devrait être dans la Loi sur l'accès puis ça devrait
être davantage balisé que ce que propose le projet de loi n° 95.
M.
Caire : Oui, sauf
que là... Puis, comme j'ai les deux chapeaux, la Loi d'accès se veut
technologiquement neutre, donc je ne suis pas convaincu que je vous suis
là-dessus, puis la loi n° 95, elle, est une loi
essentiellement technologique. Donc, vous ne pensez pas que ces deux lois-là
doivent effectivement être en concordance.
Moi, je vous suis sur le fait qu'effectivement
95 doit s'appuyer sur les... ce que la Loi d'accès... ou la loi sur la
protection des renseignements personnels prescrit, mais elle doit, la Loi
d'accès, rester technologiquement neutre, alors
que le projet de loi n° 95, lui, est essentiellement, pour ne pas dire
exclusivement, un projet de loi technologique, là. J'essaie de vous
suivre dans le raisonnement. Aidez-moi.
Mme Poitras (Diane) :
Il y a moyen que les principes qu'on veut intégrer... La Loi sur l'accès, c'est
une loi de principes, avec des exceptions. Je suis convaincue qu'il y a moyen
d'intégrer ces principes-là de façon neutre, technologiquement, dans la Loi sur
l'accès.
Puis, comme je disais, ça va nous faire plaisir
de s'asseoir avec vos juristes puis ça va me faire plaisir aussi de s'asseoir avec les juristes pour voir comment
ça se fait qu'eux arrivent à la conclusion que ce n'est pas une exception aux principes de la Loi sur l'accès. Moi, j'aimerais
bien comprendre comment ils arrivent à ce raisonnement-là parce que...
Pour revenir sur ce point-là, tu sais, dans la
Loi sur l'accès, on dit : Une des exceptions, c'est, si la loi prévoit
autrement qu'on peut utiliser ou communiquer des renseignements, c'est correct,
puis là, bien, c'est dans la loi n° 95 que vous venez d'établir un paquet d'exceptions.
Ça fait que c'est sûr que vous respectez la Loi sur l'accès, vous ne lui
dérogez pas, mais vous créez des exceptions
au principe de limitation de la collecte, d'utilisation et de communication
des renseignements, par contre.
• (11 heures) •
M.
Caire : Écoutez, je
suis convaincu que vous allez avoir des heures de plaisir de discussion avec
les gens du SAIRID, Me Poitras. Je vais
vous laisser billeveser entre juristes. Le modeste informaticien que je suis va
se limiter aux technologies.
Bien, le
principe de 95, puis je suis content qu'on aborde cet aspect-là,
Me Poitras, le principe de 95, le principe d'une source de données,
c'est, au contraire, de concentrer une donnée spécifique. On s'entend que le
réseau de la santé collecte beaucoup trop d'informations par
rapport à ce qui est propre à la
Santé, versus ce que l'État civil possède, versus ce que l'Éducation
possède, versus ce que Revenu possède.
L'idée de la source de données est d'avoir des
sources de données qui sont spécifiques à la mission de la source et de
s'assurer d'avoir une intégrité dans l'information. Parce qu'actuellement, au gouvernement
du Québec, il y a probablement entre 250 et 300 versions différentes de
Diane Poitras, ce qui est, du point de vue de l'intégrité de l'information,
ingérable. La multiplication des sources de données rend notre organisation
vulnérable aux fuites. Et, bon, on a fait référence aux événements récents. Alors,
l'idée de la source de données, elle est... Ça, et d'avoir un gestionnaire de
données au centre de ça, c'est de dire que, si un organisme a besoin d'une information,
il doit vérifier à l'interne si cette information-là, elle est accessible, un;
deux, le gestionnaire doit vérifier si, aux termes de la loi, l'organisme en a
besoin dans l'exécution de sa mission; et, trois, il doit lui communiquer, dans
la version la plus humble possible, qui ne permet pas d'identifier la personne,
si tant est que c'est nécessaire.
Puis je vous ai... j'ai vu, dans votre mémoire,
vous parliez de dépersonnalisation, puis je veux être très clair, parce que la
loi n° 95 n'aborde pas cette situation-là sous
l'angle de la dépersonnalisation mais bien sous l'angle du plus petit dénominateur commun. Je vous donne un exemple.
Si un gouvernement met en place un nouveau programme qui
a un critère d'âge dans l'admissibilité, bien, l'organisme qui administre le programme pourrait, à l'État
civil, s'assurer que le critère d'admissibilité est rencontré, ce qui ne
veut pas dire que je vais vous transférer ou vous donner accès à la date de
naissance. Je vais simplement vous confirmer que le critère d'âge est
rencontré.
Donc, pour
moi, cette façon de faire là, au contraire, là, de ce que j'entends de
votre part, limite la transmission d'informations et de renseignements
personnels au plus petit dénominateur
commun, et donc en assure, à mon avis, puis je veux vous entendre là-dessus, là,
en assure une plus grande confidentialité. Parce que vous parlez de donner accès à des renseignements personnels sans le consentement,
et moi, je dis : Au contraire, un, on respecte les lois et, deux, on a l'obligation d'aller au plus
petit dénominateur commun, donc d'en transférer le moins possible. Donc, est-ce que... je ne sais pas, est-ce que ce
que je vous dis là vous amène dans une zone différente par rapport à 95 ou il y
a quelque chose que moi, je n'ai pas vu?
Mme Poitras (Diane) :
En fait, je vous dirais, pour le dire simplement, quand je vous écoute, puis
que vous me dites : Bien, ce qu'on veut
faire, c'est ça, avec ces limites-là, puis ça va bien protéger
les renseignements, ce n'est pas ce que je retrouve et ce
que nous retrouvons dans le projet de loi. Ces limites que vous donnez...
Puis l'exemple
que vous venez de donner, ce n'est pas dans le projet de loi. Ce que le projet
de loi permettrait, c'est que l'État civil communique tout ce qu'il peut avec
le réseau de la santé, que le réseau de la santé pourrait communiquer tous les renseignements au réseau
scolaire, que Revenu Québec pourrait communiquer tous les renseignements puis qu'on pourrait, avec
ça, les utiliser à toutes fins et les communiquer dans toutes situations que le
gouvernement déciderait par décret. Et c'est cette étendue du régime, de
possibles exceptions, qu'on ne trouve pas nécessaire pour atteindre vos
finalités.
Bien, quand je vous entends, puis je vous
écoute, puis vous me donnez des situations précises, moi, je ne retrouve pas
ces balises-là dans le projet de loi n° 95. Et, si c'est ça, l'intention,
c'est pour ça que je vous dis : Ça va nous faire plaisir de s'asseoir avec
votre équipe pour essayer de les mettre dans la Loi sur l'accès, plutôt que le
projet de loi n° 95, pour atteindre les objectifs dans la protection de la
vie privée en respectant la vie privée des citoyens.
M.
Caire :
Bien, encore là, je... comme ministre responsable de l'Accès à l'information et
de la Protection des renseignements personnels, j'ai aussi une
préoccupation de garder le projet de loi n° 64 technologiquement neutre,
mais je vous entends, Me Poitras, là, sachez que je vous entends.
Mais en fait... Bien, en fait, ce que je vous
explique, il est dans la loi, là. Je vous avoue qu'en même temps que je vous écoute j'essaie de retrouver l'article
qui l'adresse spécifiquement, puis vous comprendrez que ma condition ne me permet pas de faire deux choses en même
temps. En fait, c'est 12.14 qui dit : «Lorsque de telles données peuvent
être utilisées ou communiquées sous une
forme ne permettant pas d'identifier directement la personne concernée, elles
doivent être utilisées ou communiquées sous cette forme.»
Et c'est à dessein qu'on n'utilise pas
l'expression de «dépersonnalisation», parce que la dépersonnalisation, dans
l'univers technologique, amène une définition qui est claire de ce qui doit
être fait versus l'anonymisation. Donc,
c'est pour cette raison-là qu'on parle d'identifier la personne, et parce qu'on
est dans un principe où on fait une obligation technologique d'aller au
plus petit dénominateur commun. Mais je vous rappelle, respectueusement, que le
projet de loi n° 95 est un projet de loi essentiellement technologique.
Donc, c'est sûr que ces concepts-là sont
peut-être plus, comment je... On sait qu'on s'en va vers du droit nouveau, on sait qu'on s'en va vers des concepts
qui sont nouveaux, mais l'idée est vraiment, de ce que je vous dis, là, de dire que... Autant pour le Service québécois
d'identité numérique, d'ailleurs, ou avec le portefeuille d'identité numérique,
on souhaite cesser de fournir beaucoup trop d'informations par rapport à ce qui
est requis, souvent. Bien, c'est le même principe.
Le Président (M. Simard) : Merci, M.
le ministre.
M.
Caire : Déjà?
Le Président (M. Simard) : Bien oui,
déjà.
M.
Caire : Bien, on va
se reparler, Me Poitras, de toute façon. On va se reparler.
Le Président (M. Simard) : Bien oui.
Alors, je cède maintenant la parole au député de La Pinière.
M.
Caire : Aïe! Merci
beaucoup, Me Poitras. Sincèrement, merci beaucoup.
Le Président (M. Simard) : Alors, je
cède la parole au député de La Pinière pour 11 min 20 s.
M.
Barrette : Ah!
11 min 20 s. C'est bon. Alors, bonjour, Me Poitras,
M. Desmeules. Est-ce que c'est Me Desmeules ou c'est
M. Desmeules?
M. Desmeules (Jean-Sébastien) :
C'est Me Desmeules, oui.
M.
Barrette :
Me Desmeules. Bon, alors, bienvenue à cette commission, à mon tour. Bon, écoutez,
j'ai comme envie d'y aller plus dans la philosophie de la chose que dans
le détail, tant du mémoire que du projet de loi.
Me Poitras, je pense que vous étiez là dans
la législature précédente, puis on avait regardé nous-mêmes des choses qui vont
dans... ou qui auraient été, si les projets de loi avaient été de l'avant ou
même déposés, dans le sens de 95. Je ne fais pas une profession de foi de 95,
là, ce n'est pas ça, mon idée, mais je veux...
Je vous ai
écoutés, tous les deux, là, le ministre et vous, Me Poitras, et je suis toujours
surpris de voir à quel point on arrive à vouloir la même chose puis ne
pas avoir le même outil pour le faire, et ça... Mais ça me rassure, parce que, la Commission d'accès à l'information, ce n'est pas une
critique, mais, il y a des, des, des années, là, genre à la fin des
années 90, début des années 2000, ce dont on parle aujourd'hui aurait
été une impossibilité, vu de l'angle de la Commission d'accès à l'information.
Là, aujourd'hui, il y
a une ouverture, puis c'est comme si, le véhicule, du moins, si je comprends,
là, votre intervention, Me Poitras, le véhicule, vous ne le trouvez pas
bon. Mais je comprends, là, que vous voyez aujourd'hui une utilité d'avoir une
plus grande liberté de circulation de l'information à l'intérieur de l'État.
Ça, là, est-ce qu'on peut dire ça?
Mme Poitras (Diane) : Oui, dans certaines limites et avec un
encadrement, des espèces de garde-fous adéquats. Et c'est la voie qu'a
choisie l'Ontario et c'est la voie qu'est en train de choisir aussi le gouvernement
fédéral, qui, les deux, ont modifié la
loi-cadre, l'équivalent de la Loi sur l'accès. Et donc on est convaincus que
c'est possible de le faire.
Puis ce n'est pas
juste une question de dire : On veut que ce soit dans la Loi sur l'accès,
ce n'est pas ça, c'est que c'est cette loi-là, qui est prépondérante puis qui a
un statut quasi constitutionnel, qui établit les limites et le cadre dans
lequel on peut justement faire ces choses-là.
• (11 h 10) •
M. Barrette :
Mais, moi, c'est là que je ne comprends pas, là. Quand le ministre donne
l'exemple du certificat de naissance, là,
pour moi, c'est une évidence. Alors, en quoi ça, ça a besoin d'un cadre
juridique spécifique? Parce que, quand je vous écoute, Me Poitras,
là... Puis là ne pensez pas que je fais... prends la défense de 95, c'est juste que c'est le genre de chose que moi-même, je
souhaitais faire précédemment, dans mes fonctions précédentes, que je ne pouvais pas parce que la loi l'empêchait. La
loi d'accès à l'information, telle qu'elle est écrite actuellement, là...
Je le disais en
introduction, vous n'avez peut-être pas entendu, mais la donnée, là, c'est un
univers en soi. C'est un trésor, il est dans un coffre-fort puis il ne peut pas
aller nulle part. Alors, le certificat de naissance, là, c'est un trésor, il
est dans un coffre-fort, un coffret de sécurité dans une banque, puis, le faire
sortir de là parce qu'on en a de besoin pour une attestation, pour une autre
affaire gouvernementale, on ne peut pas le faire. 95 veut faire ça.
Je ne le vois pas, le
moyen, moi. Je ne suis pas au fait, là, de ce que fait l'Ontario, là, mais ça
ne veut pas dire que... (panne de son) ...qui
a raison, ça ne veut pas dire que l'Ontario a raison, là. Il doit bien y avoir
moyen de moyenner.
Moi, j'allais même
plus loin, là. Vous savez, sur la question des déterminants de la santé, là,
l'État, qui doit mettre en place des
conditions qui favorisent la santé, doit, par définition, mettre en commun des
données socioéconomiques, démographiques, géographiques et de santé à
court, moyen et long terme. Il ne peut pas le faire. Il peut le faire dans le
cadre d'un programme de recherche avec une demande spécifique, et patati, et
patata, mais il y a un frein.
Alors, entre la
circulation et la disponibilité, entre organismes, d'un certificat de
naissance, il y a quelque chose de beaucoup plus élaboré, à l'autre extrême que
sont les déterminants de santé, pour... Vu sous l'angle de l'État qui veut
améliorer le sort des citoyens, il est où, le chemin? Je ne l'entends pas.
Vous, vous dites... 95, vous ne voyez pas ce
qu'il faut là-dedans pour le faire. Moi, je vous écoute, puis je ne vous fais
aucun reproche, mais je ne vois pas, moi, votre chemin. Expliquez-moi
votre chemin.
Mme
Poitras (Diane) : Bon, dans la Loi sur l'accès, il y a des
principes puis il y a des exceptions. Alors, les... ce qu'il faut faire, c'est
bonifier les exceptions à la Loi sur l'accès qui limitent la circulation ou les
utilisations des renseignements personnels
pour qu'ils reflètent ce désir d'améliorer les services aux citoyens dans une
ère numérique et d'utiliser des renseignements à certaines occasions.
Puis effectivement, les deux exemples que vous donnez, le certificat de
naissance puis tous les renseignements de santé, avec d'autres déterminants de
santé, on comprend que le niveau de sensibilité n'est pas le même. Mais il y a
moyen, dans cette loi-là... Elle sert à ça, la réforme.
Les réformes en
cours, actuelles des lois qui protègent les renseignements personnels dans le
secteur public vont pratiquement toutes dans le sens d'ouvrir pour permettre
ces choses-là, mais il faut poser des limites et il faut que les situations soient clairement définies par
la loi, et non qu'on prévoie une loi, à côté, qui permette des possibilités
d'exceptions très larges, et que c'est le gouvernement, par décret, qui va
fixer dans quelles situations et à quelles conditions ça va pouvoir se
réaliser.
Et, pour le
certificat de naissance, actuellement, moi, je pense qu'on n'a ni besoin
d'aucune modification à la Loi sur l'accès ou à... même, à la... On n'a pas
besoin du projet de loi n° 95. On pourrait simplement
dire au citoyen : Tu acceptes-tu que j'aille vérifier ton certificat de
naissance moi-même, que j'aille l'obtenir avec ton consentement? Puis, je veux dire, ça pourrait se faire dans le
respect des règles actuelles, ce qui n'est pas le cas, par exemple, de tous
les renseignements de santé, là, aussi à
cause des cadres spécifiques qui peuvent exister dans ce domaine-là. Bien, moi,
je le vois, la voie pour y arriver, là.
M. Barrette :
O.K. Alors, est-ce que cette voie-là... Bien, vous la voyez, mais là je ne l'ai
pas vue dans ce que vous dites. Vous dites que vous la voyez. Vous êtes
juriste, là. Vous êtes à la CAI. Vous devez voir des choses qu'on ne voit pas. Sans ça, il y a un problème.
Mais là vous ne voyez pas la possibilité, dans le cadre de 95, d'y inscrire les
limitations que vous souhaitez. Parce que 95, ça va plus loin que les non-exceptions
que vous y voyez, là. 95, il y a toute une question de gouvernance de la
sécurité, une gouvernance de la gestion de l'information, une gouvernance qui va dans le détail de la vie de l'information,
et ça, ça a une valeur en soi, en ce qui me concerne. Vous ne voyez pas
la possibilité, à la place, d'inscrire dans 95 ce que vous recherchez.
Mme Poitras (Diane) : En fait, on pourrait garder le... On ne dit pas
qu'il ne faut pas aller de l'avant avec 95...
M. Barrette : Je n'ai pas compris
ça.
Mme
Poitras (Diane) : Ce qu'on dit, c'est que, pour le volet
protection des renseignements personnels, mettez ces exceptions-là dans la Loi
sur l'accès, qui vont pouvoir bénéficier du cadre général de la loi, avec tout
ce que ça implique et des protections que ça peut impliquer, et limitons-les un
peu, parce que, pour l'instant, on les trouve beaucoup trop vastes.
Puis on trouve que donner un pouvoir
discrétionnaire au gouvernement de déterminer par décret dans quelles
circonstances, et quelles règles vont s'appliquer, et à quels renseignements...
Il faut que ce soit... Il faut que la loi fixe le cadre. Il faut se rappeler
que ces situations-là, c'est quand même une exception au droit fondamental à la
vie privée, là. On est... Oui, on peut permettre des exceptions légitimes, mais
elles doivent être précises dans la loi et proportionnelles à l'objectif qu'on
veut atteindre. Et c'est ça qu'on ne retrouve pas dans le projet de loi
n° 95 pour le volet protection des renseignements personnels.
M. Barrette : O.K. Et, pour vous, à
la Commission d'accès à l'information, là, la vie de la donnée à l'intérieur
d'une entité qu'est le gouvernement, que ça se promène dans cette bulle-là, là,
c'est un univers dans lequel il faut proscrire une circulation libre.
Mme Poitras (Diane) :
Je n'ai pas dit «proscrire». Encadrer. Ce n'est pas pareil. La loi actuelle
prévoit déjà des situations où ça peut être fait et encadre ces situations-là.
Est-ce qu'elles doivent être bonifiées à la lumière des objectifs qu'on poursuit
puis de l'ère du numérique? Oui, la commission est bien d'accord avec ça, mais
on pense qu'on va beaucoup trop loin avec 95 et que ce n'est pas le
véhicule approprié.
Ça serait très complexe d'interpréter. Moi,
j'essaie de me mettre dans la peau d'un organisme public ou même nous, comme commission, déterminer si tel
renseignement peut être utilisé par tel organisme, dans telle circonstance.
Il va falloir regarder la Loi sur l'accès, le projet de loi n° 95, la
LGGRI, les décrets qui sont adoptés, le secret professionnel et, s'il y a des
organismes impliqués qu'il y a des lois particulières, comme le domaine de la
santé ou des renseignements fiscaux, il va falloir regarder ces lois-là aussi
et la loi sur la transformation numérique parce qu'il y a un lien qui est fait
aussi, là. Alors, ça va être très, très, très complexe.
M. Barrette : Oui, par définition,
parce que, dans votre situation, veux veux pas, votre angle est un angle qui
freine. Dans la bulle de l'État, moi, j'insiste là-dessus, là, dans la bulle
qu'est l'État, vous amenez un frein puis vous trouvez que 95 est trop
libre.
Mme
Poitras (Diane) : Oui, parce
que le droit au respect de la vie privée puis la protection des renseignements
personnels, ce n'est pas juste la confidentialité ou la sécurité de
l'information, c'est aussi, en quelque sorte, limiter les situations où on se
communique et on utilise des renseignements entre organismes. Et c'est ce
bout-là que, si on ouvre les valves puis on
dit : Bien, dans toutes les situations que le gouvernement va décider, par
décret, de faire, ce sera correct, on vient de vider de son sens ces
principes de la loi. On ne dit pas que ce n'est pas possible. On dit qu'il faut
qu'ils soient prévus dans la loi.
M. Barrette : Juste par curiosité,
parce qu'il me reste quelques secondes, vraiment, là, quand ça a été rédigé, ce
projet de loi là, ça n'a pas été fait de façon conjointe avec vous?
Mme Poitras (Diane) :
Le projet de loi n° 95? Non. On l'a vu quand il a été rendu public.
M. Barrette : ...O.K. C'est bon. Là,
il ne me reste plus de temps, hein, M. le Président?
Le
Président (M. Simard) : Non,
malheureusement, cher collègue. Alors, nous allons maintenant céder la parole
au député de Rosemont, qui dispose, quant à lui, de 2 min 50 s.
M. Marissal : Merci, M. le
Président. Me Poitras, Me Desmeules, merci d'être là. Je trouvais
votre mémoire particulièrement clair, et la discussion que vous avez eue par la
suite avec le ministre m'a complètement embrouillé.
Je comprends qu'un cadre réglementaire peut être
malléable, là, mais là je pense qu'on essaie de sculpter de l'eau, tellement
c'est liquide, que vous n'allez pas du tout dans la même direction ni l'un ni
l'autre. Quoique vous disiez tous les deux
vouloir vous rendre au même objectif, vous ne me semblez pas suivre du tout la même
voie. Je dirais même qu'il y en a un qui va à l'est, l'autre à
l'ouest... ou nord ou sud, là, prenez ça comme vous voulez, là, mais vous êtes
assez écartelés dans la façon de le faire. J'ai du mal à comprendre qu'on
puisse arriver à ce point décalés. Puis je ne dis pas que vous avez tort, hein,
Mme Poitras... Me Poitras, je ne suis pas en train de dire ça, je ne suis
pas en train de dire que le ministre a tort, mais je suis quand même assez perplexe
devant la disparité de vos opinions, puisqu'on parle ici, quand même, d'un projet
de loi majeur.
Ce que je crois comprendre de ce que vous dites,
par contre, c'est qu'on met la charrue devant les boeufs, parce qu'en fait ce qu'il faudrait faire, c'est
réformer complètement la loi-cadre de la CAI. Est-ce que, ça, je comprends
ce bout-là correctement?
Mme Poitras (Diane) :
Et elle est en train de se faire, la réforme. Et on ne veut pas dire, là :
On rebrasse les cartes, puis on efface tout,
puis on réécrit. Il y a moyen d'inclure. Il y a déjà des exceptions à
l'utilisation, à la communication dans la loi. Il s'agit simplement de
les bonifier et d'intégrer, comme c'était prévu au départ.
On prévoyait le
gestionnaire de renseignements personnels, je comprends ici que ce serait la
source de données, ou on y ferait référence
si on la maintient dans le projet de loi n° 95, qui est plus large que les
renseignements personnels, on
comprend ça, mais il y a vraiment moyen, de façon pas si compliquée que ça,
d'intégrer ce qu'on veut faire dans la Loi sur l'accès, dans le contexte
de la réforme actuelle.
M.
Marissal : Vous avez dit tout à l'heure que, par décret, le
gouvernement pourrait utiliser des renseignements personnels pour autre
chose que le but initial. Je pense que vous alliez donner des exemples sonnants
et trébuchants tout à l'heure. Pouvez-vous
nous en donner un ou deux, là, pour qu'on comprenne bien de quoi il s'agit?
Puisque nous devons rester dans le contexte de la collecte minimum et du
consentement.
• (11 h 20) •
Mme Poitras (Diane) :
Bien, en fait, le projet de loi n° 95 permettrait au gouvernement de
décider d'utiliser des données de santé, des données fiscales, des données de
toutes... policières, à toutes fins qu'il déterminerait, du moment que ça
correspond à l'une des fins, là, qui est énumérée dans le chapitre II.4,
les fins administratives ou de services
publics. Et elles sont libellées en termes tellement larges que ça pourrait
être pour n'importe quoi. Et c'est ça, c'est...
On va trop loin. On comprend qu'il n'y a possiblement aucune mauvaise
intention, mais on ne peut pas accepter que le gouvernement nous
dise : Faites-nous confiance, on ne fera jamais ça.
Le Président (M. Simard) : Très
bien.
Mme Poitras (Diane) :
Il faut que ce soit établi clairement dans la loi.
M. Marissal : Je vous remercie,
Me Poitras. Merci.
Le Président (M. Simard) : Je cède
maintenant la parole au député de René-Lévesque.
M. Ouellet : Merci. À mon tour de
vous saluer, Me Poitras et Me Desmeules. Quelques questions en
rafale. Est-ce que, selon vous, ce projet de
loi là va mieux respecter le consentement du citoyen ou est-ce qu'il va faire
plutôt le contraire?
Mme Poitras (Diane) :
Il permet de l'écarter complètement.
M. Ouellet : Est-ce que le projet de
loi donne au gouvernement le pouvoir d'utiliser ou de communiquer des
renseignements personnels de citoyens, donc, sans leur consentement?
Mme Poitras (Diane) :
Oui.
M.
Ouellet : Est-ce que ce
projet de loi peut techniquement établir des normes de protection de
renseignements administratifs plus strictes que pour des renseignements
personnels?
Mme Poitras (Diane) :
Oui, il pourrait.
M. Ouellet : Est-ce que le
gouvernement se donne le pouvoir d'exiger de la CAI, un organisme indépendant,
l'adoption de pratiques particulières quant à la gestion de ses systèmes ou de
ses données numériques?
Mme Poitras (Diane) :
On parle de règles de gouvernance, et la définition qui en est faite est assez
limitée.
M.
Ouellet : D'accord. À cet
égard, est-ce qu'il devrait rendre des comptes au gouvernement ou au Parlement?
Mme Poitras (Diane) :
On parle de faire rapport de comment ça a été utilisé à la fin, à la CAI, et,
de façon transparente, je pense, de le publier, mais on est après coup, là.
C'est... On a déjà... On s'est donné le pouvoir de déterminer d'autres
utilisations et d'autres communications. On rend juste compte après de ce qu'on
a fait.
M. Ouellet : Donc, en résumé, suite
aux échanges que vous avez eus avec le ministre, je comprends bien qu'on semble
tous s'entendre sur une finalité, une mobilité de la donnée, mais le moyen qui
est proposé dans le 95 ne vous plaît pas et devrait plutôt être utilisé à
l'intérieur du projet de loi n° 64, qui, je le rappelle, est encore à
l'étude. Donc, c'est ce que vous nous dites : Comme parlementaires,
aujourd'hui, prenez une partie de 95, allez le mettre dans 64 pour bonifier la
loi-cadre, qui va améliorer surtout la compréhension mais surtout sa mise en
application.
Mme Poitras (Diane) :
Oui, et restreignez un peu ce qui est dans 95, permettre... Et c'est très
étendu et c'est... Les situations où on peut utiliser ou communiquer des
renseignements sont beaucoup trop étendues, et les mesures de contrôle ne sont
pas suffisantes. Et on ne devrait pas permettre au gouvernement, par décret, de
décider de ces finalités-là.
M. Ouellet : D'accord. M. le
Président, je pense que j'ai terminé.
Le Président (M.
Simard) : Il vous restait 30 secondes, cher collègue.
M. Ouellet : Ah! bien, écoutez,
merci beaucoup. Je pense que le briefing technique qui vient d'être envoyé à tous
les collègues sera approprié, considérant qu'il y avait une partie de cette
loi, Mme Poitras et M. Desmeules, que je n'avais pas vue, suite à
votre mémoire. Donc, ce serait important pour nous, comme le collègue de Rosemont,
de bien comprendre la portée de tout ça et de trouver le véhicule adéquat.
Merci.
Le Président (M. Simard) : Merci à
vous, cher collègue.
Alors,
Mme Poitras, Mme la présidente, M. Desmeules, de la Commission d'accès à l'information du Québec,
merci pour la qualité de votre contribution à nos travaux.
Ceci étant
dit, compte tenu de l'heure, nous allons suspendre jusqu'après les affaires
courantes. Alors, à bientôt.
(Suspension de la séance à 11 h 24)
(Reprise à 15 h 31)
Le Président (M. Simard) :
Bien. Alors, chers amis, rebienvenue à la Commission des finances publiques.
Comme vous le savez, nous sommes réunis de manière virtuelle afin de poursuivre
les consultations particulières et auditions publiques sur le projet de loi
n° 95, Loi modifiant la Loi sur la gouvernance et la gestion des
ressources informationnelles des organismes publics et des entreprises du
gouvernement et d'autres dispositions législatives.
Alors, cet après-midi,
nous entendrons la Commission de l'éthique en science et en technologie,
le Pr Sébastien Gambs, le
Pr Benoît Dupont ainsi que le Fonds de recherche du Québec. Et
nous commençons par la Commission de l'éthique en science et en technologie.
M. Bergeron, soyez le bienvenu parmi nous.
Commission de l'éthique en science et en technologie
(CEST)
M. Bergeron (Michel) : Merci,
M. le Président.
Le
Président (M. Simard) : Pour les fins de nos travaux, auriez-vous
l'amabilité de vous présenter ainsi que de signifier, bien sûr, la
présence des personnes qui vous accompagnent?
M. Bergeron
(Michel) : Certainement.
Merci beaucoup. Alors, mon nom est Michel Bergeron. Je suis consultant en éthique et en conduite responsable en recherche
et aussi président du comité de travail sur l'accès aux données de la Commission de l'éthique en science et technologie. Alors, cet après-midi, je suis
accompagné par M. Dominic Cliche, qui est conseiller en éthique
aussi à la commission.
Le Président (M. Simard) : Très
bien. Alors, vous disposez d'une période de 10 minutes.
M. Bergeron
(Michel) : Merci. Donc, pour
faire court, au lieu de parler de la Commission
de l'éthique en science et en technologie,
nous utiliserons l'acronyme CEST, ce qui sera plus facile pour nous au niveau
de la présentation.
Donc, juste pour vous situer un petit peu, la
CEST est un organisme du gouvernement du Québec qui est placé sous la
responsabilité du ministre de l'Économie et de l'Innovation.
Alors, la commission fête cette année son
20e anniversaire d'existence. Elle est composée de 13 membres, dont
un président, tous nommés par le gouvernement.
La mission de la CEST est de conseiller le
gouvernement sur toute question relative aux enjeux éthiques liés à la science et à la technologie ainsi que de
susciter une réflexion sur des enjeux éthiques qui devraient être intégrés dans
les démarches entourant la transformation numérique de l'administration
publique de manière à réduire les risques de nature éthique et à maximiser les
bénéfices attendus par l'utilisation des données au sein de l'administration
publique ainsi qu'à proposer des outils
pertinents. Dominic reviendra tout à
l'heure sur les questions
que se pose la CEST, entre autres en ce qui a trait aux divisions des
efforts relatifs à la révision législative et à plusieurs projets de loi
distincts. Tantôt... Alors, il reviendra sur ces éléments-là.
Essentiellement, le cadre d'analyse éthique de
la CEST est centré sur l'exigence de confiance de la population envers l'État.
Donc, les principaux enjeux éthiques que nous avons considérés sont le respect
de la vie privée, telle qu'elle
s'exerce par le consentement manifeste, libre, éclairé, donné à des fins
spécifiques et en continu, le principe démocratique et l'enjeu de la
confiance, tels qu'ils s'expriment par la transparence, en particulier lors
d'initiatives d'information et de communication axées sur l'explicabilité
favorisant la compréhension des citoyens, sur le bien commun, la responsabilité
et sur les impacts de changements de culture que de telles modifications
impliquent, ce qui générera assurément son lot de tensions avec les repères
normatifs et les pratiques actuelles.
En ce qui concerne la CEST, le projet de loi
soulève quelques questions ou quelques risques d'ordre éthique. Premièrement,
le projet de loi est en continuité directe avec la Loi favorisant la transformation
numérique de l'administration publique. Cette dernière nous est toujours
apparue comme une solution temporaire pour permettre la mise en oeuvre de
projets en ressources informationnelles en attente de révisions à apporter aux
lois la protection des renseignements personnels. À notre avis, l'adoption du
projet de loi n° 95 ou du projet de loi n° 64, modernisant des dispositions
législatives en matière de protection des renseignements personnels, devrait
entraîner l'abrogation de la Loi favorisant la transformation numérique de
l'administration publique.
Le projet de loi est
très ambitieux et annonce plusieurs travaux importants à venir. Par exemple, le
régime de patrimoine numérique gouvernemental introduit un nouveau concept et
annonce un changement de culture dont la portée devra être analysée en lien
avec ce que l'on considère comme le bien commun.
Le projet de loi,
conséquemment, énonce un régime particulier de gestion de l'ensemble des
données, sur support numérique, détenues par les ministères, organismes publics
et entreprises du gouvernement. Ces données peuvent
être utilisées, de manière pratique, à toute fin jugée pertinente par le
gouvernement, qu'il y ait utilisation unique ou utilisation secondaire
de ces données. Ce concept s'écarte de l'idée que les citoyens confient des
données à l'administration publique, cette dernière en étant fiduciaire plutôt
que propriétaire.
Nous concevons toutefois
que l'État ait un intérêt légitime dans la mobilité et l'utilisation de
plusieurs données, incluant des données à caractère sensible, en passant outre
le consentement, mais cela doit se faire dans un contexte où l'encadrement est
suffisant et où les personnes concernées sont bien informées des pratiques en
vigueur. Cette relation fiduciaire place la confiance au centre de la relation
entre l'administration publique et les citoyens.
Dans
un contexte où la confiance du public est à la fois essentielle et précaire,
les mécanismes de responsabilisation et
de transparence doivent être au plus tôt renforcés. La Loi favorisant la
transformation numérique de l'administration
publique énonce d'ailleurs à son premier article que, et je cite, «les
pouvoirs conférés par la présente loi doivent être exercés de manière à respecter le droit à la vie privée et le principe
de transparence ainsi qu'à promouvoir la confiance du public». Fin de la
citation. De tels principes interprétatifs pourraient d'ailleurs être ajoutés
au projet de loi.
Nous jugeons par
ailleurs que le projet de loi ne renforce pas suffisamment les mécanismes de
reddition de comptes et de transparence. À titre d'exemple, une disposition
devrait prévoir la divulgation proactive des plans de transformation numérique
et de tout autre plan, stratégie, politique pertinent dans une perspective
d'accessibilité et d'appropriation de
l'information par les citoyens, et il en va de même pour les utilisations
précises prévues des données, entre autres, qui seront déterminées par
décret et devraient être présentées de manière accessible et compréhensible aux
citoyens, par exemple sur une plateforme de divulgation proactive en ligne.
Nous
notons les responsabilités concentrées chez un petit nombre d'acteurs et nous
recommandons que l'unité administrative
spécialisée en sécurité de l'information soit complétée par la mise en place de
ressources pour l'analyse des enjeux éthiques selon une perspective
globale.
Plus précisément,
nous recommandons que des ressources éthiques soient identifiées pour compléter
ce qui est prévu en sécurité de
l'information et que certaines responsabilités, telles que celle d'établir un
modèle de classification de sécurité des données numériques
gouvernementales en fonction de leur nature, de leurs caractéristiques et de
leur utilisation et des règles qui les régissent... que ce soit intégré au
niveau des dimensions éthiques.
Je céderais
maintenant la parole à Dominic pour poursuivre.
• (15 h 40) •
M. Cliche
(Dominic) : Bonjour à tous. Merci beaucoup. Donc, en comparaison avec,
donc, la Loi favorisant la transformation numérique de l'administration
publique, là, qu'on voit comme la précurseure du projet de loi n° 95, donc, il est apprécié, de notre côté, là, que soit
proposée une définition des fins administratives et de services publics, donc
une certaine clarification des finalités qui peuvent être poursuivies.
Cependant, la
définition est excessivement inclusive et ouvre à des utilisations potentielles
très diverses. En soi, ce n'est pas
nécessairement un problème, mais ça implique quand même un renforcement, a
fortiori, là, des mesures de transparence et de responsabilité.
Mais, en termes d'utilisations
diverses, par exemple, le projet de loi semble s'appliquer, donc, autant à des projets qui permettraient à un citoyen
de ne fournir qu'une seule fois certaines informations identificatoires
simultanément à plusieurs organismes, donc qui est un exemple qu'on
entend souvent, mais on sent, en tout cas, dans tout ce qui est ouvert, qu'il y a aussi la possibilité de se rendre à des projets qui impliquent, ultimement,
là, des systèmes intelligents et qui concernent l'entraînement d'algorithmes apprenant, par exemple, à partir des données de l'administration publique. Évidemment, dans ces cas-là, des
enjeux spécifiques seraient soulevés et devraient être abordés.
Il
est aussi apprécié que certaines balises soient énoncées, dont l'interdiction
de la vente ou de toute aliénation des
données. Dans le contexte, cependant, des balises plus substantielles et robustes
seraient nécessaires. Par
exemple, le projet de loi
pourrait recentrer la définition des fins administratives et de services
publics en énonçant, pour la mobilité et la valorisation des données, certains objectifs
jugés légitimes qui seraient assez spécifiques et qui veulent être poursuivis
par le gouvernement.
Ça peut être
difficile de spécifier très, très justement, spécifiquement les objectifs.
Donc, le projet de loi pourrait aussi, par la négative, proscrire certaines
fins ou utilisations des données qui pourraient être préjudiciables. Mais
encore, le projet de loi pourrait énoncer certaines fins ou utilisations qui,
sans les interdire, hein, seraient considérées plus sensibles et
nécessiteraient alors de prévoir des mesures spécifiques pour réduire les
risques de préjudice. On peut penser, par exemple, que ce serait en raison de
la répercussion sur les citoyens, donc des fins, par exemple, telles que la vérification
de l'admissibilité ou l'allocation de ressources dans certains services en éducation,
santé et services sociaux, par exemple, qui sont plus délicats.
Le projet de loi a
pour effet de créer un régime normatif distinct pour la mobilité et la valorisation
des données gouvernementales, et, pour ça, la CEST... Donc, la CEST craint que
le projet de loi permette en fait aux organismes
publics de se soustraire à des dispositions, qui sont néanmoins pertinentes, qui seraient incluses, actuellement, donc, à la Loi sur l'accès ou
qui seront vraisemblablement incluses, là, lors de l'adoption du projet de loi n° 64.
Donc, par exemple, donc,
ce projet de loi, qui est présentement à l'étude par la Commission des
institutions, représente, en fait, une mise
à jour importante du cadre normatif au regard de l'avènement du
numérique et de l'intelligence
artificielle. Donc, pensons notamment aux dispositions relatives à la prise de
décision fondée entièrement sur un traitement automatisé des données ou celles
relatives au profilage.
Donc, il serait inquiétant, en fait, que plusieurs
projets gouvernementaux puissent se soustraire à ces mises à jour, donc, a
fortiori dans le cadre d'un projet de ressources informationnelles qui
s'intègre justement dans cette révolution numérique là à laquelle répond
partiellement le projet de loi n° 64.
Donc, un arrimage beaucoup plus robuste serait à
prévoir, là, sinon une intégration de certaines dispositions ou une
prépondérance de certaines dispositions du projet de loi n° 64
sur les projets qui seraient adoptés par décret dans le cadre de la loi qui
découlerait, donc, du projet de loi n° 95.
Pour conclure rapidement, si j'ai encore juste
une seconde, un exemple, peut-être, là, d'un élément où une autre question
demeure aussi, où des éléments seraient à préciser. Lorsqu'on parle de la réalisation
d'une évaluation des facteurs relatifs à la
vie privée, transmission à la Commission
d'accès à l'information de cette évaluation-là,
lorsque des données visées
contiennent des renseignements
personnels, il y a plusieurs questions,
en fait, qui sont soulevées...
Le Président (M. Simard) : En
conclusion.
M. Cliche (Dominic) : Oui, je
conclus. Donc, il y a plusieurs questions qui demeurent, il y a plusieurs
flous, notamment la question à savoir qui détermine si les risques
résiduels sont acceptables, comment, est-ce qu'il y aura une grille qui permet d'harmoniser ces
pratiques-là dans l'ensemble de l'administration publique. Donc, c'est le genre
de questions aussi qui suscitent des inquiétudes du côté de la commission.
Merci.
Le
Président (M. Simard) : Merci beaucoup, M. Cliche. Alors, nous
serions en mesure d'entreprendre la période d'échange. Je cède la parole à M. le ministre, qui dispose de
16 min 30 s. M. le ministre, votre micro me semble fermé.
M.
Caire : Ça ne sera
pas long, M. le Président. Alors, merci beaucoup à M. Bergeron, merci à
M. Cliche. Merci de l'intervention.
Bien, d'entrée de jeu, différents éléments que
vous avez apportés que je trouve intéressants. Et, M. Bergeron, j'ai envie de commencer par une question, parce
que vous avez parlé de la catégorisation des données du volet éthique. Qu'est-ce qui... Dans le cadre que le gouvernement
utilise actuellement et qui a été rendu public, sur la catégorisation
des données, qu'est-ce qu'il manque là-dedans, selon vous, au niveau éthique?
M. Bergeron (Michel) : Bien, au
niveau éthique, quand on regarde la définition qui est dans le projet de loi,
de «données gouvernementales», cette définition est assez large. La
catégorisation, en ce qui concerne les données, peut toucher des éléments comme, par exemple, la sensibilité des
données, les données qui proviennent de différentes sources, la différence entre, par exemple, donnée
de base et donnée traitée, etc. Donc, ces éléments-là ne sont pas inclus
dans le projet de loi.
M.
Caire : Non, je
comprends, mais vous comprendrez qu'un projet de loi ne peut pas aller à ce
niveau-là de sensibilité. C'est pour ça que
le gouvernement a adopté le cadre dont je vous parle, là, qu'on a déposé à la
Commission des institutions et qui sert justement à faire cette
catégorisation-là dans le projet actuel de consolidation des CTI.
C'était au niveau de ce cadre-là, qu'on a rendu
public, que je vous demandais si la commission avait eu l'occasion de se
pencher là-dessus et de faire ce commentaire-là, au niveau du fait qu'il y
avait peut-être des enjeux éthiques, là. Parce que vous comprendrez que la loi
actuelle prévoit respecter toutes les règles d'accès et les règles de protection. Donc, ça fait partie des éléments
qu'on va respecter. Puis là-dessus, d'ailleurs, je reviendrai sur un
commentaire de M. Cliche. Mais donc je voulais voir si la
commission avait eu le temps d'analyser le cadre de catégorisation des données
qu'on a déposé en commission parlementaire et si c'est sur cette base-là que le
commentaire avait été fait.
M. Bergeron (Michel) : En ce qui me
concerne, le commentaire a été fait sur la description, la définition qu'il y a
dans la loi. Je demanderais à M. Cliche s'il a des informations
additionnelles qu'il aimerait ajouter.
M. Cliche
(Dominic) : Non, effectivement, la position n'est pas développée à partir d'une analyse, là, du cadre
en question, qu'on va consulter, cela dit, évidemment.
M.
Caire : O.K. M. Cliche, bien, je vais en profiter pendant
que vous êtes là. Vous dites : Écoutez, ce serait... il y a un questionnement, au niveau de la commission, sur une éventuelle
utilisation des données qui pourrait être dérogatoire à la loi, là. Vous
faites notamment référence au projet de loi n° 64. Or, il est assez...
bien, en tout cas, moi, je pensais que
c'était suffisamment clair, mais je veux vous entendre là-dessus, là. S'il y a
des clarifications à apporter, je vais être intéressé à vous entendre.
12.10 du chapitre II.4 de la loi actuelle
prévoit effectivement, puis c'est la discussion qu'on avait avec
Me Poitras cet avant-midi, que... Le projet de loi n° 95 est un
projet de loi technologique, donc qui va respecter l'ensemble des lois et...
lois de protection particulière et directives de sécurité. Son objectif n'est
pas de définir sous quelles conditions
l'information doit être communiquée. Ça, c'est 64 qui va le faire et les
régimes de protection particuliers. Et 95 stipule nommément qu'ils vont
respecter ces cadres-là.
Donc, 95 est plus dans
l'organisation technologique de la diffusion de l'information, dans le respect
du cadre légal. Donc, là-dessus, est-ce que 12.10 répond à vos attentes?
M. Cliche (Dominic) : Je peux
prendre la balle au bond, oui. Effectivement, c'est une précision qui est
intéressante et importante. Effectivement, à ce moment-là, le fait qu'on assure
par... si je comprends, donc, l'idée, que,
dans la portion... En tenant compte de leur nature, de leurs caractéristiques
et des règles d'accès et de protection... des registres, on s'assure,
par cette disposition-là, d'une coordination puis d'un arrimage avec les lois
d'accès et de protection des renseignements personnels. Effectivement, à ce
moment-là, déjà, sur la question de l'arrimage avec le projet de loi
n° 64, ça correspond, là...
M.
Caire : Bien, en
fait, c'est plus que 64, donc...
M. Cliche (Dominic) : Bien, et
autres, là. Mais, sur notre commentaire à nous...
M.
Caire :
C'est 64, c'est les lois... les protections particulières en santé. Il y en a
au Curateur public, il y en a une à l'Agence du revenu. Donc, c'est
toutes ces lois-là auxquelles on va s'astreindre. C'est un petit peu pour ça,
là, que j'avais cette discussion-là avec Me Poitras.
Puis je trouvais ça très intéressant, votre
commentaire, parce que, dans le fond, 95 ne change pas qui peut avoir accès à
quoi. 95 change comment j'accède à la donnée.
Et c'est un peu l'objectif, de dire que, quand
je collecte une information, la première chose que je dois faire, c'est
vérifier. Est-ce que je l'ai déjà dans mon actif gouvernemental? Et d'où la
notion que la donnée est un actif gouvernemental, ce qui empêche l'organisme de
poser une question pour laquelle il a déjà la réponse.
Et donc l'idée générale, je dirais, là, c'est de
faire en sorte que le citoyen cesse d'être un employé de l'État, mais bien quelqu'un qui reçoit un service de l'État. Ça fait que c'était cette dynamique-là qu'on voulait changer. Est-ce que, selon la vision que vous avez
de ça, on atteint cet objectif-là?
M. Cliche (Dominic) : Bien,
c'est sûr que ça, ça clarifie pour... Effectivement, je pense que, l'objectif,
on... ça, c'est acquis. Ça, ce n'est pas quelque chose que conteste, d'aucune
manière, là, la commission. Je pense qu'à ce moment-là, effectivement, sur l'application
des régimes de protection, c'est une réponse qui est satisfaisante.
Ensuite, sur... On peut rappeler, à ce
moment-là, d'autres commentaires qu'on a pu faire à l'occasion justement de
l'étude du projet de loi n° 64. Et peut-être que... Ce n'est peut-être pas
le moment, à ce moment-là, de ramener ces considérations-là ici, mais,
justement, en lien...
M.
Caire : Oui, oui,
oui, tout à fait.
M. Cliche (Dominic) : ...sur
l'encadrement des usages, aussi, sans être... aller au-delà du régime très...
qui distingue très, très fortement renseignements personnels et autres renseignements,
notamment pour étoffer un peu davantage, là, les catégorisations, pour pouvoir
prendre en compte différents usages, l'utilisation de différents outils, et 64
fait un pas là-dedans...
Mais, encore une fois, la commission avait des
commentaires, là, supplémentaires, là, sur peut-être le besoin d'élargir, sans élargir le niveau de protection,
aussi rigide, évidemment, de l'ensemble des renseignements personnels à
l'ensemble des données. Mais, comme le soulignait M. Bergeron, par
exemple, la notion des renseignements traités, des renseignements inférés, par
exemple, était un enjeu que nous avions soulevé, là, lors de l'étude... lors de
notre passage lors de l'étude du projet de loi n° 64.
Et on pourrait faire, finalement, les mêmes
remarques ici, de s'assurer que, justement, l'encadrement réponde aussi à ce besoin-là de regarder les finalités
peut-être un peu plus en détail et d'intégrer, dans la mesure où on s'entend
qu'il y a énormément de travail qui devra se
faire de manière extralégislative, là, dans tout le projet de transformation
numérique... que cela soit fait justement en incluant les bons acteurs,
notamment en termes d'éthique et d'intégrité, au
Trésor, avec lesquels on peut collaborer, et en s'assurant d'un niveau élevé,
là, de transparence pour ces projets-là.
• (15 h 50) •
M.
Caire : Bien,
justement...
M. Cliche (Dominic) : Je pense
que la notion de la transparence demeure importante, et peut-être encore une
lacune, à ce moment-là, qui demeure, du projet de loi.
M.
Caire :
C'est un élément que je voulais aborder avec vous, là, parce que
M. Bergeron parlait de la
transparence. Comment... Parce qu'on parle de sécurité de l'information, et, en
sécurité de l'information, comme dans la vie, toute vérité n'est pas
bonne à dévoiler. Vous comprendrez pourquoi.
Donc, comment, à travers le p.l. n° 95...
Puis là j'imagine que votre commentaire visait plus la gestion de la donnée que
les pratiques en matière de cybersécurité. Donc, je prends pour acquis que
cette transparence-là ne s'appliquait pas aux politiques et aux pratiques en
matière de cybersécurité, ce qui serait suicidaire. Je pense que tout le monde
est d'accord là-dessus. Donc, on allait plus au niveau de la gestion de la
donnée.
Et là je vous amène à l'évaluation des facteurs
relatifs à la vie privée. Parce qu'au fond on reprend le concept du p.l. n° 14, auquel vous
faisiez référence, concept qui a été intégré au p.l. n° 64.
Et donc, en toute cohérence, 95 devait reprendre
ce concept-là. Donc, qu'est-ce qui, par rapport à 95, vous semble différent de
64 ou de 14, qui intègrent déjà ces deux...
Ces deux projets de loi là intègrent déjà cette obligation-là d'avoir une
évaluation des facteurs relatifs à la vie privée.
M. Cliche
(Dominic) : Bien, en fait,
deux choses. Dans les différentes... Bien, comme je l'ai déjà mentionné, là,
justement, peut-être le besoin d'élargir la réflexion sur différentes
catégories de protection, au-delà de la distinction entre renseignements
personnels et autres renseignements. Puis ça s'applique aussi au projet de loi
actuel comme celui... 64.
Mais aussi, donc, par rapport à la... plus
spécifiquement, à l'évaluation de la protection des... l'évaluation des
facteurs relatifs à la vie privée, pardon, donc, en fait, les éléments qu'on
soulève ne sont pas dans le fait de faire cette évaluation-là. Au contraire,
c'est une très bonne chose. C'est une bonne mesure qui est proposée et qui est
cohérente, effectivement, avec l'encadrement, par ailleurs, qui est proposé,
par ailleurs.
Cela dit, c'est assez... ce qui est flou, c'est
un peu, en fait, une fois qu'on a cette évaluation-là, qu'est-ce qu'on en fait
exactement. Et c'est sur... c'est des questions là-dessus... Moi, l'idée n'est
pas de dire, de notre côté, que c'est nécessairement problématique, mais je
pense qu'il y a des éléments qui sont à préciser, justement, sur la manière
dont ça va être pris en compte, sur le...
Justement, on parle de risque résiduel. Il y a
toujours un moment où on doit prendre une décision. Est-ce qu'on accepte ou non le risque résiduel à la suite
d'une évaluation des facteurs relatifs à la vie privée? Et ça, bien, c'est
une question qui est extrêmement importante,
et avoir peut-être une idée un peu plus claire, que ce soit directement dans
le projet de loi ou, sinon, par des...
M.
Caire : Par décret?
M.
Cliche (Dominic) : Par décret, ou par des politiques, ou... La mesure
exacte est loin d'être dans mon champ
d'expertise, là, quelle est la meilleure mesure à adopter là-dessus, mais d'être en mesure quand même de s'assurer
que, bien...
Par
exemple, le rôle de la Commission d'accès à l'information là-dedans, de
recevoir l'évaluation, on peut se demander :
Est-ce qu'elle peut formuler un avis? Est-ce que cet avis-là peut être
contraignant? Est-ce que c'est nécessairement le bon organisme pour prendre connaissance de l'ensemble de cette
évaluation-là? Est-ce que cette évaluation-là devrait s'appliquer, aussi, pas uniquement aux projets
avec des renseignements personnels, mais aussi à d'autres catégories de données qui peuvent avoir... qui sont dans des jeux de données plus sensibles
sans être nécessairement identificatoires?
Donc, ça,
là-dessus, on n'a malheureusement pas de disposition à vous offrir, là, clé en
main, mais évidemment c'est vraiment un état de réflexion qu'on peut amener.
Mais c'est le genre de questionnement, quand même, qui demeure, là, de notre côté, par rapport à
l'évaluation des facteurs relatifs à la vie privée. Mais ce n'est pas une
remise en question du principe, au contraire.
M.
Caire : Je comprends. Bien, vous m'ouvrez la porte, M. Cliche,
M. Bergeron. Puis on parle de catégorisation de données,
et j'ai eu l'occasion d'avoir cette
discussion-là aussi avec Me Poitras tout à l'heure, on
fait une catégorisation... En fait,
on faisait une catégorisation de nos données beaucoup en fonction de celui qui
était l'utilisateur, le générateur de la donnée, et non pas en fonction
de la donnée à proprement parler.
On a vécu récemment une situation qui a mis en
lumière les faiblesses de cette façon de faire là, à savoir que des
renseignements qui étaient dits personnels, et donc qui auraient été, en santé,
par exemple, protégés par les régimes de protection en application, ont été
rendus publics par le Tribunal administratif du logement et ont permis à des
individus, en toute légalité, en toute légitimité, d'être collectés
massivement. Parce qu'évidemment cette façon-là date de l'époque où on était
papier, et donc où il fallait se déplacer dans les différents districts
juridiques et/ou aller au greffe pour
ramasser, colliger cette information-là, ce que l'univers numérique ne nous
contraint plus à faire. Et donc on a assisté à cet événement-là.
Donc, diriez-vous que de catégoriser la donnée
de façon transversale, c'est-à-dire en fonction de sa valeur puis de sa
sensibilité, et non pas en fonction de qui en est l'utilisateur ou le
détenteur, devrait, dans un contexte éthique... devrait être la valeur
fondamentale sur laquelle on s'appuie pour catégoriser les données?
M. Cliche (Dominic) : C'est
évidemment une grande question. Je pense que c'est bien, effectivement, que...
d'aller au-delà de la source du renseignement, effectivement.
Mais je pense que, nécessairement, dans cette
évaluation-là, pour certaines données, certains renseignements, il y aura une
importance éthique de la source, là, où... Par exemple, certaines données,
justement, sensibles et personnelles, on peut dire que le citoyen a un intérêt
supplémentaire quand même, là, sans dire nécessairement qu'il demeure... sans
parler de la propriété, nécessairement, des données au sens... s'en aller dans
ce terrain glissant là, mais il a un intérêt
très fort par rapport à cette information et au contrôle par rapport à sa
circulation et à son utilisation.
Et donc la source ne pourra pas être évacuée,
évidemment, là, de la réflexion, mais élargir la catégorisation est
certainement un pas dans la bonne direction.
M.
Caire : Mais, quand
vous dites : La source ne peut pas être évacuée de la réflexion, j'ai
envie de vous demander, à brûle-pourpoint, pourquoi. Qu'est-ce que la source
amène, du point de vue de l'éthique, toujours, et donc de la sensibilité de la donnée? Qu'est-ce que la source amène à la
donnée que la donnée ne porte pas en elle-même?
M. Cliche
(Dominic) : C'est, à la limite, une question ontologique de savoir...
Qu'est-ce que la donnée, exactement? En fait, l'idée... C'est parce qu'effectivement,
à la limite, on pourrait s'entendre que c'est dans la nature de la donnée
elle-même si elle est identificatoire, et par... Mais donc...
Mais c'est
indirectement, à ce moment-là, probablement, que la source devient
significative et où, par exemple... C'est souvent lorsque c'est le
citoyen qui en est la source. Dans certains cas, il y aura un intérêt
probablement plus fort que pourrait faire valoir le citoyen. C'est plus dans ce
sens-là.
M.
Caire : Parce que,
comme je l'ai mentionné, malheureusement, une même donnée, dépendamment de qui l'utilise, pourrait être soit très protégée, soit
totalement publique, là. Donc, je serai intéressé à avoir vos réflexions
là-dessus. Là, je comprends qu'ici et maintenant ce n'est peut-être pas
pertinent, là, mais je serai très intéressé à avoir vos réflexions là-dessus.
Je vais revenir à M. Bergeron, très
brièvement parce que je vois le temps qui file, au commentaire que vous avez
fait, où vous dites qu'il faudrait rajouter un volet éthique compte tenu... — puis
je pense, M. Cliche, que vous faisiez référence à ça — compte
tenu, notamment, là, qu'on s'en va de plus en plus vers, donc, un patrimoine gouvernemental, donc une donnée qui est
gouvernementale, donc une donnée qui va être considérée dans sa globalité,
dans une perspective d'utilisation d'intégration de l'intelligence
artificielle.
Je serais intéressé peut-être à avoir, à
brûle-pourpoint, vos commentaires des enjeux éthiques qui devraient être
considérés dans le fait qu'on dit maintenant que la donnée est un actif
gouvernemental, donc que cette notion-là de donnée globale qui entre en ligne
de compte avec le p.l. n° 95... C'est quoi, les
enjeux éthiques que vous voyez à travers cette notion-là?
M. Bergeron (Michel) : Je pense
qu'un des éléments qui est lié aux enjeux éthiques dans cette perspective, c'est vraiment tout le lien qui peut être fait,
entre autres, avec ce qui découle des obligations de la charte sur les droits
et libertés et qui fait en sorte que, par
exemple, lorsqu'on utilise certaines données, on doit revenir à ce qui est
favorisé, ce qui est exigé.
Le Président (M. Simard) : Très
bien. Merci. Alors, ce temps... ce bloc de parole est maintenant écoulé. Et je
cède la parole...
M.
Caire : Merci
beaucoup, messieurs. Merci infiniment.
Le Président (M. Simard) : Je cède
la parole au député de La Pinière, qui dispose de 12 min 25 s.
Votre micro, cher collègue. Voilà.
• (16 heures) •
M. Barrette : Bon. Voilà, c'est
parti. Bonjour, M. Bergeron, M. Cliche. C'est un plaisir de vous
recevoir aujourd'hui. Alors, bien, je vais vous poser une question, bien,
surprenante, peut-être, là. Avez-vous eu la chance de nous écouter ce matin?
M. Bergeron (Michel) :
Malheureusement non, pour moi.
M. Barrette : Et M. Cliche?
M. Cliche (Dominic) : J'ai eu
l'occasion d'entendre les remarques introductives, simplement.
M. Barrette : O.K. Donc, vous n'avez
pas eu la chance d'entendre la Commission d'accès à l'information.
M. Cliche (Dominic) : Nous avons eu
la chance de consulter leur mémoire, cependant.
M. Barrette : O.K. Alors, je vais
aller là-dessus, là, parce que c'est vraiment... Je vais vous avouer qu'il y a
quelque chose d'intellectuellement surprenant dans l'exercice qu'on fait, non
pas le projet de loi comme tel mais dans les positions qui sont débattues.
Alors, vous, vous êtes des experts en éthique
dans le merveilleux monde de la technologie. La Commission d'accès à
l'information, on ne peut pas dire qu'il n'y a pas un volet éthique là-dedans.
Ça serait exagéré de dire quelque chose comme ça. On a le projet de loi
n° 95 qui, lui, fait ce qu'il souhaite faire, et là on a vraiment,
vraiment une collision des concepts. Vous vous situez où par rapport au mémoire
de la Commission d'accès à l'information?
Ce n'est pas une question piège, honnêtement,
là. C'est juste qu'à un moment donné, même pour nous autres, c'est mélangeant, là. On a vraiment... Moi, j'ai
mon opinion, le ministre a son opinion, puis je pense que mes collègues
des deux autres partis ont leur opinion. On tourne tous sur... On est tous sur
la même patinoire, la patinoire de l'éthique et de protection des
renseignements personnels, puis on n'a pas, personne, la même opinion, ça fait
que...
En général,
on arrive à... il y a une tendance, là, c'est comme un peu vectoriel, il y a
une résultante, puis on s'en va tous vers ça. Là, on ne s'en va pas vers
ça. Alors, juste me donner votre opinion. Ça m'intéresse comme tel, là. Ce
n'est pas un jugement de valeur. Je vous demande de vous positionner par
rapport à ça.
M. Bergeron (Michel) : Bien, en ce
qui me concerne...
M. Barrette : ...je
vais vous poser des questions plus précises.
M. Bergeron (Michel) : En ce qui me
concerne, j'ai trouvé le mémoire de la commission très intéressant. Je pense
qu'il soulève des points qui sont pertinents en ce qui concerne l'utilisation
des données et des éléments qu'on discute déjà dans le groupe de travail sur
les données.
Une voix : M. Cliche.
M. Cliche (Dominic) : Oui, je peux
compléter. Bien, en fait, effectivement, je pense que, sans... Il y a plusieurs
positions, là, qui sont prises par la Commission d'accès, sur lesquelles la Commission
de l'éthique n'a pas à s'avancer
nécessairement, sur... comme par exemple, je mentionnais que le... quel
véhicule législatif est le bon. Et là, déjà, la discussion avec
M. le ministre a permis de clarifier certains éléments.
Je pense qu'on avait une compréhension, là, la Commission
d'accès à l'information et nous, similaire, là, justement, sur l'impact
qu'avait ou que pouvait avoir le projet de loi n° 95... ou entrer peut-être
en conflit avec d'autres initiatives en lien avec la protection des renseignements
personnels. Là, on comprend que cette position-là doit être beaucoup plus nuancée. Donc, à ce moment-là, nécessairement, on aura tendance à nuancer notre position
par rapport aussi à ce que défendait la CAI, là, dans son mémoire.
Chose certaine, la commission ne s'oppose
aucunement, là, à la question, au principe à la base du projet de loi n° 95, qui est de mieux valoriser les données publiques,
donc détenues par les organismes publics, à des fins qui sont d'intérêt public.
Je pense que, de manière générale, les citoyens peuvent s'entendre qu'il y a effectivement
une amélioration de la communication, là, entre les ministères et organismes, et particulièrement de l'échange de certaines données, qui est
une bonification claire, là, de leur rapport avec l'administration publique,
là, dans le cadre de la transformation numérique.
Mais après ça, évidemment, je pense que, là où
on vient peut-être s'accorder avec... davantage dans la perspective plus
prudente, si on veut, que peut-être certains pourront juger excessivement
prudente, c'est que, lorsqu'on arrive dans un régime ou lorsque... qu'on
comprenait qu'il était vraiment un régime très, très ouvert de partage des
données, une contrepartie très importante en matière de reddition de comptes et
de transparence était nécessaire, des
garanties peut-être plus précises aussi à être données. Là, évidemment, avec la
discussion qu'on a eue, il y a des éléments à nuancer là-dedans, mais,
quand même, je pense que ces contreparties-là doivent... demeurent très
importantes.
Puis il y a
tout un enjeu de comment le gouvernement transmet aussi... communique la
question de la transformation numérique et intègre le citoyen dans la
réflexion et dans la... juste dans l'appropriation et la compréhension de ce
que ça signifie pour l'administration publique, là, de faire cette
transformation numérique là, et qu'on soit en mesure de voir aussi les enjeux à moyen terme, là, qui vient avec la numérisation
plus grande des services publics et l'utilisation de différents outils
numériques.
Donc, je pense qu'effectivement il y a moyen
d'avoir... Je pense qu'on doit être prudents. Après ça... C'est la position
fondamentale pour ce qu'on partage avec la Commission d'accès à l'information
là-dessus.
M. Barrette : Or, la Commission
d'accès à l'information, de la manière qu'elle s'est exprimée ce matin, elle est... Comment je dirais ça? Ce n'est pas négatif,
ce que je veux dire, mais elle est plus... son curseur dans la prudence
est très, très, très loin à droite, on va dire, ou à gauche, c'est selon, peu
importe, et elle reproche au projet de loi d'avoir un curseur qui est à l'autre
bout. C'est quoi, votre position là-dessus?
M. Cliche (Dominic) : Dans la mesure
où notre compréhension était celle, effectivement, d'un régime pour l'ensemble
des données gouvernementales considérées comme étant d'intérêt gouvernemental,
sans la nuance, justement, de l'application
de l'ensemble des lois, déjà, et des régimes de protection, dans cette
compréhension-là, on était... notre accord devait aller avec la
Commission d'accès à l'information, là. Dans la mesure où on a quand même des
garanties qui sont données, là, on a une précision qui est apportée, le curseur
peut se ramener, peut se centrer davantage, là. Disons ça comme ça.
M. Barrette : Est-ce que vous
considérez que les renseignements personnels à l'intérieur de la bulle gouvernementale
devraient circuler librement dans cette bulle-là?
M. Bergeron (Michel) : Je pense qu'à
ce niveau-là c'est vraiment selon l'encadrement qui va exister, qui va
permettre de faire la réflexion. La circulation, elle est nécessaire à certains
développements, mais elle doit être encadrée de la façon qui est la plus
prudente possible.
M. Barrette : Alors, est-ce que vous
avez des suggestions particulières pour l'encadrement en question? Honnêtement,
on est restés sur notre faim ce matin, là, parce que la Commission d'accès à
l'information émet des opinions et des principes, elle nous dit que c'est
faisable mais ne nous dit pas comment le faire et ne nous fait pas de proposition,
ne serait-ce que théorique, sur la façon de le faire.
M. Bergeron (Michel) : Bien, je
pense qu'à ce niveau-là on est... au niveau de la réflexion, en ce qui concerne
les données, renseignements personnels, on n'est pas rendus à ça.
On
a commencé à réfléchir sur les éléments de base d'ordre éthique, sur certaines législatives
puis, entre autres, là... L'ensemble des projets de loi sont intéressants à ce niveau-là, mais c'est un... l'éthique étant
ce qu'elle est, c'est un processus de réflexion qui nécessite d'inclure
les éléments qui sont en discussion.
M. Barrette :
Mais là, pour que je comprenne bien, là, vous, avez-vous été consultés pour... législativement,
pour la rédaction du projet de loi?
M. Bergeron
(Michel) : Non.
M. Barrette :
Vous, le projet de loi, vous en avez pris connaissance, là, quand il est
arrivé, là, comme nous autres, là.
M. Bergeron
(Michel) : C'est ça.
M. Cliche
(Dominic) : Exactement.
M. Barrette :
O.K. Alors, avez-vous des suggestions spécifiques à nous faire, des voies, des
pistes, non pas de solution, là, je ne pense pas que c'est le mot que je
devrais utiliser, là, mais...
La Commission d'accès
reproche au projet de loi de permettre au gouvernement, par décret, de faire ce
qu'il veut. Je peux comprendre la critique de la Commission d'accès à
l'information. Un décret gouvernemental, c'est assez vaste, on l'a vu dans les projets
de loi précédents. Et ça, je dis ça
pour faire sourire le ministre. C'est
assez ouvert, là. La Commission
d'accès à l'information, essentiellement, reproche à ce genre de chose là
l'absence de balise, ne serait-ce que pour déterminer ce qui est un
intérêt gouvernemental.
• (16 h 10) •
M. Cliche
(Dominic) : Effectivement. Bien, je peux reprendre un peu ce que je
mentionnais, donc, dans... l'idée d'avoir, dans le contexte, quand même des
balises plus substantielles et robustes, donc que ce soit en précisant davantage des objectifs qui sont poursuivis, en
formulant certaines fins à proscrire ou, sinon, en ayant peut-être un régime
plus différencié, là, des mesures spécifiques pour certaines utilisations plus
sensibles.
Évidemment, nous, nos
travaux portent... En ce moment, le mandat, en fait, de notre comité est un
mandat du Scientifique en chef sur l'accès aux données par le secteur privé.
Donc, on est dans quelque chose qui est... Nos travaux ne sont pas
transférables, là, au projet de loi en question. On est dans un champ
différent.
On a réfléchi, depuis
quelques années, à la transformation numérique. Et là le mandat qui nous occupe
principalement en ce moment est évidemment extérieur, là, au projet de loi n° 95, ce
qui fait en sorte qu'effectivement
on se présente devant vous aujourd'hui, avec le temps qu'on a eu, là, pour
prendre connaissance du projet de loi... formuler quelques commentaires plus
généraux. Et il va nous faire, évidemment, le plus grand plaisir de poursuivre
cette réflexion-là et de vous proposer, si on est en mesure de le faire, là,
des propositions plus concrètes en prévision de l'étude détaillée.
Cela dit, au moment
où on en est, on est quand même dans des principes, effectivement. On peut
comprendre la position aussi de la Commission d'accès à l'information dans
cette perspective-là, j'imagine.
M. Barrette :
C'est assez intéressant, ce que vous dites, M. Cliche, parce que... Je
vais vous prendre à pied levé, là, vraiment,
là. Je vais vous faire... Je vais rebondir sur ce que vous venez de faire, là,
à pied levé. Ce que vous venez de dire, là, les travaux que vous faites
actuellement, là, que vous dites extérieurs au projet de loi n° 95, si le
projet de loi n° 95 était la loi n° 95
aujourd'hui, vous n'auriez pas le choix de prendre ça en considération, là.
M. Cliche
(Dominic) : Absolument.
M. Barrette :
Le feriez-vous?
M. Cliche
(Dominic) : Bien sûr. C'est notre mandat.
M. Barrette :
Dites-nous combien ça altérerait vos travaux actuellement, là. La question est
intéressante. Je comprends que vous êtes extérieurs, là, mais faites comme si.
Ça vient vous altérer comment?
M. Cliche
(Dominic) : Bien, c'est-à-dire que, là, tout d'un coup, effectivement,
il faut voir dans ce cadre-là qu'est-ce qui permettrait d'ouvrir, j'imagine,
notamment par des contrats de sous-traitance, là, qui permettrait... qui ferait... qui pourrait créer un certain accès au
secteur privé à des données, là, qui constitue, donc, l'accès gouvernemental.
Et, plus probablement, et là il faudrait
analyser un peu plus... mais, dans les fins qui sont mentionnées, donc
recherche et développement, on peut aussi imaginer des partenariats dans
cette perspective-là.
Donc, c'est
probablement dans ce genre de contexte là, là, qu'on aurait évalué, dans le
cadre de la loi qui est... du projet de loi qu'on a devant les yeux ou si
c'était, donc, la loi adoptée, quelles en seraient les conséquences, les actes, là, sur l'accès possible, là, par le
privé. Mais ce n'est pas quelque chose, évidemment, qui est abordé directement
dans le cadre du projet de loi, puis il faudrait gratter davantage.
M.
Barrette : Sauf que, dans un débat d'étude détaillée, ça risque de
venir sur le tapis, là. Le contraire nous surprendrait beaucoup.
M. Cliche (Dominic) : Assurément. On espère de pouvoir formuler un rapport sur ces
questions-là rapidement.
Le Président (M.
Simard) : Conclusion.
M. Barrette :
Bien, écoutez, M. le Président, en 15 secondes, là, tout au plus, là... Je
vais terminer là, là.
Le Président (M.
Simard) : Très bien. Alors, merci à vous, MM. Cliche et Bergeron,
pour la qualité de votre présentation. Mais, avant...
Je vois déjà mon
collègue de Rosemont, que je ne voudrais surtout pas oublier et qui bénéficie
bien sûr, lui aussi, d'une partie du temps
qui était imparti au Parti québécois. Alors, cher collègue, à vous la parole pour
une période de 4 min 10 s.
M.
Marissal : Merci, M. le Président. Merci, MM. Bergeron et Cliche.
Prenez-le pas mal, là, mais la conversation que vous avez eue puis qu'on
a depuis ce matin, mais ça inclut celle que je viens d'entendre, en particulier
avec le ministre, c'est une conversation de gens très au fait de la situation,
de... pas convertis, là, je cherche le terme, là, mais ça va me revenir, c'est
une conversation de gens qui connaissent intimement... Bien, je me mets à la
place des gens qui nous écoutent peut-être, en plus en format virtuel... Ouf!
Je les salue. Je les salue. Mais, bon, on va y arriver. D'initiés, c'est le mot
que je cherchais. Nous avons des conversations d'initiés. Merci. Ça va venir,
ça va venir.
Là, je veux revenir
sur ce que le député de La Pinière vient d'aborder. Et vous l'avez abordé,
en fait, vous-mêmes avant que la question vous soit posée, vous avez eu un
mandat du Scientifique en chef pour évaluer les possibilités de partage ou de partenariat visant des données
personnelles de Québécois et de Québécoises avec le privé. Moi, je
l'apprends. Je ne le savais pas.
Ce que je sais, c'est
que c'est une préoccupation, pour ne pas dire une marotte, de votre ministre,
qui est le ministre de l'Économie. J'ai eu avec lui, d'ailleurs, des
conversations houleuses sur le sujet, notamment, de partage de données de la
RAMQ avec les pharmaceutiques. Le ministre nous a appris, aux crédits, qu'il
avait lui-même signé des décharges et des documents autorisant le partage d'une
partie de ses données personnelles. Je ne savais même pas que c'était possible
de faire une telle chose au Québec. Et ça le regarde parfaitement. Je n'ai
aucun jugement à porter sur ça. J'en ai, par contre, sur l'utilisation des
données personnelles, en particulier dans le domaine de la santé avec les Big
Pharma.
Alors, vous ne pouvez
pas dire qu'il n'y a pas de lien, là, parce que votre ministre, le ministre de
l'Économie et de l'Innovation, nous a dit, il y a deux ou trois semaines à
peine, aux crédits, que son projet — ce n'est pas nécessairement le sien, mais il le chérit — de partage de données de la RAMQ avec les
pharmaceutiques évolue, un peu dans
l'ombre, le reconnaissait-il... mais que le projet de loi n° 95
déposé par son collègue à la Transformation numérique allait défricher
le terrain, déneiger l'entrée de cour, puis on allait pouvoir finir par passer.
Alors, je ne sais
pas, là, de quoi on parle ici, mais comment pouvez-vous dire qu'il n'y a pas de
lien, que vous êtes dans une réflexion éthique de très, très, très haut niveau?
Et ça, je n'ai aucun doute que c'est le cas, mais, dans la vraie vie, là, il y
a un lien. Pour que le monde nous comprenne bien, là, c'est de ça dont on parle
aussi, là. C'est possible, le partage de données privées, de données
personnelles au privé. C'est ce que vous avez dit.
M. Cliche (Dominic) : Oui. En fait, l'idée n'est pas qu'il n'y a pas de lien, mais il est
évidemment plus indirect.
Nous,
en fait, le mandat plus spécifique est sur les données de santé ou, du moins,
de... l'utilisation des données dans un contexte de santé et de sciences
de la vie à des fins de recherche.
Donc, évidemment, là,
ça, c'est la finalité, là, la fin administrative de services publics, de recherche
et développement, qui pourrait être concernée, là, comme je le
mentionnais plus tôt, et qui là pourrait être une porte d'entrée, là, pour, par
exemple... pour effectuer... pour
entrer dans le mandat qui nous concerne, finalement, là, donc pour
effectuer de la recherche en partenariat avec le privé à partir de
données gouvernementales.
Mais, encore là,
c'est ça, l'ensemble, là, de l'encadrement de cette possibilité-là, on n'y a
pas accès, et c'est quelque chose, évidemment, dont... qu'on doit souligner,
que je pense qu'on souligne, d'ailleurs, là. C'est assez... Dans les fins qui
sont utilisées, dans les fins qui peuvent être permises, interdites...
Le Président
(M. Simard) : Très bien.
M. Cliche
(Dominic) : ...ou qui pourraient être un peu plus encadrées, bien,
c'est à réfléchir.
Le Président
(M. Simard) : En conclusion.
M. Marissal :
En conclusion, bien, je n'ai plus de temps. Je veux simplement noter que cette
chose existe, qu'elle est là. Peut-être est-ce le proverbial éléphant dans la
pièce? Mais c'est malheureux que je n'aie pas plus de temps, messieurs. Et je vous
remercie pour votre participation. Je souhaite pouvoir avoir d'autres conversations de ce type, peut-être,
avec vous dans les...
Le Président (M. Simard) : Très
bien.
M. Marissal :
Peut-être juste me répondre très rapidement. Quand devez-vous rendre vos rapports
quant au mandat que vous avez reçu?
Le Président (M. Simard) : Très rapidement,
s'il vous plaît.
M. Marissal : Merci, M. le Président.
M. Cliche (Dominic) : C'est
prévu pour l'automne prochain.
M. Marissal : Merci. Merci, M.
le Président.
Le
Président (M. Simard) :
Bien. Merci à vous, cher collègue. Donc, MM. Cliche et Bergeron, à nouveau,
merci pour la qualité de votre présentation. Puis on espère vous
recevoir à nouveau sous peu. Au revoir.
M. Cliche (Dominic) : Merci à tous.
M.
Caire : Merci
beaucoup, messieurs.
Une voix : Bonne suite des travaux.
Le
Président (M. Simard) :
Sur ce, chers collègues, on va suspendre quelques instants, le temps de
faire place à nos prochains invités.
(Suspension de la séance à 16 h 18)
(Reprise à 16 h 25)
Le Président (M. Simard) : Alors,
nous sommes de retour. Nous pouvons reprendre nos échanges. Et nous sommes en
compagnie du Pr Gambs, de l'UQAM. Cher ami, soyez le bienvenu parmi nous.
M. Sébastien Gambs
M. Gambs (Sébastien) : Merci
beaucoup pour l'invitation.
Le Président
(M. Simard) : Pour les fins
de nos travaux, auriez-vous l'amabilité, d'abord, de vous présenter?
M. Gambs (Sébastien) : Oui. Donc, je
suis professeur en informatique à l'UQAM et je suis titulaire de la Chaire de
recherche du Canada en analyse respectueuse de la vie privée et éthique des
données massives. Donc, essentiellement, mon expertise est protection de la vie
privée et sécurité, côté informatique.
Le Président (M. Simard) : D'accord.
Donc, vous disposez de 10 minutes pour faire votre présentation.
M. Gambs (Sébastien) : D'accord.
D'abord, bien, je vous remercie pour l'invitation. Donc, en préambule, je pense
que ça a déjà été dit par quelques intervenants, mais je pense que c'est
important de discuter de ce projet de loi en
lien avec les autres projets de loi, comme le projet de loi n° 64, la
stratégie numérique du gouvernement, et, j'imagine, la future
infrastructure d'identité numérique. Donc, je pense que c'est important aussi
que ce débat, au-delà de cette commission, ça inclue le plus d'acteurs
possible, éventuellement, dans d'autres contextes.
Donc, j'ai lu le projet de loi avec attention et
je note qu'au niveau de la sécurité il y a des points très positifs au niveau du fait d'avoir un responsable de
sécurité dans chaque ministère. Peut-être que je suggérerais, pour être capable
d'avoir une reddition de comptes sur
l'implantation de ces améliorations de la sécurité... ce serait d'avoir une
transparence aussi sur les plans de sécurisation, au niveau de chaque
ministère, qui vont être mis en place, penser à des indicateurs aussi, comment est-ce qu'on sait, au bout de cinq
ans, si on a vraiment amélioré le niveau de sécurité globale de chaque
ministère et du gouvernement.
Et aussi il y
a des notions, comme l'obligation de divulguer les brèches de sécurité, qui
font partie des bonnes pratiques de sécurité, que je n'ai pas vues pour
l'instant dans le document.
Cela dit, étant plutôt un chercheur du côté vie
privée, ce serait intéressant, je pense, d'inclure, dans ce plan de
sécurisation, aussi une analyse des enjeux de vie privée et des enjeux
éthiques.
Et, quand on parle de mobilité des données, j'ai
vu quelques exemples ces dernières années, dans d'autres gouvernements, qui
amènent des questions. Donc, juste pour vous donner un exemple, en 2014, le
gouvernement belge a voulu, avec la
circulation des données, collecter des données de consommation d'eau, de gaz et
d'électricité dans le cadre de la détection des personnes qui
fraudaient, parce qu'en fait votre allocation sociale dépend de si vous êtes seul ou en couple dans votre logement. Et donc ce
que le gouvernement avait voulu faire à l'époque, c'était de prendre des
données dans un contexte, l'utiliser dans un autre contexte, ce qui avait
soulevé des enjeux éthiques importants. Donc, on forçait
les gens à... En particulier en Belgique, une loi européenne forçait les gens à
installer des compteurs électriques intelligents. On leur disait que c'était
pour le cas de l'optimisation et la distribution, et, d'un coup, on commence à
l'utiliser pour d'autres finalités.
Donc, je ne sais pas
s'il faudrait réfléchir à un organisme gouvernemental, une forme de comité
d'éthique qui réfléchirait aussi quand on commence à faire bouger des données
hors de leur finalité, collecte de départ, qui pourrait réfléchir et conseiller
le gouvernement sur ces aspects-là.
Je
note aussi qu'on parle beaucoup de mobilité et de valorisation dans le
document, ce qui peut avoir des tensions avec la vie privée. Donc, en
particulier, on attend du gouvernement qu'il ait les standards de vie privée
les plus élevés, puisqu'il est au service du
citoyen. Et, en général, le citoyen n'a pas le choix de lui transmettre des
données dans le cadre des missions régaliennes. Donc, je pense que ce
serait important aussi de préciser ces aspects-là.
Donc, une des choses
que je me suis demandées, c'est... Toutes les discussions aussi avec la
valorisation des données, avec des compagnies privées ne font pas partie du projet
de loi, et je pense que ce serait aussi quelque chose à inclure dans la
discussion globale dont je parlais au départ. Donc, est-ce que le gouvernement
s'engage à ne pas le faire? Est-ce qu'il a des plans pour le faire? Je pense
que ce serait important de les mettre sur la table.
On
parle en particulier des données de santé. Aussi, les données de santé sont...
vendues à une compagnie privée, bien,
ça peut avoir un impact sur le prix de mon assurance médicaments, ça peut avoir
un impact sur mon score de crédit si cette information est... sur mon
employabilité si on a des outils de recrutement prédictifs.
Donc, toute la
question de comment ce projet de loi s'inscrit par rapport à la stratégie de
valorisation avec les acteurs privés, je pense que ce serait important à mettre
aussi sur la table.
• (16 h 30) •
Aussi, j'ai vu ce
matin la discussion sur est-ce qu'il faut avoir les données centralisées ou en
silos. Il faut faire attention à toute
centralisation de données. Donc, oui, le fait de centraliser des données, ça
peut permettre de mettre plus de
ressources sur un endroit pour améliorer la sécurité, mais il y a aussi
beaucoup de cas où, dès qu'on a centralisé les données, on devient une
cible de choix et on arrive à des fuites de données.
Donc,
en Inde, par exemple, ils ont un projet qui s'appelle Aadhaar, où ils ont, dans
un but d'identité numérique et de services de transformation numérique,
centralisé beaucoup de données, et il y a eu une fuite de données de 1,1 milliard de personnes avec les noms, les
adresses, photos, numéros de téléphone, adresses e-mail. Donc, dès qu'on centralise,
on devient aussi une cible de choix, un seul point central de sécurité.
Donc,
la question... Je pense que la question de la sécurité, ce n'est pas aussi
simple que centraliser ou en silo. Il faudrait vraiment réfléchir
à est-ce que la centralisation, c'est la meilleure chose ou est-ce qu'il
faudrait avoir plusieurs hubs.
Et aussi je pense
que... de centralisation en vie privée... Si on centralise toutes les données
de toutes les sources gouvernementales et que, dans 10 ans, on a un gouvernement
autoritaire qui est en place, on lui aura donné toutes les clés pour être
capable de tracer quels sont ses opposants potentiels, cibler les personnes à
risque. Donc, dès qu'on centralise, on fait un pas de plus aussi dans les
risques de traçage des personnes. Donc, voilà, je finirais mon intervention là-dessus.
Je pense que ce qui a
été dit aussi, c'est qu'on a l'impression que certains aspects pourraient être
précisés par décret. J'entendais l'intervention de la Commission d'accès ce
matin, en particulier. Donc, d'avoir un débat un peu plus large sur comment vont être précisées ces sources de données
officielles, par exemple, ça, je pense que ça devrait faire partie aussi
de la discussion. Voilà pour mon intervention.
Le Président (M.
Simard) : Alors, merci à vous, M. le professeur. Cela va nous
donner plus de temps pour finalement procéder à nos échanges. Et, si mon calcul
est bon, la partie gouvernementale disposerait donc, à ce stade-ci, de
17 min 30 s. M. le ministre.
M.
Caire :
Merci beaucoup, M. le Président. Bonjour, Pr Gambs. Merci beaucoup de
votre intervention. Nonobstant à ceci, plusieurs de vos commentaires m'ont fait
tiquer, et je vais être intéressé à en discuter avec vous, parce que vous
semblez favorable à ce que le gouvernement divulgue ses brèches de sécurité.
J'ai-tu bien compris ce que vous avez dit?
M. Gambs
(Sébastien) : Oui. S'il y a une fuite de données à un service
gouvernemental...
M.
Caire : Mais, je veux juste être sûr que je comprends, de
divulguer la fuite ou de divulguer la brèche? Parce que ce n'est pas la
même chose.
M. Gambs
(Sébastien) : De divulguer la fuite.
M.
Caire :
Ah! mais ça, c'est prévu dans 64 déjà.
M. Gambs
(Sébastien) : O.K. Bien, tant mieux. Mais souvent, quand on divulgue...
M.
Caire : O.K. Donc, ça... Mais, ça, vous ne l'aviez pas vu.
Je comprends que c'est vraiment la fuite de données dont vous parliez,
là, pas la brèche.
M.
Gambs (Sébastien) : Bien, en
général, quand la fuite est publique, la brèche est aussi colmatée. Donc, on
peut divulguer la brèche.
M.
Caire :
Oui, c'est ça. Ah! je peux vous dire que, dans La Place 0-5, on cherche
encore par où ils sont passés.
O.K.
Donc, ça, c'est une question que j'avais. Donc, on s'entend que projet de loi
n° 64 prévoit qu'une fuite de données
doit être divulguée à la Commission d'accès à l'information, aux gens qui sont
inclus ou qui sont impactés par cette
fuite-là et éventuellement aux gens qui peuvent apporter des correctifs majeurs
et importants à l'incident de confidentialité. Ça, c'est tout dans 64.
M. Gambs (Sébastien) : Oui. Donc,
moi, je veux juste, pour préciser...
M.
Caire : Donc, ça,
ça répond à votre objection?
M. Gambs (Sébastien) : Moi, c'était
un cran plus loin. C'est de le divulguer publiquement parce que...
M.
Caire : Oui, oui.
M. Gambs
(Sébastien) : ...pas juste à
la Commission d'accès, mais de rendre des comptes, aux citoyens
directs, de chaque brèche, de chaque fuite.
M.
Caire : Bien,
écoutez, on a eu cette discussion-là à la Commission des institutions. Mais
pour vous dire que le volet divulgation d'une fuite de données est couvert par
le projet de loi n° 64.
Autre chose que vous avez dite qui m'a
surpris : Mettre sur la table les éventuelles interactions avec le privé.
Or, le projet de loi ne prévoit aucune interaction avec le privé. Donc,
j'aimerais comprendre de quoi vous parlez exactement, parce qu'il est clair que
le projet de loi est orienté vers les services publics et l'administration
publique et n'inclut que les services publics par l'administration publique.
Donc, en quoi le privé vient jouer là-dedans? Je n'ai pas très bien compris
l'intervention.
M. Gambs (Sébastien) : Donc, ma question,
c'est : Pourquoi est-ce que ce projet-là ne précise pas, dans le cadre des
données gouvernementales, tous les types de partenariat? Donc, j'imagine que ce
sera peut-être une loi subséquente, c'est ça?
M.
Caire : Bien, en
fait, c'est parce que l'idée, c'est de dire que, dans une prestation de
services publics... comment la donnée peut circuler entre deux organismes
publics. Donc, il n'y a pas de... il n'y a pas nécessairement... L'entreprise
privée n'intervient pas là-dedans, là.
M. Gambs (Sébastien) : Oui. En tout
cas, là, je pense, ça aurait pu être une occasion d'inclure toute la...
M.
Caire : Parce que, la LGGRI, il faut comprendre que cette
loi-là, c'est une modification à la loi
sur la gestion et la gouvernance des ressources informationnelles. Et
donc les organismes à qui la loi s'applique sont précisés dans la loi, et
l'entreprise privée n'est pas impactée par la LGGRI, là.
M. Gambs (Sébastien) : Oui, mais
comme... O.K. Peut-être que c'est une erreur de ma part, mais, quand on parle
de mobilité et de valorisation des données gouvernementales, dans mon sens...
Je ne sais pas si ce projet de loi ou une loi subséquente, j'imagine, va
statuer sur ce qui va être permis ou pas.
Donc, au-delà de la circulation entre les organismes,
puisqu'on parle des données gouvernementales, il y a toute la question, comme
vous l'avez dit, de la gouvernance, et une partie de la gouvernance, c'est la
mobilité et la valorisation vers l'extérieur. Donc, j'imagine, si ce n'est pas
ce projet de loi qui va en discuter, il y en aura un autre ou un autre contexte. Et donc mon seul commentaire, c'était : Ça aurait pu être une occasion de l'inclure dans ce projet de loi ou alors de dire quelles vont
être les interactions avec une loi future, éventuellement.
M.
Caire : Bien, en
fait, les premiers articles de la loi précisent à qui la loi s'applique, là.
Et, comme le disait d'ailleurs la Commission
d'accès à l'information, cette loi-là
ne s'applique qu'aux organismes publics et aux entreprises de l'État.
Sur la question de la valorisation, vous nous
avez amenés là-dessus... (Interruption) Excusez-moi, hein? C'est
l'article 12.10, paragraphe 4°, qui parle de la valorisation, qui est
«la mise en valeur d'une donnée numérique gouvernementale
au sein de l'administration publique à une fin administrative ou de services publics, excluant sa vente ou toute autre
forme d'aliénation». Est-ce que ça, ça répond plus adéquatement à
l'interrogation que vous aviez sur ces questions-là, sur la valorisation
de la donnée?
M. Gambs (Sébastien) : Oui et non,
dans le sens qu'il y a quand même le débat... Du coup, si cette loi n'est pas
l'occasion, il y a quand même la question d'où... dans quelle loi ça va être
discuté.
Donc, oui, je comprends que ce projet de loi ne
statue pas sur cet aspect de la valorisation qui fait partie des données
gouvernementales, mais ma question reste : Où est-ce que ça va être
discuté?
Moi,
en travaillant en sécurité, je vois aussi qu'il y a beaucoup de chantiers,
comme l'identité numérique. Donc, je me pose des questions sur quelle va être
l'architecture de cette identité et la vision globale, où on s'en va avec les
interactions entre ces lois. Donc...
M.
Caire :
O.K. Je comprends. Mais je vous rassure, Pr Gambs, la LGGRI ne s'applique
qu'aux organismes publics et aux entreprises
du gouvernement. D'ailleurs, vous l'avez, là, dans les différentes lois. Donc,
les organismes impactés sont clairement identifiés. Et je dis ça pour
faire sourire à mon tour mon collègue de La Pinière, parce que nous avons eu
cette discussion-là à quelques reprises en commission parlementaire.
Bon, Pr Gambs, vous êtes un spécialiste de la
cybersécurité. Si je vous dis qu'actuellement, dans la perspective de prestation
de services publics, chaque organisme public, dans une perspective de
prestation, collecte les informations dont ils ont besoin, si bien qu'il
y a probablement au sein du gouvernement, actuellement, entre 250 et
300 versions de vous-même parce qu'il y
a cette incapacité-là de partager la donnée entre les organismes, donc,
diriez-vous que cette surmultiplication-là d'une même information dans
des centaines de bases de données, en fait, 577 sites, pour être très précis... est-ce que vous diriez... Est-ce que le
spécialiste de la cybersécurité en vous dirait que cette pratique-là, elle est
conforme aux bonnes pratiques en cybersécurité?
M. Gambs (Sébastien) : Donc, encore une fois, le débat, c'est... Si on
centralise, on limite le nombre de copies, mais on va créer un seul point de
faille. Donc, je pense que tout le débat va être là-dessus. Et les bonnes
pratiques de...
M.
Caire :
Quand vous parlez de centralisation, pour que je comprenne bien, vous parlez de
mettre toutes les données dans le même serveur, là.
M. Gambs
(Sébastien) : C'est ça, ou dans la même infrastructure...
M.
Caire :
O.K. Si je vous parle... puis je m'adresse au...
Le Président (M.
Simard) : S'il vous plaît! M. le ministre...
M.
Caire :
Juste pour...
Le Président (M.
Simard) : M. le ministre, à l'ordre, s'il vous plaît! Là, pour les
fins de nos travaux, il faudrait éviter de
parler un par-dessus l'autre, parce que ça devient un peu cacophonique, et,
d'où on est, on ne comprend plus rien. Alors, allons-y étape par étape.
M. le ministre.
M.
Caire :
Bien, je voulais comprendre la notion de centralisation. Parce que vous avez
amené une notion qui était intéressante, de hub de données. Puis là-dessus je
veux vous entendre, parce que c'est exactement la vision que nous mettons en
place avec les sources officielles de données. Donc, diriez-vous que cette
pratique-là est une bonne pratique?
M. Gambs
(Sébastien) : Oui. Encore une fois, je serais intéressé aussi de
savoir ça va être quoi, la liste des sources officielles. Mais, si on a des
sources... La notion de sources officielles, je la trouve intéressante. Au lieu
d'avoir un seul site central, bien, d'avoir...
Je serais juste curieux de savoir ce qu'il va être, et combien il va y en
avoir, et...
• (16 h 40) •
M.
Caire : Bien, ça
fera l'objet d'une analyse lorsque le projet
de loi... si le projet de loi est adopté, d'ailleurs.
Je vais le mettre au conditionnel par
respect pour l'Assemblée nationale et la décision qu'elle aura à prendre. Mais je pense qu'on a tous en tête, là, des
sources officielles de données qui sont relativement simples à
définir, mais il y en a d'autres pour lesquelles, effectivement,
ça devra faire l'objet d'une analyse.
Et je vous pose la question :
Sur quels critères pourrait-on se baser pour déterminer... Puis, bon, on
comprend tous que Santé, Éducation, Direction de l'état civil, Finances sont
des sources de données qui peuvent quand même être assez faciles à déterminer a
priori, mais il y a peut-être d'autres sources de données pour lesquelles le
constat est moins simple à faire. Donc, sur quelles bases on pourrait
travailler et définir? C'est... Est-ce qu'il existe des modèles dans le monde
sur lesquels on pourrait se baser pour définir ces sources de données là, et
les faire de façon cohérente mais sécuritaire?
M. Gambs
(Sébastien) : Je pense que, souvent, les bonnes sources de données
sont des gens qui ont... des organismes qui ont l'habitude de travailler avec ces
données-là, mais pour lesquels il faudrait le support du gouvernement pour aider à améliorer leurs infrastructures
de sécurité.
Donc, plutôt que de
créer une nouvelle entité qui gère ces données-là, je pense qu'il faudrait
réfléchir à quels sont les acteurs sur le terrain et les organismes qui ont
l'habitude de traiter de ces données mais qui n'ont peut-être pas le niveau de maturité de sécurité, là, c'est
revenu beaucoup dans les interventions... et d'aider par... ces organismes à
monter en maturité, donc, peut-être en leur donnant des ressources ou de la
formation subséquente.
M.
Caire :
Est-ce qu'il existe des modèles de ça dans le monde, que vous avez eu
l'occasion d'observer?
M.
Gambs (Sébastien) : Des modèles de sources... La notion de sources
officielles de données, c'est la première
fois que je la vois dans une législation. Donc, je n'aurais pas de... Il
faudrait que je réfléchisse et que je vous revienne, là.
M.
Caire : Des
concepts de hubs, est-ce que... Vous avez parlé de hubs. Est-ce qu'à ce moment-là ce concept...
M. Gambs (Sébastien) : Bien, les exemples que j'ai vus, moi, c'est les
exemples où il y avait un seul hub, et ça a souvent mené à des fuites de
données.
M.
Caire :
Oui, je comprends.
M. Gambs (Sébastien) : Pour venir avec des exemples de plusieurs hubs,
je pense qu'il faudrait que je vous revienne.
En
France, en ce moment, il y a des discussions avec le hub de santé, où justement
il y a beaucoup de tension, hein, dans les discussions parlementaires et
dans la société civile sur ce hub-là.
M.
Caire :
Parce qu'il faut être capable, aussi... Les hubs, il faut être capable de les
mettre en relation. Donc, il faut émuler un peu un modèle de base de données
relationnelle, là, pour utiliser une image avec laquelle vous êtes probablement
familier. Je m'excuse pour mon collègue de...
Une voix :
...
M.
Caire :
Loin de moi l'idée de vouloir évincer du débat qui que ce soit, mais, pour peut-être
mieux imager ce que j'ai en tête au
Pr Gambs, on serait... Si je vous comprends bien, et si nous nous
comprenons bien, on émulerait un modèle de données de base... base de
données relationnelle, là.
M. Gambs
(Sébastien) : Oui, ou base distribuée. Bien, c'est aussi pour ça que,
j'imagine, ces sources vont s'appuyer sur l'infrastructure de l'identité
numérique. Et, sans avoir de détails de cette infrastructure-là, comment les
sources officielles vont l'utiliser...
M.
Caire :
Bien, en fait, non. C'est-à-dire que l'identité numérique, elle, va devoir
prendre sa source dans certains de ces hubs-là, effectivement.
M. Gambs
(Sébastien) : Il y a donc... Il y a des technologies respectueuses de
la vie privée qui peuvent avoir des données
distribuées mais permettre d'avoir une identité sécurisée et respectueuse de la
vie privée. Donc, il y a beaucoup de façons différentes, technologiques,
de faire les choses et il y a des bonnes et des mauvaises. Et je pense que ces sources-là devraient... avant de les
identifier, il faudra aussi savoir un peu c'est quoi, l'infrastructure qui va
être derrière elles.
M.
Caire :
O.K. Je comprends.
Vous avez parlé du
chef gouvernemental de la sécurité de l'information. Vous semblez saluer
l'initiative, saluer aussi les chefs délégués de la sécurité de l'information,
qui seront déployés dans les différents ministères. Qu'est-ce que vous voyez de
positif là-dedans? Puis, dans ce que vous avez vu, est-ce qu'il y a des choses
que vous amélioreriez?
M. Gambs
(Sébastien) : Bien, ce que je vois de positif, c'est que d'avoir une
personne responsable de cet aspect-là dans
chaque organisme, à mon avis, c'est une bonne façon d'avoir une stratégie qui
est adaptée à cet organisme puis d'être sûr qu'on ait une personne dont
le rôle est à 100 %.
Les façons
d'améliorer, je les ai dites au début. Je pense qu'il faut être capable de
faire une reddition de comptes sur à quel point la sécurité est améliorée et
quels sont les indicateurs. Donc, je pense qu'il faut réfléchir à des
indicateurs, au fur et à mesure de monter en maturité, de la sécurité de ces
organismes pour qu'on soit capable de mesurer. Donc, ça peut être des tests de
pénétration, ça peut être d'autre chose, mais... Encore une fois, je serais aussi
très transparent sur le plan de sécurisation
pour qu'il puisse être audité par des experts externes. Donc, voilà, c'étaient
essentiellement mes points au début de mon intervention.
M.
Caire :
Mais j'aime ça quand vous parlez des indicateurs puis j'aimerais ça faire un
bout de chemin avec vous là-dedans parce que ça, c'est quelque chose qui me
parle beaucoup. On parle bien d'indicateurs de performance au niveau de la maturité des entreprises. Comment on peut... Bien, des entreprises...
des organisations. Outre, bon, les balayages, outre les tests
d'intrusion, outre les tests classiques d'hameçonnage, est-ce qu'il y a
d'autres indicateurs qui existent qui nous permettraient de mesurer la montée
en puissance, en compétence de nos organismes?
M. Gambs
(Sébastien) : Bien, on peut essayer de regarder, déjà, le niveau de
formation sur la sécurité. Donc, ça peut être... Au-delà des tests
d'hameçonnage, ça peut être des tests ou des formations à l'interne avec du
feed-back à la fin.
Ça pourrait être aussi le
fait de rendre transparent le plan de sécurisation. Ça permet aussi de montrer
à quel point il a été spécifié par rapport aux missions de l'organisme au lieu
d'être un plan générique. Donc, je pense que regarder la façon dont il est
formulé, est-ce qu'il prend en compte les spécificités du ministère ou de
l'organisme...
Donc, par exemple, les données de santé et les
données d'impôt ne sont pas forcément sécurisées de la même manière que
d'autres ministères. Donc...
M.
Caire : Là-dessus...
Oh! je vais vous laisser compléter. Excusez-moi.
M. Gambs (Sébastien) : Non, non,
c'était tout.
M.
Caire : Bien, c'est
parce que je trouve ça intéressant. Puis c'est une question que je pose, je
vous dirais, à tous nos intervenants, parce qu'on a une catégorisation de la
donnée qui est en fonction du détenteur et non pas en fonction de la valeur ou
de la sensibilité de la donnée elle-même. Vous en pensez quoi, de ça?
Puis vous pensez quoi de l'idée de dire :
Bien, on ne devrait pas catégoriser une donnée en fonction du fait qu'elle appartient à la santé ou au Tribunal administratif du logement mais bien par rapport à la valeur
qu'elle peut avoir pour des
intentions malveillantes et pour son niveau de sensibilité? Donc, le préjudice,
évidemment, qui est conséquent à une diffusion non autorisée de cette donnée-là,
vous en pensez quoi, et donc d'harmoniser, évidemment, nos régimes
de protection en fonction de la sensibilité de la donnée et non pas en fonction
de qui en est l'utilisateur?
M. Gambs (Sébastien) : Oui. Moi, je
pense que c'est une très bonne idée. En vie privée, j'ai tendance à dire que... Le risque de vie privée lié à une donnée
personnelle est lié à ce que j'appelle le potentiel d'inférence — c'est
à quel point on peut déduire d'autres choses sur une personne si on a
cette donnée ou si on la croise. Et donc, si on prend les données de santé ou les
données de mobilité, par exemple, c'est des données avec un fort potentiel
d'inférence, alors que, si je prends, par exemple, vos goûts musicaux ou vos plats préférés, c'est des données avec des
faibles potentiels.
Donc, je vais totalement dans votre sens. On
parle de sensibilité en termes de ce qu'on peut déduire sur une personne à
partir de cette donnée si elle fuite ou si elle est croisée.
M.
Caire : O.K. Donc,
une organisation devrait, au-delà, là, des régimes législatifs mais... Dans la
mise en place des systèmes de défense, une organisation devrait tenir compte de
ce potentiel-là d'inférence, du niveau de préjudice d'une utilisation
malveillante et, évidemment, de l'attractivité de la donnée. Parce qu'on le
sait, il y a des données qui sont attractives pour les organisations
malveillantes puis il y en a d'autres qui le sont moins. Donc, ces critères-là
vous apparaîtraient des critères assez fondamentaux pour une catégorisation
plus globale de la donnée.
M. Gambs (Sébastien) : Oui. Juste pour
vous dire, souvent, c'est ce que font les... Quand, en sécurité, on fait une
analyse de risques, c'est qu'on évalue l'impact lié à l'accès à une information
ou une ressource. On intègre déjà un peu cet aspect-là. Si le potentiel
d'inférence est élevé, bien, l'impact sur les citoyens au Québec va être plus
grand en termes d'usurpation de l'identité, de risque de profilage que si le
potentiel d'inférence est faible. Donc, c'est pris en compte, je pense, déjà un
peu dans les réflexes des personnes qui font des analyses de sécurité,
peut-être pas en termes de la classification qui est utilisée mais en termes de
leurs habitudes, je dirais.
M.
Caire : Est-ce
qu'il existe des normes là-dessus, Pr Gambs, sur la catégorisation des
données? Je sais qu'au niveau des protocoles de sécurité il en existe une puis
une autre, là, mais au niveau de la donnée comme telle... Parce que, comme vous
l'avez sans doute vu dans le projet de loi, il y a l'obligation pour le
gestionnaire de la donnée de faire un
inventaire de la donnée, donc d'avoir vraiment non seulement une connaissance
de quelle donnée on a, mais quel
profil de donnée on a aussi. Donc, est-ce qu'il existe des modèles, dans le
monde, de ça... des normes, je devrais dire, dans le monde, de ça?
M. Gambs (Sébastien) : Pas que je
connaisse, non. Souvent, la législation va définir les données sensibles comme
étant les données amenant la discrimination, mais...
Le Président (M. Simard) : En
conclusion. En conclusion, s'il vous plaît.
M. Gambs (Sébastien) : Oui. Si je
pouvais terminer, juste...
Le Président (M. Simard) : Oui, je
vous en prie, monsieur.
M. Gambs (Sébastien) : Une des
difficultés, c'est de réfléchir au croisement. Donc, quand on regarde une
donnée toute seule, travaillant dans un ministère, on va avoir une idée des
risques, mais c'est le croisement potentiel avec
10 sortes de données différentes provenant d'autres sources qui est
difficile, je pense, à intégrer dans cette analyse de risques et dans
cette catégorisation et inventaire.
Le Président (M. Simard) : Merci
beaucoup.
M.
Caire : Merci
infiniment, Pr Gambs. Très, très, très intéressant. Merci beaucoup.
Le Président (M.
Simard) : Je cède maintenant la parole au député de La Pinière,
qui dispose de 13 min 5 s.
M. Barrette : ...
Le Président (M. Simard) : Cher
collègue...
M.
Caire : En ouvrant
le micro, ça va mieux.
Le Président
(M. Simard) : ...il faudrait
mettre votre son. Et puis, M. le
ministre, laissez à la présidence le
soin de présider. Merci. M. le député de La Pinière.
M.
Barrette : Merci de me le
rappeler. Je vais commencer par me faire plaisir. Comment prononce-t-on votre
nom de famille?
• (16 h 50) •
M. Gambs (Sébastien) : Gambs, mais
personne n'arrive à le prononcer, donc je ne me vexerai pas si...
M.
Barrette : Bon. Gambs. Bon,
bienvenue. Alors... Non, mais c'est parce que c'est toujours
désagréable de se faire massacrer son
nom. Je n'ai pas dit que mes collègues l'avaient fait, mais je porte toujours
une attention particulière à ça.
Écoutez,
là, vous avez... Je comprends, là, que vous avez suivi nos travaux, là, depuis
ce matin, heureusement, et tant mieux. Votre expertise, elle est
technologique, ou elle est éthique, ou les deux?
M. Gambs
(Sébastien) : Je dirais les
deux, à la base, plutôt technologique, mais mon projet de recherche
s'intéresse aussi aux enjeux éthiques des données massives. Donc...
M. Barrette : O.K. Parfait. Non,
c'est important, parce que, quand on lit votre titre, qui a été déposé dans
notre horaire, ça avait l'air plus du côté éthique que technologique. Mais je
vois que vous avez une expertise plus technologique qu'éthique. L'un n'empêche
pas l'autre, mais c'est juste pour comprendre d'où vous venez.
Et la raison pour laquelle je vous pose cette
question-là, elle est de deux ordres. C'est drôle, parce que c'est votre
dernière intervention et votre première. Dans votre première intervention, vous
avez fait référence à la situation belge, où
on a croisé des données, essentiellement, et, quand vous avez commencé par ça,
j'ai cru comprendre que vous étiez
plus du bord éthique, j'ai cru comprendre que vous étiez défavorable à ça.
Est-ce que je comprends ça comme il faut?
M. Gambs (Sébastien) : Oui. Essentiellement,
ce que je disais, c'est que l'analyse de sécurité devra inclure les facteurs de
vie privée, ce qui apparaît dans le projet de loi, et les enjeux éthiques
aussi. Et la...
M. Barrette : Oui, mais...
M. Gambs (Sébastien) : ...
M. Barrette : Allez-y. Excusez-moi.
M. Gambs (Sébastien) : Non,
excusez-moi, M. le Président, d'avoir... Pour... Ce que j'ai essentiellement
dit, c'est que cette question-là devrait
être un débat de société sur est-ce que ce croisement est... Donc, au-delà
d'être imposé, je pense que ça
devrait être discuté, soit dans une instance ou... Donc, essentiellement, ce
type d'utilisation, où on change la
finalité des données qui ont été collectées, je pense qu'on peut difficilement
se passer d'un débat de société avant de valider ou non cet usage.
Donc,
j'imagine qu'il y a des pays dans le monde où cet usage serait considéré normal
pour la culture ou le pays et d'autres où ça ne serait pas le cas.
M. Barrette : Mais votre lecture du
projet de loi n° 95 n'est-elle pas, en essence, un projet de loi qui vise
à croiser des données?
M. Gambs (Sébastien) : En tout cas,
je vois qu'on parle de mobilité et de valorisation, donc c'est sûr que le
croisement des données fait partie, j'imagine, des choses que ce projet de loi
va permettre. La question, c'est... Parmi tous
ces croisements, il y a des croisements, je pense, qui ne poseront pas de
problème de société et il y a des croisements dans lesquels on va avoir des enjeux éthiques qui vont émerger, sur
lesquels un débat de société se passera difficilement, à mon avis.
M. Barrette : Alors là, vous
proposez... Vous venez nous dire que vous êtes d'une opinion selon laquelle le projet de loi n° 95 est trop tôt? Parce que,
vous savez, faire un débat de société, c'est long, et il est possible que le
ministre veuille que son projet de loi passe, un jour plus proche que
loin, tiens.
M. Gambs (Sébastien) : Non, non.
Bien, je vais essayer de repréciser. Je suis désolé si je n'ai pas été clair. Mais, en gros, le point de vue, c'est : Ce
projet de loi va faciliter le croisement des données entre les institutions gouvernementales. Il va y
avoir, sur certains de ces croisements, des changements de finalité par rapport
à la collecte des données qui a été
faite et des enjeux éthiques qui vont émerger, et donc je pense qu'il serait
important pour le gouvernement de se doter d'un organisme ou d'une façon
de réfléchir à ces enjeux éthiques. Donc, il y a la... on a la Commission de l'éthique, qui est passée juste avant, mais je
pense que ça serait bien d'avoir un
organisme aussi ou une façon d'avoir des débats de société sur les
croisements qui risquent d'être problématiques, sous peine d'avoir une... je
pense, un rejet de la population de certains de ces croisements ou de certaines
des choses qui vont être mises en place.
M.
Barrette : Donc, ce que vous préconisez, c'est la création d'une
espèce d'arbitre du croisement à l'intérieur du projet de loi.
M. Gambs (Sébastien) : Oui. Je ne
sais pas si c'est une bonne façon de le nommer, mais oui.
M. Barrette : L'image correspond à
ce que vous pensez. C'est ça, mon point.
M. Gambs
(Sébastien) : Oui, ce serait
un organisme qui peut conseiller le gouvernement et qui pourrait aider à réfléchir aux enjeux éthiques des
croisements.
M. Barrette : Attention! Moi, là...
Est-ce qu'on parle ici d'un conseiller ou d'un arbitre qui fait la décision? Et
là je vais m'expliquer et je vais aller à l'autre bout de votre intervention.
À un moment donné, là, quand on prend la
recherche, on fait déjà ça, là. Alors, vous savez que, dans les gouvernements, un chercheur va venir frapper à la porte, va avoir beaucoup
de difficultés d'avoir accès à des données parce que, technologiquement,
on n'est pas bien organisés pour ça. Et là le chercheur, là, il va monter un programme
de recherche, va demander à avoir
accès à différentes bases de données parce
que son projet de recherche oblige un
croisement de données. Et, ça, on est habitués de faire ça, et on n'en
fait pas beaucoup parce qu'on n'a pas de ressource pour le faire, et on n'a pas une structure de gestion de
données qui nous permet d'en faire beaucoup. Alors, ça, ça se fait. Sauf que là, avec le projet de loi n° 95, ça
pourrait se faire couramment. Donc, il faudrait, à un moment donné, un arbitre
qui calle la shot de façon régulière. Moi, c'est ce que j'entends un peu
de la position que vous dites.
Je vais faire moi-même un croisement d'interventions
de la journée, là, je vais croiser votre intervention avec l'intervention de la Commission d'accès à
l'information. La Commission d'accès à l'information, là, elle est malheureuse, puis je pense bien peser mes mots puis utiliser
les bons mots, parce que, la section II.4, qui, pour elle, est une
ouverture, même si II.4 sont des éléments qui sont spécifiques,
chacun... la somme des éléments spécifiques est trop large, et, même, très probablement, chacun des
éléments est, pris indépendamment,
trop large lui-même. Alors, la Commission d'accès à l'information se présente comme étant,
elle, potentiellement l'arbitre de la décision du croisement de données.
Vous souhaitez, d'une certaine manière, qu'il y
ait un conseil, mais, dans la vraie vie quotidienne, il faudrait que quelqu'un
puisse prendre les décisions au fil de l'eau, là, si vous me permettez, là, sur
une base quotidienne.
M. Gambs (Sébastien) : Oui. Alors,
moi, j'ai tendance quand même à différencier les projets de recherche, qu'il peut y avoir des exceptions avec...
L'exemple que je donnais, je l'avais dit, que ça serait quand même une décision
gouvernementale qui n'arriverait pas tous les jours, qui serait de... par
exemple, de demander à Hydro-Québec d'être une
source officielle des données puis de dire : On veut croiser les données
pour détecter les fraudeurs, avec le ministère des Finances. Donc, c'est quand même deux cas différents. Dans un cas,
c'est une exception pour des chercheurs pour un projet. Dans un autre
cas, c'est un...
M.
Barrette : Non, je sais. Je vous interromps, M. Gambs. Je vous
interromps, simplement parce que je comprends que c'est un...
Maintenant,
prenez le cas, là, prenons le cas,
là, d'Hydro-Québec, là, qui fait des croisements avec Revenu Québec. Vous êtes, donc, en défaveur
de ça.
M. Gambs (Sébastien) : J'ai essentiellement
dit qu'il faudrait avoir un débat de société pour trancher. Je pense que
ce serait... De mon point de vue, je
pense qu'il y a des enjeux éthiques trop importants pour ne pas avoir un
organisme qui permet de débattre de cet aspect-là. C'est ça que j'ai dit,
essentiellement.
M.
Barrette : Bon. Alors, mettons que votre sentiment est plus négatif
que positif vis-à-vis la possibilité de ça.
M. Gambs (Sébastien) : Moi, enfin,
les enjeux éthiques que je vois, ce serait très problématique pour ce
croisement-là.
Mais, encore une fois, je pense que ce n'est pas
à moi de prendre la décision. Ce serait... Essentiellement, ma recommandation,
c'était d'avoir un organe ou une façon de réfléchir à ces questions-là et d'en
débattre.
Mais je pense
qu'il y a plein de croisements des données qui ne soulèveront pas forcément des
enjeux éthiques, mais là j'ai voulu vous donner un exemple, et qui avait
fait beaucoup de bruit en Belgique à l'époque.
M. Barrette : Non, bien, je
comprends bien votre intervention. Évidemment, la mienne... Je ne veux pas vous
mettre dans l'embarras, là. Ce n'est pas ça du tout, du tout, mon objectif. Je
pose la question, essentiellement, parce qu'au bout du compte, dans l'état
actuel du projet de loi, ça peut arriver... un problème.
M.
Gambs (Sébastien) : Oui.
M. Barrette :
O.K. Sur le plan technologique, là — là, je veux aller du côté
technologique — là,
vous me surprenez beaucoup, beaucoup, beaucoup, là. Dans le monde d'aujourd'hui,
c'est la première fois que j'entends une position
aussi catégorique contre un hub centralisé de données. Honnêtement, là, c'est
la première fois que je l'entends comme
ça. Vous êtes dans une forme... dans une position beaucoup plus décentralisée, dans
des satellites, là. Je suis étonné de ça.
M. Gambs
(Sébastien) : Bien, il y a...
M.
Barrette : Parce que, quand on regarde les grandes organisations, là,
les banques, Google et compagnie, là, ils sont pas mal centralisés, là.
M. Gambs (Sébastien) : Oui, mais, quand on regarde les fuites de données
qu'on a constamment, c'est souvent parce que des données ont été
centralisées, donc...
M. Barrette :
Bien, est-ce que c'est...
M. Gambs
(Sébastien) : Est-ce que...
M. Barrette :
...centralisé ou parce que les mesures de sécurité étaient mauvaises?
• (17 heures) •
M. Gambs
(Sébastien) : Bien, en sécurité informatique, on sait qu'il n'y a pas
de sécurité parfaite. Donc, on peut essayer de renforcer autant qu'on peut,
mais beaucoup de fuites de données sont arrivées parce qu'il y avait des
grandes masses de données centralisées à un endroit et qu'une fois que l'accès
était trouvé, même si cet accès était difficile parce que le niveau de sécurité
était haut, ça menait à des grandes masses de données. Donc, de distribuer,
c'est une forme de protection contre avoir les données dans un seul endroit.
Donc, je rejoins
le... Comme je dis, c'est le débat : Est-ce qu'on veut avoir un hub
centralisé et risquer de tout fuiter mais
mettre plus de ressources ou plusieurs petits hubs? Donc, il y a plein de
façons de distribuer. Ça peut être
quelques hubs comme ça peut être beaucoup d'organismes.
Mais, comme je
disais, dans les fuites de données actuelles, on voit souvent que c'est des
fuites qui arrivent parce que les données
ont été centralisées. Donc, je ne pense pas que je suis trop à contre-courant de
beaucoup d'experts de sécurité au
niveau de ce qui arrive dans la fuite de données. Après, comment on règle cela,
j'imagine, effectivement, qu'il peut y avoir plusieurs avis.
M. Barrette :
Bon, le ministre me voit venir, là, et évidemment... C'est parce que là vous
êtes en train de dire que ce que l'on fait actuellement, ce n'est pas bon. La
transformation numérique à laquelle on assiste au Québec actuellement, elle est
plus hubienne que satellitaire.
M. Gambs
(Sébastien) : J'ai juste... Moi, mon rôle en tant que chercheur, c'est
juste de soulever les risques. Donc, je voulais juste remarquer que de
centraliser les données pouvait amener, s'il y a une brèche de sécurité, à une
fuite de données massive. C'est juste... Donc, il faut penser à est-ce
qu'on veut vraiment des données complètement centralisées ou distribuées entre
quelques hubs.
M. Barrette :
O.K. Alors, est-ce que je... Là, il ne me reste pas beaucoup de temps. Est-ce
que là, de façon globale, vous considérez, globalement,
là, votre impression globale — j'ai
quasiment envie de conclure, là, je ne veux pas vous mettre des mots
dans la bouche — que
le projet de loi n° 95, il est précoce, au moins?
M. Gambs (Sébastien) : Non. Ce que j'ai dit, c'est que j'aurais bien
aimé voir comment il s'insère par rapport à l'identité numérique. Il y a
d'autres choses... Et c'est difficile de juger séparément.
Je ne dis pas qu'il
est précoce, mais j'imagine qu'il devra être discuté au vu du projet de loi
n° 64, au vu des infrastructures d'identité numérique. Sinon, c'est
difficile de se prononcer sur tous les aspects de ce projet de loi sans avoir
la vision globale.
M. Barrette :
Est-ce que 95 est antinomique à 64?
M. Gambs (Sébastien) :
Je ne pense pas. Pas forcément.
M. Barrette :
C'est... Wow! C'est... Combien de temps, M. le Président? Je pense que
j'ai terminé.
Le Président (M.
Simard) : 40 secondes, cher collègue, mais vous n'êtes pas obligé
de les prendre.
M.
Barrette : Bon, bien,
écoutez, je vais vous remercier pour votre intervention, M. Gambs. En tout
cas, moi, personnellement, vous m'avez beaucoup surpris. Alors, ce sont
des échanges très utiles, croyez-le, croyez-moi. Merci beaucoup.
Le Président (M.
Simard) : Merci à vous. Je cède maintenant la parole au député de Rosemont,
qui dispose de 4 min 20 s.
M. Marissal : Merci, M. le
Président. Merci, M. Gambs, pour la présentation. Il y a effectivement
tout un pan éthique qui entre en collision avec les pans technologiques. C'est
utile d'avoir ce genre de conversation là, parce que, des fois, la technophilie débridée nous amène à penser que c'est
ça, la solution, alors que c'est juste un outil. Puis des fois on va
trop vite.
Bon, cela dit, je pense que le gouvernement veut
aller vite avec 95, mais c'est... Avec le ministre de la Transformation
numérique, que j'ai déjà qualifié de couteau suisse du gouvernement parce qu'il
est à multiusage, et c'est une qualité, un parlementaire redoutable, en plus...
il nous a habitués au procédé des poupées gigognes. Un projet de loi ne vient jamais
seul. Il en cache toujours deux, trois autres, là, et quelquefois d'autres
projets aussi, connexes à ça.
Il nous dit, par contre, depuis ce matin, dans
le cas de 95 : Ce n'est que pour de la circulation de données dans la
bulle gouvernementale, donc de gouvernement... pas de gouvernement à gouvernement,
de département à département, de ministère à ministère. Vous sembliez, au début
de votre intervention, y voir peut-être autre chose, et plus vaste. Est-ce que
vous êtes encore dans cette impression ou est-ce que, selon vous, on se limite
uniquement, là, à ce qu'on dit?
M. Gambs (Sébastien) : Ce que j'ai
dit, c'est que j'aurais aimé voir la... Parce qu'on parle de valorisation et de
mobilité des données gouvernementales. Alors, je comprends que le projet de loi
ne concerne que leur mobilité dans le cadre gouvernemental, mais il y a toute
la question de la valorisation avec les entités privées que je ne vois pas dans
ce projet de loi. Et donc ma question était : Où va-t-on en discuter et
dans quel endroit? Et comment ça va s'insérer avec ce projet de loi? C'était
ça, ma question.
M. Marissal : Je comprends bien,
mais les mots sont importants, puis il paraît que nous, les législateurs, on ne
parle pas pour ne rien dire. Je n'ai pas dit que ça s'applique tout le temps à
moi, là. Des fois, je parle pour ne rien dire, mais, dans ce cas-ci, c'est un
projet de loi et c'est sérieux. Le mot «valorisation», là, comment on le
définit dans votre domaine?
M. Gambs (Sébastien) : En général,
la valorisation, ça va être exploitation en vue d'une finalité différente de
laquelle elle a été... Donc, en vie privée, souvent, quand on parle de valorisation,
ça va être : Est-ce qu'on peut revendre
ou est-ce qu'on peut refaire d'autres services? Un exemple, c'est si on
anonymise les données. C'est souvent dans un autre type de valorisation
ou au-delà de la finalité pour laquelle on les a collectées. On va vouloir
créer de nouveaux services ou les vendre à des compagnies.
M. Marissal : Ou les donner, les
partager.
M. Gambs
(Sébastien) : Ou les
partager. Ou ça pourrait être de développer de nouveaux services
gouvernementaux aussi. Donc, la valorisation peut couvrir beaucoup de
choses.
M. Marissal : Je disais que c'était intéressant,
les discussions d'ordre éthique, mais je ne suis pas sûr qu'on peut légiférer
en temps réel et constant sur des questions éthiques, donc nécessairement
fuyantes et changeantes.
Mais comment on évaluerait les risques
d'inférence, dont vous avez parlé tout à l'heure? Parce qu'il y a un peu une
clé là-dedans, de ce que vous dites, là. C'est qu'une donnée en soi, ça peut ne
rien valoir ou elle peut être la clé de sésame qui permet d'ouvrir, là, plein
d'autres portes. Alors, comment on peut l'évaluer, cette inférence?
M. Gambs (Sébastien) : Donc, pour
faire ça, je dirais qu'il n'y a pas de choix de regarder les travaux
scientifiques qui ont fait des croisements de données ou qui utilisent les
données. Donc, c'est typiquement un travail de
chercheur de ma communauté ou de communauté d'apprentissage machine de pouvoir réfléchir à
comment on quantifie et définit cette potentielle inférence.
Donc, il y a beaucoup de littérature sur le
sujet. Je n'ai malheureusement pas de réponse facile sur... ou je pourrais vous
donner une source sous laquelle vous pourriez voir, si on a mobilité plus
santé, bien, voilà, ce qu'on peut déduire, c'est... Je dirais que c'est
disséminé dans la littérature sur le sujet à l'heure actuelle.
M.
Marissal : Donc, assurément,
vous nous suggérez non seulement des garde-fous, mais un suivi en temps réel,
régulièrement revenir, remettre notre ouvrage sur le métier pour nous assurer
qu'on n'a pas de...
Le Président (M. Simard) : En
conclusion.
M. Gambs (Sébastien) : Oui. En
sécurité et vie privée, c'est ce qu'on fait, de toute façon, tout le temps. Une
analyse de risques par rapport à la sécurité d'un système, elle doit être faite
régulièrement pour évaluer sa maturité et son évolution.
M. Marissal : Je vous remercie,
M. Gambs.
Le
Président (M. Simard) :
Alors, M. Gambs, à mon tour de vous remercier pour la qualité de votre
contribution au débat public en général et en particulier pour les
travaux de cette commission. Et au plaisir de vous retrouver parmi nous.
M. Gambs (Sébastien) : Merci
beaucoup. Je vous souhaite une belle journée. Merci pour l'invitation.
Des voix : ...
M. Gambs (Sébastien) : Bonne journée.
Le Président (M. Simard) : Sur ce,
nous allons suspendre momentanément.
(Suspension de la séance à 17 h 07)
(Reprise à 17 h 18)
Le Président (M. Simard) : Alors,
chers collègues, nous sommes de retour. Nous pouvons donc reprendre nos
travaux.
Nous sommes
en compagnie des Prs Dupont et Cuppens. Alors, chers collègues,
bienvenue parmi nous. Vous disposez d'une période de 10 minutes. Peut-être
qu'au tout début vous pourriez d'abord vous présenter.
MM. Benoît Dupont et
Frédéric Cuppens
M. Dupont (Benoît) : Bonjour, M. le
Président. Merci de nous recevoir pour entendre nos réflexions sur le projet de loi n° 95. Je me présente,
je suis le Pr Benoît Dupont, de l'Université de Montréal, professeur en
criminologie et titulaire de la Chaire de recherche du Canada en
cybersécurité. Et je suis accompagné du Pr Frédéric Cuppens, de l'École
polytechnique de Montréal. Alors, nous allons répartir notre intervention en
cinq minutes chacun, si vous le voulez bien.
Et donc je
vais peut-être commencer par quelques éléments de contexte par rapport à ce
projet de loi, qui partira du point de... du constat que les organismes
gouvernementaux accumulent et centralisent de très grandes quantités
d'informations personnelles. Et donc il est évidemment impératif qu'ils
accordent une importance particulière à la protection des données des citoyens.
Au niveau
fédéral, il existe une loi, la Loi sur la protection des renseignements personnels, qui prévoit, depuis
2014, que les organismes publics notifient au commissaire à la protection de la
vie privée les cas de brèches de
données pouvant causer un préjudice aux individus concernés. Et cette
transparence, qui n'a malheureusement pas encore d'équivalent au Québec, mais ça va être, je pense, réparé avec le projet de loi n° 64, nous permet ainsi d'apprendre que, pour la
période de 2019 à 2020, donc très récemment, 341 brèches de données
ont été déclarées par 34 organismes fédéraux, ce qui représentait une
augmentation de 120 % sur l'année précédente. Et ces brèches de données
comprennent aussi bien des pertes de
données, des accès non autorisés, des vols de données. Et, de l'aveu même du
commissaire à la protection de la vie privée, les statistiques,
probablement, sont sous-estimées et ne représentent que la pointe de l'iceberg.
Globalement, dans les cas de vols et pertes de
données du secteur public comme du secteur privé au Canada, dans cette année-là, c'est 30 millions de
dossiers personnels qui ont été compromis en 2019-2020. Alors, ces chiffres ont
l'air énormes, mais il n'y a aucune raison... La raison pour laquelle j'en
parle, c'est qu'il n'y aucune raison statistique de penser que la situation est très différente au
Québec, et que nous sommes protégés de ce type d'incident, et que nous
sommes moins exposés, que les citoyens québécois sont moins exposés que nous le
sommes au niveau fédéral. Et ces statistiques-là ne tiennent pas non plus
compte des cyberattaques menées par le biais des rançongiciels, qui ont
proliféré au cours des trois dernières années et qui ciblent sans
discrimination les systèmes gouvernementaux et les infrastructures
essentielles.
• (17 h 20) •
Donc, ces
éléments de contexte, vraiment, pour nous aider à vraiment comprendre
l'importance de ce projet de loi, qui arrive, selon nous, à point nommé pour
moderniser les capacités de réponse des organismes publics et des entreprises
du gouvernement du Québec en matière de cybersécurité notamment, même si on
comprend que ce projet de loi porte aussi sur la transformation numérique, sur
la valorisation des données.
Mais notre intervention à nous, tous les deux, aujourd'hui,
sera focalisée sur la notion de cybersécurité, et on a quatre commentaires généraux et un certain nombre de commentaires
spécifiques et de recommandations qu'on souhaitera faire. Je vais commencer
par deux commentaires généraux avant de passer la parole à mon collègue.
Dans le projet de loi, on remarque que le
langage qui est utilisé est plutôt celui de sécurité de l'information ou de sécurité informatique. Et nous, on recommanderait
qu'on adopte plutôt une terminologie de cybersécurité, comme la
politique de cybersécurité dont s'est doté le gouvernement du Québec en
mars 2020.
Pourquoi? Parce que la notion de sécurité
englobe non seulement la sécurité des systèmes informatiques, sécurité technique, la sécurité de l'information, c'est-à-dire les données, mais aussi la manière dont les
humains interagissent avec ces systèmes
techniques et avec ces informations. Et, si on veut bien sécuriser les données
personnelles des citoyens québécois, il ne faut pas uniquement apporter des solutions
techniques, il faut aussi comprendre comment interagissent des technologies, des informations et des humains, et pour pouvoir mettre en place des mécanismes de protection. Donc, ça, ce serait une première recommandation.
La deuxième recommandation d'ordre général
serait d'assurer une plus grande place à la cyberrésilience, qui est mentionnée
une fois dans le projet de loi. Et on pense, nous, qu'on devrait accorder une
plus grande place à la cyberrésilience et aux pratiques de cyberrésilience, qui
englobent non seulement la prévention et la protection des systèmes contre les
cyberattaques, mais aussi des notions de préparation, de réponse et
d'adaptation à des incidents qui sont devenus inévitables, on l'a vu récemment
dans les journaux. Même avec toute la bonne volonté du monde, avec toutes les ressources
possibles et imaginables, il restera des attaques qui vont être couronnées de
succès. Et on doit non seulement penser comment protéger nos systèmes, mais
aussi comment se doter de moyens de réponse qui vont minimiser et atténuer les
conséquences sur les citoyens québécois en cas d'attaque réussie.
La cybersécurité ne pourra jamais être assurée à
100 %. Il faut prévoir ce qui va se passer en cas d'incident de sécurité
et former les intervenants, et pas seulement les spécialistes en cybersécurité,
à la réponse aux incidents. Il faut intégrer de manière plus poussée, selon
nous, les notions de pratiques... les pratiques de cyberrésilience, qui vont
être complémentaires à la cybersécurité. Alors, je vais passer la parole à mon
collègue Cuppens.
M. Cuppens (Frédéric) : Merci.
Merci, Benoît Dupont. Donc, notre réflexion qu'on a eue sur ce projet de loi,
ça concerne le déploiement et l'applicabilité de la loi. Donc, à ce sujet, en
lisant le document, on a pu remarquer que les articles imposent généralement
des obligations aux organismes publics mais, plus souvent, sans préciser s'il
s'agit d'obligations de moyens ou d'obligations de résultat.
Alors, s'il s'agit d'obligations de résultat,
bien, il y a plusieurs articles qui nous paraissent difficilement applicables.
S'il s'agit d'obligations de moyens, les moyens, en général, ne sont pas ou peu
précisés, et, quand ils le sont, il s'agit le plus souvent de moyens organisationnels, et les
moyens techniques à mettre en oeuvre sont pratiquement absents.
Alors, ce n'est probablement pas le but de la
loi de préciser ces moyens, mais il nous paraît néanmoins essentiel qu'ils le
soient par ailleurs. Et, à ce propos, je pense qu'il faut éviter de surestimer
les moyens de protection et, surtout.. d'éviter de penser la cybersécurité
comme la ligne Maginot.
Donc, il nous
semble également important de préciser... J'ai réussi à vous faire
sourire, c'est déjà bien. Merci. Donc,
il nous semble également important de préciser les moyens qui seront mis
en oeuvre pour vérifier l'application des mesures. Alors, s'agit-il
d'audits internes ou bien alors d'audits externes réalisés par des organismes
indépendants et accrédités? Ça, je pense aussi que c'est important de le
préciser.
Un autre point, ça concerne le... d'inclure des
obligations que l'ensemble des personnels concernés soient formés aux risques,
et au risque cyber, en l'occurrence.
Et enfin, comme recommandation générale, il y a
aussi le besoin d'inclure des obligations de définir les mesures à prendre en cas d'incident. On l'a vu,
hein, on le sait, la cybersécurité, ce n'est pas parfait, ça ne marche pas à
100 %. Et donc cela passe aussi
par des obligations de définir des plans de continuité d'activités et de
reprise d'activités.
Alors, on a
eu une lecture détaillée du projet de loi, donc on a des remarques sur un
certain nombre d'articles. Donc, on n'aura naturellement pas le temps,
en 10 minutes, de les présenter, mais il y a quand même un article qui nous a interpelés. C'est l'article 12.14,
paragraphe 3, qui dit : «Lorsque de telles données — on parle, donc, de données à caractère personnel — peuvent être utilisées ou communiquées sous
une forme ne permettant pas d'identifier directement la personne
concernée, elles doivent être utilisées ou communiquées sous cette forme.»
Alors, il
nous paraît essentiel de préciser, dans ce cas, la signification du terme
«identifier directement la personne concernée», hein? On travaille sur
l'anonymisation des données, hein, et on a eu plusieurs projets sur le risque
de réidentification. Et donc il est clair que le risque de réidentification est
également indirect.
Et donc on a été interpelés par ce paragraphe, parce
que la mauvaise application de cet article peut avoir des conséquences graves
en termes de diffusion de données à caractère personnel. Donc, on pourra
probablement revenir là-dessus dans la suite.
Donc, pour terminer, ce que je voulais dire,
avec Benoît, donc, on a fait quelques recommandations, là aussi générales. Je
vais en citer quelques-unes, et ensuite on pourra partager nos notes avec vous,
si vous le souhaitez.
La première recommandation, c'est de s'assurer
que le chef gouvernemental de la sécurité auquel il est fait mention dans le
projet de loi, eh bien, a bien les moyens d'intervention interministérielle
ainsi que les moyens de communication, notamment en externe, avec le citoyen.
Ça aussi, ça paraît important.
S'assurer aussi que les responsables de la
transformation numérique et de la valorisation des données sont étroitement
alignés avec les standards en sécurité. Ces standards existent probablement.
C'est déjà pertinent de voir comment les appliquer.
Ensuite... Je
ne vais pas tous les citer, mais il faut également utiliser une approche
systématique pour identifier les
données sensibles et caractériser la sensibilité de ces données en termes de
confidentialité, c'est prévu dans le projet de loi, mais aussi
d'intégrité et de disponibilité, ce qui est moins mentionné dans le projet de
loi.
Une autre remarque correspond... coïncide avec
le terme de «valorisation des données». Il est fait mention... À plusieurs reprises dans le document, il est
mentionné l'obligation, effectivement, de travailler sur cette valorisation des
données, mais sans clairement mentionner l'obligation d'éclairer la finalité de
cette valorisation. C'est essentiel...
Le Président (M. Simard) :
M. Cuppens...
M. Cuppens (Frédéric) : ...notamment
pour vérifier le caractère...
Le
Président (M. Simard) : M. Cuppens, excusez-moi...
M. Cuppens
(Frédéric) : J'ai pratiquement terminé.
Le Président (M.
Simard) : Non, mais... Parce qu'on aurait pu poursuivre sur le temps
du ministre, avec son consentement.
M.
Caire :
Consentement.
M. Cuppens
(Frédéric) : C'est exactement ce que je voulais faire.
Le Président (M.
Simard) : Alors, prenez votre temps.
M. Cuppens (Frédéric) : Donc, la nécessité de faire appel au consentement
des personnes chaque fois qu'effectivement c'est nécessaire en cas de
valorisation. C'est exactement le mot «consentement» que je souhaitais
mentionner dans ma présentation. Et je vous laisse la parole...
Le Président (M.
Simard) : Non, mais vous pourriez poursuivre.
M. Cuppens
(Frédéric) : ...et on sera ravis de répondre à vos questions. Merci
pour votre attention.
Le
Président (M. Simard) : Bien. Merci à vous. Et désolé de vous avoir
coupé comme ça, en plein vol. Alors, je cède maintenant la parole à M.
le ministre.
M.
Caire : Merci, M. le Président. Merci, Pr Dupont,
merci, Pr Cuppens. Très belle présentation. J'ai quelques
commentaires, questions, Pr Dupont, sur la divulgation. Effectivement, 64
répond à cette préoccupation-là.
Puis je n'ai
peut-être pas précisé tout à l'heure, avec le Pr Gambs, qu'on le fait dans 64
parce que cette obligation-là va être plus large, parce que la loi d'accès à
l'information et la loi sur les renseignements dans l'entreprise privée touchent beaucoup plus d'organismes que la seule
LGGRI. Donc, on veut rendre cette obligation-là plus largement que si on le faisait dans la LGGRI. Mais elle sera
effectivement de... elle sera... Cette préoccupation-là sera
effectivement répondue.
Je veux revenir,
Pr Dupont, sur le fait que vous souhaitez qu'on parle plus de
cybersécurité puis je reviendrai sur la
cyberrésilience tout à l'heure. Mais
vous souhaitez qu'on parle un peu
plus de cybersécurité plutôt que de
la sécurité des systèmes
d'information. Est-ce
que la définition dont vous parlez,
c'est une définition qui est largement répandue, qui s'adresse directement aux standards qui sont utilisés, et donc qui, au
niveau légal, pourrait avoir une portée plus grande? C'est-tu ça que je
dois comprendre de votre intervention?
• (17 h 30) •
M. Dupont
(Benoît) : Oui, tout à fait. La notion de cybersécurité, elle a pris
son envol, y compris au sein des organismes de standardisation internationaux,
depuis le début des années 2010, vraiment. Ça existait évidemment, ce
terme, avant, mais, depuis le début des années 2010, elle a supplanté la
notion de sécurité de l'information parce que, comme je l'ai indiqué, elle intègre
cette dimension des comportements humains.
On dit souvent que le facteur humain est le
maillon faible dans la sécurité de l'information. Très souvent, dans les incidents, ce sont des
humains. Moi, je dirais plutôt que c'est l'atout dans la manche des
intervenants en cybersécurité. C'est de former les gens à la
cybersécurité pour les amener à justement être mieux informés des risques et à
mieux pouvoir y répondre. Et, dans les pratiques traditionnelles de sécurité de
l'information, qui étaient très axées sur la dimension
technique, c'est quelque chose qui était en général considéré de façon
marginale, et je pense qu'il faut qu'on ait une réflexion beaucoup plus... en plaçant cette dimension humaine au
coeur de... ce qui inclut le citoyen aussi, au coeur de la réflexion.
M.
Caire : Donc, dans le fond, ce que vous dites, c'est que la sécurité de l'information s'entend de la cybersécurité, mais l'inverse n'est pas vrai.
M. Dupont
(Benoît) : Tout à fait.
M.
Caire :
O.K. Bien, je prends bonne note, Pr Dupont.
La
cyberrésilience, puis, bon, je vous ai déjà entendu sur le sujet,
là, par
contre, là, on est dans des notions
plus opérationnelles. Et, comme vous le savez, le gouvernement du Québec s'est doté d'une politique de cybersécurité
où il est fait mention de la cyberrésilience et des pratiques, des bonnes
pratiques à mettre en place pour atteindre cette cyberrésilience-là. Je vous le
dis, parce que ces pratiques-là sont très évolutives. Les technologies
changent, les pratiques changent, les normes, les standards, tout ça évolue.
Puis le mettre dans un projet de loi... puis je voudrais vous entendre là-dessus, le mettre dans un projet
de loi, c'est cristalliser une façon de faire par rapport à des pratiques
qui, dans la ligne du temps, évoluent
continuellement, alors que de le mettre dans une politique de cybersécurité,
bien... C'est plus facile d'adapter la politique que d'adapter la loi.
Donc, est-ce que vous
maintenez qu'on devrait l'aborder dans la loi ou, à la lueur de ce que je vous
dis, de le mettre dans une politique de cybersécurité vous apparaît être une
pratique qui est respectueuse de l'objectif qui est d'avoir, effectivement,
collectivement, une meilleure cyberrésilience?
M. Dupont (Benoît) : Je vais laisser
mon collègue finir la réponse, mais le début de ma réponse, ce serait que je pense que ça devrait figurer dans la loi, parce que
ça confierait au chef gouvernemental de la sécurité de l'information des
responsabilités non pas uniquement de protection, limitées à la protection,
mais qui commencent aussi par la préparation
et qui finissent par l'adaptation aux nouvelles menaces. Et donc on aurait un
mandat qui serait un mandat plus large
qui, à mon avis, serait un mandat qui assurerait une meilleure protection in
fine des systèmes, de l'information
et des données personnelles des Québécois.
Mais je vais
laisser mon collègue Cuppens, qui a mené des recherches sur la cyberrésilience,
finir de répondre aussi.
M. Cuppens
(Frédéric) : Alors, effectivement,
côté cybersécurité, effectivement, cybersécurité, c'est plus large que sécurité de l'information, et notamment
ça inclut la cyberrésilience, ce qui
n'est pas le cas de la sécurité de l'information.
Et la cyberrésilience, effectivement, part du
principe, qu'on n'intègre pas quand on raisonne protection ou défense, que la sécurité n'existe pas à
100 %. Et, en raisonnant en cyberrésilience, justement, ça oblige, dans la
réflexion, à penser, effectivement, ce qui se passe en cas,
effectivement, de violation de la politique de sécurité. Et ça, c'est essentiel, quand on conçoit, effectivement, un
projet de cybersécurité, de prévoir dès le départ et pas a posteriori, quand la
crise arrive, mais vraiment de prévoir dès
le départ, effectivement, ce qui se passe en cas d'incident, en espérant que
cet incident ne va pas aboutir à une
crise, et prévoir, effectivement, comment on va gérer l'incident. Et ça, c'est
effectivement tout à fait essentiel parce que c'est la réalité
aujourd'hui.
Malheureusement, on ne peut pas parler de
cybersécurité sans, effectivement, voir tous les incidents qui se passent. Alors, effectivement, on peut dire que
les incidents viennent d'un défaut de sécurité, mais, dans la pratique, c'est
beaucoup plus compliqué que ça. Malheureusement, on ne sait pas tous les
éviter, ces défauts de sécurité. Et, c'est ça, c'est cette façon de
penser qui est intégrée dans la cyberrésilience.
M.
Caire : Mais ce que
j'entends, c'est que les lignes directrices pourraient être incluses dans la
loi. Mais, si on parle, plus terre à terre,
des procédures opérationnelles, bien, quelles sont les réactions à avoir,
quelles sont... la diffusion de l'information, etc., là, comment on
réagit à une attaque, en amont, en aval?
Ça, c'est
plus un document administratif, donc on pourrait le garder au niveau de la
politique de cybersécurité. Par
contre, les responsabilités, les prérogatives, c'est ça que vous souhaitez voir
apparaître dans la loi. Est-ce que j'ai bien compris le sens de votre
intervention?
M. Cuppens
(Frédéric) : Le sens de mon
intervention, c'est qu'effectivement il y a une partie de la cyberrésilience
qui est opérationnelle. Et, je suis tout à fait d'accord, c'est des mesures
pratiques qu'effectivement les opérateurs qui sont en charge de la
cybersécurité vont devoir prendre.
Mais il y a toute une partie de la... qui est en
amont. Nous, c'est ce qu'on appelle la cyberrésilience par conception. Et toute cette partie-là de la
cyberrésilience par conception doit être prévue, anticipée et, à mon avis, a
tout à fait la place dans un projet de loi comme celui-ci.
M.
Caire : Dans la
loi.
M. Cuppens (Frédéric) : Voilà.
M.
Caire : Est-ce que vous aurez... Parce que vous avez
parlé d'un certain nombre de recommandations. Est-ce que ce que vous
nous dites là va faire partie des recommandations que vous pourriez transmettre
à la commission? Parce que moi, je vais être extrêmement intéressé, là, de voir
comment vous jonglez avec ces concepts-là puis quel est le meilleur endroit
pour disposer des différents concepts, là, soit la loi, soit la politique.
M. Cuppens (Frédéric) : Tout à fait.
On peut effectivement, dans le document qu'on peut vous transmettre, intégrer ces éléments de réflexion sur,
effectivement, la place de la cyberrésilience dans un tel projet de loi. Tout à
fait, oui, et ce sera avec grand plaisir.
M.
Caire : Merci. Je
comprends aussi, dans votre analyse du projet de loi, que le principe d'avoir
un chef gouvernemental de la... bien, de la sécurité de l'information, qu'on
pourra appeler un chef gouvernemental de la cybersécurité,
si je comprends bien le propos que vous nous tenez, et donc d'avoir des chefs
délégués de la cybersécurité... Cette organisation-là qui est d'un type
assez militaire, au sens où il y a une entité centrale qui prend des
indications... qui donne, bien, en fait, des
indications à ses sous-entités, comment vous voyez ça? Est-ce que vous pensez
que c'est la bonne forme à mettre en place? Est-ce que vous pensez que
cette structure-là qui est très... excusez l'anglicisme, là, mais «top-down», c'est la bonne façon d'aborder la
question de la cybersécurité pour une organisation comme le gouvernement
du Québec?
M. Dupont (Benoît) : Je vais
peut-être commencer à répondre. Je pense que cette idée de centralisation me
semble louable parce que ça évite qu'on ait une fragmentation excessive, avec
des ministères ou des organismes qui ont des capacités
très inégales... et qu'on ait des données qui soient beaucoup mieux protégées
que d'autres selon quel est le ministère qui
les détient. Donc, pour nous... Moi, je vois ça moins comme une structure
militaire qu'une structure centralisée et mieux coordonnée.
Et d'ailleurs, pour poursuivre, une des
questions ou des échanges avec M. Gambs, je pense que ça inclut aussi tous
les sous-traitants privés qui vont conclure des contrats en TI avec divers
ministères, parce que le chef gouvernemental de la sécurité de l'information va
pouvoir s'assurer que tous les ministères concluent des ententes ou des
contrats de sous-traitance avec des critères en matière de sécurité qui soient
uniformisés et cohérents à l'échelle gouvernementale.
M.
Caire : Bien, si je
peux apporter une précision là-dessus, il est important de savoir que les
entreprises de consultants qui font affaire avec le gouvernement sont tenues
aux mêmes règles que les employés du gouvernement. Donc, à ce niveau-là, ils
sont tenus aux mêmes obligations, aux mêmes règles, et donc à la même
hiérarchie.
M. Dupont (Benoît) : Mais, si je
peux poursuivre, en fait, je faisais moins allusion aux règles qu'au degré
d'expertise technique qui est requis pour la signature de certains contrats...
et comprendre la sécurité.
Par exemple, l'infonuagique est le gros casse-tête, actuellement, de tout le monde en matière de cybersécurité. Et c'est bien qu'on ait un chef gouvernemental de la sécurité de l'information qui ait des équipes capables
de soutenir des ministères ou des organismes qui ont moins de ressources pour
conclure ce type d'entente et s'assurer que les contrats contiennent des dispositions en matière de sécurité qui sont bien comprises,
d'une façon... avec l'expertise requise.
• (17 h 40) •
M.
Caire : Bien, c'est
M. Waterhouse, je pense, ce matin, là, qui nous a adressé ce commentaire-là.
Donc, je prends bonne note.
Et, Pr Cuppens, vous m'avez fait rire avec
la ligne Maginot parce que, dans les faits, l'histoire ne dit pas si la ligne Maginot était pénétrable ou impénétrable
puisqu'elle a été contournée. C'est ça qui me...Et donc essayons de faire
du gouvernement du Québec une ligne de défense qui ne pourra être contournée.
Et, dans ce sens-là, vous parliez de mesures à
prendre, de règles et de directives, là, qui doivent être mises en place. Est-ce
qu'il y a des normes de bonnes
pratiques? Est-ce qu'il existe des standards auxquels... Parce que je
posais cette même question-là
précédemment. Ça existe au niveau... Bon, il y a les normes
ISO qui existent, il y a les normes SOC qui existent en matière de
stockage de données, mais, en matière de cybersécurité et de cyberdéfense, à
votre connaissance, est-ce qu'il y a des
normes internationales qui existent? Est-ce qu'il y a des... L'espèce de petit
catéchisme, si vous me passez l'expression, de la cyberdéfense, est-ce
que ça, ça existe?
M. Cuppens (Frédéric) : Non. Je ne
sais pas si tu veux répondre par rapport à ça, Benoît...
Bien, la
référence en termes de cybersécurité aujourd'hui, c'est effectivement
les normes ISO et toute la famille
des normes 27000, qui imposent effectivement tout un tas de règlements.
Donc, il y a
la 27001... Je fais court là-dessus, mais... je vais vous épargner un cours sur
les différents standards ISO 27000, mais effectivement l'un des
documents, c'est effectivement la norme 27004, qui est un référentiel de
bonnes pratiques qui est effectivement nécessaire, ensuite, pour appliquer le
référentiel 27005, qui parle d'analyse de risques et qui est le
référentiel international par rapport à tout ce qui est méthodologie d'analyse
de risques. Tout ça pour arriver à la 27001, qui est effectivement le
référentiel en termes d'accréditation par rapport à un organisme pour effectivement être accrédité 27000. Donc, c'est
une accréditation sur trois ans, mais avec une nécessité d'audit annuel.
Et donc, effectivement, l'organisme, bien qu'accrédité pour trois ans, doit prendre, effectivement, des mesures d'audit tous les ans pour vérifier qu'effectivement
les mesures de sécurité mises en oeuvre sont toujours en conformité avec le standard 27000. Donc, effectivement, ça, c'est un standard. C'est un standard international qui, effectivement, s'applique très bien à des organismes privés mais aussi à des organismes
publics.
D'où ma question, effectivement, par rapport à
l'audit associé à ce genre de chose, par rapport au projet de loi : Est-ce
que c'est un audit interne qui serait prévu, auquel cas la 27000 ne marche pas,
ou c'est un audit externe, mais, à ce moment-là, il faut effectivement identifier les organismes qui seraient amenés
à faire cet audit externe pour vérifier
qu'effectivement le projet
de loi n° 95
est correctement déployé et ensuite correctement mis à jour, régulièrement, pour effectivement maintenir
l'accréditation initiale?
M.
Caire : Et vous, avec l'expertise que vous avez,
Pr Cuppens, Pr Dupont, diriez-vous que le gouvernement du Québec devrait s'astreindre à
ces normes internationales là, et donc aller dans le sens de l'audit externe, nécessairement,
là? Diriez-vous que, cette pratique-là, vous la recommanderiez?
M. Cuppens (Frédéric) : Benoît, tu
aimerais répondre?
M.
Caire : ...pas tous
en même temps, là.
M. Dupont (Benoît) : Le défi, avec
l'adoption de ces normes, c'est qu'on tombe très souvent dans des catalogues
interminables de mesures à mettre en place, et donc ça peut devenir un piège si
on tombe dans une espèce de conformité pour
le seul objectif de cocher des cases. Et je pense que ce sont des
sources d'inspiration très précieuses, mais qu'il y a probablement moyen
d'ajuster et de s'en inspirer d'une façon plus flexible que de s'enfermer dans
des normes et des standards. Mais ce sont certainement des points de départ.
Il
en existe aussi en Amérique du Nord, à l'institut national des standards et des
technologies américain, qui sont aussi
adaptés, parce que ça... ils viennent d'une aire géographique avec laquelle on
interagit beaucoup plus aussi.
Donc, peut-être, de
s'astreindre à ce que tous les organismes publics adoptent la norme
ISO 27000, ça, c'est une décision peut-être qui revient au gouvernement,
mais, en tout cas...
M.
Caire :
Mais que vous ne recommanderiez pas, si je comprends bien, là.
M. Dupont
(Benoît) : Pas dans un premier temps, directement, non. Pas de façon
rigide.
M.
Caire :
Mais, en même temps, Pr Dupont, entre ces normes-là, dont vous dites
qu'elles sont très rigides, et une politique maison, comment on s'assure de la
qualité de ce qu'on fait? Parce que vous parlez d'audit externe, puis je vous
avoue que je suis sensible à ce commentaire-là, mais, cet audit-là, il faut
qu'il soit basé quand même sur des critères objectifs.
Le Président (M.
Simard) : En conclusion.
M.
Caire :
L'audité doit savoir sur quoi on va l'auditer. Donc, comment on établit ces
critères-là, objectifs, pour être audité correctement?
M.
Dupont (Benoît) : Une mesure
intéressante est celle qui est mise en place par le gouvernement australien, qui vise justement à procéder à des audits non...
Le Président (M.
Simard) : Très bien.
M.
Caire :
Mais ça va se faire sur le temps de l'opposition officielle, M. le Président,
là.
Le Président (M.
Simard) : Non, non, je ne crois pas que ça va marcher comme ça,
malheureusement.
M.
Caire :
Bien. Merci beaucoup, messieurs.
Le
Président (M. Simard) : Je cède la parole au député de
La Pinière, qui dispose de 12 min 25 s parce que nous avons
réparti le temps, bien sûr, qui était imparti au député de René-Lévesque. M. le
député de La Pinière, à vous la parole.
M. Barrette :
Merci, M. le Président. Alors, je suis quand même intéressé à la réponse.
M. Dupont
(Benoît) : Alors, la réponse, c'était de... Je poursuis ma réponse.
Donc, le gouvernement australien procède à des audits dans lesquels les
organismes audités ne sont pas avertis de ce qui va leur être opposé comme type
d'audit ni des tests de pénétration. Et l'idée, ce n'est pas de les piéger,
mais l'idée, c'est de reproduire ce qui se passe dans la réalité, de la part
d'attaquants, et de reproduire le comportement d'attaquants réels pour voir
s'ils sont réellement prêts à se confronter à la dure vie des cyberrisques ou
si, au contraire, ils sont tout à fait préparés à se conformer aux standards,
mais que, ces standards-là ayant pris du retard sur les pratiques réelles,
finalement, ça n'a plus trop, trop de sens.
Donc, je pense que
c'est une source d'inspiration qui pourrait être intéressante. Il ne s'agit
pas, encore une fois, de piéger les gens, il
ne s'agit pas de les humilier, mais il s'agit d'essayer de reproduire au
maximum la réalité plutôt que des listes de critères et de normes qui
sont parfois un petit peu en retard sur les pratiques des attaquants.
M.
Barrette : Bien, moi, je trouve ça très bien, comme idée. Et, en
Australie, c'est un organisme indépendant? Comment ça fonctionne?
M.
Dupont (Benoît) : C'est l'auditeur général australien qui procède à
ces tests-là, qui a des unités spécialisées. Ce sont des autorités
régulatrices. On retrouve aussi ce type de pratique en Angleterre, en Hollande,
au Danemark. Ce sont des autorités régulatrices qui se voient confier ce
type de mandat.
M. Barrette :
Donc, ça veut dire que c'est sous l'autorité du Vérificateur général. Et donc
le Vérificateur général a, dans sa loi, j'imagine, cette fonction-là et,
consécutivement, a les budgets pour le faire.
M. Dupont
(Benoît) : Absolument.
M. Barrette :
On est loin du Québec.
Vous faites bien de
ne pas commenter. Mais il n'en reste pas moins que c'est très intéressant.
Donc, c'est la formule qui est la plus efficace. C'est ce que vous nous dites,
là.
M.
Dupont (Benoît) : Je pense que c'est la formule qui permet le meilleur
apprentissage. À travers les organismes, c'est la formule qui permet de
rehausser de la façon la plus efficace le niveau de tout le monde, parce qu'à
la fin de l'année les résultats...
Évidemment, ce n'est pas
tous les organismes qui peuvent être audités en profondeur à chaque année, donc
on en sélectionne trois ou quatre par ans. Les résultats sont
publics, et ça permet à tous les autres organismes, justement, d'apprendre de ces résultats-là
et d'adapter leurs propres pratiques, sachant que, dans les années à venir, ils
risquent eux-mêmes d'être confrontés à ce type de démarche.
M. Barrette : Et est-ce qu'on a des
données probantes qui indiquent que la donnée est plus sécuritaire dans ces environnements-là
que dans les environnements classiques, je dirais, là?
M. Dupont (Benoît) : Ça fait seulement
deux à trois ans que cette pratique a été mise en oeuvre, donc, pour l'instant, ça devient difficile de... encore,
c'est un peu trop tôt, peut-être, pour voir si... Parce que ce sont des
bureaucraties, des grands ministères,
des grands organismes, là. L'adaptation prend quand même quelque
temps à se mettre en oeuvre, mais je pense que c'est prometteur, on peut
dire. Si ce n'est pas probant, c'est au moins prometteur.
M.
Barrette : Bien, ça
m'apparaît tomber sous le sens, surtout... Évidemment, tout ça dépend de la
compétence et du budget de fonctionnement qu'ont ces unités spéciales
là, mais, sur le principe, là, j'ai tendance à pencher dans cette direction-là.
Je pense que vous vous êtes inscrit un peu en
opposition aux commentaires de M. Gambs pour ce qui est de la
centralisation. Est-ce que je vous ai bien compris?
• (17 h 50) •
M. Dupont
(Benoît) : Non, bien, je
pense que M. Gambs a raison, dans
la mesure où un seul entrepôt de
données qui réunit l'ensemble
des renseignements personnels québécois de tous les ministères, traités par tous
les ministères, me semble être un point de défaillance
assez risqué à proposer.
Je pense qu'une centralisation raisonnée, mais
qui ne soit pas consolidée en un seul lac de données, comme on dit dans
certains organismes, peut être un bon compromis, avec une fragmentation
accessible. Donc, je pense que quelque chose à mi-chemin pourrait être certainement
envisageable, ce qui me semble être l'esprit de la loi, avec les sources de
données.
Donc, je ne pense pas que M. Gambs et moi
sommes en désaccord. Je suis assez d'accord avec lui sur le fait qu'un seul
réservoir de données serait assez désastreux s'il était compromis.
M. Barrette : Oui, mais est-ce qu'un
réservoir qui fait office de redondance... vous allez dire : Ça cause le même
problème pour un bris, là, j'imagine, là, mais ça pose un problème ou non, à
votre avis?
M. Dupont (Benoît) : Un réservoir
qui pourrait... qui serait une source de redondance, s'il était hors ligne la
majorité du temps, serait probablement moins risqué que s'il était la source
principale, là, des données.
M. Barrette : O.K.
M. Cuppens (Frédéric) : Il est
essentiel... Par rapport à ça, c'est d'éviter ce qu'on appelle les «single
points of failure», en bon français,
et, effectivement, que ce soit en termes de gestion des
données elles-mêmes ou de sauvegarde, pour effectivement
assurer la redondance, pour préserver les données en cas d'attaque. Dans les
deux cas, il faut éviter ces «single points of failure», sachant que les
attaquants s'adaptent, hein?
Ce qu'il faut bien voir, c'est que les... Pour
prendre comme exemple, les premiers rançongiciels qui attaquaient directement
les données pour les chiffrer, aujourd'hui, se sont adaptés. Aujourd'hui, un
rançongiciel, c'est comme une APT sophistiquée qui va d'abord explorer le système
pour voir notamment s'il n'y a pas des systèmes de sauvegarde, et, s'il y a des
systèmes de sauvegarde, avant de chiffrer des données, il va attaquer ces systèmes
de sauvegarde. Et effectivement, en général...
C'est ce qu'on a vu avec Ryuk. Ça marche, hein?
Ryuk a quand même impacté plusieurs organismes et entreprises au Canada. Ryuk,
c'est exactement ça. Les entreprises s'étaient... pensaient s'être protégées
contre les attaques par rançongiciel en
achetant des systèmes de sauvegarde pour créer des redondances, mais,
au bout du compte, les rançongiciels attaquent aussi ces systèmes-là.
Et donc effectivement ça, ça met le doigt sur le fait que centraliser
les données ou centraliser la redondance associée à ces données, par rapport
aux cyberattaques, ça ne convient pas comme solution.
Alors, effectivement, comme le dit Benoît, tout
distribuer, ça pose des problèmes en termes de gestion, mais il faut avoir quand
même le bon compromis, parce qu'à un moment donné, quand on est attaqué, on est
bien content de pouvoir revenir à la normale et redonner... dans un système où
on a retrouvé nos données, donc.
M. Barrette : Je pense que vous
avez écouté M. Waterhouse ce matin...
M. Cuppens (Frédéric) : Pas en
ce qui me concerne, non.
M. Dupont (Benoît) : Oui, en
partie. En partie seulement.
M. Barrette : En partie. Bien,
écoutez, simplement, sur l'aspect de la catégorisation en plusieurs niveaux,
est-ce que vous avez des commentaires à faire là-dessus?
M. Dupont
(Benoît) : Je suis moins un expert de la catégorisation que mon
collègue Cuppens, alors je vais le laisser répondre là-dessus.
M. Cuppens
(Frédéric) : Alors, c'est gentil de me passer la parole. Alors, j'ai
effectivement noté dans la loi qu'il y avait une obligation de définir,
effectivement, un modèle de classification de données. Alors, comme Benoît, je
ne suis pas spécialiste de l'existant, et donc ça m'a interrogé. Je me suis
dit : À quoi on fait référence par rapport à cette obligation de définir
un modèle de classification des données et surtout aussi une obligation de
vérifier que ce modèle est correctement mis en oeuvre?
Donc, j'ai essayé de
voir, par rapport à ce que j'avais en tête, qu'est-ce qui pourrait exister.
Effectivement, des modèles de
classification, il en existe, que ce soit pour le secret défense, le secret
industriel ou le secret commercial. Donc,
je me suis dit : Est-ce que c'est à ça qu'on fait référence? Auquel cas,
si c'est à ça qu'on fait référence, pourquoi définir un nouveau modèle?
Donc, ça, c'est une question que je me suis posée. Je n'ai pas trouvé la
réponse.
Mais
effectivement le fait qu'il y ait effectivement besoin de classer les données, de considérer qu'effectivement des
données, que ce soit pour la confidentialité, l'intégrité ou la disponibilité,
n'ont pas les mêmes besoins en termes de sécurité, ça, c'est pertinent, savoir,
effectivement, quel modèle appliquer.
Des modèles, il en
existe, donc je pense qu'il faut d'abord, effectivement, regarder les modèles
existants, voir ceux qui s'appliquent correctement. Et, à ce moment-là, effectivement, si on s'aperçoit qu'il y a des besoins
spécifiques à explorer... je ne suis pas sûr qu'ils existent, mais, si, effectivement,
il y a des besoins explicites et spécifiques, alors, à ce moment-là, voir s'il
y a besoin d'un modèle particulier pour traiter cela.
Mais là je pose plus
de questions, hein? Comme Benoît, je n'ai pas la réponse, mais je me suis
questionné, effectivement, sur ces deux articles qui mentionnaient ce problème
de classification des données. À creuser. Si j'ai une réponse à donner, je dirais : Pour le moment, restons prudents,
creusons le problème et voyons effectivement le besoin pour, effectivement, le traiter correctement.
M. Barrette :
Bien, écoutez, je vous posais la question, parce que, dans l'architecture de
sécurité présentée par M. Waterhouse, c'était le socle, essentiellement, sur
lequel on bâtit tout le système de sécurité.
Et là je vais vous
poser, à ce moment-là, une question qui est un peu une connexion entre ce qu'on
vient de parler et ce dont vous avez parlé
précédemment. Moi, j'écoute tout le
monde, là, aujourd'hui, là, et je vous écoute, vous.
Pour avoir une
sécurité appropriée, donc maximale, il y a aussi un enjeu selon lequel tout le
monde doit marcher au même pas et tout le monde doit être tout le temps au même
niveau de sécurité, peu importe sa catégorie et peu importe l'organisme ou le ministère.
Là, c'est vraiment... Vous, vous parlez de «point of failure». Moi, j'ai
l'impression qu'on pourrait aussi simplement utiliser l'expression du «talon
d'Achille». Si tout le monde n'est pas en même temps, il y aura forcément un
talon d'Achille qui peut être catastrophique.
M. Cuppens
(Frédéric) : C'est sûr, c'est sûr. Et, pour reprendre ce problème de
classification... Et puis, pour faire référence au secret défense, hein, qui
n'a probablement rien à voir en termes de classification, mais c'est juste pour donner un travers de ces modèles de
classification, ce qui se passe dans les modèles de défense où on
essaie de classer confidentiel
défense, secret défense, très secret défense, au bout du compte, ce qui se
passe, c'est que les utilisateurs, ils surclassifient. Pour se protéger,
ils vont tout mettre tout en haut.
Et
donc c'est souvent le travers de ce genre de modèle de classification, hein?
Pour ne pas avoir de problèmes, on nuit complètement à la disponibilité
des données, mais, pour se protéger contre la sécurité, on pense que c'est
pertinent de tout classer tout en haut, ce qui est complètement ridicule. Mais
c'est souvent le travers qu'on voit apparaître par rapport à ce genre de modèle
de classification.
Donc, effectivement, déjà,
avoir un modèle de classification binaire où on identifie les données à risque,
c'est déjà, effectivement, je pense, essentiel. Donc, pas besoin d'avoir plus
de deux niveaux, à mon avis.
Et, à partir du
moment où on a, effectivement, défini et identifié les données à risque,
effectivement, définir les bons moyens de sécurité pour les protéger, bien,
c'est ça qu'il faut faire. Déjà, si on arrive à ça... et éviter, effectivement,
la référence au talon d'Achille, effectivement. C'est la démarche qu'il faut
adopter par rapport aux besoins de sécurité à traiter par rapport à des données
comme les données gouvernementales, et les données à caractère personnel, et
les données publiques.
M. Barrette :
M. le Président, j'imagine qu'il me reste 10 secondes?
Le Président (M.
Simard) : Ah! 23, pour être bien précis.
M. Barrette :
C'est bien gentil. Bien, écoutez, merci. Merci d'être venus aujourd'hui.
C'était très éclairant. Merci beaucoup.
Le Président (M.
Simard) : Merci à vous. M. le député de Rosemont, vous disposez
de 4 min 10 s.
M. Marissal :
Merci, M. le Président. M. Dupont, M. Cuppens, merci d'être là,
d'autant que c'est agréable. M. Dupont,
je ne sais pas si on vous l'a déjà dit, mais, quand vous parlez, ça sonne comme
l'accent de Francis Cabrel. Alors, c'est très agréable pour finir la
journée. C'est de la musique à mes oreilles.
Ce
qui en est moins, par contre, puis qui m'inquiète, puis ce n'est pas vous qui
m'inquiétez, c'est l'état des lieux de la cybersécurité au gouvernement du
Québec en ce moment. Ça a été dit, et redit, et redit depuis des années :
On n'est pas au sommet de ce que l'on pourrait espérer.
D'abord, il y a une
pénurie de main-d'oeuvre. Il manque de monde puis il y a un gros roulement, il
n'y a pas de rétention. Ça commence d'ailleurs par le directeur principal de
l'information, qui a changé, je crois, quatre fois en quelques années.
• (18 heures) •
Vous enseignez. Vous
êtes dans des institutions qui forment des gens qui pourraient venir travailler
pour le gouvernement, par exemple, ou vous tournez autour de ce problème-là qui
est récurrent au gouvernement du Québec. Quelle évaluation vous faites?
Parce que là vous
nous proposez de faire une course parfaite, là, un marathon, 42,2 kilomètres,
à un rythme de 4 minutes du kilomètre sans coup férir, puis on va finir
sans une goutte de sueur. Moi, je pense qu'on n'est même pas équipé pour courir
un 10 kilomètres, en ce moment, au gouvernement du Québec, puis que peut-être
qu'on va finir en boitant.
Alors, pouvez-vous
nous dire où est-ce qu'on en est, par rapport à ce que vous nous proposez, qui
serait l'idéal, là, qui serait probablement le meilleur qu'on pourrait
souhaiter?
M.
Dupont (Benoît) : Tout
d'abord, peut-être, merci pour le compliment sur mon accent. Je
chante beaucoup moins bien que M. Cabrel.
Ce
qu'on propose, ce n'est pas un marathon sans douleur et sans sueur. La
cyberrésilience, certains la définissent comme le fait de pouvoir
survivre sur un régime de fruits et de légumes empoisonnés. C'est quelque chose
de très douloureux. C'est l'entraînement à la résistance, à la douleur et à la
capacité de continuer à offrir des fonctions gouvernementales dans un environnement
très, très hostile. Donc, on ne pense pas qu'on vit dans un monde de bisounours
ou d'ours en peluche.
Mais ce que ça va
prendre, je pense, et je laisserai mon collègue terminer, ça va être une
alliance ou une collaboration beaucoup plus serrée entre les organismes
gouvernementaux, le secteur privé, les universités, ce qu'on appelle la triple
liste, c'est-à-dire trois secteurs qui ne peuvent pas se passer l'un de
l'autre, pour essayer de résoudre ce problème de sécurité qui, à mon avis, avec
les changements climatiques... sont les principaux problèmes auxquels nos sociétés
contemporaines sont confrontées. Et c'est des problèmes quasiment insolubles,
là.
Donc, rassurez-vous,
le gouvernement du Québec n'est pas le seul à être en mauvaise posture. Tous
les gouvernements et toutes les entreprises, malheureusement, découvrent avec
effroi que ce qu'elles pensaient être des niveaux adéquats de protection sont
insuffisants et vont devoir être repensés radicalement. Frédéric, si tu veux...
M. Marissal :
...
M. Cuppens
(Frédéric) : Par rapport à l'état des lieux, oui, je voudrais faire
une remarque. La cybersécurité, c'est un peu comme le nuage de Tchernobyl, ça
ne s'arrête pas aux frontières, d'accord? Donc, par rapport à ça, bien, effectivement,
il faut faire un état des lieux, ça, c'est sûr, mais ça ne doit pas être un
état des lieux, je dirais, ciblé sur, effectivement, tel domaine. Le problème de la cybersécurité,
ça ne va pas se limiter à tel ministère plutôt que tel autre. Il faut, effectivement,
avoir cette vision globale déjà interministérielle...
Le Président (M.
Simard) : Très bien.
M. Cuppens (Frédéric) : ...ça, c'est essentiel, mais aussi faire, effectivement, comme le dit Benoît, le lien entre les problèmes au niveau
gouvernemental et aussi au niveau entreprise privée. Tout ça est global. Et,
par rapport à ça, comme l'a dit Benoît dans sa ...
Le Président (M.
Simard) : Très bien.
M. Cuppens
(Frédéric) : Je dois m'arrêter? Bon, je m'arrête. Excusez-moi, je
n'avais pas entendu.
Le
Président (M. Simard) : Très bien. Alors, Pr Dupont,
Pr Cuppens, merci à vous deux pour la qualité de votre
présentation, en espérant vous revoir sous peu dans les travaux de notre
commission.
Nous allons suspendre
quelques instants, le temps de faire place à nos prochains invités. Merci à
nouveau.
(Suspension de la séance à
18 h 03)
(Reprise à 18 h 06)
Le Président (M.
Simard) : Chers collègues, nous sommes donc en mesure de reprendre nos
travaux. Nous recevons nos derniers invités mais non pas les moindres. Nous
sommes en présence de deux représentantes du Fonds de recherche du Québec.
Mesdames, bienvenue parmi nous. Auriez-vous d'abord l'amabilité de vous présenter?
Fonds de recherche du Québec
(FRQ)
Mme Jabet (Carole) : Oui. Bonjour.
Merci de nous recevoir, M. le Président, Mmes, MM. les députés. Mon nom est
Carole Jabet, je suis directrice scientifique du Fonds de recherche
Québec — Santé.
Emmanuelle, peut-être peux-tu t'introduire?
Mme Lévesque (Emmanuelle) : Oui.
Bonjour. Mon nom est Emannuelle Lévesque, je suis avocate et conseillère à
l'éthique de la recherche au Fonds de recherche du Québec.
Le Président (M. Simard) : Alors,
vous disposez de 10 minutes.
Mme Jabet (Carole) : Merci. Merci
beaucoup et merci de nous entendre dans le cadre des travaux de cette commission
relatifs au projet de loi n° 95, donc, Loi
modifiant la Loi sur la gouvernance et la gestion des ressources
informationnelles des organismes publics et des entreprises du gouvernement et
d'autres dispositions législatives. Plus sérieusement, nous intervenons aujourd'hui
pour les trois fonds de recherche, donc le fonds Santé mais aussi le fonds Société
et culture et le fonds Nature et technologies.
Donc, tout d'abord, pour celles et ceux qui ne seraient
pas familiers des FRQ, nous sommes des organisations gouvernementales, qu'on nomme aussi, dans notre
milieu, des agences subventionnaires, dont le mandat est de soutenir et de développer la capacité de recherche au
Québec. Donc, nous investissons ainsi annuellement près de 230 millions de
dollars dans le développement de talents, dans le soutien aux regroupements de
recherche et dans des projets à haute valeur ajoutée pour la société québécoise
qui ont la capacité également de nous faire rayonner à l'international.
Nous intervenons dans tous les secteurs
d'activité. Alors, il peut s'agir de santé, d'éducation, d'alimentation, d'agriculture, de transport, d'énergie, de
développement urbain, de numérique, de culture. Bref, à peu près tous les
domaines. Tous ces domaines ont un point commun : la capacité à
générer une nouvelle connaissance.
La capacité à
produire de l'innovation, qu'elle soit technologique ou qu'elle soit sociale,
s'appuie sur les données. On ne peut pas faire de recherche si nous
n'avons pas les données pour la faire, et, dans plusieurs domaines aussi diversifiés que tous ceux que j'ai
mentionnés, les données qu'on doit utiliser sont des renseignements personnels,
c'est-à-dire des renseignements qui
permettent d'identifier éventuellement les individus, contrairement aux
renseignements anonymes.
Alors, ce dossier, dans notre domaine de la
recherche, il est quand même bien connu. On l'appelle l'accès aux données. Il mobilise
les FRQ depuis plusieurs années maintenant. Nous avons produit plusieurs
mémoires qui montrent l'importance... qui démontrent l'importance d'avoir une
stratégie de valorisation des données qui inclut la démarche de recherche. Et
le Scientifique en chef, Pr Quirion, a émis et appuyé plusieurs
recommandations qui visent à doter le Québec
de mécanismes qui sont compétitifs tout en étant responsables
pour la valorisation de l'information.
Comme vous le
savez, il y a deux types de... deux façons, en recherche, d'obtenir des renseignements personnels. On peut utiliser la voie du consentement, un consentement
des individus qui sont concernés, mais, quand ce n'est pas faisable, il y a une deuxième voie qui est la voie
des mécanismes légaux qui remplacent le consentement, et c'est dans ce cas de figure que nous intervenons aujourd'hui.
• (18 h 10) •
Également, et ça, c'est important, notre propos
concerne la recherche académique, c'est-à-dire effectuée par des chercheurs d'organismes publics que sont
les universités, les collèges, les établissements de santé ou autres. Dans ce cadre, les FRQ
reçoivent très favorablement les efforts qui se multiplient en soutien à la
Stratégie de transformation numérique et qui visent une plus grande mobilisation
des données numériques gouvernementales. Cela dit, si on veut vraiment
bénéficier de cette transformation et de ses avantages, nous devons nous
assurer que les processus d'accès pour la recherche académique sont efficaces
et sécuritaires.
Bien sûr,
l'enjeu, c'est la compétitivité de la recherche québécoise, la compétitivité de
nos équipes de chercheurs ou encore l'attraction de talents, mais
l'enjeu est d'abord et avant tout de s'assurer que notre démarche de recherche,
parce qu'elle a accès à de l'information qui
nous est spécifique, va apporter des réponses qui correspondent aux besoins
de la population québécoise.
Ça veut dire quoi dans la vraie vie? Prenons un exemple
dans mon domaine, qui est le domaine de la santé. Par exemple, organiser les
calendriers de rendez-vous d'un service de radio-oncologie peut être un
véritable casse-tête. Il faut
alterner les nouveaux patients avec les patients déjà en traitement, qui ont
des cycles de traitement qui diffèrent. Et chaque minute qu'on va utiliser
est importante, parce que ce sont des patients qui ont accès à des soins.
L'apprentissage profond, qu'on connaît aussi
comme intelligence artificielle, peut apporter des solutions à ce casse-tête.
Pour faire ça, il faut entraîner des algorithmes, il faut entraîner des
algorithmes sur des données. Si on n'a pas
accès aux données de nos établissements, les chercheurs vont aller chercher les
données ailleurs, dans des hôpitaux en
Ontario, dans des hôpitaux au Royaume-Uni, puis ils vont les entraîner, les
algorithmes, et on va gagner de l'efficience. Des patients vont bénéficier de cette efficience, mais ce seront les
patients des hôpitaux en Ontario, au Royaume-Uni, et pas les patients sur notre territoire, parce
qu'on n'aura pas entraîné les algorithmes avec notre réalité d'organisation
des soins et services de santé. Voilà l'enjeu.
Dans ce cadre, il y a deux objectifs du projet
de loi n° 95 qui nous semblent pouvoir améliorer la situation de recherche et l'accès à l'information. D'abord, la
proposition de mécanismes qui permettent de favoriser la mobilité et la valorisation des données numériques
gouvernementales et, notamment, la possibilité pour le gouvernement de désigner des organismes publics pour agir comme sources
officielles de données numériques gouvernementales. Bon point.
Le deuxième objectif qui
nous paraît aider la situation : établir une gouvernance globale et
concertée en matière de sécurité de l'information avec une notion de
surveillance des mécanismes mis en oeuvre.
Avec ces deux objectifs, on s'inscrit dans
un nouveau paradigme où les renseignements personnels détenus par les
organismes publics peuvent être valorisés par la recherche, cette fois-ci dans
un encadrement adéquat qui met l'accent sur
le contrôle rigoureux de l'utilisation au lieu de mettre l'accent, comme on
pouvait le faire, sur la limitation, voire l'interdiction d'un accès aux
données.
Cela dit, il
nous semble, et c'est ce qui est mentionné dans notre mémoire, que des points
mériteraient d'être clarifiés pour assurer une même compréhension de la...
du texte qui est amené. D'abord, il faut clarifier que les sources officielles
de données numériques gouvernementales qui sont prévues dans le projet de loi
permettront d'utiliser les renseignements personnels qu'elles contiennent à des
fins de recherche et de développement académique — ce mot, selon nous,
manque — donc,
pour les chercheurs universitaires, collégiaux dans les établissements de
santé.
On pense également qu'il faut clarifier les
conditions auxquelles ces renseignements qui sont détenus par les sources officielles vont pouvoir être utilisés à
des fins de recherche et s'assurer que ce sont tous les types de recherche
académique qui seront équitablement traités, que ça bénéficie aux services
publics, aux citoyens, à la mission de l'État ou autres.
Et finalement, le troisième point, s'assurer que
le mécanisme d'utilisation des renseignements personnels pour fins de recherche
soit harmonisé aux autres projets de loi et mécanismes, notamment le projet de
loi n° 64, actuellement à l'étude et
qui vise les modifications de la Loi sur l'accès. On ne peut pas se retrouver
dans une situation avec des mécanismes d'autorisation qui sont complexes
et différents, et dont on ne comprendrait pas quelle serait clairement la
portée.
En conclusion, quel est le risque de ne pas
bonifier et clarifier le projet de loi n° 95 par rapport aux points que
nous venons de soulever? Trois risques : entretenir une certaine
confusion, créer possiblement plus de lourdeur que d'efficacité... Ce risque
augmente celui de la perte de talents parce
que les chercheurs, ils se
découragent. Ils utilisent les données d'ailleurs, ils vont aussi aller travailler ailleurs.
En cascade, on impacte la compétitivité
du Québec en recherche. Mais le plus grand risque n'est aucun de ces
trois risques-là. Le risque le plus grave serait de ne pas se donner les moyens
d'améliorer les services publics et les autres bénéfices pour la population et la
société québécoise.
Je vous
remercie de votre attention. Voici un peu le message que l'on avait à
communiquer. Et nous répondrons, bien sûr, à vos questions avec plaisir
et au mieux de nos connaissances. Merci.
Le
Président (M. Simard) : Alors, merci à vous, Mme la directrice
scientifique. Je cède maintenant la parole à M. le ministre, qui dispose
d'environ 17 minutes.
M.
Caire :
Merci beaucoup, M. le Président. Mme Jabet, Mme Lévesque, merci
beaucoup de votre participation. À mon tour de sympathiser avec l'heure
à laquelle on vous impose cette prestation-là, mais sachez que nous sommes
solidaires, tous les députés présents, parce que nous-mêmes nous y employons
depuis ce matin.
Présentation extrêmement intéressante, et
j'avoue que vous abordez un sujet qui est préoccupant. De longue date, je
dirais que le Scientifique en chef fait une cabale pour sensibiliser les élus
au fait que la donnée est plus ou moins accessible pour les projets de
recherche et qu'il était temps de s'attaquer à ce problème-là, surtout que le
Québec... Et là-dessus je sais que le député de La Pinière et moi
avons une vision qui est assez semblable, surtout que le Québec dispose non
seulement d'une quantité de données impressionnante, mais d'une qualité de
données qui est extrêmement intéressante pour les chercheurs, du fait du profil
de la population québécoise et de l'opportunité que ça offre de faire des
évaluations quantitatives et qualitatives sur une durée de temps assez longue.
Je vous dirais que je vais répondre à vos trois
préoccupations. Je pense que les réponses se trouvent dans le projet de loi.
Mais, d'abord, vous me permettrez un commentaire personnel. Et je vous en
remercie, parce que vous avez abordé la notion du danger de ne pas améliorer
les services publics, et je dois vous dire que vous êtes... Puis je ne veux pas
méjuger, on a eu des groupes très intéressants qui ont amené des commentaires
qui étaient très intéressants, qui vont faire cheminer, j'en suis convaincu, le
travail des parlementaires, mais le principal objectif du projet de loi
n° 95, puis je ne dirais pas : Son objectif exclusif parce qu'il y a
un objectif de sécurité, évidemment... mais c'est une amélioration
significative des services à la population et de l'efficience du gouvernement
du Québec dans la prestation de services à la population. Merci de l'avoir
souligné, ça m'apparaît effectivement être un danger, dans l'analyse du projet de
loi n° 95... D'occulter cet
élément-là m'apparaît être un danger parce qu'effectivement, au-delà de toutes les autres considérations dont je ne
veux pas diminuer l'importance, celle-là n'en est pas moins importante.
Sur
l'utilisation de renseignements personnels, je pense que vous l'avez bien
cadré, Mme Jabet, c'est effectivement le projet de loi n° 64 qui va
adresser cette situation-là de façon législative. Donc, vous me permettrez
peut-être d'être un peu plus discret sur ce
volet-là, parce que le projet de loi
n° 64, comme je le dis, je
pense, a été fait à la satisfaction... ou,
en tout cas, donne satisfaction aux milieux de recherche quant au qui et au
pourquoi on accède à des renseignements personnels sans le consentement
des citoyens. Les articles qui traitent de ça ont été adoptés par la Commission
des institutions. Donc, je pense que, là-dessus, la commission avance, et les
réponses à vos questions se trouvent là.
• (18 h 20) •
Sur la notion des types de recherche, bien,
effectivement, le fait de ne pas préciser le type de recherche permet d'inclure tous les types de recherche.
Donc, est-ce que les recherches académiques sont incluses? Absolument. Vous allez trouver votre réponse à
l'article 12.3 du projet de loi, qui va faire en sorte, effectivement, que
le gouvernement du Québec, en
désignant une source de données, va être en mesure de désigner les fonds ou les
projets de recherche qui pourraient bénéficier de la mobilité de la
donnée. Et donc, comme on ne précise pas, comme on parle de recherche, on parle de tout type de recherche. Donc, nécessairement, la
recherche académique est incluse dans cette situation-là. Donc, cette
question-là que vous nous apportez, je pense qu'elle est adressée de cette
façon-là.
Bon, évidemment, aussi, l'article 12.19
peut fixer les conditions par lesquelles les renseignements qui sont détenus
par une source officielle de données vont pouvoir être transmis aux différents
projets de recherche. Donc, à ce moment-là, je pense que vous aurez accès, dans
le fond, à l'ensemble des informations dont vous aurez besoin, toujours, évidemment,
dans le respect de la loi n° 64.
Et ça, ça m'amène à votre deuxième point. Quand
vous parlez d'harmoniser les deux projets de loi, je vous dirais que 95 n'est
pas harmonisé au projet de loi n° 64, il y est soumis. Et ça, c'est extrêmement
important, parce que je le sais que ça a été une préoccupation qui a été
soulevée par la Commission d'accès à l'information. Il est très important de
comprendre que le projet de loi n° 95 est soumis non seulement à la loi
d'accès à l'information et la protection des renseignements personnels, mais à
toutes les lois, tous les régimes de protection particuliers.
Et donc, de ce fait, l'avantage que les sources
de données vont avoir, c'est de vous permettre d'avoir une donnée de qualité, parce
qu'en ayant l'inventaire de la donnée... Vous le disiez, là, vous êtes
souventefois obligés d'aller chercher vos données ailleurs. Bien, en ayant un
inventaire de la donnée, ça nous permet de vous donner une donnée qui est de
qualité, qui est intègre, évidemment, mais, je devrais dire... mais évidemment
sous réserve que la loi d'accès à l'information et de la protection des renseignements
est respectée puis, quand on parle de données de santé, que les régimes, les
différents régimes de protection, particulièrement de santé, sont respectés,
que la directive en matière de sécurité est respectée.
Donc, est-ce que ça va être nécessairement plus
simple? Oui. Mais est-ce que ça va être un bar ouvert? Il ne faut pas vous
attendre à ça, parce que le p.l. n° 95, comme je
le dis, ne s'harmonise pas aux régimes de protection ou à la loi, il s'y
soumet. Ça, c'est... Je sais que ça, ça a été un élément qui vous a... qui
interpelait beaucoup les Fonds de recherche et pour lequel, je pense, vous avez
votre réponse.
Maintenant,
justement, sur cet aspect-là, puis vous l'avez amené, vous
avez dit : Le grand danger, ce serait de ne pas avoir accès à ces données-là, j'aimerais ça que vous nous
décriviez un peu... Parce
que, pour les parlementaires,
c'est toujours intéressant de savoir, oui, le projet de loi n° 95, il fait
quoi, mais ce qui est important, c'est quelle est la situation actuelle.
On part d'où exactement, Mme Jabet? Puis en quoi 95 vient répondre à des préoccupations
qui sont vraiment les vôtres, qui, au
quotidien, font en sorte que nos Fonds de recherche ne peuvent pas travailler
aussi bien, aussi efficacement que si on n'avait pas... En fait, si on
n'a pas 95, c'est quoi, la situation actuelle, puis en quoi la situation
actuelle est corrigée par 95? Vous m'excuserez si mes questions
sont un peu désordonnées. Je pense que, comme mes collègues, l'heure
finit par jouer sur moi aussi.
Mme Jabet (Carole) : Bien, d'abord, merci
beaucoup, M. le ministre, pour les informations que vous avez communiquées puis
la clarification qui est signifiée ici. Je pense qu'elle est extrêmement bien
reçue. Parce que, c'est ça, c'est peut-être
parfois le défaut qu'on va avoir en recherche : quand on n'a pas qualifié quelque chose, on a peur que ce ne soit pas
intégré. Et, pour nous, c'est vraiment important qu'on ait tous la même compréhension, notamment
au niveau de la recherche
académique.
Je vais répondre tout de suite à votre question,
quelle est la situation actuelle. La situation actuelle est une situation que
je décrirais de silos. Donc, il y a eu des améliorations qui ont été faites. On
a apporté le guichet d'accès aux données pour la recherche, qui permet
d'accéder à certaines données gouvernementales de façon différente. Cela dit, là, la grande image, c'est qu'en ce moment, si on veut faire un projet de recherche, par exemple sur la santé des
enfants, qui nécessite d'accéder à des données de santé, à des données administratives,
à des données d'éducation, bien, très probablement, on va taper à trois portes,
quatre portes, cinq portes, dépendamment de la cohorte qu'on veut gérer. Il n'y
a pas cette mécanique d'organisation de la donnée et de mécanisme bien balisé
pour accéder à la donnée.
Ce que nous, on voit comme un avantage, dans le
p.l. n° 95, c'est cette capacité à créer des sources
officielles de données numériques gouvernementales, parce qu'à ce moment-là
nous avons des interlocuteurs qui connaissent le contenu des bases de données
et qui connaissent les variables, qui ont les mécanismes pour être capables de
répondre à notre projet de recherche et avec
lesquels on peut travailler, dans le respect des lois, ça, on va tous être
d'accord avec ça.
Je pense que le milieu de la recherche a
beaucoup évolué, au cours des dernières années, pour se doter des bons
mécanismes de contrôle d'une saine utilisation des données. Mais je dirais que
c'est cette organisation de sources officielles de données numériques
gouvernementales qui nous intéresse, avec la gouvernance des données à
laquelle... qui y est associée, là. Ce n'est pas juste : Demain matin, je
donne accès à des fichiers Excel ou à des entrepôts.
Ce n'est pas ça. C'est vraiment la gouvernance qui y est associée puis la
valorisation de données qui y est associée.
En ce moment, parce que la question, elle était
extrêmement précise, ça peut prendre deux ans, trois ans, de réussir à faire un
projet de recherche tel que celui que j'ai mentionné. C'est de ça qu'on parle.
Et c'est ce délai-là qu'il faut réussir à
raccourcir, tout en augmentant le bassin de données qu'on peut utiliser aussi.
Voilà ce qui serait ma réponse.
M.
Caire : Je me permets une question, Mme Jabet, par rapport... puis je ne sais pas si vous avez l'information, mais par
rapport à vos collègues des autres provinces ou des autres États dans le monde
qui font de la recherche et qui ont besoin de ces informations-là. On parle
d'un délai de combien de temps avant d'avoir accès aux données dont ils ont
besoin pour faire avancer le projet, par rapport au Québec? Puisque, là, vous
me dites : Au Québec, la situation, c'est deux ans. Ça peut nous paraître
long, mais, n'ayant pas d'étalon de mesure, là... Si vous étiez en Ontario,
ou aux États-Unis, ou en Europe, on parlerait d'un délai de combien
de temps avant de pouvoir aller de l'avant avec un projet qui nécessite
d'obtenir des renseignements comme ceux-là?
Mme Jabet
(Carole) : Je n'ai pas les délais exacts, donc je ne voudrais pas
induire les parlementaires en erreur. Cela
dit, donc, sur le projet précis, là, de deux ans chez nous, est-ce que
c'est un an en Ontario? Je n'irais pas là, mais les mécanismes d'accès
aux données et d'utilisation de la donnée sont plus simples dans beaucoup
d'autres juridictions.
On a l'habitude de citer le Royaume-Uni, puis ça
fait 15 ans qu'ils travaillent leur stratégie de valorisation des données
dans le secteur qui nous préoccupe le plus, qui est celui de la santé, mais il
y a d'autres juridictions. On va souvent parler des pays d'Europe du Nord,
Danemark, Suède, qui ont une stratégie de valorisation des données. Je dirais
que l'exemple que j'aime... Il y a deux exemples que j'aime utiliser en ce
moment : Manitoba, mais Alberta, plus
sûrement, c'est une plus petite province, mais ils mobilisent leurs données
plus rapidement, mais la France. La France s'est dotée d'une stratégie de valorisation numérique, et ils ont fait
des transformations rapidement, et ils sont en train de bouger très
rapidement avec des accès aux données qui sont... qui deviennent de plus en
plus efficaces.
Alors, je n'ai pas le chiffre, de vous
dire : De deux ans, on passe à un an, mais ce que je sais, c'est que j'ai
beaucoup de chercheurs dans notre communauté qui aiment beaucoup mieux
travailler avec les entités prescrites en Ontario
ou les juridictions comme la France ou l'Angleterre plutôt que de travailler
ici parce que c'est devenu beaucoup trop long.
• (18 h 30) •
M.
Caire : Puis, par
rapport à ce qu'on fait dans 95 et dans 64, parce qu'effectivement les deux ont
des missions respectives qui se complètent, est-ce que vous diriez qu'on va
rejoindre ce que vous retrouvez ailleurs? Vous parlez de l'Alberta, vous parlez
de l'Ontario, vous parlez de la Grande-Bretagne. Est-ce qu'on va rejoindre ces
standards-là en termes de simplicité, pour les chercheurs, à recevoir les
données dont ils ont besoin pour leurs projets de recherche ou on est encore
loin?
Mme Jabet
(Carole) : Bien, je pense
qu'on s'en va vraiment dans une direction qui est une direction intéressante puis une bonne direction,
parce que ce qu'on fait dans 64 et dans 95 en créant... où des personnes qui
sont vraiment responsables du traitement du renseignement personnel et qui sont
plus proches de la donnée, plus proches du terrain,
où, quand on crée des sources, encore
une fois, de données numériques, des
sources officielles de données numériques, comme on le dit, ce qu'on
vient faire, c'est qu'en quelque part on décentralise un petit peu notre mécanisme
d'accès aux données. Puis ça ne veut pas
dire qu'on le rend moins robuste et puis qu'on le rend moins sécuritaire, mais,
au moins, il y a plus d'individus qui
sont capables de manipuler de la donnée, qui sont capables de croiser de la
donnée dans des... encore une fois, dans des sphères qui sont bien
contrôlées.
Je pense que l'autre chose sur laquelle je
mettrais l'accent, puis je l'ai dit dans la courte introduction, c'est que, si on met vraiment en application ce
qu'on lit dans ces projets de loi, on change le paradigme. Pendant longtemps...
Puis c'est ça aussi. Au-delà de l'accès aux ressources, parce qu'il y a quand
même des organisations qui ont manqué de ressources,
puis il faut reconnaître ça... Mais on a beaucoup traité la sécurité de
la donnée en limitant l'accès à la donnée.
Ce qu'on fait avec ces projets de loi, c'est de dire : On crée des entités, des
structures où on contrôle l'utilisation
de la donnée, mais on donne accès. Donc, tu ne peux pas faire n'importe quoi
avec, mais j'autorise quand même que cette donnée-là soit mobilisée. Puis ça,
c'est vraiment important, y compris avec les techniques et les démarches de
recherche qu'on a maintenant, comme l'intelligence artificielle.
M.
Caire : Bien, écoutez,
je vois mon temps qui file. Je veux vous entendre. Une dernière question. Là,
je regarde le président du coin de l'oeil parce que je sens qu'il va
m'interrompre. Mais ce que je comprends, c'est que non seulement le
gestionnaire de données, les sources de données vous facilitent la vie, mais ce
que vous dites, c'est que toute la sécurité, donc le chef gouvernemental de la
sécurité de l'information, est un ajout important...
Le Président (M. Simard) : En
conclusion.
M.
Caire :
...au sens où il va s'assurer, quand même, qu'on respecte des standards d'utilisation. On va utiliser, mais on va respecter des standards d'utilisation qui vont sécuriser
la donnée. Est-ce que j'ai bien compris votre commentaire?
Mme Jabet (Carole) : Oui, vous avez
bien compris. À la condition que les standards d'utilisation respectent la
recherche.
Le Président (M. Simard) : Merci,
Mme Jabet. Merci beaucoup.
M.
Caire : Merci.
Le
Président (M. Simard) : J'ai
un rôle très ingrat, Mme Jabet, qui est celui de, comment dire, contrôler
le temps. Je cède maintenant la
parole au porte-parole de l'opposition officielle, le député
de La Pinière, qui dispose
de 12 min 45 s.
M.
Barrette : Merci, M. le Président. Alors, Mme Jabet, Mme Lévesque, bien,
bienvenue. Alors, évidemment,
avec moi, vous êtes en terrain conquis, et les questions que je vais vous
poser, essentiellement, c'est pour avoir des réponses
qui éclairent mes collègues, là. Je connais pas mal les réponses. Et je vais
vous poser des questions sur quelques éléments que vous n'avez pas eu la chance
d'aborder, dont le dernier, que vous n'avez pas pu élaborer, sur celui... à
condition que ça respecte la recherche. Alors là, lâchez-vous lousse. Vous avez
une occasion que vous n'aurez pas deux fois.
Mme Jabet
(Carole) : Bien, je pense que... puis je demanderai après, peut-être,
à Emmanuelle de compléter mon propos, mais
nous comprenons parfaitement la nécessité d'avoir des processus
de gouvernance et d'encadrement
d'utilisation des données qui soient
robustes, qui soient bien encadrés, etc., puis qui respectent la sécurité du
renseignement personnel. Je veux dire, à un moment donné, des citoyens
font aussi confiance au milieu de la recherche pour utiliser ces données-là à
bon escient.
Maintenant,
les processus de gouvernance. Si on ne veut pas se retrouver dans des impasses
ou dans des délais, il faut qu'on
soit capable de les développer en collaboration. Puis c'est ça que je voulais
vraiment dire. Dans le milieu de la recherche, les personnes qui sont
spécialistes des données développent plusieurs principes, qui sont les
principes FAIR, en anglais, de
transparence, d'accessibilité, de réutilisation des données, pour le bien
public. Ce sont des principes qu'on
devrait probablement faire davantage vivre dans l'ensemble des organisations et
dans l'ensemble des missions qu'on veut...
auxquelles on veut répondre, puis à ce moment-là on saura que tout le monde
respecte les mêmes règles.
Puis c'est là
que je dis qu'il y a une capacité à vraiment bonifier la façon dont on procède,
y compris en gouvernance, si on
consulte et si on s'appuie sur des principes de recherche. Emmanuelle, je ne
sais pas si tu veux compléter.
Mme Lévesque (Emmanuelle) : Oui,
bien, je préciserais que l'actuelle situation où on voit qu'il y a un mécanisme
d'accès aux données pour la recherche dans le projet de loi n° 95... et
qu'on voit qu'il y a un mécanisme d'accès
aux données pour la recherche qui est différent dans le projet de loi n° 64
fait en sorte que, pour les chercheurs, il y a une certaine dualité qui est difficile à opérer, aussi, à
comprendre, à s'adapter, à voir quels mécanismes, est-ce que les deux existent.
Donc, quelque chose qui est bien fait pour la
recherche va éviter cette confrontation-là d'avoir des critères différents
selon les mécanismes utilisés puis va offrir vraiment une harmonisation des
conditions d'accès pour que les chercheurs
et chercheuses aient toujours quelque chose d'uniforme comme critères, peu
importe à quelle porte ils vont aller cogner pour avoir les données dont
ils ont besoin.
M. Barrette : Donc, pour vous, là,
sur le plan quotidien, là, vous voyez un enjeu légal qui est causé par une
espèce de dichotomie, involontaire, j'en suis convaincu, entre 64 et 95.
Mme Jabet (Carole) : Vas-y,
Emmanuelle, c'est vraiment ton domaine.
Mme Lévesque (Emmanuelle) : Oui, effectivement,
parce que, dans le projet de loi n° 95, actuellement,
on voit qu'il y a... puis c'est vraiment prévu, là, qu'on peut utiliser les
données pour la recherche et le développement, on a prévu ça, on voit qu'il y a
un mécanisme d'accès qui passe avec un décret, qu'il y a des conditions, et, en
même temps, ce qu'on comprend, c'est que la Loi sur l'accès, elle est là, elle
est au-dessus de ce projet de loi là, et la Loi sur l'accès a son propre mécanisme
pour l'accès pour la recherche, les données qu'on utilise pour la recherche qui
proviennent des organismes publics. Donc, on se retrouve pour... Devant les
chercheurs... Si les textes ne changent pas, actuellement, il y a vraiment une
dualité, on a cohabitation de deux mécanismes, puis c'est vraiment nécessaire
d'avoir une clarification pour qu'on sache qu'est-ce que le législateur entend,
qu'est-ce qu'il souhaite prioriser, puis, ultimement, vraiment viser une
harmonisation.
Dans le projet de loi n° 64,
les représentations qui avaient été faites par le Fonds de recherche, c'était
que c'était en grande partie approprié et adéquat pour les chercheurs. Donc,
l'idée de revenir à un mécanisme avec ces conditions-là, c'est très, très
approprié. Puis ça évite aussi d'avoir... si on passe par décret, d'avoir
peut-être des conditions qui vont être moins standardisées, plus
discrétionnaires, à des... On ne veut pas avoir une situation où on va viser des projets particuliers de recherche,
mais on veut une situation où on va viser vraiment des conditions générales
pour tous les chercheurs et chercheuses du Québec, comme on a dans le projet de
loi n° 64.
M. Barrette : O.K. Bien, c'est très
important, évidemment. C'est noté, là, ce que vous venez de dire là. Mais je
comprends bien ce que vous voulez dire. Il y a un enjeu réel, là,
effectivement.
Je suis surpris, par exemple, que vous préfériez
64, mais j'y reviendrai dans un instant. Bien, je suis surpris... Attention, là, tu sais, c'est correct, là, mais je
pensais que vous alliez en demander plus encore, de liberté de l'accès.
Allez-y...
Mme Jabet
(Carole) : Je pense que...
Non, non, mais je pense que... Bien, c'est sûr qu'on veut de la liberté
d'accès. C'est... Dans un monde idéal, hein, on veut vraiment
que, quand il y a des sources de données, qu'elles soient des
sources de données de recherche ou des sources de données gouvernementales... qu'on puisse faire le maximum d'analyse
et d'exploitation avec ces données parce que les résultats qui vont en découler
sont des résultats qui font avancer non seulement les connaissances, mais aussi
l'innovation. Donc, c'est sûr qu'on veut ça.
Et je
pourrais aller dans des exemples où on ne veut pas se retrouver dans des situations
où, parce que j'utilise un type de données d'une source de données gouvernementales,
bien, c'est un organisme et juste cet organisme-là qui peut manipuler la
donnée, puis, nous, chercheurs, il faut qu'on attende après ça ou c'est juste
cet organisme-là qui fait l'arrimage des données qu'on a besoin de faire, parce
qu'encore une fois on mélange des données. Donc, on ne veut pas se retrouver
dans cette situation.
C'est là qu'on a besoin d'agilité et de
flexibilité. En échange de cette agilité et cette flexibilité, ce qu'on dit, c'est : On n'a pas de problème
à se plier à des mécanismes de contrôle, à des mécanismes d'audit, à des
mécanismes qui viennent vraiment encadrer la façon dont on travaille nos
données. Donc, c'est l'idéal, pour nous. C'est l'idéal...
• (18 h 40) •
M. Barrette :
Non, non, je comprends très bien. Et, toujours pour le bénéfice de tout le
monde, là, vous, là, dépendamment du FRQ, parce qu'il y en a trois, évidemment,
il y a plein de situations où vous avez à croiser des données quantitatives et
qualitatives en grande quantité entre différentes sources. Et évidemment, là...
Mme Jabet (Carole) : Bien...
M. Barrette : Oui?
Mme Jabet (Carole) : ...
M. Barrette : Et évidemment, aujourd'hui,
là, quand vous arrivez à un projet de recherche qui croise beaucoup de
différentes sources, bien là, c'est un mur pour vous, là, c'est vraiment
compliqué, alors que, là, on veut le
simplifier, là. Ça, c'est important pour vous, là. C'est clair. Il faut que ce soit
clair pour tout le monde que... S'il
y a un gain, il y a deux gains...
bien, il y en a plus que deux, là, mais vous avez deux fins. Il y a la quantité
d'accès que vous pouvez avoir, qui, là, est très limitée — moi,
deux ans... je pense que vous auriez pu dire trois ans dans certains cas, et ça
aurait été vrai — et,
de l'autre côté, il y a, même si c'est court, la difficulté qui nous amène à
deux ans parce qu'on croise. Alors, c'est important, là, ça, là. On met le
doigt sur quelque chose, là.
Mme Jabet
(Carole) : Vous avez tout à fait raison. Puis on croise des données de sources différentes, puis, ça,
je pense que ça aussi, c'est très, très important. On peut...
M. Barrette : Oui, c'est ce que je...
Mme Jabet (Carole) : C'est ça, hein?
Donc, oui, tout à fait d'accord.
M. Barrette : Et ça, ce qui est dans
64, ça ne vous inquiète pas? Pour cet aspect-là, vous ne trouvez pas que... Parce que, là, vous regardez 95 comme étant
potentiellement un... pas un double standard, là, mais une mécanique qui
pourrait amener un frein parce que c'est une deuxième chose, alors que 95, lui,
par définition, veut le faire, le croisement,
certainement pour la recherche. On a
eu plein de gens aujourd'hui qui sont passés et qui ne veulent pas le faire, le croisement. Mais, pour la recherche,
écoutez, là, si 95 ne sert pas à ça, là, ne réussit pas à régler ça, on n'a
rien fait, là.
Mme Jabet (Carole) : Puis donc tout
à fait d'accord, ce croisement est absolument essentiel pour nous, puis c'est
le bénéfice qu'on y voit. La façon dont on lisait p.l. n° 64, avec
justement la notion d'avoir des responsables de renseignements personnels qui soient mieux répartis auprès des
différentes sources de données, nous permettait de dire qu'on a
peut-être un gain ici, pour justement croiser de la donnée, parce qu'à ce moment-là
on a des autorisations qui sont plus rapides.
Mais on serait certainement intéressés, puis je
vais laisser Emmanuelle compléter ma réponse, à voir quels sont... où sont les
autres enjeux qu'on pourrait avoir. Emmanuelle?
Mme
Lévesque (Emmanuelle) :
Bien, sur le croisement des données, c'est certain que la science, aujourd'hui, a vraiment besoin de faire
ça, mais il y a des façons de le faire où on peut protéger le plus possible les
renseignements personnels.
Donc, parfois, on va...
Les chercheurs, maintenant, ils travaillent en
équipe, hein? Ce n'est plus des chercheurs tout seuls dans leur bureau. Donc,
ce sont de vastes équipes de recherche qui ne sont pas nécessairement toutes
situées dans la même université, le même
collège. Donc, les gens sont distribués un peu partout et doivent évidemment
s'échanger des informations pour avancer la recherche.
Donc, quand on veut faire du croisement de
données entre deux sources, mais qu'on veut protéger au maximum les individus,
on peut envoyer les données à un chercheur, dans un organisme public, qui, lui,
va effectuer le croisement, va créer son nouveau jeu de données, et, par la
suite, il peut rendre ça anonyme, d'une façon où il peut partager avec ses collègues des renseignements qui, maintenant, sont anonymes mais ont quand même
croisé deux banques de données. Puis
ça peut sortir de l'organisme public
avec des mesures de protection exemplaires pour s'assurer qu'on a
toujours le même niveau de protection. On peut même penser à sortir aussi de la
juridiction québécoise. La loi prévoit qu'on doit évidemment toujours avoir une
protection suffisante.
Donc, il y a
des moyens de faire ça pour que ce soit sécuritaire aussi, mais qu'on n'empêche
pas le croisement de données. Puis c'est important que le croisement de
données puisse être fait par le chercheur lui-même, qu'on sorte la donnée de
l'organisme et qu'on ne permette pas uniquement les situations où c'est
l'organisme public qui fait lui-même le croisement et qui l'envoie parce qu'il
y a des situations où c'est tout à fait inapproprié.
Le chercheur, par exemple, peut avoir une base
de données qu'il a bâtie depuis de nombreuses années puis il veut rajouter une
information de plus qui vient d'un organisme public. Il doit lui-même faire le
croisement des données, sinon il ne peut pas
continuer d'enrichir sa banque de données, qui est très précieuse, qui suit des
gens depuis longtemps, qui apporte des réponses importantes. Donc, c'est
important que ces mécanismes-là soient tous possibles.
Et, dans le projet de loi n° 64, il y a des
conditions en place pour vérifier : Est-ce qu'on a vraiment besoin
d'envoyer des renseignements personnels? Est-ce qu'on a besoin de faire telle
chose avec? Donc, c'est certain qu'on met toujours le
plus de protection possible. Puis, à partir du moment où on n'a plus besoin
d'avoir le renseignement sous une forme qui
permet d'identifier les gens, bien, évidemment, le renseignement est transformé
comme ça, puis on continue de l'utiliser.
M. Barrette : M. le Président?
Le Président (M. Simard) : Oui?
M. Barrette : Il me reste combien de
temps?
Le Président (M. Simard) :
10 secondes, cher ami.
M. Barrette : Bien, merci beaucoup.
Puis j'espère vraiment qu'on va aller au bout de ça pour vous permettre de fonctionner à la hauteur de ce qui se fait sur
la planète, parce que, des bons chercheurs, au Québec, il y en a, et nos bases
de données sont excellentes mais mal utilisées.
Le Président (M. Simard) : Merci. Je
cède maintenant la parole au député de Rosemont, qui dispose de
4 min 25 sec.
M.
Marissal : Oui. Merci, M. le Président. Mme Jabet,
Mme Lévesque, merci d'être là. On va finir comme ça. On n'est pas
personne, je pense, ici, contre la recherche, là, surtout si elle sert le bien
public, mais vous comprendrez que,
moi, mon problème avec ça, là, c'est de la façon dont ça a été présenté. C'est
peut-être que ça a été juste mal présenté. Peut-être que ça cache autre chose aussi. Je n'ai pas de... Je n'ai pas
de... Je ne suis pas complotiste, là, rassurez-vous, là, mais ça a été dit notamment par le ministre de
l'Économie et de l'Innovation, qui est responsable aussi, là, notamment,
du Scientifique en chef, que c'est une mine
d'or, qu'on va donner ça aux Big Pharma puis que ça va être extraordinaire.
Ça va être «winner», même. C'était ça, l'expression. Bon, ça, c'est la
politique entre nous et lui, là, puis on pose des questions là-dessus.
Mais, vous, là, quand vous dites qu'il manque,
par exemple, le mot «académique», là, dans la loi — moi, je suis prêt à
explorer ça, là — ça
veut dire quoi? Ça exclut quoi? Puis vous en faites quoi de la mine d'or
«winner» pour les Big Pharma? Parce que les gens sont en droit de poser des
questions, puis vous êtes en droit de demander d'avoir un meilleur accès. Mais
je repose la question, donc : Vous en êtes où là-dessus, vous? Merci.
Mme Jabet (Carole) : Merci pour la
question, M. le député. Nous, notre organisme a pour fonction de soutenir
la recherche académique et la capacité de recherche académique dans nos
établissements publics. Donc, c'est vraiment ce sur quoi on se concentre. Et ce
qui nous préoccupe beaucoup, c'est tout l'échange qu'on vient d'avoir, de
s'assurer que cette recherche académique a les meilleurs outils possible pour
développer la connaissance et l'innovation.
En ce qui concerne la recherche... ou l'accès
aux données pour de la recherche faite avec l'entreprise privée, personne n'est
sans savoir que le débat est un débat qui est complexe. Alors, il y a des
choses, par contre, sur lesquelles on est assez clairs, au Fonds de recherche.
Une donnée ne se vend pas. C'est un vocabulaire qu'on entend souvent. Ce n'est
pas quelque chose qui est perçu de cette façon-là, utilisé de cette façon-là.
Donc, ça, déjà, moi, je ne voudrais pas rentrer dans ce débat d'aller vendre
les données. Ce n'est certainement pas dans cet esprit-là qu'on développe notre
recherche.
Maintenant, est-ce qu'on peut collaborer avec le
secteur privé? On a beaucoup de recherche au Québec qui se fait en partenariat
public-privé, puis qui se fait bien, puis qui est encadrée, qui est encadrée
par des contrats dont on connaît les tenants, les aboutissants puis les
obligations des différentes parties.
En ce qui concerne les données, la question est
vaste. Elle a des enjeux juridiques, légaux, éthiques. Devant ce constat-là, ce
qui a été fait, c'est que le Scientifique en chef a confié mandat à la commission
d'éthique, science et technologie de nous aiguiller sur cette réponse.
• (18 h 50) •
M. Marissal : Je vous arrête juste
une seconde là-dessus, Mme Jabet. Ça nous a été dit. C'est parce que ça
nous a été dit tout à l'heure. Je ne veux tellement pas être impoli, là...
Mme Jabet (Carole) : O.K., O.K. Pas
de problème.
M.
Marissal : ...puis grossier, mais je n'ai tellement pas de temps. Je
suis obligé quand même de... Je voudrais juste vous spécifier que le
ministre de l'Économie n'a jamais dit : Vendre les données. Il a toujours
dit : Donner les renseignements personnels notamment contenus dans les
fichiers de la RAMQ. Je ne suis pas sûr que c'est beaucoup mieux, là. Bon, ça enlève la valeur marchande de
la chose, mais, à la fin, ça sert les pharmaceutiques ou la population?
Mme Jabet
(Carole) : O.K. Puis je ne
mettais pas le mot «vendre» dans la bouche du ministre mais davantage dans
ce qu'on peut entendre dans le secteur général.
Je pense que
les données, ça doit servir l'ensemble des gens qui développent de la
connaissance et puis de l'innovation.
Puis, en ce qui concerne
l'accès aux données par le secteur privé, je pense que, l'ensemble des
législateurs, vous, les députés, êtes dans une position où vous allez, à un
moment donné, décider qu'est-ce qui est faisable, pas faisable, éclairés par la
position que des fonds peuvent avoir et notamment par le rapport qu'on aura de
la CEST.
Encore une fois, moi, je reviendrais...
Le Président (M. Simard) : Très
bien.
Mme Jabet (Carole) : ...sur le fait
que c'est ça dont on a besoin.
Le Président (M. Simard) : Merci
beaucoup.
M. Marissal : Merci.
Le
Président (M. Simard) : Alors, cela met fin à notre période d'échange.
Alors, Mme Jabet, Mme Lévesque, toutes deux du Fonds de recherche
du Québec, merci de votre présence parmi nous ce soir.
Sur ce, compte tenu de l'heure, nous allons
ajourner nos travaux. Et on se donne rendez-vous demain, le mercredi 26, après
les affaires courantes. Au revoir.
(Fin de la séance à 18 h 52)