Journal des débats (Hansard) of the Committee on Public Finance

(Neuf heures cinquante et une minutes)

Le Président (M. Simard) : À l'ordre, s'il vous plaît! Chers collègues, je constate que nous avons quorum. Nous sommes, donc, en mesure de débuter, dis-je, nos travaux. J'aimerais vous souhaiter, à toutes et à tous, la bienvenue.

Comme vous le savez, notre commission est réunie afin de procéder aux consultations particulières et aux auditions sur le projet de loi n° 6, Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique et modifiant d'autres dispositions.

M. le secrétaire, bienvenue parmi nous. C'est une première officiellement pour vous. Vous êtes le bienvenu. Y aurait-il des remplacements ce matin?

Le Secrétaire : Oui, M. le Président. M. Derraji (Nelligan) est remplacé par Mme Rizqy (Saint-Laurent); M. Leitão (Robert-Baldwin) est remplacé par Mme Nichols (Vaudreuil); et Mme Ghazal (Mercier) est remplacée par M. Zanetti (Jean-Lesage).

Le Président (M. Simard) : Et avant que je ne l'oublie, nous avons conclu une entente informelle avant le début de nos travaux afin de pouvoir répartir de manière équitable entre l'opposition et les représentants du gouvernement le temps qui ne serait éventuellement pas pris les autres partis d'opposition. Est-ce que cette entente est confirmée? Il y a consentement. Très bien.

Remarques préliminaires

Alors, ce matin, nous débuterons par les remarques préliminaires, hein, bien sûr, comme le veut la tradition. Par la suite, nous procéderons aux auditions. Et nous serons en compagnie, cet avant-midi, du Syndicat de la fonction publique et parapublique du Québec, dont les représentants se trouvent dans une autre salle que celle-ci, alors, on ne vous voit pas comme tel, mais on vous salue, les représentants Syndicat des professionnels du gouvernement du Québec, ainsi que les représentants de la Commission d'accès à l'information du Québec. Sans plus tarder, M. le ministre, je vous cède la parole. Et vous disposez au maximum de six minutes.

M. Éric Caire

M. Caire : Bon, M. le Président, je serai beaucoup plus bref que ça. Simplement saluer, évidemment, les gens qui nous accompagnent, d'abord les collègues de l'opposition, les collègues de la partie ministérielle, les collègues... bien, vous-mêmes, M. le Président, et les gens de la commission, dire que c'est quand même un exercice extrêmement intéressant et que j'ai bien hâte d'entendre les commentaires de tous ceux qui viendront nous éclairer de leurs lumières sur la suite des choses. Alors, voilà, M. le Président.

Le Président (M. Simard) : Merci à vous, M. le ministre. Mme la députée de Saint-Laurent.

Mme Marwah Rizqy

Mme Rizqy : Merci beaucoup, M. le Président, M. le ministre, ainsi que mes collègues et ma collègue la députée de Vaudreuil, qui est avec moi aujourd'hui, ainsi que pour le reste du projet de loi que nous étudions. Je trouve ça très intéressant, ce projet de loi qui porte sur le numérique, d'autant plus que le contexte actuel au Québec, où il est question de dossiers numériques, je ne peux passer sous silence que, depuis une semaine, il y a des révélations troublantes où des familles endeuillées, plus de 5 800 aînés sont morts dans les CHSLD au Québec, les familles endeuillées veulent des réponses, et je ne peux passer sous silence les témoignages troublants aux auditions de la coroner.

On veut créer un ministère du numérique, encore faut-il s'assurer que les documents qui sont déjà dans les ordinateurs, dans les serveurs, soient conservés et déposés à l'audition de la coroner. Merci.

Auditions

Le Président (M. Simard) : Merci à vous. Y aurait-il d'autres collègues qui souhaitent intervenir dans le cadre de ces remarques préliminaires? Sans quoi nous allons immédiatement passer à nos auditions et nous sommes en présence de représentants du Syndicat de la fonction publique et parapublique du Québec. Alors, M. Daigle, que je vois à travers l'écran, vous êtes un habitué de nos travaux, je vous souhaite la bienvenue. Auriez-vous, peut-être, d'abord, l'amabilité de vous présenter, présenter votre collègue?

Syndicat de la fonction publique et parapublique du Québec inc. (SFPQ)

M. Daigle (Christian) : Oui. Alors, merci beaucoup, M. le Président. Christian Daigle, président général du Syndicat de la fonction publique et parapublique du Québec. Je suis accompagné de M. Gabriel Arruda, qui est conseiller à la recherche au syndicat.

Le Président (M. Simard) : Une période de 10 minutes.

M. Daigle (Christian) : Merci, M. le Président, M. le ministre, Mmes et MM. les députés. J'aimerais, tout d'abord, vous remercier de l'opportunité de prendre la parole aujourd'hui sur le projet de loi n° 6. Comme la plupart d'entre vous le savez déjà, le SFPQ est un syndicat indépendant qui regroupe environ 40 000 membres répartis dans l'administration publique et parapublique du Québec. Au gouvernement du Québec plus précisément, c'est nous qui représentons les techniciennes et techniciens en informatique qui oeuvrent chaque jour dans les ministères et les organismes publics. Nos membres sont, donc, directement touchés par la proposition législative présentée par le ministre aujourd'hui.

J'aimerais aussi souligner la diversité des acteurs et des organisations qui ont été invitées à participer à ces consultations. Je suis heureux de voir que la Ligue des droits, la Commission d'accès à l'information, de même que la Commission des droits de la personne ont été invitées à s'exprimer sur cette réforme. Trop souvent, les débats entourant les changements technologiques et les services publics sont l'objet de discussions restreintes entre quelques experts, alors que c'est un sujet qui touche ensemble de la société québécoise. Nous croyons qu'une diversité de perspectives et d'expertises est le seul moyen pour que cet ambitieux projet du gouvernement soit un véritable succès.

Dans les dernières années, la transformation numérique est revenue souvent dans les réformes proposées par le gouvernement. On peut citer rapidement le projet de loi n° 14 favorisant la transformation numérique de l'administration publique en 2019, le projet de loi n° 37, qui a permis de mettre en place Infrastructures technologiques Québec, en 2020, ainsi que le projet de loi n° 95 sur la mobilité des données gouvernementales au printemps dernier. Jusqu'à présent, les projets de loi touchaient souvent un aspect précis du processus de numérisation de la fonction publique. Le projet de loi n° 6 est plus large et nous permet d'ouvrir la discussion sur la transformation numérique en général.

À notre compréhension, le projet de loi vise à rapatrier les ressources, les effectifs et les responsabilités d'Infrastructures technologiques Québec et d'une partie du Conseil du trésor afin de créer un nouveau ministère de la Cybersécurité et du numérique. Sur le fond, le SFPQ n'est pas du tout contre cette idée. Cependant, nos membres sur le terrain nous ont mentionné le désir d'avoir un peu de stabilité. On peut les comprendre : en l'espace de trois ans, ils ont été et seront employés du Centre de services partagés du Québec, d'Infrastructures technologiques Québec et puis du nouveau ministère. Il ne faut pas oublier que, derrière le brassage des structures, il y a aussi des êtres humains qui y oeuvrent.

Vous trouverez, dans notre mémoire, des propositions afin d'assurer l'accessibilité des services publics, le respect des travailleuses et des travailleurs ainsi que des propositions afin de mieux encadrer le déploiement de l'intelligence artificielle dans la fonction publique québécoise. En effet, le gouvernement devrait adopter des pratiques exemplaires afin d'accompagner les travailleuses et travailleurs dans les changements apportés par l'intégration de ces technologies dans le milieu du travail. En plus de limiter le potentiel de surveillance et d'intrusion dans la vie privée associé à ces technologies, le gouvernement devrait consulter activement les travailleuses et travailleurs de tous les niveaux avant, pendant et après l'implantation de ces technologies.

Le SFPQ est aussi d'avis que le gouvernement devrait tenir des rencontres régulières afin de présenter les projets en cours pour mener des discussions sur les impacts de ces transformations sur les compétences et sur les emplois des travailleuses et travailleurs de la fonction publique.

• (10 heures) •

Toutefois, et selon nous, il y a cependant un grand oublié à la proposition du ministre et le projet de loi, c'est le bordel informatique. Alors que l'état entreprend un grand virage vers l'adoption des technologies numériques et de l'intelligence artificielle, il n'a toujours pas mis en place les solutions pour mettre fin à ce problème et s'éloigner de l'influence des firmes de consultants et des grandes entreprises de nouvelles technologies. Ainsi, si le gouvernement de la CAQ veut développer une véritable capacité de réalisation à l'interne dans le domaine du numérique, il devra cesser cette coûteuse dépendance au secteur privé. Malheureusement, on peut se demander s'il souhaite réellement diminuer sa dépendance aux ressources externes en informatique et améliorer l'efficience de l'État ou s'il veut simplement donner l'illusion qu'il le fait. Depuis l'arrivée du gouvernement de la CAQ au pouvoir, le SFPQ constate une augmentation importante des ressources externes en informatique dans l'administration publique québécoise. On le constate sur le terrain, car nos membres nous en parlent couramment. Pour eux, le problème est aussi présent à ITQ qu'il ne l'était au CSPQ, et probablement qu'il le sera dans le nouveau ministère également. On peut, donc, s'interroger sur le réel impact de la création d'un ministère face au recours à la sous-traitance.

Au-delà de l'expérience de nos membres, il y a aussi les chiffres du portrait de la main-d'oeuvre en TI du gouvernement qui viennent le confirmer. En 2017, avant l'arrivée de la CAQ au pouvoir, on dénombrait 2 297 consultants et consultantes oeuvrant dans les ministères et organismes publics. En 2020, ils étaient 3 141, soit une augmentation de plus de 35 %. Le ministre devra se donner les moyens de ses ambitions s'il veut réussir le virage numérique et mettre un terme au bordel informatique qui se poursuit au gouvernement du Québec.

Le nouveau ministère de la Cybersécurité et du Numérique va aussi se heurter à la pénurie de main-d'oeuvre pour créer une telle expertise à l'interne. Dans la fonction publique québécoise, on ressasse toujours près de 970 postes vacants, tout près de 1 000, en informatique, ce qui représente 12,2 % des postes dans ce domaine. C'est une situation qui perdure depuis plus de cinq ans.

Le plein emploi peut expliquer une partie de la situation. Cependant, d'autres organisations dans le secteur public ne subissent pas aussi durement la situation actuelle dans le marché du travail. Dans le secteur universitaire, les postes vacants en informatique ne représentent que 3,7 % des postes disponibles. Comment expliquer cette immense différence entre la fonction publique et les universités québécoises? La réponse n'est pas magique, la réponse n'est pas complexe : il y a une immense disparité entre les salaires et les conditions de travail des gens qui oeuvrent dans ce domaine.

Dans un secteur aussi compétitif que le numérique et la cybersécurité, le gouvernement devra trouver des façons d'attirer et de retenir son personnel. Ça prend plus que des beaux discours, ça prend des conditions de travail compétitives. Considérant les dépassements de coûts et les autres problèmes découlant du bordel informatique, une augmentation substantielle de la rémunération du personnel en informatique ne serait certainement pas une dépense frivole pour le gouvernement, mais un investissement pour l'ensemble des Québécoises et des Québécois dans le contexte de la transformation numérique dans lequel nous nous trouvons.

Je vous remercie, M. le Président, pour votre écoute, ainsi que Mmes et MM. les députés. Nous prendrons le temps de répondre à vos questions.

Le Président (M. Simard) : Alors, merci à vous, M. Daigle. Sans plus tarder, je cède la parole au ministre. Vous disposez, avec la répartition du temps, de 19 min 15 s.

M. Caire : Merci, M. le Président. Je vais laisser aussi mes collègues poser des questions sur cette intéressante présentation. D'abord, M. Daigle, merci beaucoup, ainsi que... Je m'excuse à la personne qui vous accompagne, là. Je n'ai pas retenu votre nom. Vous m'en...

M. Daigle (Christian) : C'est M. Arruda.

M. Caire : Vous me pardonnerez, s'il vous plaît. Vous...

D'abord, d'entrée de jeu, M. le Président, j'entends ce que M. Daigle dit, c'est tout à fait légitime. Et vous comprendrez que le ministère de la Cybersécurité et du Numérique, comme tous les autres ministères, n'a pas pour mandat de négocier les conventions collectives et les conditions de travail. Ça demeure une prérogative du Conseil du trésor. C'est important, M. le Président, de bien comprendre, de bien camper le projet de loi n° 6. Le projet de loi n° 6 ne donne pas de pouvoir au MCN en cette matière, pas plus qu'il n'y en a dans les autres ministères. Donc, sur ces questions-là, M. le Président, ce n'est pas que je veux les éviter ou ce n'est pas qu'elles ne sont pas importantes, c'est que ce n'est pas dans le cadre du projet de loi que cette situation-là peut se... peut trouver son... peut trouver des réponses aux questions que M. Daigle soulève. Ça demeure une prérogative du Conseil du trésor, et c'est très important de le souligner.

Sur d'autres aspects, j'entends que le SFPQ est favorable à la création du ministère de la Cybersécurité et du Numérique. Ce que j'aimerais entendre de M. Daigle, c'est quels sont les éléments qui sont particuliers au projet de loi, qui amènent le syndicat à dire qu'il pense que c'est une bonne idée d'aller dans cette direction-là.

M. Daigle (Christian) : Alors, oui, merci. Pour nous, les différents éléments...

Mais, juste avant, mon collègue, c'est Gabriel Arruda, donc un nom de famille que vous...

M. Caire : Alors, M. Arruda, je m'excuse doublement, parce que votre nom aurait dû résonner particulièrement. Je vous présente toutes mes excuses.

M. Daigle (Christian) : Pas de problème. Alors, pour le SFPQ, au niveau des différentes recommandations que nous avons faites, ce qu'on trouve important également, c'est, en premier lieu, la stabilité. Comme je vous l'ai indiqué dans ma présentation, comme vous le retrouverez dans le mémoire également, les gens qu'on représente, on a une bonne écoute de ces gens-là, on a un bon écho également que les gens pensent que c'est une bonne idée de mettre en place ce ministère-là, de regrouper différentes ressources pour aller dans ce sens-là, mais ça prend de la stabilité. Donc, on voudrait, parce que, là, on a changé trois fois de nom en dedans de deux ans, avoir de la stabilité, que les gens puissent se reconnaître, puissent s'identifier au ministère éventuellement aussi. Ils n'ont même pas eu la chance encore de voir, je dirais, le nom de ITQ sur leur formulaire que, là, on transforme encore ce nom de ministère là. Donc, d'avoir une stabilité pour plusieurs années serait minimalement, je crois, une bonne chose. Si on veut construire autour de ces gens-là, si on veut pouvoir... qu'ils s'identifient au ministère, ça serait une bonne chose d'avoir cette capacité-là, d'arriver avec un ministère qui va perdurer dans le temps.

Au niveau, également, aussi... ce qu'on demande ou ce qu'on aimerait qu'on retrouve là-dedans, c'est d'avoir, en complémentarité aussi... développer un ensemble de moyens pour offrir aux citoyens, citoyennes un ensemble de prestations de services numériques accessibles et de qualité. Et, ce faisant, il ne faut pas non plus oublier que plusieurs citoyens, citoyennes n'ont pas encore la capacité au niveau du numérique, soit que la technologie n'est pas dans leur région ou également aussi qu'ils n'ont pas les capacités ou les compétences pour aller sur le numérique.

M. Caire : M. Daigle, c'est intéressant, ce que vous dites, puis j'aimerais ça, vous entendre peut-être plus particulièrement, parce que vous dites : Ce serait intéressant que le ministère ait des moyens supplémentaires pour aller vers cette qualité de prestation de service là. Vous pensez à quoi exactement comme moyen dont on pourrait doter le ministère pour aller dans le sens de ce que vous dites?

M. Daigle (Christian) : Bien, quand on parle de transformation numérique, on voit, bien sûr, tout ce que les ministères font présentement et qui, j'imagine, va se poursuivre au niveau de la transformation des documents, d'avoir un accès plus facile via l'Internet pour accéder à ces documents-là, mais également il faut ne pas oublier les gens dans les régions, les gens dans les grands centres urbains qui n'ont pas la capacité d'aller sur l'Internet, et donner toujours des services en région. Parce que, présentement, on a bon nombre de ministères qui ferment les points de services dans les différentes régions du Québec tout en disant que les documents demeurent accessibles via l'Internet, alors que ce n'est pas possible d'accéder, dans une bonne partie de la population encore, quasiment 20 % de la population, d'accéder à ces documents-là via l'Internet. Alors, pour nous, il faut que les deux soient complémentaires.

Sur les autres aspects, on trouve, qui sont intéressants, je laisserais peut-être mon collègue en parler un petit peu plus. Il faut laisser quand même intervenir à travers le débat pour vous donner certains éléments peut-être que vous souhaitiez dans votre réponse.

M. Arruda (Gabriel) : Oui, absolument. Concernant les deux présentes questions, pourquoi un ministère, c'est une forme administrative qui nous convient, en général, vous savez, depuis une vingtaine d'années, une trentaine d'années, le SFPQ doit constater qu'il y a une tendance lourde au gouvernement du Québec de créer des agences, des organisations parapubliques afin d'avoir des missions. En soit, on peut argumenter cette logique-là, mais on pense que, pour des objectifs aussi stratégiques que la transition numérique, d'avoir un ministère qui a une voix au chapitre à la table de Conseil des ministres, c'est important. Et on s'assure aussi que c'est une organisation qui fait partie de la fonction publique en général parce qu'elle est un ministère, et donc avoir des relations beaucoup plus faciles avec d'autres ministres et ministères.

Concernant les éléments qu'on aimerait voir s'ajouter au niveau de la mission du ministère, très clairement, il y a l'enjeu d'expertise interne qui en fait partie, mais qui n'est pas si mise de l'avant dans le projet de loi actuellement, et probablement que, dans la mission principale, on devrait mettre de l'avant l'objectif que le ministère a, c'est faire la transition numérique, assurer la cybersécurité, mais aussi de créer une certaine autonomie de l'État au niveau des ressources informationnelles, puis ça, ça devrait être mis plus de l'avant dans le projet de loi. Aussi, finalement, il y a une...

M. Caire : Bien, j'aimerais ça, peut-être, aller plus loin dans ce commentaire-là, parce que... Est-ce que je comprends, de ce que vous dites, que vous voudriez enchâsser dans le la loi le fait que le ministère doit maintenir à l'interne une expertise? Puis ma question n'est pas anodine, là, parce que, vous savez, les technologies numériques, ça évolue vraiment très rapidement et... Mais comment on pourrait libeller ça? Parce que c'est bien beau d'avoir une expertise, mais, si vous allez voir les gens qui travaillent sur des ordinateurs centraux, par exemple, ils vont vous dire : Bien oui, j'en ai une, expertise, sauf que la technologie elle-même est désuète.

Donc, comment on pourrait enchâsser ça dans une loi sans, je dirais, se couler dans le ciment, dire : O.K., bien, moi, je l'ai, mon expertise, oui, sauf que la technologie, elle, n'est plus d'actualité? Je ne sais pas si ma question est claire. En fait, ce n'est pas simple à...

M. Daigle (Christian) : En partie...

• (10 h 10) •

M. Caire : Comment on pourrait le... Le mettre dans une loi, est-ce que vous ne pensez pas, justement, qu'on pourrait atteindre l'objectif contraire de ce qu'on veut, c'est-à-dire un ministère qui va innover, un ministère qui va analyser et intégrer les technologies qui sont innovantes, mais qui sont aussi pertinentes? Parce qu'il y a la technologie qui est intéressante puis il y a le gadget, là, il faut faire la part entre les deux. Donc, comment on peut... est-ce que c'est une bonne idée de mettre ça dans une loi, là? C'est un petit peu ça, ma question.

M. Daigle (Christian) : Bien, c'est... je ne sais pas si c'est dans la loi qu'il faut le mettre, mais il faut, au moins, annoncer la volonté de vouloir l'avoir, parce que, présentement...

M. Caire : O.K. D'en faire un principe de la loi.

M. Daigle (Christian) : ...parce que nous n'avons pas cette expertise-là présentement. Nous allons vers les firmes externes pour nous faire dire qu'est-ce qu'on a besoin dans les différents ministères et organismes, et ça, ce n'est pas logique. C'est nous comme, je dirais, si j'étais au niveau du gouvernement, c'est nous comme employeur, comme entreprise qui doit donner nos besoins, et les compagnies doivent répondre à ces besoins-là. Présentement et trop souvent, les compagnies viennent nous voir et nous disent qu'est-ce qu'on a besoin, et on arrive avec des projets qui vont avoir des dépassements de coûts, des projets qui ne répondront pas directement aux besoins...

M. Caire : Mais, M. Daigle, vous prêchez à un converti, là. Je vous le dis, vous prêchez à un converti. Moi, je pense que je suis d'accord avec vous, une organisation digne de ce nom doit avoir l'expertise pour être capable de gérer ses infrastructures critiques.

Maintenant, le problème auquel on est confrontés... puis on a mis, comme vous le savez, on a mis l'ATN en place il y a trois ans, justement, pour donner ces formations-là puis la montée en compétence de nos ressources à l'interne dans ces champs d'expertise là. Sauf qu'en attendant on a beaucoup de notre expertise qui sont sur des technologies qui sont désuètes et pour lesquelles on essaie de faire une mutation vers des technologies qui sont plus récentes.

Mais ce que je veux dire, c'est que l'enjeu de maintenir une expertise puis l'enjeu d'être innovant, ce n'est pas le même enjeu. Donc, comment, dans la loi, on peut favoriser l'innovation sans se mettre les pieds dans le ciment dans des expertises, oui, mais des expertises qui ne sont peut-être plus nécessaires? Comprenez-vous? Donc, comment on peut amener ce renouveau-là au sein de nos employés, qui a peut-être fait défaut par les années passées puis qui fait qu'aujourd'hui on n'a peut-être pas le choix d'aller vers ces firmes externes là, justement, pour nous aider à aller chercher cette expertise-là en attendant qu'on l'ait à l'interne et qu'on soit capable d'être autonome? Je ne sais pas si vous comprenez bien, là, comment je souhaite camper le débat, là.

M. Daigle (Christian) : Je comprends très bien. Je vais y aller avec une première partie de la réponse et laisser mon collègue finir celle-ci. Et, dans la question que vous avez posée, vous avez les deux éléments à ce que vous voulez comme réponse puis ce que nous, on souhaite également.

La formation. Première chose que les gens veulent, c'est de la formation. Trop longtemps, les gens ont été campés, les membres que nous représentons ont été campés dans des fonctions qui ne faisaient juste que du maintien, ne développaient pas leurs compétences, et ils se faisaient débaucher pour, justement, aller ailleurs et développer cette expertise-là.

Donc, en développant, en ayant de la formation sur des nouvelles technologies, ces gens-là vont se trouver à avoir des défis à relever pour leur emploi, pour l'employeur également. Quoi de mieux que de faire progresser ces gens-là en leur donnant une formation pour qu'ils deviennent des experts, de ne pas les laisser, je dirais, encimentés, comme vous l'avez dit si bien, encimentés dans des projets qui demeurent et demeureront fermés, à ce moment-là. Faites-les progresser. Nous avons des gens extrêmement compétents au niveau de l'administration publique québécoise. Et je suis certain que c'est une des raisons pour lesquelles ils voudront rester dans l'administration publique, en développant leur expertise. Je vais laisser mon collègue terminer pour la réponse également.

M. Arruda (Gabriel) : Donc, au niveau... (Interruption). Excusez-moi. Au niveau d'une formulation, de comment l'intégrer dans le projet de loi, je peux vous inviter à lire notre mémoire et à aller voir la recommandation n° 6, qui propose une formulation, que je vais lire, comme suit, dans le cadre de la mission générale du nouveau ministère : «Il s'assure du développement et du maintien de l'expertise interne afin de maintenir l'autonomie de l'État dans le domaine du numérique.» C'est une formule qui est... à défaut d'être trop précise, permet à l'État de s'adapter en parlant d'un maintien puis de développer une expertise interne au niveau du numérique.

Le Président (M. Simard) : Merci.

M. Caire : Mon collègue de Vanier.

Le Président (M. Simard) : Je cède maintenant la parole au député de Vanier-Les Rivières. Vous disposez d'environ 8 min 30 s.

M. Asselin : Non, bien, ça ne sera pas si long que ça. Merci beaucoup, M. le Président. Je voudrais noter que le CFPQ a utilisé le mot «ambitieux». Puis, en même temps, vous avez ramené un vieux terme, bordel informatique. On est passé à autre chose depuis ce temps-là. J'aimerais avoir des précisions sur le côté ambitieux que vous voyez dans le projet de loi, là. L'ambition, elle est où, exactement?

M. Daigle (Christian) : Au niveau de l'ambition, on la voit à deux niveaux. Le premier est de regrouper les différentes composantes pour former ce ministère-là, d'avoir ITQ Québec, en partie, mais d'avoir également à rapatrier différents éléments externes pour former ce ministère-là au niveau du numérique.

Le projet ambitieux vient également d'avoir... ou de faire de la place à l'intelligence artificielle, à travers ce nouveau ministère-là, qui n'était pas le cas avant, dans les anciens ministères. ITQ était plus un ministère technique, un ministère qui répondait à un besoin plus administratif, je dirais. En ayant mis en place ce ministère-là, du Numérique, on se retrouve maintenant avec la capacité d'aller au niveau de l'intelligence artificielle.

Là où le gouvernement a fait défaut dans les dernières années et où l'ambition devrait être au rendez-vous, c'est de prendre en charge le développement de l'intelligence artificielle dans l'appareil gouvernemental à travers les technologies qui se développent présentement et à travers l'ensemble de la société, si je pouvais même élargir le projet, parce que le gouvernement est responsable de l'ensemble du territoire québécois et des citoyens, citoyennes qui y vivent. Alors, pour nous, on devrait minimalement, je crois, souscrire à la recommandation n° 3 également aussi, dans le cadre de l'intégration de l'intelligence artificielle dans l'administration publique, en reprenant les principes de la Stratégie d'intégration de l'intelligence artificielle dans l'administration publique 2021‑2026 et la Déclaration de Montréal en ce sens. Donc, il faut que le gouvernement s'inscrive et mette en place des balises au niveau de l'intelligence artificielle pour ne pas laisser libre cours aux différentes compagnies qui viennent implanter ces stratégies-là ou ces technologies-là et sans savoir les impacts qu'elles vont avoir.

Alors, pour nous, c'est un ministère qui est ambitieux avec la mission qu'il se donne, mais il va falloir qu'il se donne les moyens également d'intervenir et de faire les débats pour que la société québécoise et l'implantation de l'intelligence artificielle se fassent correctement et de manière, également, morale à travers l'ensemble de la société québécoise, tant dans les technologies du gouvernement que dans celles qui vont nous influencer à travers notre quotidien.

M. Asselin : Merci, M. le Président. Je pense qu'il y avait le député de Sainte-Rose aussi. Ah! Charlevoix.

Le Président (M. Simard) : Souhaitiez-vous faire une autre intervention?

M. Asselin : C'est beau.

Le Président (M. Simard) : Ça va pour vous?

M. Asselin : Oui.

          Le Président (M. Simard) : Alors, je cède maintenant la parole à la députée de Charlevoix—Côte-de-Beaupré—Île d'Orléans.

Mme Foster : Très important, île d'Orléans.

Le Président (M. Simard) : Très important.

Mme Foster : Merci, M. le Président. Bonjour, MM. Daigle et Arruda. Merci de votre présence ici, en commission, pour vos propos très éclairants, très constructifs. Dans le fond, moi, j'aurais une seule question. Par rapport au projet de loi qui nous intéresse, outre tout ce qui vient d'être dit avec le ministre et avec le député de Vanier, est-ce que vous croyez qu'on a couvert tous les angles dans ce projet de loi? Est-ce qu'il y a d'autres responsabilités qu'on devait donner au ministère de la Cybersécurité et du Numérique?

M. Daigle (Christian) : Bien, je vais prendre une partie de la réponse. Je vais laisser mon collègue compléter également aussi par la suite. On devrait également prévoir la création d'un observatoire, selon nous, sur l'intégration de l'intelligence dans l'administration publique, composé de représentants des travailleuses et des travailleurs, également, pour des personnes expertes indépendantes pour représenter les usagers et usagères des services publics, donc d'avoir cette possibilité-là, également, de créer un observatoire pour voir l'implantation. Comme je l'ai dit un petit peu dans mon introduction tout à l'heure, on se doit d'être capables d'évaluer avant, pendant et après l'implantation, de voir les problématiques qu'il peut y arriver pour ne pas juste implanter quelque chose et laisser perdurer cette situation-là et de voir comment qu'on peut la modifier.

La belle chose avec le numérique et avec l'informatique, c'est qu'on peut le changer. Une fois que la feuille est imprimée, on ne peut plus la changer, mais, avec le numérique, on peut le changer. Alors, c'est bien de pouvoir, justement, regarder et de transformer ces besoins-là ou ces modifications-là pour répondre aux besoins, justement, des citoyens et citoyennes et d'avoir encore un projet qui va être encore plus parlant et plus aidant pour les usagers et usagères. Puis je vais laisser mon collègue poursuivre par la suite.

M. Arruda (Gabriel) : De façon très succincte, le projet de loi couvre quand même beaucoup de terrain, avec des missions qui sont relativement larges.

Pour revenir à ce qu'a dit M. Daigle, je crois qu'il y a peut-être un intérêt à penser à une instance qui va faire un office de contre-vérification de ce qui se passe dans le ministère. On s'entend qu'avec les grands budgets puis tout le pouvoir qu'il va avoir, puis il y a une expertise de pointe qui va être réunie à un seul endroit, il va être important d'avoir, quelque part, des gens qui puissent interagir aux pratiques du ministère pour être sûrs qu'on fasse de la transformation numérique dans les termes les plus respectueux de l'être humain, les plus efficients. Et, pour ça, il y a, dans le projet de loi, si je ne m'abuse, à l'article 9, l'idée de créer un comité expert. Nous, on propose de l'élargir pour créer une véritable instance de surveillance pour que tout le travail du ministère fasse l'objet... je ne veux pas dire d'une contre-vérification, là, on ne pense pas créer un VGQ de l'informatique, mais, du moins, qu'il y ait des gens qui aient les mains, eux aussi, dans le numérique qui ne soient pas dépendants du ministère pour poser des questions puis s'assurer que la transformation se fasse dans le respect de tous.

Le Président (M. Simard) : Mme la députée? M. le ministre?

M. Caire : Bien — oui, merci, M. le Président — je trouve ça intéressant, ce que vous dites, mais, en même temps, justement, vous ne trouvez pas que le projet de loi couvre cet aspect-là? Parce qu'effectivement il y a la possibilité de... ce pouvoir-là de nommer des comités d'experts. Puis, je vous dirais, puis là j'en appelle même aussi aux collègues, je ne voudrais pas non plus qu'on dépouille l'Assemblée nationale de ses prérogatives, parce que ça demeure — puis là moi, j'ai été dans l'opposition pendant 11 ans, là, je sais ce que c'est — ça demeure une prérogative des élus de surveiller... la surveillance du gouvernement, les actions du gouvernement.

Donc, de confier cette surveillance-là à un comité qui est imputable à qui exactement, puis qui répond de qui, puis qui va être nommé par qui, j'ai... Là, je vais me faire le défenseur de l'Assemblée nationale parce que je suis... honnêtement, là, j'ai un petit peu de difficulté avec cette proposition-là. C'est comme si l'Assemblée nationale ne pouvait pas jouer ce rôle-là, puis j'ai un petit peu de misère avec ça, honnêtement.

• (10 h 20) •

M. Daigle (Christian) : Sans vouloir restreindre les pouvoirs de l'Assemblée, nous pensons que le comité, que l'observatoire pourrait faire des recommandations. Après, ce sont des gens qui sont experts dans le domaine qui pourraient analyser, qui pourraient valider des choses, qui pourraient voir qu'est-ce qui a été fait jusqu'à maintenant, et la possibilité d'aller plus loin ou d'avoir encore plus de transformation, peut-être d'avoir de meilleurs accès ou de meilleures façons de faire. Et à ce moment-là, par la suite, l'Assemblée sera en mesure de prendre les bonnes décisions, de faire les bonnes évaluations et de voir dans quelle direction aller, en fonction de qu'est-ce qui serait ramené par ce comité-là, par ces observateurs-là, qui peuvent être externes, comme ils peuvent être internes également aussi.

M. Caire : Mais, en quoi, par exemple, l'OBVIA ne peut pas jouer ce rôle-là? Parce que c'est exactement ça, l'OBVIA, là.

M. Daigle (Christian) : Je n'ai pas entendu le terme que vous...

M. Caire : En quoi l'OBVIA ne peut pas jouer ce rôle-là? Parce que c'est exactement ça. Le rôle de l'OBVIA, c'est exactement ce que vous dites, là. Donc, pourquoi créer un autre comité?

M. Daigle (Christian) : Bien, c'est que le comité, également, avec des gens de l'externe, permettrait d'avoir une vision différente de la situation, d'avoir...

M. Caire : Oui, mais c'est ça, là, puis...

M. Daigle (Christian) : Puis, au niveau... peut-être que je comprends mal votre propos.

M. Caire : Bien, il y a déjà l'Observatoire qui existe, avec des gens de l'interne, de l'externe, le milieu académique, les milieux de recherche. Ce comité-là, il a déjà formé en intelligence artificielle.

Là, j'essayais peut-être d'amener la discussion sur pourquoi formaliser dans la loi un pouvoir qui est déjà là, celui de créer ce comité — le pouvoir est déjà prévu par la loi — de le formaliser pour l'intelligence artificielle alors qu'il y a déjà quelque chose qui existe dans l'espace public à ce niveau-là. Je vous le dis, là, en tout respect...

Le Président (M. Simard) : En conclusion.

M. Caire : ...autant sur la formation, j'aime beaucoup ce que vous amenez, autant sur ce comité-là, ça, je suis moins sûr un peu, là. Ça m'apparaît... En tout cas, on en rediscutera avec les collègues, mais... peut-être moins celle-là.

Le Président (M. Simard) : Merci, M. le ministre. Mme la députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup. Merci beaucoup d'être présents, M. Daigle et M. Arruda. J'aurais une question plus précise par rapport à vos commentaires sur l'intelligence artificielle. On est tous d'accord qu'effectivement on est en virage numérique partout au Québec, mais il y a aussi un choc démographique assez important auquel on doit faire face, et on a une population qui est de plus en plus vieillissante au Québec et qui, pour eux, plusieurs d'entre eux, il y a des rapports qui en font mention, ont une perte visuelle, donc acuité visuelle.

Au Québec, nous avons plusieurs milliers de personnes qui sont aussi, malheureusement, aveugles. Je lisais le rapport qui nous a été déposé, le mémoire du Regroupement des aveugles et des amblyopes du Québec. Ils mentionnent que, présentement... en fait, il y a une étude qui démontre que 78 % des sites Web du gouvernement et des sites Web des CISSS et des CIUSSS ont un niveau d'accessibilité entre faible et inutilisable pour ces personnes-là. Donc, il y a vraiment une fracture numérique.

Pensez-vous qu'il est temps d'avoir vraiment une équipe dédiée à l'interne qui s'assure, là, d'être en mesure de, oui, avoir un virage numérique pour l'ensemble de la population, mais de s'assurer que, nos aînés et aussi les personnes aveugles, les pages soient adaptées? Sinon, on risque de laisser un grand pan de la population qui n'aura tout simplement pas accès à cette information.

M. Daigle (Christian) : Mme la députée, vous avez tout à fait raison. C'est, d'ailleurs, un des propos que j'avais tantôt, qu'on ne devait pas non plus faire la transformation en oubliant ces gens-là. Je ne voulais pas spécifier de catégorie, mais on parle effectivement des personnes âgées qui ont moins de facilité avec le niveau informatique, on parle des gens qui sont aveugles, comme vous l'avez fait mention, et des gens qui ont des problèmes d'alphabétisation également aussi, qui ne se retrouvent pas si facilement que ça à travers un ordinateur et tout ce qu'on retrouve à l'écran aussi.

Alors, pour nous, les services publics en région sont essentiels. On ne veut pas dire : On va fermer un bureau, comme on le fait présentement, des bureaux de Services Québec dans les différentes régions du Québec, en disant : Bon, on peut retrouver ces formulaires-là, maintenant, sur le Web, on peut trouver ça sur le site du ministère. C'est impossible d'y arriver, ça nous prend les deux. On peut avoir plus de facilité à avoir des documents informatisés, mais ça nous prend des gens sur le terrain qui vont pouvoir assister, comme vous le dites, les gens qui sont en perte de vue, qui ont de la difficulté à bien voir, comme des gens qui ont de la difficulté à bien lire, comme des gens qui ont de la difficulté également avec l'informatique.

Alors, pour nous, il faut que ce soit complémentaire, que les services numériques... que la facilité avec laquelle certains citoyens auront d'y aller puisse libérer du temps de travail des autres personnes pour donner assistance aux gens qui en ont besoin.

Mme Rizqy : Merci beaucoup. Je vais passer la parole à ma collègue, la députée de Vaudreuil. Merci.

Le Président (M. Simard) : Bien sûr. Madame, à vous la parole. Vous disposez de 11 minutes.

Mme Nichols : Parfait. Merci, M. le Président. Bonjour, M. Daigle et M. Arruda. Je vais... Vous répondiez à la question de ma collègue de Saint-Laurent, vous disiez, entre autres, que ça nous prend des gens sur le terrain. Pouvez-vous élaborer un petit peu? Comment vous voyez ça quand vous dites : Ça prend des gens sur le terrain? Puis moi, j'aime bien pouvoir comparer avec ce qui se passe présentement, la situation... Puis ma prochaine question, là, ce sera à cet effet-là, là, sur la réalité, là, présentement, puis comment l'améliorer. Mais, quand vous dites : Ça prend des gens sur le terrain, comment vous voyez ça, les gens sur le terrain?

M. Daigle (Christian) : Ce n'est pas des gens sur le terrain au niveau de ce ministère-là dont je parle ou dont on parle, c'est bien plus des gens sur le terrain pour les différents ministères et organismes qu'on va vouloir transformer la prestation de services de ces ministères-là en les amenant sur le numérique, en les amenant sur l'ordinateur.

Alors, présentement, il y a des bureaux de Services Québec qui se ferment partout en région, que je parle de Brome-Missisquoi, que je parle de la Côte-Nord ou que le parle de partout au Québec, on ferme des bureaux de Services Québec, on ferme des services à la population. À Percé, on ferme le Bureau de la publicité des droits. Puis on nous dit, on dit à la population : Ne vous en faites pas, tous les documents sont disponibles informatiquement. Alors, pour votre prédécesseure la députée, qui nous disait qu'il y a des gens qui ont de la difficulté visuelle, des gens qui ont de la difficulté en informatique, des gens qui ont des difficultés en alphabétisation, cette prestation de service sur le terrain, c'est ça qu'on a de besoin, d'avoir encore des services publics en région. D'ailleurs, le gouvernement a dit qu'il y aurait des services publics en région, alors que, présentement, on ferme des bureaux dans ces différents ministères et organismes là.

Donc, nous sommes pour une transformation informatique, une transformation numérique de l'État québécois, on vous suit là-dedans sans problème. Toutefois, il ne faut pas obnubiler puis il ne faut pas changer la donne en enlevant les services publics en région. Ces gens-là paient les mêmes taxes, paient les mêmes impôts que vous et moi qui sommes dans les grands centres urbains et n'auront plus accès, pour les gens qui en ont besoin, à des services s'ils ne savent pas opérer un ordinateur ou ne sont pas capables de communiquer informatiquement.

Alors, les services publics en région, les services sur le terrain dont on parle, c'est vraiment des services pour pouvoir aider ces gens-là. Peut-être que c'est quelqu'un qui va être avec eux à l'ordinateur pour les aider, peut-être que c'est quelqu'un qui va pouvoir les accompagner à travers les demandes qu'ils vont faire, mais ça prend des gens sur le terrain pour répondre aux besoins de la population qui se trouve dans ces différents endroits là du Québec.

Mme Nichols : Merci pour la réponse. Puis est-ce que je comprends que, présentement, là, il y a des bureaux qui ferment, mais il n'y a pas nécessairement, là, de transition qui se fait? Le bureau ferme, puis c'est comme ça, on le retrouve... tu sais, on retrouve des versions sur le Web, puis c'est tout?

M. Daigle (Christian) : Exactement. Il n'y a pas de transition. On annonce les fermetures de bureaux. On a beau se défendre que les documents restent disponibles informatiquement, mais il n'y a pas plus d'aide sur le terrain qui se fait. Puis ce n'est pas dernièrement que ça se passe, ça se passe depuis plusieurs années qu'on ferme différents bureaux en région, qu'on amenuise les services publics des différents ministères et organismes dans les différentes régions du Québec. Alors, pour nous, c'est inconcevable, et on se doit de donner le même service à la population, que je demeure à Havre-Saint-Pierre, que je demeure à Jonquière, que je demeure à Québec, à Montréal, Valleyfield ou Rouyn-Noranda.

Mme Nichols : C'est noté. Vous avez parlé, entre autres, là, de vos inquiétudes, là, relativement aux consultations à l'externe, là, qu'on donnait beaucoup... que le gouvernement donnait beaucoup, là, de consultations à l'externe. C'est quoi, là, la réalité présentement, pour être au courant puis qu'on puisse faire, là, les ajustements, les bons ajustements, là? Là, ce que je comprends, c'est que peut-être qu'on n'a pas l'expertise puis on va la chercher à l'extérieur. Puis ça, ça semblait être une inquiétude que vous vouliez partager et même améliorer, là.

M. Daigle (Christian) : Tout à fait. Parce que, présentement, au niveau de l'expertise, on ne l'a pas à l'interne, on va la chercher à l'externe. C'est des compagnies externes qui nous donnent ce qu'on... ou qui nous disent les besoins que nous avons, ou comment trouver la solution, alors que, normalement, nous devrions être capables d'identifier les besoins, identifier la solution et évaluer si la solution qui nous est proposée par un appel d'offres par différentes compagnies ne serait pas la bonne ou est la bonne solution. Que nous n'ayons...

Mme Nichols : Intéressant. En quoi c'est intéressant, là, présentement, d'aller à l'externe? Parce que, je le sais, on parle à des gens, là, puis, des fois, on sait que, pour un même mandat, là, tu as quelqu'un qui est assis au privé puis, à côté de lui, c'est quelqu'un qui travaille pour l'État. C'est quoi... Ils sont assis un à côté de l'autre, des fois, pour le même mandat, mais il y en a un qui est mandaté, justement, là, à l'externe puis l'autre qui fait son travail. C'est quoi, la différence?

• (10 h 30) •

M. Daigle (Christian) : Oui. Bien, la différence, c'est au niveau du salaire, minimalement. On paie deux fois et demie plus cher pour aller à l'externe que pour aller à l'interne. Juste d'embaucher, même si on a augmenté les conditions de travail des gens, on économiserait en bout de ligne au niveau de gouvernement, on sauverait des millions de dollars là-dessus.

Mais il faut comprendre qu'il y a deux niveaux. Le niveau, tantôt, que j'ai commencé à parler, c'est de développer des nouvelles technologies, d'amener des nouvelles technologies. On sait qu'on n'a pas la capacité de vouloir développer tout, puis ça, on a besoin de l'externe là-dessus. Mais ça nous prend des gens pour identifier ces besoins-là, initialement. Présentement, c'est des compagnies externes qui viennent souvent identifier les besoins que nous avons ou les choses qu'on devrait avoir, alors que c'est nous qui devraient dicter ces besoins-là dans un premier temps. De plus, on devrait avoir des gens pour suivre ces besoins-là, mais, plus encore, juste de faire la maintenance, le suivi des technologies que nous avons déjà à l'interne, on est obligé d'aller à l'externe pour ça, alors que ça, c'est du travail qui est récurrent, c'est du travail qui est pérein, c'est du travail qui doit se faire en continu, et on n'est même pas capable, avec les gens que nous avons à l'interne, à cause qu'il y a trop de postes vacants, de pouvoir maintenir ce travail-là à l'interne présentement. C'est là la difficulté principale que nous avons.

Mme Nichols : Mais est-ce que c'est plus intéressant d'aller... puis là je vous pose la question comme ça, est-ce que c'est plus intéressant d'aller travailler, justement, au privé, à l'externe, que rester ici, à l'interne? Tu sais, vous dites qu'il y a déjà une différence au niveau des salaires. Mais, si on va à l'externe, c'est peut-être, justement, parce qu'il y a une formation plus... ou c'est plus précis, c'est plus à niveau. Justement, au niveau de la formation, vous en avez parlé un petit peu plus tôt, tu sais, ça va prendre un maintien au niveau de la formation. Donc, il doit y avoir des avantages, justement, pour aller à l'externe qui vont être à combler éventuellement?

M. Daigle (Christian) : Là-dessus, vous avez tout à fait raison. Outre les avantages pécuniers puis les avantages dans les conditions de travail qui sont non négligeables, le fait d'avoir des défis à l'externe, le fait de vouloir développer l'expertise, de vouloir avoir de la formation, de vouloir augmenter ses compétences, c'est des choses qui se passent beaucoup plus au niveau de l'externe présentement qu'à l'interne. Les gens à l'interne ont peu de développement, de ce qu'on a entendu des membres qui nous ont parlé. On a peu de formation, on ne développe pas cette capacité-là d'aller chercher plus ou de développer encore plus nos capacités, parce que nous avons des gens extrêmement compétents qui ne demandent, justement, qu'à aller plus loin pour donner à l'employeur. Mais, malheureusement, on ne va pas vers ça.

Mme Nichols : C'est pour ça que, moi, quand vous dites, dans votre mémoire, là, «le devoir d'exemplarité de l'État québécois», tu sais, le devoir d'exemplarité, là, c'est beaucoup. C'est beaucoup, là, les gens font confiance, justement, au gouvernement pour les protéger, les gens font confiance au gouvernement puis ils veulent s'assurer que le gouvernement, justement, a les meilleurs experts en cybersécurité, les meilleurs experts en intelligence artificielle, les meilleurs experts dans tout. Ça fait que je trouve que c'est... quand vous dites «le devoir d'exemplarité de l'État québécois», là, ça parle à plusieurs niveaux.

Puis là je comprends puis je l'ai aussi, là, dans votre mémoire, là, ce à quoi vous faites référence, justement, là, pour ce devoir d'exemplarité là. Aviez-vous d'autres suggestions relativement à l'exemplarité de l'État?

M. Daigle (Christian) : Oui, puis je vais laisser mon collègue vous en faire part.

M. Arruda (Gabriel) : Absolument. En juin dernier, si ma mémoire est bonne, le gouvernement a développé une stratégie pour, par exemple, l'intégration de l'intelligence artificielle dans l'administration publique, avec en soi des principes qui sont relativement bons, notamment le fait que les systèmes automatisés ne prendront pas de décision, puis c'est l'être humain qui va prendre des décisions dans la vie des gens. Donc, il y a tout un, dans le fond, de principe qui a été présenté dans ce projet de loi. Nous, on pense que c'est un bon premier pas, mais il faut aller plus loin. Il existe actuellement au Québec une expertise en éthique en intelligence artificielle, et le ministère devrait reprendre ces principes-là pour intégrer des principes éthiques de haute qualité sur comment on fait des systèmes automatisés au gouvernement du Québec. Il y a plein d'entreprises, il y a plein de... d'organismes parapublics qui vont être tentés de faire des solutions. Et souvent le vaisseau amiral du Québec, c'est l'État qui a des ressources qui peuvent guider le chemin. Et, dans ce cas-ci, pour tout ce qui est l'intégration de l'intelligence artificielle, l'État devrait être exemplaire là-dessus.

Mme Nichols : Très bien.

Le Président (M. Simard) : Ça vous va, chère collègue?

Mme Nichols : Oui, merci. Merci beaucoup, M.. Merci, M. le Président.

Le Président (M. Simard) : Merci à vous. Alors, puisqu'il n'y a pas d'autres interventions, nous allons remercier nos invités pour leur présence avec nous ce matin et suspendre momentanément nos travaux, le temps de faire place aux prochaines personnes qui veulent s'adresser à nous.

(Suspension de la séance à 10 h 34)

(Reprise à 10 h 48)

Le Président (M. Simard) : Alors, chers collègues, à l'ordre, s'il vous plaît! Nous sommes en mesure de reprendre nos travaux. Et nous sommes maintenant en compagnie de représentants du Syndicat des professionnelles et professionnels du gouvernement du Québec. Mme Lamarre, bonjour, soyez la bienvenue. Je crois que votre micro ne fonctionne pas.

Syndicat de professionnelles et professionnels
du gouvernement du Québec (SPGQ)

Mme Lamarre (Line) : Bonjour.

Le Président (M. Simard) : Voilà. Il marche maintenant. Mieux vaut faire une présentation avec un micro qui marche que l'inverse, hein, c'est toujours plus apprécié. Alors, auriez-vous l'amabilité de vous présenter?

Mme Lamarre (Line) : Oui, oui. Line Lamarre, présidente du SPGQ, Syndicat des professionnelles et professionnels du gouvernement du Québec. Nous représentons plus de 3 000 professionnels chez 37 employeurs différents.

Le Président (M. Simard) : Bienvenue parmi nous. Et vous êtes accompagnée de?

Mme Lamarre (Line) : Philippe Desjardins, qui m'accompagne, conseiller... conseiller aux communications, excusez-moi, et normalement il y a Marc Dean, qui aurait dû m'accompagner, qui est conseiller à la recherche.

Le Président (M. Simard) : Merci. Alors, vous disposez d'une période de 10 minutes.

• (10 h 50) •

Mme Lamarre (Line) : Merci. Alors, Mmes, MM. les députées et députés membres de la Commission des finances publiques, M. le député de La Peltrie, ministre délégué à la Transformation numérique gouvernementale et ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, bonjour. Merci aux membres de la commission de nous avoir invités à nous exprimer sur le projet de loi n° 6. Merci à nos membres de faire fonctionner cette instance.

Le SPGQ a décidé de rédiger une déclaration plutôt qu'un mémoire en raison de l'invitation faite par cette commission dans des délais très, très courts. Depuis l'élection de la CAQ, en octobre 2018, plusieurs réformes reliées aux technologies de l'information ont été faites, notamment le projet de loi n° 14, favorisant la transformation numérique de l'administration publique, adopté en octobre 2019, le projet de loi n° 37, visant principalement à instituer le Centre d'acquisitions gouvernementales et Infrastructures technologiques Québec et abolissant le Centre de services partagés du Québec, adopté en février 2020, et, maintenant, le projet de loi n° 6.

Nos quelque 800 membres à l'ITQ réclament plus de stabilité pour bien servir les citoyens. Le p.l. n° 14 a permis au gouvernement d'aller de l'avant avec la privatisation de la gestion infonuagique de 80 % des données colligées par les ministères et organismes gouvernementaux. Les 20 % restants correspondant aux données les plus sensibles seraient dorénavant gérés par l'expertise interne du gouvernement. Une partie des problèmes de rareté de main-d'oeuvre dans le secteur des technologies de l'information devait se régler en regroupant des ressources affectées ailleurs. Le p.l. n° 6 abolit l'ITQ et crée un ministère de la Cybersécurité et du numérique. ITQ est en place depuis à peine un an, et, déjà, on réorganise. On serait en droit de se demander pourquoi. Les membres du SPGQ travaillent au gouvernement pour offrir des services de qualité aux citoyens, et les multiples réorganisations administratives ne les aident pas. C'est un gaspillage de ressources humaines et financières qui pourraient être utilisées autrement, plus efficacement. La majorité des employés conservent les mêmes responsabilités. Cependant, ces multiples refontes sapent le sentiment d'appartenance à l'organisation. Sans ce sentiment d'appartenance, il ne faut pas se surprendre de la difficulté à recruter et à retenir le personnel. La proportion de postes vacants en ressources informationnelles a augmenté de 2015 à 2019, passant de 6,9 % à 13,4 %, ce qui démontre des difficultés de recrutement pour ce type de personnel.

En outre, dans un sondage réalisé en 2019 auprès des professionnels du SPGQ, 40 % des 242 chefs d'équipe des analystes de l'informatique et des procédés administratifs ont dit éprouver beaucoup de difficultés à recruter des 108.

Le SPGQ se questionne, donc, sur la planification, la vision du gouvernement et le véritable enjeu de cette réorganisation. La transformation en ministère aidera-t-elle vraiment? Une réorganisation administrative implique de refaire la structure d'organisation, le site Internet, les adresses courriel, les entêtes, les logos, les formulaires, etc. Les transformations apportées au système informatique SAGIR liées à la création d'ITQ ne sont même pas terminées. On recommence pour la création d'un nouveau ministère.

La cybersécurité concerne environ 10 % des effectifs. ITQ donne de multiples contrats à l'externe dans ce domaine. Nos membres à l'ITQ sont très préoccupés par le maintien de l'expertise interne. Les contractuels externes documentent très peu leur travail, ce qui limite les transferts de connaissances. Il serait plus judicieux de former de nouveaux employés et de les garder plutôt que de faire appel à des ressources externes.

Techniciens et professionnels quittent leur emploi car ils peuvent trouver de meilleures conditions de travail chez les concurrents privés. Cela cause des problèmes de stabilité dans les équipes de travail. Le roulement de personnel est élevé, selon ce que nous rapportent nos membres. L'équipe restante doit se répartir le travail pour pallier ces départs, et de nombreuses surcharges de travail sont dénoncées.

Depuis plusieurs années, la rémunération des experts en TI du gouvernement n'est pas concurrentielle avec le secteur privé et les autres secteurs publics, fédéral, municipal, sociétés d'État, universités. Le gouvernement est prêt à payer chèrement les consultants plutôt que de mieux rémunérer ses experts internes qui effectuent le même travail. Pourquoi ne pas payer ces consultants pour faire de la formation et transférer leurs connaissances, ce qui renforcerait l'expertise interne de l'organisation?

Le gouvernement sous-estime l'importance de la formation de sa main-d'oeuvre. Une compétence, ça se développe. En informatique, en cybersécurité, rester à jour est le nerf de la guerre. Le gouvernement doit, donc, investir dans la formation de son personnel. Un nouveau ministère corrigera-t-il la situation de la dépendance grandissante de l'État envers des sous-traitants des multinationales étrangères? Récemment, le premier ministre Legault a dévoilé sa nouvelle vision économique pour la relance postpandémique. Il veut prioriser les entreprises et les produits du Québec dans les achats publics. À quand une réelle prise en charge numérique pour et par le Québec dans les institutions gouvernementales?

Le SPGQ note que des milliards de dollars avaient été perdus en dépassement des coûts dans les projets informatiques du gouvernement au cours des dernières années. Les projets privés coûtent plus cher aux contribuables, la preuve en est faite à de multiples reprises. Dans les cas de SAGIR, RENIR, du Dossier santé Québec, les dépassements de coûts représentaient de 10 à 15 fois la valeur de la soumission initiale.

Permettez-nous quelques suggestions : rapatrions l'expertise interne du gouvernement en fermant le robinet de la sous-traitance abusive, donnons à la main-d'oeuvre interne les moyens de leurs ambitions, soutenons la formation de nos experts, créons notre propre expertise. C'est le rôle du gouvernement d'être un chef de file, d'être exemplaire. Pour miser sur la meilleure main-d'oeuvre, offrons la meilleure rémunération, les meilleures occasions de développement, les meilleures conditions de développement. Travailler à la mission étatique, en être le promoteur et l'artisan, ce n'est pas rien, ça donne un sens au travail. Le gouvernement doit soutenir cette ambition pour mieux recruter.

Rappelons qu'en 2012, 2014, 2015 et 2018, le Vérificateur général du Québec a dénoncé le recours important du gouvernement aux ressources externes et à la sous-traitance en technologie de l'information, particulièrement dans les fonctions stratégiques. Le ministre Caire aura tout un défi devant lui, gérer une organisation de 2 000 employés avec un budget de 4 milliards.

Les attentes de nos membres qui seront intégrés dans son nouveau ministère sont élevées. Ils réclament de la stabilité, du respect, que l'on valorise leur expertise et qu'on écoute leurs idées pour améliorer les services informatiques de l'État à moindre coût. Au moment où le ministre déposait son projet de loi à l'Assemblée nationale, les médias rappelaient les problèmes d'attraction et de rétention du personnel dans le secteur des TI au gouvernement.

Convaincre les meilleurs informaticiens, analystes, concepteurs, spécialistes de la sécurité informatique de venir travailler pour l'État constitue un défi monumental et presque impossible à relever avec les conditions salariales actuelles. Au moins 1 000 postes étaient à combler au gouvernement dans les domaines liés à l'informatique.

Le SPGQ a dénoncé à de multiples reprises cette situation; les experts de l'État, toutes fonctions confondues, doivent bénéficier d'une rémunération concurrentielle. Nous tendons la main au ministre et aux membres de la commission, le SPGQ souhaite collaborer pour renforcer l'expertise interne du gouvernement notamment en TI et mettre fin, là où cela est possible, à la sous-traitance abusive. Le personnel professionnel de l'État représenté par le SPGQ se préoccupe de la prestation de services de qualité aux citoyens au meilleur coût possible, mais il a souvent l'impression de prêcher dans le désert.

À titre d'exemple, la valeur des contrats de service a atteint près de 3 milliards pour l'année 2019‑2020, une somme colossale dont la majeure partie enrichit les firmes privées. C'est près de deux fois la valeur de la masse salariale des professionnels de l'État. Cette tendance à confier de plus en plus de missions de l'État au secteur privé menace la quantité et la qualité des services que les contribuables québécois pourront s'offrir dans le futur. Encore une fois, comment la création d'un ministère corrigera-t-elle cette situation? Le projet de loi n'offre aucune garantie. Je vous remercie de votre attention.

Le Président (M. Simard) : Merci à vous, Mme Lamarre. Je cède maintenant la parole à M. le ministre.

M. Caire : Oui, merci, M. le Président. Mme Lamarre, M. Desjardins, merci beaucoup de votre présence. Mme Lamarre, beaucoup de choses dans votre présentation, j'irais sur notamment la formation, parce qu'on en a discuté avec vos collègues du SFPQ tout à l'heure, de la formation, moi, c'est quelque chose, moi, qui me parle beaucoup, mais, dans votre présentation, je ne sais pas si vous avez tenu compte de ce qu'on a fait avec l'ATN, l'Académie de transformation numérique, il y a quand même une offre de formation qui m'apparaît importante qui a été mise en place, à la disposition de nos ressources, à l'interne, autant au niveau de la fonction publique que des professionnels.

Donc, peut-être, j'aimerais vous entendre là-dessus. Est-ce que, là-dedans... est-ce que vous trouvez qu'il y a des lacunes, il y a des manques, les formations ne sont pas assez complètes, elles ne vont pas assez loin, l'offre n'est pas suffisamment diversifiée? Vous le voyez comment, ça, ce qu'on a mis en place avec l'ATN, pour la formation de notre personnel?

• (11 heures) •

Mme Lamarre (Line) : Écoutez, ce que nous, on entend, sur le terrain, là, c'est qu'il n'y en a pas assez, de formations. Avant de venir en commission, vous comprendrez qu'on a contacté nos gens qui travaillent en informatique dans les différents ministères. On a contacté nos membres. Ce qui nous est dit, là, c'est qu'il y a très peu de formations qui sont données et très peu de formations qui sont pertinentes et qui permettent de faire un pas en avant, des formations qui permettent de vraiment rendre les personnes qualifiées, et des formations qui sont, donc, qualifiantes.

Et là je ne vous le cacherai pas, là, vous parlez à une ancienne enseignante qui a été conseillère pédagogique longtemps. Alors, c'est de ça dont on parle. Ce qu'il manque, ce sont des formations qualifiantes qui permettraient aux gens d'être en avant de la parade. Souvent, là, ils sont en retard, puis pas parce qu'ils le veulent, là, parce qu'ils n'ont pas les outils pour faire le travail qu'ils pourraient faire, ce qui fait que, là, ils se retrouvent avec des compagnies externes qui viennent s'asseoir à côté d'eux pendant deux, trois, quatre, cinq ans et qui, eux, sont au fait des formations, au fait de l'état de l'informatique dans notre société. Et ça, c'est un peu déplorable, parce que nos gens, ce qu'ils veulent, c'est être les meilleurs.

M. Caire : Bien, écoutez, je l'ai dit tout à l'heure, je le redis, là, vous prêchez un converti. Moi, je suis tout à fait d'accord pour internaliser l'expertise, c'est la raison pour laquelle on a mis en place l'ATN. Et j'aimerais ça, Mme Lamarre, qu'on puisse peut-être, ici et ultérieurement, avoir des échanges, parce que ma perception, puis, écoutez, corrigez-moi si ma perception n'est pas la bonne, c'est que l'offre, elle est présente, elle est diversifiée, mais il semble y avoir comme un gap entre ce qui se vit sur le terrain, ce que vous nous rapportez, puis ce que nous, on met en place. Puis j'aimerais ça savoir où est-ce qu'il est, ce gap-là, puis comment on le corrige. Je ne sais pas comment vous, vous voyez ça, là. Parce que c'est la volonté qu'on a exprimée dès le départ, puis qui se traduit par l'Académie de transformation numérique, d'offrir ces formations-là à nos gens, de s'assurer qu'il y a une montée en compétences, de s'assurer qu'on internalise autant que faire se peut cette expertise-là.

Puis ça s'est traduit, d'ailleurs, puis là-dessus aussi j'aimerais vous entendre, parce que, là, on parle plus des professionnels, mais, quand on a mis en place le Centre québécois d'excellence numérique, le Centre gouvernemental de cyberdéfense où, là, on est vraiment... on s'adresse vraiment peut-être un peu plus aux professionnels du gouvernement, comment vos membres ont vu ça, ce regroupement-là de nos expertises, justement, pour avoir cette montée en compétences là?

Mme Lamarre (Line) : Actuellement, ce qu'on... pour ce qui est de la formation, vous avez raison, là, il y a une différence entre, je pense, votre volonté, vos volontés et ce qu'il se vit sur le terrain réellement. Est-ce que parce que, justement, il y a beaucoup de mouvement de personnel, les gens commencent des formations puis c'est eux qui quittent? Pourquoi est-ce que ceux à qui on a parlé nous disent : Non, non, il y a... ça ne va pas, la formation, là, on n'est pas là, on n'est pas là du tout. Est-ce que c'est une gestion de proximité qui est déficiente? Je ne peux pas vous répondre à ça parce que vous comprendrez qu'à 10 jours d'avis on a fait notre tournée très rapidement.

Votre deuxième question, qui était... puis là j'ai oublié, pouvez-vous me la rappeler?

M. Caire : Peut-être, je vous... parce qu'on a... je vous dirais que, vous et moi, on n'est pas si loin l'un de l'autre, parce que, quand on a mis le Centre québécois d'excellence numérique en place, c'était, justement, pour avoir cette... regrouper cette expertise-là, plutôt que de l'avoir un peu dispersée un peu partout dans l'appareil public, de la regrouper et de la mettre au service de la collectivité de l'appareil public. Donc, le principe, c'était, justement, d'avoir notre propre firme de consultants à l'interne et de dire que cette expertise-là, elle se fait au bénéfice de l'ensemble. C'était la même chose au niveau du Centre gouvernemental de cyberdéfense, où on a voulu regrouper nos meilleurs en termes de cybersécurité. Je voulais voir un peu comment vos gens percevaient ça sur le terrain, là, ces organisations-là qu'on a mises en place.

Mme Lamarre (Line) : Bien, je pense qu'au moment où on a fait ça, au moment où on a voulu créer ou on a créé, en tout cas, l'ITQ, même si ça a eu une vie très courte, je pense que nos gens étaient très fiers de ça, je pense qu'ils étaient très contents de cette idée-là de devenir enfin des chefs de file, d'être effectivement le consultant interne, je mets des guillemets, d'être l'expert interne. Sur ça, je pense qu'ils étaient là, d'où peut-être un peu leur sentiment actuellement de se dire : O.K., mais là on était l'ITQ, on était important, on était là, et là on se vire, après moins d'un an ou à peine un an, on s'en va en ministère. Et là il y a un flottement, là, on le sent chez nos gens, là, il y a un flottement, ils ne comprennent pas trop pourquoi on est passé de l'un à l'autre, et ça, ça les déstabilise. Pour eux, je pense que l'image ITQ leur plaisait beaucoup. Est-ce que l'image ministère leur plaît autant, là, je vais mettre un point d'interrogation. On n'a pas eu le temps de sonder ça, mais c'est une chose qui est intéressante et qu'on va aller sonder auprès de nos gens.

M. Caire : Oui. Bien oui, puis ça va être intéressant de s'en reparler, moi, en tout cas, je vais être très intéressé. Mais je vous dirais, puis peut-être le message que vous me donnez l'opportunité de passer, c'est que l'idée du ministère par rapport à ce qu'on fait actuellement, c'est que le Conseil du trésor, vous le savez, Mme Lamarre, vous avez une bonne expérience de l'administration publique, c'est un ministère de contrôle. Et donc cette expertise-là qu'on regroupait au sein des différentes organisations était une expertise de conseil et de surveillance, mais le volet opérationnel, on ne pouvait pas l'avoir, et c'est là où on est obligé de sous-traiter.

Donc, avec le ministère, on va gagner tout l'aspect opérationnel, conception, réalisation, mise en production et gestion du cycle de vie, ce qu'on peut faire, ce qu'on va pouvoir faire, en fait, dans un ministère à part entière, ce qu'on ne peut pas faire au Conseil du trésor. Parce que le Conseil du trésor, comme je le dis, c'est le contrôleur des dépenses du gouvernement, donc il ne peut pas avoir ce bras séculier là, il ne peut pas se contrôler lui-même et contrôler ses propres projets. Donc, l'idée du ministère, c'est de se donner une dimension gouvernementale, de se donner un volet opérationnel puis d'être capable de prendre en charge les projets qui sont d'intérêt commun, ce qu'on ne pouvait pas faire. Et donc tous les projets qui sont d'intérêt gouvernemental pourront être conçus, réalisés et mis en production au sein du ministère, ce qu'on ne peut pas faire au Conseil du trésor, encore une fois.

Donc, je pense, en tout cas, ma conception de ce que nous sommes en train de faire, puis vous comprendrez que là je prêche pour ma paroisse, comme on dit, c'est de se donner une dimension supplémentaire. Puis aussi, au niveau de la cybersécurité, c'est vos collègues du CFPQ qui en ont parlé, je pense que le gouvernement, ça peut devenir une mission régalienne de l'État, de s'assurer d'avoir cette notion-là de cybersécurité qui va transcender la simple administration publique et qui va nous amener à jouer un rôle dans la société civile peut-être un peu plus grand, encore une fois, ce qu'on ne peut pas faire dans un... au Conseil du trésor et ce qu'on va pouvoir faire dans un ministère.

Donc, c'est un petit peu ça, le principe. Mais je comprends de ce que vous me dites, Mme Lamarre, que ces explications-là, il y aurait un intérêt à ce qu'elles descendent, là, partout dans notre organisation, puis actuellement ce n'est peut-être pas le cas, et ça, j'en prends la responsabilité.

Mme Lamarre (Line) : Je pense qu'un grand, grand... un grand défi que vous allez avoir, c'est cette gestion du changement là, parce que le passage a été rapide en trois... le CSPQ, l'ITQ puis le ministère, là, c'est un changement trop rapide pour la capacité de vos ressources humaines d'absorber tous ces changements-là, et de s'y retrouver, et de comprendre pourquoi on a fait ce détour-là. Vous allez avoir une grande gestion de changement à faire, si vous voulez que vos gens s'y retrouvent, et vous allez avoir besoin de leur donner du support, de leur faire sentir qu'ils sont les réels acteurs de cette chose-là. Si c'est là où vous voulez aller, si j'en crois vos paroles, et j'aurais envie d'y croire, bien, je vous dirais : Appelons-nous... appelez-nous, on va s'asseoir avec vous, on va vous aider. Nous, tout ce qu'on veut, c'est que nos gens soient heureux dans leur milieu de travail. Actuellement, ils sont déstabilisés.

M. Caire : Bien, on partage ce point de vue là. Moi, je crois, je l'ai dit à vos collègues, je crois beaucoup à l'internalisation des compétences. Je crois beaucoup au fait que les défis qu'on a dans la transformation numérique et la cybersécurité, c'est des défis qu'on doit offrir à nos gens préalablement.

Il y a peut-être quelque chose que je me dois de répéter, là, je l'ai dit initialement, vous comprendrez que le ministère de la Cybersécurité et du Numérique, si l'Assemblée nationale adopte le projet de loi, n'aura pas pour mandat de gérer ses propres conventions collectives. Ça demeure une prérogative qui relève exclusivement du Conseil du trésor. Ceci étant dit, sur vos représentations, je les entends, vous n'êtes pas la seule à les faire.

J'aimerais ça peut-être vous entendre aussi sur le projet de loi à proprement parler. Est-ce que vous considérez que le ministère de la Cybersécurité et du Numérique, tel qu'il est libellé dans la loi, a tous les outils pour répondre au mandat dont je viens de parler, là, succinctement? Mais est-ce que vous considérez qu'on aura tous les outils pour répondre à ce mandat-là à titre de ministère autant dans la gestion de nos ressources, mais aussi dans la livraison des projets, dans l'exécution de nos mandats puis dans l'exécution des différentes tâches que la loi va confier au ministère? Est-ce que vous considérez qu'on aura tous les outils ou si vous voyez qu'il y a peut-être des choses additionnelles à prévoir?

Mme Lamarre (Line) : D'abord, on pense que l'initiative n'est pas mauvaise, c'est juste que la vitesse de changement est importante, et on a l'impression que... de l'extérieur, l'image, c'est que ça a cafouillé un peu entre le CSPQ et maintenant le ministère. Il y a eu un passage qui a compliqué la vie et qui a déstabilisé nos employés... nos membres, vos employés.

Est-ce que le ministère a tous les outils? Écoutez, le diable est toujours dans les détails. Dans le projet de loi, ça nous semble correct, ça nous semble bien, il semble y avoir les éléments qui sont nécessaires. Maintenant, on verra dans l'application de tout ça, dans la mise en oeuvre de tout ça. Et à 10 jours d'avis pour répondre à ça, ça a été un peu compliqué de faire l'analyse. On est, donc, resté un petit peu sur notre faim en termes d'analyse. On est un petit peu... on s'est sentis un petit peu bousculés, vous l'avez entendu dans mon propos. Alors, c'est difficile de répondre à la question, parce que tout ça va arriver par comment ça va faire... Et là nous, on est sur : Bien, est-ce que, dans un an, on décidera que c'est autre chose? Alors, on est un petit peu sur nos gardes, je ne vous le cacherai pas, là. On voudrait... Si on décide que c'est un ministère, et qu'on s'y investit, et qu'on donne les outils à nos gens, et qu'on fait vraiment de ce ministère-là quelque chose d'avant-garde, et qu'on se donne les moyens de le faire, et on oublie les conventions collectives, là, je ne parle pas d'argent, je parle de sentiment d'appartenance, je parle de bonheur au travail des gens qui iront travailler là et qui feront en sorte qu'on attirera les meilleurs, bien, je vais vous suivre. Mais, pour le moment, on est toujours en... on est un petit peu en attente.

M. Caire : Bien, sur ce que vous venez de dire, Mme Lamarre, c'est extrêmement intéressant, parce que je vous dirais que c'est l'objectif. Et donc comment doit-on s'y prendre pour l'atteindre, cet objectif-là, pas simplement rendre les gens heureux, parce que ça, je pense que ça devrait être un souci quotidien, mais par rapport, je vous dirais, mettons, à la Stratégie de transformation numérique, où on parle effectivement d'impliquer de plus en plus nos employés, de revoir nos environnements de travail, stratégie qui a été adoptée en 2019, là? Je suis convaincu que vous l'avez lue de long en large et en travers. Outre ces éléments-là qui sont déjà intégrés à la Stratégie de transformation numérique 2019‑2023, quels sont les éléments qu'on peut mettre en place pour fédérer nos gens? Dans un premier temps, je pense que ça, c'est l'objectif, c'est de garder les ressources qu'on a déjà en place. La montée en compétences, bon, bien, ça, on en a parlé avec l'Académie de transformation numérique, là, on comprend qu'il y a une gestion à faire au niveau de... non seulement de l'offre, mais du fait que les gens suivent. Mais, dans l'environnement, dans les défis, dans l'utilisation des externes de façon temporaire, le temps que les équipes aient cette autonomie-là, comment... qu'est-ce qu'on met en place comme plan de match pour aller vers ce que vous nous proposez?

• (11 h 10) •

Mme Lamarre (Line) : C'est une très large question. Puis, quand je vous parle de bonheur au travail, là, je ne suis pas en train de parler en termes jovialistes de la chose, là, mais le bonheur au travail, c'est d'avoir les bons mandats, hein, et d'avoir des mandats significatifs. Quand les meilleurs mandats sont donnés aux firmes externes, bien, nos gens à l'interne, ils se sentent dévalorisés. Alors, avoir les meilleurs mandats guidés par des gens de l'interne, qui reçoivent la formation adéquate et qui se sentent optimaux dans leur analyse des dossiers qu'ils ont à faire, donc d'avoir en plus un support, des équipes qui sont supportantes, d'avoir tout ce qu'on a besoin pour bien mener à terme, c'est ça qui donne un bonheur au travail. Au-delà d'avoir une équipe sympathique et souriante, là, c'est la reconnaissance que le ministère va donner à ses employés. Et cette reconnaissance-là, elle passe par la reconnaissance de la compétence, la reconnaissance des activités, la reconnaissance du travail effectué, et comme vous le dites, et ça ne relève pas de vous, mais la reconnaissance monétaire qui vient avec, et ça, on discutera avec le Secrétariat du Conseil du trésor là-dessus.

M. Caire : Là, je vous entends sur les mandats, puis, encore là, je pense qu'on va bien se comprendre, vous et moi. Ceci étant dit, puis là peut-être, effectivement, cette question-là s'adresse particulièrement à vous, Mme Lamarre, parce que, dans la conception, on comprend que c'est nos ressources professionnelles qui sont impliquées. Et je reviens, là, sur cette idée-là qu'on a mise en place avec le Centre québécois d'excellence numérique, avec le Centre gouvernemental de cyberdéfense, comment on fait évoluer ces concepts-là et quels sont les choses qu'on devrait mettre en place. Est-ce qu'on parle de veille technologique? Est-ce qu'on parle d'intégration à l'écosystème? Comment on fait pour faire évoluer ces concepts-là mais garder nos ressources, fédérer nos ressources, les faire monter en compétences puis s'assurer qu'on aura toujours l'expertise? Parce que je le disais tantôt avec vos collègues, l'expertise en soi... l'expertise n'est pas une fin en soi, dans le sens où on peut être un expert mais dans une technologique qui est désuète. Alors, oui, on a l'expertise, mais la technologie n'est plus d'actualité. Donc, comment on peut, à travers le ministère, s'assurer que ce concept-là, ce principe-là d'expertise, mais d'expertise dans l'innovation, perdure? Comment on l'intègre au projet?

Mme Lamarre (Line) : Bien, il y a une seule façon de faire ça, à mon avis. Mais donnez-moi deux mois, je vous donnerai un plan de match complet, mais là on changera peut-être ma propre rémunération si je vous fournis toutes les solutions. L'expertise des gens, l'expertise des gens passe par la formation, par cette connexion en avant de la ligne en permanence. Donc, ils doivent être... Vous nous dites une veille, oui, il y a une veille, assurément, il faut faire une veille. Mais, au-delà de faire une veille, il faut donner à ces gens-là, qui ont étudié dans une formation dans des plateformes qui sont aujourd'hui désuètes, il faut leur donner la formation pour faire les transferts. Ils ont les bases. Ils ont les bases. Donnons-leur maintenant les moyens d'être en avant, et ça, il n'y a pas d'autre façon de le faire que par la formation, par le travail d'équipe, hein, parce que souvent on peut être un expert d'un petit morceau, mais, quand on additionne toutes les expertises ensemble, on devient bien meilleur, vous le savez, donc le transfert de connaissances, cette capacité de reconnaître que chaque être humain peut continuer à s'améliorer, plutôt que de dire : Bon, il est désuet, passons à un autre, là. Les êtres humains ne sont pas des outils jetables, ce sont des apprenants qui peuvent s'améliorer en tout temps, donnons-leur les moyens de faire ça. Et, quand on leur donnera les bons défis devant eux, ils vont s'animer.

Actuellement, puis vous le savez, M. Caire, vous connaissez le milieu, on a des externes, des firmes externes qui sont assises sur des chaises depuis 10 ans et qui contrôlent certains mandats très intéressants que nos membres réclament depuis 10 ans. Et là on parle d'une sous-traitance permanente. Ça n'a pas de sens. J'espère et j'ai confiance, M. Caire, que vous allez faire en sorte que ce nouveau ministère là donnera aux gens de la fonction publique, ceux qui se sont engagés pour la mission étatique, j'espère que vous leur donnerez les moyens de montrer ce dont ils sont capables. La pandémie vient de démontrer qu'ils sont capables de tenir l'État à bout de bras en télétravail sans support. Ils sont pleins de ressources, nos gens, mais donnons-leur les bons mandats. Arrêtons de croire que les bonnes choses arrivent de l'externe. Les bonnes choses peuvent arriver de l'interne.

M. Caire : Bien, je vais me risquer vers une dernière question, Mme Lamarre, parce que vous parlez de formation, puis, bon, comme je vous l'ai dit, vous prêchez un converti, mais je pense qu'on parle de quelque chose qui va au-delà de la formation, je pense qu'on parle de quelque chose qui ressemble plus à une gestion de carrière. Et ça, c'est quelque chose que je ne retrouve pas nécessairement au niveau TI parce que...

Le Président (M. Simard) : En conclusion, s'il vous plaît.

M. Caire : Bon, on aura l'occasion, Mme Lamarre, de se reparler dans un autre contexte, mais, en tout cas, j'aimerais ça voir votre vision, comment on peut, sans assumer la gestion de tous les employés de l'État, s'assurer, là, qu'on...

Le Président (M. Simard) : Merci. Mme la députée de Saint-Laurent, à vous la parole.

Mme Rizqy : Merci beaucoup. Bonjour, Mme Lamarre. Contente que vous soyez avec nous aujourd'hui. D'entrée de jeu, permettez-moi de vous dire merci, à vous et vos équipes, parce qu'effectivement vous l'avez mentionné brièvement, que, lorsque nous avons été frappés par la pandémie, des milliers et millions de travailleurs ont été obligés de faire un virage grand V, à vitesse grand V pour travailler, bien, en fait, en télétravail, et vos équipes ont travaillé, je vais le dire clairement, jour et, dans certains cas, nuit pour être capables d'absorber cet afflux de travailleurs en télétravail. Alors, merci à vous tous. On s'est déjà rencontrés. Et un jour vous m'avez raconté quelque chose, une réalité qui est malheureusement existante pour bien des gens qui travaillent, de vos membres, vous me donniez l'exemple qu'il y a ceux qui travaillent pour la fonction publique, mais qu'il y a des contractuels. Donc, sur le même étage, même unité de travail, il n'était pas rare de voir un travailleur de la fonction publique et, juste à côté de lui ou d'elle, un contractuel qui fait exactement la même tâche. Je crois que ça, c'est très méconnu du grand public. Pouvez-vous, s'il vous plaît, nous en parler afin qu'on puisse aussi, là, régler ce phénomène qui est hautement préoccupant?

Le Président (M. Simard) : Merci. Mme Lamarre.

Mme Lamarre (Line) : Effectivement, Mme Rizqy, vous avez bien raison, et ce fut un plaisir de vous rencontrer. Donc, contente de vous retrouver. Effectivement, c'est un problème, et on a failli... le SPGQ a eu l'intention à un moment donné de faire une campagne sur ça, d'aller prendre en photo les cubicules de certaines compagnies qui sont là depuis 10 ans et prendre en photo la pile de papiers, la poussière qui est là parce qu'ils sont là en permanence depuis sept, huit, neuf, 10 ans. Vous avez un collègue qui n'est pas un employé de l'État mais à qui on fournit le matériel, les lieux, l'espace, la papeterie, et qui est pourtant un consultant. Donc, en plus de payer la personne qui est assise sur la chaise à côté de vous plus cher que vous pour faire des mandats qui souvent sont plus intéressants, parce qu'on pense, en informatique au Québec, demandez-moi pourquoi, là, on pense que tout ce qui vient d'un sous-traitant est mieux fait que ce qui vient de l'interne... Bon, on a juste à regarder certaines débâcles puis on va comprendre que ce n'est peut-être pas ça la réalité. Donc, imaginez, là, l'employé, là, lui, qui travaille, qui a son salaire de fonctionnaire et qui voit l'autre qui a un meilleur salaire, mais, en plus d'avoir un meilleur salaire, on donne à cette personne-là un surplus parce qu'il faut qu'on paie l'entreprise qui la fournit, il faut qu'on paie le secrétariat de l'entreprise qui la fournit. Donc, on va payer deux et trois fois le salaire qui est déjà plus élevé que celui de la personne à l'interne, et on leur donne les meilleurs mandats. Bien, à un moment donné, on se demande pourquoi les gens de la fonction publique sont désabusés, pourquoi ça ne leur tente pas de s'engager, bien, écoutez, je pense qu'on a la réponse.

Moi, quand on me méprise, habituellement, là, je tombe rapidement sur le frein. Mais ils sont là, parfois, puis certains continuent, là. Moi, je suis étonnée, éblouie par leur capacité de se dire : Bien, on me méprise, mais je continue, je continue puis je vais leur montrer, puis je vais leur prouver que je suis meilleur.

Et la pandémie, là, ça a été magique. Ils ont prouvé qu'ils pouvaient tenir l'État à bout de bras. Et là on ne fait pas des blagues, là, les professionnels de l'État n'ont eu aucun bris de service dans ce qu'ils ont fait, c'est incroyable. Écoutez, on n'avait pas d'ordinateur, on n'avait pas d'outil, on n'avait pas de support, on n'avait pas d'encadrement. Ils se sont pris en main puis ils ont rendu le travail. Bien, moi, là, je n'ai pas entendu le premier ministre dire : Chapeau, la fonction publique, et je l'ai encore sur le coeur, je peux vous le dire.

• (11 h 20) •

Mme Rizqy : Bien, chapeau, la fonction publique. Et je tiens peut-être à faire une petite rectification. Vous, quand on vous méprise, non, vous ne pesez pas sur le frein, au contraire, vous montez au front, et heureusement, parce que vous le faites pour des milliers de travailleurs de la fonction publique.

Je vais quand même revenir sur certains éléments, parce qu'ils sont vraiment importants, et je crois que, si on veut créer un ministère du numérique, il faut s'assurer aussi de régler des problèmes qui existent maintenant depuis plusieurs années. Donc, il arrive que nous avons des fonctionnaires de l'État, qui eux... juste à côté d'eux, une autre personne est un consultant, pas pour une année, pas pour un mandat de trois mois, six mois, mais revient pour six, sept, 10 ans et, vous avez dit, des fois gagne jusqu'à deux à trois fois le salaire d'un employé de la fonction publique. C'est bien ça?

Mme Lamarre (Line) : Oui. Écoutez, sous-traitance... la masse salariale des professionnels de l'État, 1,7 milliard, sous-traitance, 3 milliards. Ça fait que je paie deux masses salariales à l'externe, à peu de choses près.

Mme Rizqy : C'est énorme.

Mme Lamarre (Line) : C'est énorme. C'est énorme. On a dénoncé ça au premier ministre quand on l'a rencontré au mois de mai... mai, juin, là, je ne me... et on lui a dénoncé ça, il a été très réceptif, on lui a dit : On va vous envoyer notre rapport sur la sous-traitance et appelez-nous, n'importe quand, on va s'asseoir avec vous puis on va en chercher, des solutions pour faire des économies, et on peut en faire, on peut en faire beaucoup. On a envoyé nos documents puis on est en attente du retour.

Mme Rizqy : Donc, on va prendre un engagement d'un retour du ministre. Alors, je vais passer la parole à ma collègue la députée de Vaudreuil. Merci beaucoup, Mme Lamarre, pour vous, puis aussi merci à tous ceux qui ont travaillé, parce que ça a été tout un virage qui a été opéré avec cette pandémie. Merci vraiment.

Mme Lamarre (Line) : Merci beaucoup.

Le Président (M. Simard) : Mme la députée.

Mme Nichols : Merci, M. le Président. Alors, j'adhère aux propos de ma collègue, et, évidemment, un gros merci. Je pense que l'ensemble des Québécois, là, ont pu en bénéficier. Ils ne sont pas toujours conscients ça vient de qui, ça vient d'où, mais on est ici, en commission, puis on peut prendre, justement, là, le moment pour transmettre nos remerciements. Alors, ma collègue de Saint-Laurent, évidemment, est la bonne porte-parole sur ce sujet-là. Donc, voilà, un gros merci.

Le groupe avant vous en parlait, faisait entre autres, là, référence à l'exemplarité, au devoir d'exemplarité de l'État. Le devoir d'exemplarité de l'État, c'est gros, mais, tu sais, pour les citoyens, c'est significatif aussi. Je reprends un peu la même question. Aux yeux des citoyens, là, le gouvernement, l'État est celui qui devrait mieux les protéger, devrait être celui qui voit à la sécurité des aînés, à la sécurité des personnes les plus vulnérables. Vous devez aussi certainement avoir une vision sur l'exemplarité de l'État. Est-ce qu'on peut vous entendre un peu sur cette citation?

Mme Lamarre (Line) : Vous m'amenez sur un terrain qui... je le disais tantôt à mon collègue Philippe : Un jour, on me mettra une peau de banane, et je glisserai dessus. Alors, je me prépare à glisser dessus. Merci pour la question. Écoutez, vous habitez Québec, c'est une réalité que vous vivez tous les jours, les fonctionnaires y sont nombreux, et pourtant le dénigrement du fonctionnariat, il est à son maximum dans la région, les radios de toutes sortes méprisent les fonctionnaires, les mauvaises blagues sur le travail des fonctionnaires.

Vous savez, l'État fournit d'innombrables services aux citoyens, gratuitement et de manière assez invisible dans le travail de ceux qui font ce travail-là, hein? On oublie que, pour avoir notre permis de conduire, notre renouvellement de permis de conduire dans la boîte postale, hein, qui nous arrive sans qu'on ait à se poser de question, il y a le travail de probablement une centaine de personnes derrière, informaticiens, employés, professionnels, analystes, écoutez, j'oublie les titres. Il y a plein de gens qui travaillent pour que tu puisses obtenir, sans te poser de question, sans t'inquiéter, sans réfléchir, ton renouvellement de permis de conduire à la bonne date au bon moment, et que tu puisses continuer à utiliser ton auto de manière sécuritaire. C'est incroyable, ça. Puis là je vous dis le permis de conduire, voulez-vous que je vous fasse la chaîne, hein, la plaque d'immatriculation, les routes, on les construit, la signalisation sur ces routes-là. Écoutez, c'est sans fin, les services que l'État fournit, derrière lesquels il y a toujours un fonctionnaire, professionnel ou non, qui travaille à assurer que le citoyen n'ait pas à se casser la tête avec sa vie en société. Ça, c'est incroyable.

Moi, je rêve que le gouvernement mette en oeuvre une campagne de publicité conjointe avec les syndicats pour dire l'importance du travail des fonctionnaires dans notre société. Et comment on peut vivre dans une aussi belle société? Bien, c'est parce qu'il y a des gens derrière qui travaillent dans l'ombre et qu'on méprise quotidiennement dans les radios. Bien, écoutez, tantôt, Mme Rizqy disait : Je monte aux barricades. Vous me posez une question qui me donne envie de monter aux barricades.

Mme Nichols : Je le comprends, je le comprends, puis vous avez raison. Je ferais la comparaison avec les politiciens. La réputation des politiciens, c'est la même chose, hein, souvent on a une mauvaise réputation. Donc, je peux comprendre, je peux comprendre, là, les propos que vous apportez, puis c'est vrai qu'il faut le mettre de l'avant, c'est vrai qu'il faut le mettre de l'avant, hein? Souvent, on a tendance à critiquer, mais je suis d'accord avec vous qu'il faut définitivement mettre ça à la lumière, à la lumière du jour aux citoyens, parce que, tu sais, on pense souvent que ça se fait en claquant des doigts, mais ce n'est pas vrai, là, il y a des humains en arrière de tout ça, puis il faut les remercier, il faut les féliciter. Mais peut-être que les gens ne comprennent pas juste la chaîne. C'est ce qu'il faut mettre à l'évidence.

Il ne me reste pas beaucoup de temps, mais je veux juste terminer, relativement à l'exemplarité de l'État, là, quand on dit que, tu sais, le gouvernement se doit d'être exemplaire, doit prendre les mesures pour protéger les citoyens, doit... bien, en fait, vous le savez, là, les citoyens croient au gouvernement. Comment on peut faire, justement, pour avoir les meilleurs, garder les meilleurs? Parce que souvent les citoyens se disent : Ah! mais comment ça qu'on n'a pas les meilleurs? Et vous avez parlé de formation. On va à l'externe. Pourquoi on va à l'externe? Parce que c'est à l'externe, est-ce c'est le contractuel qui est meilleur? Qu'est-ce qu'il manque pour avoir cette... pour avoir... je ne veux pas dire cette expertise-là, parce que je considère qu'on l'a mais qu'elle n'est peut-être pas mise de l'avant, mais qu'est-ce qu'il manque?

Mme Lamarre (Line) : Bien, je pense que vous venez de le dire, hein, c'est de la reconnaître, c'est de l'exposer, c'est de la mettre en évidence. On a des experts. Je pense à tous les gens qui ont travaillé au ministère de la Santé et des Services sociaux pendant la pandémie. Ils ont démontré une incroyable expertise. Je pense à tous nos gens qui travaillent à la CNESST qui ont continué à faire leur boulot, ils ont montré une incroyable expertise. Mais cette expertise-là, il faut mettre la lumière dessus, il faut la démontrer, il faut la reconnaître, puis il faut cesser de la mépriser par l'attitude qu'on a.

Donc, écoutez, il y a quelqu'un qui me disait un jour : Si j'essaie de vendre quelque chose puis que je dis que ça coûte 2 $, personne ne va vouloir l'acheter, mais, si je dis que ça coûte 20 $, ils vont vouloir l'acheter. Bien, c'est la même chose. Si je mets un prix sur le travail de ces gens-là qui est digne, qui est raisonnable et qui est responsable, qui reconnaît leurs compétences, bien, les gens vont les regarder, ils vont dire : Wow! Ça, c'est vraiment des experts, as-tu vu le prix qu'on les paie? Aujourd'hui, la fonction publique, c'est l'inverse, on dit : On ne les paie pas, mais, si on ne les paie pas, c'est parce qu'ils ne le méritent pas, puis on les paie déjà bien trop. C'est ce qu'on nous dit, alors que, dans les faits, là, c'est l'inverse. Ces gens-là nous donnent... On a énormément de professionnels qui ont des maîtrises, qui ont des doctorats. Ce sont des gens qui sont des experts de contenu, des experts pointus. Il y a des gens qui ont travaillé pendant 30 ans dans la fonction publique, qui ont développé une fine pointe d'expertise. Quand est-ce que j'entends qu'on reconnaît ça? Jamais.

Bien, vous disiez tantôt : Les politiciens aussi, on est méprisés. Vous avez quand même un capital de sympathie important, et on vous reconnaît sur le trottoir. Nous, nos membres, ils sont gênés de dire qu'ils sont dans la fonction publique. Ce n'est pas drôle, être gêné de dire que tu travailles à la mission étatique. Ça ne devrait pas arriver. Et ça, l'employeur, dans son exemplarité, c'est sa job de faire en sorte que nos gens soient fiers de la mission qu'ils ont. Et ils ont une mission qui est incroyable : tenir à bout de bras un État et le faire fonctionner. Wow!

Mme Nichols : ...sûrement un lien avec la rétention du personnel aussi, là.

Mme Lamarre (Line) : Automatique.

• (11 h 30) •

Mme Nichols : Parce que, comme vous dites, on en a, là, qui sont... qui ont des maîtrises, qui sont des spécialistes, mais on n'arrive sûrement pas à les retenir, on les retrouve... c'est plus avantageux pour eux de s'en aller dans le privé ou contractuel.

Mme Lamarre (Line) : Tout à fait. Et là on pourrait vous faire une liste des gens, là, qui... c'est beaucoup plus payant d'aller ailleurs. Mais, en plus, ils vont être mieux reconnus, parce qu'on va les reconnaître, là, comme des experts, alors que, dans la fonction publique, on oublie de leur dire.

Mme Nichols : Puis est-ce que c'est lié un peu à la réticence? Parce que je vous ai entendu dire qu'il y avait une réticence à appeler ça un ministère. Donc, est-ce que c'est lié à la réticence de cette dénomination-là?

Mme Lamarre (Line) : Bien, je pense que l'image, quand tu es dans la foule, dans le public, à travers tout le monde, dire que tu travailles pour un organisme comme l'ITQ, il y a une image, hein, qui est en train de se développer, alors que, quand tu dis que tu travailles pour un ministère, bien, tous les préjugés viennent s'appliquer, c'est bien différent.

Mme Nichols : ...à l'ITQ, là, vous avez mentionné qu'il y avait quand même des membres des... les membres étaient fiers, là, de l'ITQ, les gens, ils sont contents, là, de l'ITQ, puis c'est dommage qu'il y ait un si gros changement après un an. Les points qui ont bien fonctionné, là, vous les avez répertoriés? Parce que ça, ça pourrait être un gros atout pour la suite.

Le Président (M. Simard) : Succinctement, s'il vous plaît.

Mme Lamarre (Line) : Malheureusement, les délais étaient trop courts pour qu'on puisse faire ça, mais je vais contacter le ministre Caire et on va travailler, nous, de notre côté pour avoir de l'information.

Le Président (M. Simard) : Très bien.

Mme Nichols : Merci.

Le Président (M. Simard) : Alors, merci à vous, Mme la députée de Vaudreuil, Mme Lamarre, M. Desjardins. Merci beaucoup d'avoir si aimablement répondu à notre invitation. Ce fut fort intéressant que de vous entendre.

Sur ce, nous allons suspendre momentanément nos travaux.

(Suspension de la séance à 11 h 32)

(Reprise à 11 h 43)

Le Président (M. Simard) : Alors, chers collègues, tout le monde est prêt à repartir? Très bien. S'il vous plaît! Alors, chers collègues, à l'ordre, je vous prie. Nous sommes en mesure de reprendre nos travaux. Et nous sommes en présence de représentants de la Commission d'accès à l'information du Québec.

Mme Poitras, soyez la bienvenue. Je sais que vous êtes une habituée, mais néanmoins, auriez-vous l'amabilité de vous présenter?

Commission d'accès à l'information du Québec (CAI)

Mme Poitras (Diane) : Oui, bien sûr. Mon nom est Diane Poitras, je suis présidente de la Commission d'accès à l'information et je suis accompagnée de Me Jean-Sébastien Desmeules, qui est secrétaire général de la commission et directeur des affaires juridiques.

Le Président (M. Simard) : Bien. Vous disposez d'une période de 10 minutes.

Mme Poitras (Diane) : Merci, M. le Président. Alors, la Commission d'accès à l'information tient d'abord à remercier la Commission des finances publiques de cette opportunité d'échanger au sujet du projet de loi n° 6, qui vise à constituer le ministère de la Cybersécurité et du numérique.

D'emblée, la commission accueille évidemment favorablement toute initiative de nature à améliorer la protection accordée aux renseignements personnels détenus par l'administration gouvernementale. On comprend que la création de ce ministère vise notamment à consolider différentes initiatives récentes visant à améliorer, justement, la sécurité de l'information détenue par l'État, et notamment dans le contexte numérique. En effet, l'environnement numérique comporte de nombreux avantages, mais il présente aussi de nouveaux risques, notamment en matière de cybersécurité. La création de ce ministère et certains des récents changements apportés à la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, communément appelée la LGGRI, de même que la mise sur pied du centre de cyberdéfense vise à mieux coordonner les actions en cette matière et à regrouper l'expertise. On comprend la pertinence de cette approche, dans le contexte notamment de la rareté de la main-d'oeuvre, particulièrement dans le domaine des technologies de l'information.

Ce ministère aura aussi un volet plus opérationnel, que je dirais, puisqu'il sera responsable de développer un ensemble de moyens visant à offrir aux citoyens et aux entreprises une prestation de services numériques et, pour reprendre les termes mêmes du projet de loi, d'assurer le développement, l'implantation et le déploiement de l'administration publique numérique, entre autres fonctions, évidemment. Il jouera, donc, un rôle central dans la planification et le déploiement des divers projets de transformation numérique de l'administration gouvernementale, dont celui de l'identité numérique.

Aussi, le projet de loi propose que le directeur principal de l'information, qui est nommé en vertu de la LGGRI, devienne le sous-ministre de ce nouveau ministère. Le DPI, directeur principal d'information, dispose des responsabilités horizontales d'orientation et de conseil, de coordination des différents projets, incluant ceux visant la transformation numérique de l'État. Mais il dispose aussi de pouvoirs plus contraignants et peut imposer aux organismes publics des indications en matière de ressources informationnelles.

Bref, le nouveau ministère qui est envisagé sera au coeur des décisions et des actions qui façonneront la gestion des ressources informationnelles détenues par l'État au cours des prochaines années, incluant les renseignements personnels. Les actions de ce ministère conditionneront nécessairement des choix importants qui vont avoir un impact sur la protection des renseignements personnels des Québécoises et des Québécois, que ce soit en matière de gestion et de partage de données, de sécurité de l'information, de transformation numérique, de gestion des projets en ressources informationnelles ou de gouvernement ouvert.

C'est pourquoi, en s'inspirant de ce qui existe ailleurs, notamment en Nouvelle-Zélande ou, plus près de chez nous, en Colombie-Britannique, la commission propose l'ajout d'un chef gouvernemental de la protection des renseignements personnels au sein de ce nouveau ministère. En effet, la structure de gouvernance actuelle qui est prévue et qui serait modifiée par le projet de loi à l'étude couvre les principaux aspects de la sécurité de l'information.

Or, bien que la sécurité de l'information soit un élément essentiel, la protection des renseignements personnels dans un environnement numérique, elle n'en couvre qu'un des nombreux aspects. La sécurité se concentre sur la disponibilité, l'intégrité et la confidentialité de l'information. Elle couvre, donc, un horizon différent de celui de la protection des renseignements personnels.

Pour sa part, la protection des renseignements personnels vise évidemment le respect de la vie privée des citoyens, notamment en limitant ce qu'une organisation a le droit de recueillir comme renseignements au sujet d'une personne, à quelles fins elle peut les utiliser et quand elle doit le détruire. Évidemment, elle vise aussi la confidentialité des renseignements personnels détenus par les organisations, notamment par la mise en place de mesures de sécurité adéquates, et c'est là où elle rejoint la sécurité. Mais la protection des renseignements personnels englobe un ensemble de règles qui vont au-delà de la sécurité de l'information.

Dans ce contexte, l'ajout d'une fonction spécifique concernant la protection des renseignements personnels dans la structure de gouvernance qui est en voie d'être mise en place permettrait, de l'avis de la commission, de s'assurer que les décisions et les orientations qui seront prises considèrent tous les enjeux pertinents dès le départ. Le rôle de cette personne serait aussi de développer une vision gouvernementale de la protection des renseignements personnels et de soutenir les ministères et les organismes dans leurs propres responsabilités afin d'accroître le niveau de maturité de l'ensemble de l'administration publique.

Ce soutien sera d'autant plus pertinent dans le contexte de la transformation numérique, mais aussi des obligations additionnelles que confère aux organismes publics la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — qu'on appelait, jusqu'à son adoption, le projet de loi n° 64 — notamment en matière de responsabilité et de gouvernance.

La commission croit fermement que cet ajout contribuerait à rehausser la coordination et la cohérence des actions et des mesures visant à protéger les renseignements personnels à l'échelle du gouvernement, surtout dans le contexte de la transformation numérique. Un tel ajout assurerait la prise en considération, en temps opportun, des enjeux de protection de la vie privée dans les différentes fonctions qui seraient accordées à ce nouveau ministère.

Au final, il y a, donc, une valeur ajoutée tant pour les organismes publics que pour les citoyens. Et, au même titre que toutes les mesures proposées en matière de cybersécurité, cela contribuerait à la confiance requise pour le déploiement de services numériques et d'une identité numérique.

Sans remplacer la responsabilité de chaque organisme en matière de protection des renseignements personnels, cette personne pourrait les soutenir dans leurs obligations et responsabilités, assurer une formation continue et le développement de leur expertise, offrir un service-conseil et coordonner les actions en matière de protection des renseignements personnels au sein du réseau des responsables. Elle pourrait être soutenue par le secrétariat à l'accès à l'information et à la réforme des institutions démocratiques qui joue déjà, en partie, ce rôle auprès des ministères et organismes gouvernementaux.

Le chef gouvernemental de la protection des renseignements personnels pourrait aussi assister le ministre responsable de l'application de la législation en matière d'accès à l'information et de protection des renseignements personnels. En effet, en vertu de la loi sur l'accès, ce ministre conseille le gouvernement en lui fournissant des avis sur ces questions, notamment sur des projets de législation et de développement de systèmes d'information.

La commission recommande, donc : que la fonction de chef gouvernemental de la protection des renseignements personnels soit formellement intégrée dans la législation; qu'il fasse partie de ce nouveau ministère de la Cybersécurité et du Numérique, au même titre que le chef gouvernemental de la sécurité de l'information, le chef gouvernemental de la transformation numérique ou le gestionnaire des données numériques gouvernementales; que ses responsabilités et son rôle soient spécifiés dans la législation; et qu'une équipe dédiée puisse le soutenir dans ses fonctions. La commission a proposé en annexe de son mémoire, un projet ou un canevas des responsabilités qui pourraient lui être dévolues.

Pour sa part, la commission continuera d'assumer son rôle de surveillance de la législation, en matière de protection des renseignements personnels, à titre d'organisme indépendant. Évidemment, j'apporterais un bémol et je ne peux pas m'empêcher de souligner que l'ajout de ressources substantielles à la commission pourra... est nécessaire pour qu'elle puisse jouer pleinement son rôle, surtout dans le contexte des plusieurs projets de transformation numérique qui s'amorcent et d'évidemment toutes les modifications et les nouveaux pouvoirs qui lui ont été accordés en vertu de la loi n° 25.

Je vous remercie de votre attention, et il me fera plaisir d'échanger avec vous au cours des prochaines minutes.

• (11 h 50) •

Le Président (M. Simard) : Merci à vous, Mme Poitras. Je cède la parole à M. le ministre.

M. Caire : Merci. Bonjour, Me Poitras. C'est un plaisir de vous revoir. Ça faisait longtemps, là, qu'on ne s'était pas jasé. Écoutez, je vais, d'entrée de jeu, commencer peut-être avec votre recommandation, là, qui est quand même assez substantielle, d'un chef gouvernemental de la protection des renseignements personnels. Et je pense que, d'entrée de jeu, vous avez quand même bien campé la situation actuelle.

Comment... En quoi un chef gouvernemental de la protection des renseignements personnels pourrait être une addition positive, compte tenu qu'avec la loi n° 64, parce qu'il faut maintenant l'appeler la loi n° 64, il y a évidemment une responsabilité qui est faite au premier dirigeant de l'organisation de voir à l'application de la loi? Il y a une obligation de nommer, pour chaque organisme assujetti à la loi, un responsable des renseignements personnels, il y a l'obligation de mettre en place un comité d'accès à l'information et de la protection des renseignements personnels. Et surtout, puis vous l'avez souligné, puis j'entends aussi votre appel, là, à avoir des ressources, là, mais la loi n° 64 a quand même modifié et accru le rôle de la Commission d'accès à l'information. Vous avez des nouveaux pouvoirs, vous avez des nouvelles prérogatives. Il y a un volet TI, avec l'ajout d'un vice-président, là, qui a été fait à la commission, qui donne une dimension supplémentaire à la commission. Et il y a aussi, puis vous le dites à bon droit, il y a le secrétariat d'accès à l'information et de la réforme des institutions démocratiques qui joue quand même ce rôle-là de coordonnateur puis de chien de garde.

Ça fait que j'essaie de voir, à travers toute cette structure-là assez éclatée, quelle serait la plus-value d'un chef gouvernemental de la protection des renseignements personnels. Et, si tant est qu'il y en a une, est-ce qu'on ne serait pas mieux, peut-être, d'ajouter, peut-être, des pouvoirs à une organisation déjà existante puis qui y a déjà une expertise en la matière plutôt que de créer quelque chose à partir de rien puis... une expertise à bâtir, une cohésion à obtenir à travers tous ces officiers-là? Ça fait que j'aimerais ça vous entendre là-dessus. Pourquoi vous en arrivez à la conclusion que ça serait la meilleure solution?

Mme Poitras (Diane) : Oui. Merci pour la question. Effectivement, dans le fond, c'est de reproduire, à l'échelle gouvernementale, justement, les nouvelles responsabilités et les gouvernances que vous avez mises en place. On s'entend qu'au sein de chaque ministère et organisme la loi n° 25, projet de loi n° 64, confirment une responsabilité en cette matière avec des obligations d'adopter des règles de gouvernance, mais ce qu'on propose, c'est de reproduire ça à l'échelle gouvernementale, donc un rôle spécifique, compte tenu du fait que ce nouveau ministère va, comme je le mentionnais, va avoir un rôle assez déterminant dans certaines orientations, va avoir un rôle opérationnel aussi dans certains projets et pour qu'il puisse conseiller le DPI en matière de protection des renseignements personnels.

On comprend qu'il y a trois chefs ou responsabilités de différents volets, là, qui ont été instaurés par la LGGRI, et l'expertise de protection des renseignements personnels pour que cette expertise-là puisse servir en temps opportun, donc dès le début de certains projets, qui pourront être pilotés, par exemple, par ce nouveau ministère là. S'il y a des orientations, des indications qui sont données aux ministères et organismes, il y a fort à parier qu'il y en a qui vont avoir des impacts sur la protection des renseignements personnels, et l'idée, c'est qu'on ait cette expertise et qu'on bonifie ce qui existe déjà, là. On ne vous demande pas de créer une nouvelle structure. Je pense qu'il y a déjà... On peut bonifier, par exemple, le rôle du SAIRID pour qu'il vienne appuyer cette personne responsable.

M. Caire : Quand on a élaboré le projet de loi n° 95 en matière de cybersécurité, on a dit : Ça prend un chef gouvernemental de la cybersécurité, ça prend des chefs délégués de la cybersécurité dans les différents organismes, ministères, principalement. L'idée était, et je le dis en toute transparence, l'idée était de soulager les différentes organisations du gouvernement de cette responsabilité-là, de centraliser cette expertise-là puis d'assurer une cohésion entre les différents paliers, parce que, du fait d'une certaine autonomie en matière de cybersécurité, les organismes publics se retrouvaient à travailler en silo, et ça, ça empêchait la cohésion, ça empêchait la communication de l'information, puis surtout ça empêchait d'avoir des concertées et cohérentes pour se protéger.

Est-ce que... puis là je pousse votre raisonnement, Mme Poitras, si on parle d'un chef délégué à la protection des renseignements personnels, est-ce que vous iriez aussi loin que de dire qu'on devrait avoir peut-être la même philosophie et, à ce moment-là, les responsables de la protection personnelle des ministères ne relèveraient plus du premier dirigeant mais relèverait de ce chef gouvernemental? Parce que je vois peut-être, là, un potentiel de conflit de responsabilités si on nomme un chef, mais que le responsable du ministère, lui, répond à son sous-ministre. C'est la cohésion de tout ça qui ne m'apparaît pas évidente, là. Ça fait que j'aimerais vous entendre là-dessus.

Mme Poitras (Diane) : Non, effectivement, ce n'est pas du tout la proposition qu'on fait. Il est clair que la responsabilité première pour un ministère ou un organisme qui gère les renseignements personnels... il a une responsabilité institutionnelle, et le responsable doit relever du dirigeant de cet organisme ou ministère. Ce n'est pas ça qu'on remet en question.

Ce qu'on dit, c'est : le chef gouvernemental de la protection des renseignements personnels a comme un double rôle. Il pourrait soutenir les ministères et organismes dans cette responsabilité-là, assurer une espèce vision ou une cohésion pour un peu... comme vous l'avez mentionné, en matière de sécurité, on voulait les soutenir. Mais je pense qu'il faut aussi soutenir les ministères et organismes dans leur responsabilité en matière de protection des renseignements personnels, peut-être, par exemple, en assurant le développement de l'expertise, en s'assurant que certaines obligations sont bien comprises et appliquées, et...

Mais, aussi, son autre rôle au chef gouvernemental de la protection des renseignements personnels, c'est que ce nouveau ministère va avoir un rôle d'orientation important et va être le vaisseau amiral, je vais reprendre votre expression, et c'est important pour nous qu'au sein de son équipage il y ait aussi quelqu'un qui est capable d'identifier les enjeux de protection des renseignements personnels à ce stade-là, avant qu'on donne l'impulsion, avant qu'on donne une orientation gouvernementale, et, pour les projets que va piloter ce nouveau ministère-là de transformation numérique, les orientations qu'il va lui donner, pour que les enjeux de protection des renseignements personnels soient pris dès les premières étapes, et qu'on conçoive ces projets-là en ayant en tête les enjeux de protection des renseignements personnels, et pas que ça arrive après qu'on ait dépensé plusieurs millions de dollars en fin de projet. C'est pour, vraiment, une gestion optimale de la protection des renseignements personnels.

• (12 heures) •

M. Caire : Je veux être sûr que je comprends bien votre pensée. Est-ce que je suis dans l'erreur si je résume ce que vous venez de nous dire en disant que le responsable de la protection des renseignements personnels d'un ministère aurait la responsabilité de l'application de la loi quant à la protection légale, donc, technologiquement neutre, comme on souhaitait que la loi n° 64 le soit, et, à ce moment-là, on donnerait une dimension technologique au chef gouvernemental de la protection des renseignements personnels? Donc, lui, son approche de la protection des renseignements personnels se ferait sur une base de système de protection ou de gestion de permission d'accès. Donc, on aurait un volet qui serait vraiment très technologique, d'approche... oui, d'utilisation des renseignements personnels, mais dans une approche très technologique. Est-ce que je résume... Est-ce que je suis dans l'erreur quand je dis ça? Est-ce que c'est à ça que vous pensez ou on est ailleurs?

Mme Poitras (Diane) : Je pense que ça ne se résume pas à ce seul élément-là, mais, oui, ça serait un élément important. Quand on parle de vision gouvernementale ou de leadership, par exemple, que ce soit à l'intérieur des projets de transformation numérique ou pour soutenir les responsables des différents ministères dans leurs propres responsabilités, un chef gouvernemental de la protection des renseignements personnels pourrait certainement assurer un leadership dans la recherche de technologies protectrices des renseignements personnels et encourager ce genre de... De la même façon qu'il va proposer des infrastructures pour assurer la sécurité de l'information, bien, le chef gouvernemental de la protection des renseignements personnels pourrait certainement assurer un certain leadership dans la recherche de technologies communes qui seraient susceptibles d'être utilisées par des ministères et organismes dans le cadre de la transformation numérique, des technologies qui sont protectrices des renseignements personnels, là.

M. Caire : À ce moment-là, Me Poitras, je vous soumets l'idée suivante. Un peu comme on a fait avec la Commission d'accès à l'information... Vous vous souvenez, on a eu des discussions, vous et moi, puis je pense que vous adhérez totalement à cette idée-là. La commission a un rôle très clair au point de vue de la loi. Maintenant, les technologies amènent une réalité à laquelle il faut s'adapter, et c'est la raison pour laquelle, avec votre accord, on a changé la composition de la commission pour lui donner une dimension technologique. Est-ce que, compte tenu de ce qu'on vient de se dire, il ne serait pas préférable, peut-être, de travailler ce volet-là, mais avec le secrétariat d'accès à l'information, donc, de dire au secrétariat : Bien, écoutez, à l'image de la Commission d'accès à l'information, il serait peut-être souhaitable que cette dimension technologique là qu'on doit intégrer à la protection de nos renseignements personnels, à la communication, l'utilisation, la destruction même de nos renseignements personnels, que, ce volet technologique là, on puisse l'intégrer plutôt au secrétariat d'accès à l'information, ce qui créerait quand même une certaine distance avec le ministère, qui n'est peut-être pas sans vertu, puisque c'est deux fonctions qui ne sont pas nécessairement pleinement intégrées? Vous ne pensez pas que d'élargir le rôle du secrétariat, comme on l'a fait avec la commission, pourrait être une solution intéressante aussi?

Mme Poitras (Diane) : Je pense que le secrétariat d'accès à l'information, des réformes... Le SAIRID doit faire partie de... C'est un SAIRID plus, quand on parle d'une direction qui pourrait soutenir le chef gouvernemental de la protection des renseignements personnels dans ses responsabilités, certainement, mais, de la même manière qu'au niveau de chaque ministère et organisme on a mis en place un comité de protection des renseignements personnels, au sein duquel vont siéger les gens en sécurité, les gens en PRP, les services juridiques et d'autre monde, pour que l'ensemble des enjeux quant à la protection de la donnée ou l'accès à l'information soit considéré à un même endroit, notre proposition, c'est de reproduire cette gouvernance-là dans le ministère, parce qu'il va avoir des pouvoirs importants.

Le risque, c'est de ne pas avoir une personne qui est responsable de cet aspect-là de la protection des données, si on le prend au sens large, au niveau de la gestion des ressources informationnelles, alors que ce ministère-là va avoir des pouvoirs importants d'orienter, de décider et même de piloter, si je comprends bien, ou de mettre de l'avant, de rendre opérationnel ou de participer aux décisions qui vont être prises dans le cadre la transformation numérique, et c'est pour éviter... Si on le prend juste au niveau de projet, on parle d'orientation, mais, pour le volet projet, c'est important que les considérations de protection des renseignements personnels soient prises en compte dès le début. On ne veut pas que la solution prenne ces enjeux-là en compte dès le début, et c'est notre proposition. C'est là qu'on voit une valeur ajoutée.

Donc, oui pour le SAIRID, mais, attention, il faut que... Notre proposition, c'est qu'il y ait quelqu'un qui puisse conseiller le DPI aussi pour les enjeux de protection des renseignements personnels et assurer une certaine vision gouvernementale pour soutenir les ministères et organismes dans leurs propres responsabilités.

M. Caire : Bien, à ce moment-là, Me Poitras, je vais vous poser la question qui tue, pour paraphraser une émission bien connue. Vous ne pensez pas que ce rôle-là ne pourrait pas être joué par la Commission d'accès à l'information? Je m'explique. Quand on a fait l'étude... l'élaboration, évidemment, mais l'étude du projet de loi n° 64, bon, on a rajouté différents éléments : les évaluations des facteurs relatifs à la vie privée, les plans de protection des renseignements personnels, l'obligation d'avoir un responsable. Et tous ces éléments-là, d'une façon ou d'une autre, doivent être soumis à l'approbation ou, minimalement, à l'évaluation de la Commission d'accès à l'information, parce qu'on souhaitait que votre organisation soit vraiment le chien de garde parce que vous avez cette expertise-là en matière de protection des renseignements personnels. Vous l'avez sur le volet juridique. Il est à développer sur le volet technologique, mais je pense que c'est une question de moyens à vous donner, puis, là-dessus, je fais écho à ce que vous avez dit tout à l'heure.

Donc, il y aura ces deux dimensions-là au sein de la commission, et, comme organisation indépendante, vous avez ce nécessaire recul qui nous amène à une réflexion et qui nous amène à une action qui est vraiment orientée sur la protection des renseignements personnels. Donc, à ce moment-là, vous ne pensez pas que la Commission d'accès à l'information, dans sa nouvelle dimension, serait l'interlocuteur privilégié pour jouer ce rôle-là?

Mme Poitras (Diane) : En fait, le rôle de la commission, c'est de surveiller, mais il y a d'abord une responsabilité des ministères et organismes. Et on le voit avec toutes les nouvelles fonctions qui seraient accordées à ce nouveau ministère, on peut surveiller, mais on ne peut pas être... Si je reprends l'exemple d'un projet ou d'une... d'un projet d'orientation, on pourra commenter, mais la prise en compte... On ne peut pas être partie du projet de transformation numérique. On ne peut pas faire partie du projet qu'on va... qu'on est ensuite susceptible de sanctionner. On peut donner des avis, une fois que le ministère, ou l'organisme, ou... dans ce cas-ci, ce serait un nouveau ministère, pour les projets qu'il pilotera, aura fait, par exemple, une évaluation des facteurs relatifs à la vie privée pour évaluer la conformité du projet. Mais notre avis sera sur cette première étape, mais, pour réaliser cette étape-là et pour orienter la solution avec le «privacy by design», là, la vie privée des conceptions, il faut cette expertise au sein de ceux qui vont dessiner la solution, qui vont élaborer les orientations qui vont être mises de l'avant. Donc, c'est ça, pour nous, le chaînon manquant, si vous me permettez l'expression. Et la commission doit jouer son rôle. Effectivement, il y a toutes sortes de mesures qui ont été mises en place, mais on arrive quand même un petit peu plus tard dans le projet.

M. Caire : Bien, peut-être une petite dernière pour la route, Me Poitras, parce que la commission avait demandé et obtenu, à travers la loi n° 64, le pouvoir d'émettre des directives. Est-ce que... Ce que vous nous dites là, le «privacy by design», puis j'adhère totalement à cette idée-là d'emblée... Est-ce que ces notions-là, de «privacy by design», qui peuvent être quand même technologiquement neutres. Le principe, le concept de technologiquement neutre, je comprends ce que vous dites puis je l'entends. La réalisation, elle est éminemment technologique.

Donc, ça devient peut-être... La frontière devient peut-être un peu plus floue, mais, à travers votre pouvoir de directive, Me Poitras, est-ce que vous ne pensez pas que vous pouvez quand même, justement, émettre des directives qui vont amener l'ensemble des ministères... parce que je vous entends sur le ministère de la Cybersécurité et du Numérique, mais il faut comprendre que l'ensemble de l'élaboration, la conception et la réalisation des projets TI ne relèveront pas exclusivement du MCN, là. Les ministères et organismes demeurent les maîtres d'oeuvre de tout ce qui relève de leurs lignes d'affaires.

Donc, pour avoir peut-être cette vision plus large du «privacy by design», est-ce qu'il ne serait pas préférable de passer par une série de directives de la Commission d'accès à l'information, auxquelles devront adhérer l'ensemble des ministères et organismes, dont le ministère de la Cybersécurité et du Numérique, mais pas exclusivement le ministère de la Cybersécurité et du Numérique? Est-ce qu'on ne pourrait pas ratisser plus large en le faisant de cette façon-là?

• (12 h 10) •

Mme Poitras (Diane) : Bien, peut-être que je... Effectivement, si on compare la proposition qu'on fait du chef gouvernemental de la protection des renseignements personnels, avec un chef de la sécurité de l'information ou DPI, puis, dans la proposition qu'on vous fait en annexe au mémoire, vous verrez qu'on ne prévoit pas que cette personne-là ou... de modifier les fonctions du DPI pour qu'il impose des façons de faire en matière de protection des renseignements personnels aux ministères et organismes, parce que, ça, effectivement, il y a un pouvoir qui relève des lignes directrices de la commission où on va continuer à faire des guides, des choses comme ça, mais c'est pour ça qu'on parle plus d'une vision gouvernementale et de soutien dans leurs rôles...

Le Président (M. Simard) : Très bien, en conclusion.

Mme Poitras (Diane) : ...les ministères et organismes.

M. Caire : ...Me Poitras. Malheureusement, c'est tout le temps que moi, j'avais.

Le Président (M. Simard) : Merci. Mme la députée de Saint-Laurent.

Mme Rizqy : Bonjour. Merci d'être présente, Me Poitras, et merci aussi pour votre mémoire. Ce matin, on parlait avec d'autres témoins, en auditions, d'un pan de la population quand même très important, les aînés, mais aussi de ceux qui sont, malheureusement, non-voyants. Alors, accès à l'information, protection de ces données, il y a quand même un pan important de la population québécoise qui ne sont pas en mesure, présentement, de même, d'aller sur le site Web, par exemple, dans le dossier de santé, pour avoir accès à leurs propres données. Avez-vous des recommandations à cet effet pour, justement, ne pas oublier cette population très importante, et j'ajouterais aussi croissante, avec nos aînés?

Mme Poitras (Diane) : Oui, merci. La loi sur l'accès prévoit déjà une obligation de rendre l'information disponible dans un format adapté... je ne me souviens pas des termes exacts, mais pour l'exercice d'un droit d'accès. Donc, on a déjà cette obligation quand on parle d'exercice du droit d'accès. C'est sûr qu'il y a possiblement le pendant qu'on pourrait faire pour créer une obligation dans l'information qu'on diffuse dans les sites Internet.

Mme Rizqy : Je comprends très bien que la loi le prévoit. Malheureusement, dans le rapport qui nous a été soumis, dans un des mémoires, on peut lire la chose suivante : «Le gouvernement du Québec s'est doté de son standard d'accessibilité des sites Web en 2011. Il peine cependant à [...] respecter et le résultat est désolant. Selon une évaluation de 2018, 68 % des sites Web gouvernementaux et des sites Web des CISSS et des CIUSSS — donc, c'est vraiment dans le volet de la santé — ont un niveau d'accessibilité entre faible et inutilisable.»

Or, de là ma question. Juste pour vous donner, peut-être, un peu plus d'information, le premier groupe de ce matin disait que ça serait, oui, important de faire un virage numérique, mais de s'assurer que les bureaux clés, notamment régionaux, restent aussi ouverts, donc, pour ne pas juste faire un virage 100 % numérique, parce que ces personnes-là, malheureusement, soit qu'elles ne veulent pas ou elles ne peuvent pas.

Mme Poitras (Diane) : Oui, mais ça soulève aussi toute la question de la fracture numérique, que ce soit à cause d'un handicap ou que ce soit à cause de compétences numériques. Donc, oui, effectivement, ça soulève cet enjeu-là. C'est sûr qu'au niveau de la compétence numérique la commission a déjà fait des recommandations pour l'éducation numérique dans les écoles, dans des programmes. Puis on avait un programme de sensibilisation, là, une tournée dans les écoles, évidemment qu'on a dû suspendre à cause de la pandémie, mais c'est... Je pense que ça fait partie des choses qu'il faut faire. Tu sais, il ne faut pas juste... Il faut s'assurer de l'opérationnalisation, si vous me permettez l'expression, dans le cadre de la transformation numérique, de s'assurer que l'ensemble des citoyens peuvent encore bénéficier que ce soit de l'accès aux documents ou d'autres services qui vont pouvoir être offerts, là, évidemment.

Mme Rizqy : Oui, puis, si... Je veux juste concentrer un peu plus mon propos, parce qu'effectivement il y a une fracture numérique, mais je vais concentrer mon propos pour ceux qui souffrent d'un handicap, particulièrement un handicap visuel. Notamment, premièrement, si on veut prendre un rendez-vous avec notre dossier santé, ceux qui sont dans l'incapacité de le faire peuvent subir un bris de service. Alors, est-ce que vous êtes du même avis que notre premier groupe de ce matin, que, oui, on pourrait faire un virage numérique, mais de s'assurer qu'il reste un point d'entrée physique pour ces personnes-là, de s'assurer que... de ne pas mettre tous nos oeufs dans le même panier et de ne pas délester des services en personne physique, parce que ces gens-là, malheureusement, ne seront pas en mesure... pas par manque d'éducation, mais parce qu'ils souffrent d'un handicap.

Mme Poitras (Diane) : Si je concentre mes propos sur ce qui relève du rôle de la Commission d'accès à l'information, c'est sûr que... Je vais prendre cet exemple-là pour illustrer le propos, mais, pour l'accès aux documents, c'est ce qu'on prévoit. Alors, c'est beau de dire qu'on va prévoir un accès, par exemple, à distance à votre dossier médical ou autres, mais c'est aussi important, pour le citoyen qui n'a peut-être pas accès, ou, pour toutes sortes de raisons, ne souhaite pas, ou ne peut pas avoir accès à cet accès numérique, à ses informations personnelles... c'est important de maintenir ce qui est dans la loi actuellement et de prévoir d'autres moyens, physiquement, d'aller sur place, consultation sur place, par exemple, du document, obtention de copie dans un format qui est adapté à son handicap, pour prendre cet exemple, mais oui...

Mme Rizqy : Merci beaucoup, Me Poitras. Une de vos recommandations faites, sur l'ajout d'un chef gouvernemental de la protection des renseignements personnels, je me suis vraiment posé la question : Ce serait quoi, la valeur ajoutée, puisqu'il y a non seulement un ministre ou une ministre responsable, mais aussi un secrétariat à l'accès à l'information? Qu'est-ce qu'il aurait de plus, ce chef?

Mme Poitras (Diane) : En fait, le Secrétariat à l'accès à l'information, en ce moment, soutient le ministre dans son rôle, mais on comprend que le ministre ne sera pas impliqué dans des projets ou dans... C'est le DPI, là, le directeur principal de l'information, assisté de trois responsables, le chef de la sécurité, etc. Et nous, on pense que, justement, c'est que... d'avoir cette expertise d'une personne qui a la responsabilité de soulever les enjeux de protection des renseignements personnels, par exemple, dans les diverses orientations qui vont être prises en matière de transformation numérique, mais aussi de soutenir les ministères et organismes... Donc, pour le volet soutien, c'est un SAIRID plus, là, un Secrétariat à l'accès à l'information plus, mais, de mettre, dans la structure de gouvernance, une responsabilité, quelqu'un qui est responsable de ces enjeux-là, pour nous, c'est ça, la valeur ajoutée.

Mme Rizqy : Puis je vais me permettre peut-être de faire un parallèle candidement, parce que c'est vraiment une notion nouvelle pour moi, ce nouveau chef. Est-ce que c'est un peu comme le Scientifique en chef du Québec, donc, qui sonne l'alarme sur certains enjeux pour alerter, oui, le ministre, mais aussi l'ensemble de la population sur des enjeux, dans ce cas-ci, qui seraient du niveau numérique?

Mme Poitras (Diane) : En fait, il serait là pour conseiller le directeur principal de l'information et le nouveau ministre de la Cybersécurité et du Numérique sur les enjeux de protection des renseignements personnels. Notre objectif, c'est vraiment que ce soit pris et que ce soit... ça fasse partie de la gouvernance. L'expérience démontre que, quand on n'a pas une fonction spécifique avec quelqu'un qui a cette responsabilité-là, ça finit par tomber dans l'oubli, malheureusement.

Mme Rizqy : Bien, pourquoi je le comparais un peu au Scientifique en chef du Québec, c'est que, clairement... J'ai l'organigramme, puis l'enjeu que j'ai, moi, par exemple, dans une de mes fonctions, c'est la reddition de comptes que j'essaie d'avoir avec le gouvernement, notamment lorsqu'on est en étude détaillée, mais aussi lorsqu'on est en crédits. À chaque fois que je fais des crédits, ce n'est pas parce que je ne pose pas des bonnes questions, mais je n'ai pas tout le temps les réponses auxquelles j'ai de besoin, alors que... Moi, j'aimerais avoir... Le chef gouvernemental, s'il conseille le DPI, conseille le ministre. Est-ce que moi, à titre d'élue, pour remplir une de mes trois fonctions de reddition de comptes... Est-ce qu'il ne devrait pas, lui... ses rapports, être publics pour l'ensemble de la population? Parce qu'ajouter une autre personne dans l'organigramme, si la population puis les autres élus n'ont pas accès à ce que lui va conseiller au DPI, moi, je ne suis pas vraiment plus avancée de savoir si, oui ou non, ce chef-là fait des recommandations, est-ce que ses recommandations ont été suivies. Si oui, tant mieux, sinon, pourquoi?

Mme Poitras (Diane) : C'est une proposition intéressante. Évidemment, notre réflexion n'a pas été jusque-là, mais l'objectif était aussi qu'il puisse... Probablement que, s'il donne des orientations, par exemple, dans son rôle, soutien, support, conseil, orientations aux ministères et organismes, pour certains aspects, là, pas des directives comme telles... que ça, effectivement, ça devrait être public. Les conseils où est-ce qu'il a été pris en compte, je vous avoue bien humblement que notre réflexion n'a pas été jusque-là. Ça mérite réflexion.

Mme Rizqy : Merci beaucoup. Bien, écoutez, un, premièrement... parce que, moi, ma réflexion n'a pas été jusque de nommer un chef gouvernemental. Alors, merci d'avoir nourri ma propre réflexion. Sur ce, M. le Président, je vais passer la parole à ma collègue la députée de Vaudreuil.

Le Président (M. Simard) : Mme la députée, vous disposez de cinq minutes.

Mme Nichols : Merci, M. le Président. Bonjour à vous deux. Merci d'être parmi nous. Bien sûr, là, j'ai pris connaissance de votre mémoire. J'écoute les réponses aussi. Moi, ce que je comprends, dans le fond, là, c'est que vous avez des suggestions au niveau de la structure, puis on les voit, là, dans les recommandations que vous apportez. Évidemment, là, l'objectif, à la fin de tout ça, c'est d'améliorer le service aussi. Est-ce qu'il y a... Tu sais, je vais poser, là, la question à l'inverse, mais je ne veux pas que ça soit vu de façon négative, là, mais est-ce qu'il y a des lacunes ou des points qu'on se dit : Bien, ça, là-dessus, il faut mettre l'accent, puis il faut l'améliorer, puis on n'est pas certain que cette structure-là va y arriver ou... Est-ce qu'il y a des modifications qu'on se dit : Bien là, il faut l'amener pour ce service-là en particulier?

• (12 h 20) •

Mme Poitras (Diane) : Je veux juste être sûre de bien comprendre votre question par rapport à la recommandation qu'on formule, parce qu'en fait, nous, ce qu'on suggère... Puis la façon que ça a été décrit, de toute façon, on le voit, là, il y a une ministre responsable de l'accès, il y a un secrétariat à l'accès à l'information. Nous, ce qu'on recommande, c'est que, dans le nouveau ministère, on veut consolider une structure un peu éclatée. Bien, ce qu'on dit, c'est que, justement, le fait que la protection des renseignements personnels ne soit pas intégrée dans ce ministère-là quelque part, ça peut être une lacune pour plusieurs.

Je vais prendre un exemple concret. Les décisions que va prendre ce ministère-là ou les orientations qu'il va donner sont susceptibles d'avoir un impact sur la protection des renseignements personnels. Par exemple, l'orientation de mettre... de dire aux organismes publics de mettre les données en infonuagique, ça avait une incidence sur la protection des renseignements personnels. Donc, les enjeux de protection des renseignements personnels, au même titre que la sécurité, doivent être pris en compte avant de prendre cette orientation ou au moment de prendre cette orientation-là. Je ne suis pas en train de dire qu'elles n'ont pas été faites, que ça n'a pas été fait. Je veux juste donner un exemple concret du genre de prise en compte qu'on parle.

Mme Nichols : Je comprends puis... Je comprends. Merci pour l'exemple, là. L'exemple, ça aide beaucoup. Au niveau de... Tu sais, je me demandais, là... Est-ce que... Parce qu'on peut dire que ça serait comme un nouveau rôle, là, mais est-ce que, ce nouveau rôle là, ça aiderait, entre autres, à la recherche de solutions innovantes pour la protection des renseignements personnels? Puis, si oui, bien, selon vous, comment ça va aider? Parce qu'on le sait, là, ça va vite, là, la technologie, là, ça fait qu'il faut bouger rapidement. C'est souvent... Les lacunes qu'on entend... Tu sais, souvent, les commentaires qu'on entend dans le système, c'est qu'on n'est pas assez rapide. On ne bouge pas assez rapidement. Donc, vendez-moi le nouveau rôle. Dans le fond, vendez-moi le nouveau rôle. Comment, justement, ça va apporter une recherche de solutions innovantes puis de protection des renseignements personnels de façon instantanée, bien, peut-être pas instantanée, mais rapide?

Mme Poitras (Diane) : Parce que ça va être son principal rôle. Le fait qu'il aura comme rôle de voir à ce qui est déployé protège les renseignements personnels, et c'est un excellent exemple que vous avez donné, en effet, assurer un leadership pour être au courant des nouvelles technologies plus protectrices de la protection des renseignements personnels et qu'elles soient... qu'elles deviennent... et qui va avoir voix au chapitre des décisions qui vont être prises, justement.

Alors, c'est un ministère qui va pouvoir imposer des infrastructures technologiques ou qui va pouvoir donner des orientations. C'est important qu'on ait une expertise, quelqu'un avec cette expertise, qui va pouvoir dire : Écoutez, moi, je le sais, il y a... la cryptographie homomorphique, là, ça, c'est quelque chose qui protège davantage les renseignements quand on veut utiliser des grands jeux de données ou il y a telle autre technologie qui est plus protectrice des renseignements personnels et qui permettrait d'atteindre l'objectif qui est proposé, par exemple, par le gouvernement ou le DPI, dans les différentes solutions de transformation numérique qui vont être mises de l'avant. C'est donc un autre exemple de la valeur ajoutée de cette fonction-là qu'on propose.

Mme Nichols : Parfait. Vous avez aussi, tantôt, répondu à une question en disant que ça prend l'ajout de ressources substantielles, puis là, les ressources, je l'entendais au pluriel, les ressources substantielles, là. Vous pensiez quoi en fonction de ressources substantielles, plus de personnel, plus de... Pouvez-vous élaborer un peu sur votre attente au niveau des ressources substantielles?

Le Président (M. Simard) : Alors, en conclusion, s'il vous plaît.

Mme Poitras (Diane) : À la Commission d'accès à l'information, nous avons besoin de ressources substantielles en personnel et en budget de fonctionnement évidemment pour mettre en place des façons efficaces de traiter les dossiers qui nous sont soumis et d'assumer nos nouvelles responsabilités. On a fait une demande de financement qui a été déposée à la suite des crédits l'année dernière.

Le Président (M. Simard) : Alors, merci beaucoup.

Mme Nichols : Merci.

Le Président (M. Simard) : Mme Poitras, M. Desmeules, merci beaucoup pour votre présence parmi nous cet avant-midi.

Sur ce, nous allons suspendre nos travaux, et on revient quelque part après les affaires courantes. À plus tard.

(Suspension de la séance à 12 h 25)

(Reprise à 15 h 23)

Le Président (M. Simard) : Alors, bonjour à tous. Rebienvenue. Je constate que nous avons quorum. Nous sommes en compagnie de représentants du Regroupement des aveugles du Québec, et j'aimerais saluer MM. Perreault et D'Amour, qui se joignent à nous dans une autre salle que la nôtre. Bien qu'on soit à distance, on se sent néanmoins très proches. Alors, merci beaucoup d'être là. Vous avez 10 minutes pour faire votre présentation.

Regroupement des aveugles et amblyopes du Québec (RAAQ)

M. Perreault (Antoine) : Merci beaucoup. Merci aux membres de la Commission des finances publiques de nous recevoir et de nous entendre.

Devant l'omniprésence du Web dans la plupart des sphères de la vie des citoyens d'aujourd'hui, il est clair que le gouvernement du Québec doit se doter d'un ministère de la Cybersécurité et du Numérique. Ce ministère pourra finir d'orchestrer un virage numérique déjà bien entamé.

Nous prenons aujourd'hui la parole, comme nous l'avons fait plusieurs fois dans le passé, pour rappeler que la transformation numérique du Québec doit être inclusive et ne doit pas se faire au détriment de la justice sociale.

Selon une enquête récente de NETendances, 33 % des répondants déclarent avoir des difficultés de différents ordres sur le Web. C'est énorme. Pensons aussi aux 22 % de la population ayant des limitations fonctionnelles pouvant les amener à rencontrer des obstacles sur les sites Web.

Des solutions existent pour s'assurer d'offrir un Web accessible et inclusif. Nous proposons aux membres de la commission des solutions pour améliorer un projet de loi déjà très intéressant. Mais, avant d'aller plus loin, nous allons entendre M. Jean-Marie D'Amour, expert en accessibilité du Web, qui va vous expliquer un peu c'est quoi, les embûches que les gens peuvent vivre sur le Web et quelles sont les solutions qui existent.

M. D'Amour (Jean-Marie) : Premièrement, je voudrais dire que les personnes qui ont des limitations, en général, on les classe en quatre grandes catégories : personne qui ont des limitations visuelles, ce qui est notre cas, des personnes qui ont des limitations auditives, des limitations motrices et des limitations cognitives. Mais il y a aussi d'autres personnes qui bénéficient de l'accessibilité, pensons à la population vieillissante, par exemple, pensons aux analphabètes fonctionnels, pensons aux gens dont la langue maternelle n'est ni le français ni l'anglais.

Et, en accessibilité, il y a quatre grands principes. Dans l'ordre, c'est : perceptible, utilisable, compréhensible et robuste. Perceptible, ça s'adresse particulièrement aux personnes qui ont des limitations sensorielles, c'est-à-dire visuelles ou auditives, et ça concerne, par exemple, la description des images, pour les personnes malvoyantes ou aveugles, ça concerne les sous-titres et les médaillons en langue des signes; pour les personnes qui ont des limitations auditives, ça concerne aussi l'association entre les étiquettes et les champs de formulaires qui vont permettre à une personne qui utilise un lecteur d'écran vocal ou braille de savoir quelle est la question, quand ils sont rendus dans le champ pour répondre à la question, bien, d'être sûr qu'ils répondent à la question, sinon ça peut rendre le formulaire inutilisable. Et donc, ça, c'est quelques exemples au niveau perceptible. Ah oui! une autre dimension importante, c'est les contrastes de couleurs. C'est le problème le plus facile à régler sur le Web, parce qu'on a juste à modifier la feuille de style, mais c'est aussi le problème le plus fréquent.

Le deuxième principe, c'est : utilisable, et ça concerne, entre autres, la possibilité d'utiliser un site Web sans la souris. Alors, il y a deux catégories de personnes qui utilisent le Web sans la souris : il y a les personnes qui ont des limitations visuelles, les personnes aveugles en particulier, mais des personnes qui ont une plus faible vision vont aussi plutôt utiliser des commandes au clavier que la souris; et évidemment il y a les personnes qui ont des limitations motrices qui les empêchent d'utiliser une souris. Alors, ça, c'est pour le principe utilisable.

Compréhensible, ça touche particulièrement les personnes qui ont des limitations cognitives. On parle de simplification du langage, on parle aussi d'explication des abréviations et des acronymes, et on sait qu'au gouvernement on en a beaucoup. Et évidemment, bien, ce qu'on va faire pour ces personnes-là, ça va bénéficier à tout le monde.

Le dernier principe, ça s'appelle robuste, et ça concerne plus la qualité du codage HTML mais aussi la compatibilité entre la programmation, en JavaScript en général, la programmation et l'utilisation des outils d'adaptation que les personnes qui ont des limitations vont utiliser, comme les lecteurs d'écran, par exemple, ou les logiciels de grossissement de caractères. Et, en particulier pour les éléments interactifs comme les menus déroulants, les boîtes de dialogue, les accordéons, les fameux carrousels, qu'on trouve beaucoup sur le Web, en tout cas, tous ces éléments interactifs doivent être testés avec des lecteurs d'écran pour être sûrs que les personnes qui ont des limitations vont pouvoir les utiliser comme tout le monde.

• (15 h 30) •

M. Perreault (Antoine) : Donc, ce qu'il faut comprendre, c'est que le Web, s'il est développé sans prendre en considération différents standards, présente de sérieux obstacles qui empêchent une large partie de la population d'y accéder. Ceci étant dit, il y a des solutions qui existent. Au niveau international, il y a ce qu'on appelle les WCAG 2.0, qui sont des standards internationaux qui permettent à un site Web d'être utilisable par tout le monde. Au Québec, on a notre propre version des WCAG. Depuis 2011, le gouvernement a un standard d'accessibilité du Web. Malheureusement, malgré de nombreuses revendications et représentations que le RAAQ a faites, on se rend compte qu'il y a encore beaucoup, beaucoup de problèmes.

À titre d'exemple, selon une étude qui a été faite par le Regroupement des aveugles et amblyopes du Montréal métropolitain, en 2018, 68 % des sites Web gouvernementaux ont un niveau d'accessibilité entre faible et inutilisable. Ça inclut aussi les sites Web des CISSS et des CIUSSS, qui sont sur le terrain pour répondre, en fait, aux besoins des gens à travers différents services. Mais leurs sites Web, 68 % sont inutilisables ou difficilement utilisables.

On peut penser, par exemple, à Consultation Québec, qui est une plateforme unifiée qui est censée regrouper l'ensemble des consultations citoyennes que les différents ministères veulent mettre de l'avant puis veulent que leurs citoyens répondent. Bien, ce site Web là n'est pas accessible, ce qui fait que le gouvernement s'assure, à travers cette plateforme-là, que les personnes qui ont des limitations fonctionnelles ne puissent pas s'exprimer sur les enjeux publics comme tout le monde.

Finalement, ce serait difficile de passer sous silence un des points marquants de la crise du coronavirus, c'est-à-dire la plateforme Clic Santé, qui permet, entre autres choses, de prendre rendez-vous pour obtenir un vaccin contre la COVID, mais aussi le vaccin de la grippe. Cette plateforme-là n'est pas accessible, ce qui empêche certaines personnes qui ont des limitations fonctionnelles, pensons aux personnes aveugles, entre autres choses, de prendre un rendez-vous de manière autonome pour se faire vacciner. C'est vraiment des gros problèmes.

Pour nous, le projet de loi n° 6 amène plusieurs idées intéressantes. Cependant, pour s'assurer que la transformation numérique soit accessible, le projet de loi doit être amendé pour inclure différentes dispositions. Dans le mémoire qu'on vous a remis, à la page 9, il y a les propositions d'amendement qu'on souhaite voir apparaître au projet de loi.

Rapidement, pour nous, il y a quatre grands axes là-dedans. Un premier axe qui est une disposition obligeant les organismes publics à continuer d'offrir des services de type analogique. Pensons, par exemple, au téléphone, pour éviter que la fracture numérique n'exclue les personnes pour qui le numérique n'est pas un naturel, soit parce qu'ils n'ont pas des moyens financiers nécessaires pour se payer une connexion Internet ou un appareil ou parce qu'ils ne savent pas utiliser les différents moyens technologiques. Pour nous, ça, c'est vraiment important. Pensons, par exemple, à la plateforme Rendez-vous santé Québec, qui permet, sept jours sur sept, 24 heures sur 24, de prendre un rendez-vous avec son médecin de famille ou un autre médecin, une plateforme publique qui n'offre pas de service téléphonique.

C'est important d'y voir apparaître une disposition obligeant les organismes publics à inclure le standard sur l'accessibilité du Web québécois dans les contrats publics afin que les fournisseurs externes soient aussi tenus de fournir des services et des produits accessibles. Je ramène l'exemple de Clic Santé. Clic Santé a été développé par une entreprise externe. Si elle avait été soumise, bien, on aurait eu beaucoup moins de problèmes durant la pandémie.

Troisième disposition, une disposition donnant le mandat au ministre de la Cybersécurité et du numérique de s'assurer que les contenus et les services offerts sur le Web soient accessibles. Pour nous, c'est important d'avoir un chef d'orchestre de l'accessibilité. On pense que le ministre de la Cybersécurité et du Numérique, ce serait le poste parfait pour prendre cette responsabilité-là.

Terminons en parlant d'une disposition créant un programme pour l'accessibilité numérique visant à rendre les sites Web publics et privés plus accessibles aux personnes ayant des limitations fonctionnelles. Souvent les sous sont un frein. Il existe des programmes pour l'accessibilité dans différents domaines. Il y a des subventions intéressantes qui peuvent aider des commerçants à rendre leurs services plus accessibles. Ça serait important que, pour l'accessibilité du Web, il y ait quelque chose de similaire.

Le Président (M. Simard) : Alors, M. Perreault, vous êtes vraiment un professionnel, parce que vous êtes tombé pile-poil dans les 10 minutes qui vous étaient imparties. Je cède maintenant la parole à M. le ministre.

M. Caire : Merci, M. le Président. Merci, M. Perreault. Merci, M. D'Amour. Écoutez, je vous dirais que, malheureusement, et je plaide coupable, j'apprends beaucoup de choses aujourd'hui. J'aimerais peut-être vous entendre parce que, dans un premier temps... bon, je catégoriserais les limitations de deux façons. Il y a évidemment les limitations matérielles dont les appareils à proprement parler pour lesquels on ne peut pas faire grand-chose, mais ce que je comprends, c'est qu'il y en a aussi beaucoup au niveau logiciel, et là on peut agir de façon assez concrète. J'aimerais ça que vous me parliez de ces standards-là, parce que, dans les faits, le gouvernement du Québec a adopté, en 2019, une nouvelle série de standards numériques pour lesquels, je plaide coupable, il n'y a pas les éléments dont vous avez parlé au niveau des limitations pour les... c'est-à-dire, pour les personnes qui ont des limitations. Est-ce que j'entends de ce que vous me dites, là, qu'il faudrait intégrer ces standards-là dans nos standards numériques de développement et donc que, de façon systématique, quand on fait, par exemple, de l'interfaçage — M. D'Amour, vous parliez de Java, JavaScript tout à l'heure — donc, dans l'utilisation des différents langages qu'on utilise pour produire le code, on s'assure d'intégrer ces fonctionnalités-là? Là, ce que j'entends, ce qui a été fait en 2011 n'est pas suffisant, là, il faut aller une coche plus loin.

M. D'Amour (Jean-Marie) : En fait, ce qui a été fait en 2011 a été bien fait, mais il n'y a pas eu beaucoup de soutien qui a été donné aux ministères et organismes pour appliquer ces standards-là. Ces standards-là ont été révisés en 2018 sans de changement fondamental. En fait, bon, ça ne vaut pas la peine que je rentre trop dans les détails, mais ce qu'on constate malheureusement sur le terrain, c'est que les standards souvent ne sont pas appliqués ou sont mal appliqués. Et c'est sûr que c'est des standards techniques. Il y a des règles techniques à respecter. En fait, il y a une cinquantaine de règles, parce qu'on parle d'une population qui a des besoins très diversifiés. Donc, il y a des choses qui s'adressent à tel groupe puis il y a des choses qui s'adressent à tel autre groupe, mais il faut aussi prévoir que les gens qui vont les mettre en application doivent recevoir une formation adéquate. Et, actuellement, même dans les cégeps et les universités qui forment les futurs professionnels du Web, la dimension de l'accessibilité n'est pas inscrite de façon formelle, de façon obligatoire, ce qui devrait être le cas. On espère qu'avec la création du ministère de la Cybersécurité et du Numérique, c'est quelque chose qui devrait changer et qui devrait permettre à tous les citoyens du Québec d'avoir accès à l'information, non seulement aux informations gouvernementales, mais aussi aux informations des organismes publics ou privés. C'est ça.

M. Caire : Bien, sur les organismes privés, là, je ne suis pas sûr que je m'avancerais jusque-là, compte tenu de la nature du ministère qui est proposé par le projet de loi. Mais ce que j'entends, c'est qu'il faut travailler à deux niveaux. D'une part, s'assurer que les standards soient respectés. Donc, il y a une part de vérification dans ce que vous nous proposez, mais il y a une part de formation aussi, là, M. D'Amour, ce que vous dites. Moi, je veux dire, j'ai une formation en informatique et je vous confesse bien humblement qu'on n'a jamais été sensibilisés à ces questions-là dans le développement notamment des interfaces, là, parce qu'on comprend qu'on est essentiellement dans de l'interfaçage. Donc, il n'y a pas... Ces standards-là n'ont jamais été enseignés. Donc, je comprends qu'il faut travailler à deux niveaux. Il y a un niveau de vérification et un niveau de formation.

Tout à l'heure, M. Perreault, vous disiez que, pour des raisons monétaires, peut-être, ces questions-là étaient... étaient un peu laissées pour compte. J'essaie de voir, budgétairement, là, d'un point de vue monétaire, justement, qu'est-ce qui a un impact là-dedans. Parce que, M. D'Amour, vous dites, essentiellement, si on fait de l'interfaçage, on programme en fonction de standards, de normes qui sont établies à l'international, ce n'est pas plus onéreux de le faire en respectant ces standards-là. En tout cas, j'imagine, là. Quelle est cette dimension monétaire là dont vous parlez, M. Perreault?

M. Perreault (Antoine) : Bien, je pense qu'il y a deux niveaux. Le premier, c'est que, quand on est devant une plateforme qui a été développée non accessible, comme c'est souvent le cas quand on intervient auprès de différents ministères, il y a un coût de mise à niveau au niveau de la... vers l'accessibilité. C'est sûr qu'il y a un coût de... si on a une plateforme qui n'est pas accessible puis qu'on veut transiger vers une plateforme qui est accessible, il y a un développeur, des développeurs qui doivent être inclus. Ça fait que ça, c'est un premier coût.

Il y a aussi un coût qui peut être relié... puis je pense que Jean-Marie pourra me corriger ou compléter, par rapport aux plateformes qu'on se procure. Je prends un exemple concret, là, je ramène la plateforme Consultations Québec, parce que c'est sûr que, nous, ça nous a beaucoup impactés. On a discuté avec les personnes qui étaient responsables de la mise... bien, de la création de cette plateforme-la, puis le message qu'on a reçu, c'est : Oui, mais on a utilisé une plateforme qui était, ce qu'on appelle «open source», donc libre de droits. Cette plateforme-là, elle ne vient pas du Québec, ce n'est pas nous qui a le contrôle, ça fait que, si on est capable de s'assurer qu'un jour elle va être accessible, on va faire les mises à jour nécessaires, mais ça ne nous appartient pas. Bien, peut-être qu'au lieu d'aller vers une plateforme «open source» qui n'était pas accessible, les gens responsables de ça auraient pu se procurer, donc il y a un coût qui est là, ils auraient pu se procurer une plateforme qui était accessible. Il y a ça aussi qui doit être pris en considération.

• (15 h 40) •

M. Caire : Dans le fond, ce que vous dites, c'est qu'on... ce n'est pas juste une question d'intégrer les standards, c'est dès la conception qu'il faut être capable de planifier l'accessibilité. Mais, à ce moment-là, quel rôle vous voyez le ministère jouer? Parce qu'on est à deux niveaux, c'est-à-dire... puis c'est ce que j'expliquais ce matin, à savoir que le ministère de la Cybersécurité et du Numérique va s'assurer de la conception et de la réalisation des projets qui sont d'intérêt gouvernemental, donc qui sont à portée gouvernementale, donc qui sont... la plateforme dont vous parlez, M. Perreault, est un bel exemple, à savoir quelle sera... et elle est utilisée par l'ensemble des ministères et organismes. Donc, il y a une prise en charge qui se fait à ce niveau-là. Par contre, les ministères et organismes demeurent les concepteurs des applications qui répondent à leur ligne d'affaires. Donc, à ce moment-là... et ça, ça leur appartient. Donc, à ce moment-là, quel rôle vous voyez le ministère jouer là-dessus? Parce que vous semblez dire que ça peut amener un élément positif. Et qu'est-ce qu'il y a ou qu'est-ce qu'il n'y a pas dans la loi qui ferait en sorte que le ministère serait capable de jouer ce rôle-là, aurait l'autorité non seulement sur ses propres projets, ça, c'est assez simple, mais sur les projets qui ne sont pas de son ressort?

M. D'Amour (Jean-Marie) : En fait, on ne pense pas qu'il y a des choses dans le projet de loi qui empêcheraient le ministère de jouer ce rôle-là. On voudrait juste que ce soit clarifié, la responsabilité du ministère par rapport à la dimension de l'accessibilité, parce que, dans tous les standards développés par le gouvernement du Québec, il y en a sur les adresses civiques, par exemple, il y en a sur le français, etc., le standard sur l'accessibilité, c'est un standard qui a un impact social important au niveau de l'inclusion ou de l'exclusion d'un groupe important de la population et c'est pour ça qu'on souhaite que cette dimension-là soit précisée dans le projet de loi.

Le ministère de la Cybersécurité et du Numérique peut jouer un rôle au niveau de l'encouragement à la formation, au niveau du soutien en termes de ressources qualifiées en accessibilité, parce qu'il n'y en a pas énormément au Québec, malgré que les standards internationaux existent depuis 1999, donc au XXe siècle, il y a 22 ans. Au Québec, on a publié nos premiers standards en 2011, qu'on a révisés en 2018, mais ce n'est pas encore entré dans les habitudes de travail des gens qui développent les sites Web, les applications Web, etc. Il faut qu'il y ait un maître d'oeuvre qui pousse dans cette direction-là. Il ne suffit pas d'adopter des standards pour croire que ça va se mettre en application automatiquement.

M. Caire : Bien, c'est intéressant, ce que vous dites. Sur le volet exemplarité, je pense qu'effectivement le ministère peut jouer un rôle. Sur le volet formation, on a eu cette discussion-là avec ceux qui vous ont précédés aujourd'hui, on a mis en place l'Académie de transformation numérique, qui offre une diversité de formations, pas dans le domaine dont on discute présentement. Et donc, si on voulait enrichir cette offre de formation là puis de permettre à nos développeurs, à nos concepteurs, à nos architectes d'intégrer les notions d'accessibilité dont on discute en fonction des standards, est-ce qu'il en existe, des formations, ou ces formations-là sont à bâtir? Est-ce qu'il y a des exemples que vous connaissez de formations existantes qu'on pourrait intégrer et dispenser à nos gens pour être capable de répondre à cette demande-là que vous nous faites aujourd'hui?

M. D'Amour (Jean-Marie) : Il existe un contenu de formation qui est sur le site du Regroupement des aveugles et amblyopes du Montréal métropolitain. L'adresse, c'est labo.raamm.org. Il y a une section formation où il y a tout le contenu... Moi, j'ai donné de la formation à l'Université de Montréal de 2005 à 2018. Je donnais une formation sur l'accessibilité du Web de 45 heures. Et ça, c'est le matériel que j'ai développé au cours des années, c'est disponible, c'est gratuit. Idéalement, je pourrais former d'autres formateurs, parce que, bon, moi, je suis un préretraité, je n'ai pas l'ambition de travailler à plein temps, et même plus. Donc, ce n'est pas moi qui vais former tous les gens qui en ont besoin au Québec, mais je pourrais aider à former les gens qui vont les former.

M. Caire : Ces formations-là, M. D'Amour, là, ce que je comprends, c'est qu'on pourrait les intégrer à l'offre de formation qu'on donne déjà. Jusqu'à quel point c'est indépendant des plateformes qu'on utilise? Parce que vous n'êtes pas sans savoir, là, que le gouvernement du Québec, par nécessité, se donne des orientations, donc on va privilégier certaines plateformes, certaines technologies, l'idée, évidemment, étant d'avoir des systèmes interopérables, des systèmes qui sont standardisés, des systèmes pour lesquels il y a une communication qui est facile, qui a des normes aussi, des normes graphiques. Donc, il y a une signature visuelle qui vient avec ou qui devrait venir avec ce que le gouvernement produit en termes d'interfaçage. Jusqu'à quel point les formations qui existent, les standards qui existent sont indépendants des technologies, indépendants des plateformes, ou est-ce qu'il une intégration à faire?

M. D'Amour (Jean-Marie) : Il y a beaucoup de technologies qui incluent déjà des dispositions pour l'accessibilité, mais l'accessibilité, ce n'est jamais quelque chose de complètement automatique. Par exemple, je donnais comme exemple la description des images. Ça ne peut pas être automatisé. Il faut qu'il y ait un humain, à un moment donné, qui décrive l'image en question. Alors, tout ne peut pas se faire de façon automatisée. Par contre, associer correctement les étiquettes avec les champs de formulaire, un autre exemple que je donnais, bien, ça, ça peut être automatisé. Dans un système qui crée des formulaires, on peut très bien établir ce lien-là de façon automatique.

Alors, il y a des choses qui peuvent être automatisées, il y en a d'autres qui doivent être faites humainement. C'est pour ça que je n'essaierai pas de vous dire qu'il y a un coût nul à l'accessibilité, mais le coût est assez faible. En fait, le principal coût de l'accessibilité, c'est la formation des gens pour qu'ils fassent un travail adéquat.

Et il y a une autre dimension qu'on mentionne dans notre mémoire, qui est importante, c'est qu'il faut que ce soit validé par la suite, c'est-à-dire, il faut faire des tests utilisateurs particulièrement avec des personnes qui utilisent des outils d'adaptation comme des lecteurs d'écran ou des logiciels de grossissement. Et on est intervenu, le RAAQ est intervenu à plusieurs reprises face à des ministères pour leur dire : telle ou telle application, l'avez-vous testée avec des utilisateurs? Pourriez-vous la tester avec des utilisateurs? On est prêt à vous aider à recruter des utilisateurs pour le faire. Et on l'a fait dans un certain nombre de cas, généralement de façon un peu plus limitée qu'on aurait pu souhaiter, mais, quand même, c'est déjà utile de pouvoir le faire.

M. Caire : Je veux revenir sur les formations, les formateurs. Une des choses sur lesquelles j'ai beaucoup insisté quand on a mis en place l'offre de formation à l'académie de transformation numérique, c'est de dispenser des formations pour lesquelles il existait une forme d'accréditation, soit des crédits universitaires ou une reconnaissance d'une institution scolaire, l'idée étant qu'il y a, je pense, une distinction à faire entre un séminaire qui peut nous apporter une certaine information et une formation en bonne et due forme, avec une évaluation et une capacité à évaluer si les compétences ont été acquises, si elles répondent aux standards exigés, autant pour la formation que pour le formateur. Donc, de façon générale, ça, c'est assez facile à valider dans le corpus québécois, là, d'avoir des formations, parce que... surtout, on travaille beaucoup avec l'Université Laval, en fait, on travaille exclusivement avec l'Université Laval pour l'académie de transformation numérique, donc c'est assez facile d'aller chercher des formations qui sont accréditées et des formateurs qui le sont aussi, pour des raisons, je pense, qui sont assez évidentes.

Est-ce qu'au niveau des formations dont vous nous parlez, M. D'Amour, on peut avoir ce niveau d'accréditation là? Est-ce que ça existe? Est-ce qu'il y a une organisation qui les reconnaît pour valides, qui va évaluer les standards, qui va évaluer les acquis à obtenir à la fin de la formation de façon à ce qu'on puisse dire : Nous avons des formateurs accrédités, nous avons des formations qui sont accréditées? Est-ce que ça, ça existe dans ce domaine-là?

• (15 h 50) •

M. D'Amour (Jean-Marie) : En termes d'accréditation, il n'y a pas d'accréditation qui existe actuellement au Québec. Il y a une accréditation qui existe au niveau international qui a été, je dirais, initiée par les Américains, mais qui a été suivie par beaucoup de monde, mais, bon, le fait que j'ai enseigné à l'Université de Montréal pendant une quinzaine d'années, je pense que c'est une forme de certification. Et, sur le site du RAAMM, entre autres, dont je parlais tantôt, on a un bottin de ressources de gens qu'on connaît, qui sont qualifiés en accessibilité. Il y en a qui font différentes choses. Il y en a qui font des évaluations en accessibilité. Il y en a qui font de l'accompagnement dans des projets. Il y a des gens qui font aussi de la formation. Alors, c'est déjà une première banque dans laquelle on peut piger pour trouver des ressources qualifiées.

M. Caire : Mais est-ce qu'éventuellement on ne devrait pas aller vers ça? Puis loin de moi l'idée de contester votre expertise, là, M. D'Amour, mais, si on pense à long terme, est-ce qu'il ne serait pas souhaitable d'aller vers ces exigences-là pour s'assurer que, dans une idée de pérennité des formations et des formateurs, on puisse quand même s'assurer d'atteindre un certain standard au niveau de la compétence exigée de l'un et de l'autre? Et, si l'idée était séduisante à vos yeux, de quelle façon on devrait faire ça pour s'assurer, là, que n'importe qui ne s'improvise pas? Parce qu'à un moment donné, vous le savez, là, il s'agit qu'il y ait une demande...

Le Président (M. Simard) : En conclusion.

M. Caire : ...et l'offre va arriver de toute part, mais de façon très inégale.

Le Président (M. Simard) : En conclusion, M. le ministre.

M. Caire : Ah!

Le Président (M. Simard) : Succinctement, M. D'Amour.

M. D'Amour (Jean-Marie) : Succinctement, oui, on ne souhaiterait pas mieux. Si on avait un peu de soutien pour mettre ce genre de certification là en place, on pourrait sûrement le faire. On pourrait s'inspirer de ce qu'il se fait au niveau international, qui malheureusement est seulement en anglais, mais je sais qu'en Espagne ils sont en train d'en faire une version espagnole, on pourrait très bien en faire une version en français.

Le Président (M. Simard) : Très bien. Merci, M. D'Amour. Mme la députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup. Bonjour, M. D'Amour. Bonjour, M. Perreault. Si vous voulez terminer, prendre quelques secondes pour terminer, M. D'Amour, votre réponse.

M. D'Amour (Jean-Marie) : Bien, je pense que j'ai dit l'essentiel.

Mme Rizqy : Ah, d'accord.

M. D'Amour (Jean-Marie) : Un programme de certification, c'est ce que l'on souhaite, mais, bon, on est des gens qui ont peu de moyens. Avec un peu d'encouragement et de soutien, je pense que ça serait tout à fait réalisable. Il n'y a rien qu'on souhaite davantage que d'être capable de certifier les compétences des gens parce que l'on constate régulièrement qu'il y a des gens qui s'improvisent en disant : Ah, vous voulez un site accessible. Il n'y a pas de problème. On va vous faire ça. On va consulter les normes, puis c'est sûr qu'on est capable de faire ça. Et, quand les utilisateurs vont sur ces sites-là, bien, ils dénoncent plein de problèmes parce qu'on ne peut pas simplement s'improviser en accessibilité.

Mme Rizqy : Merci beaucoup. Hier, j'ai eu l'avantage de pouvoir m'entretenir avec vous, M. Perreault. Merci d'avoir pris le temps. Merci aussi pour votre mémoire. Et je vais vous poser que je sais très bien... sont dans le mémoire, mais que je pense que, pour le bien des gens qui nous écoutent, ça soit pertinent qu'elles soient dites aussi puis qu'elles soient notées. On a parlé du nombre. Moi, ça m'avait surprise, dans votre mémoire, vous parlez de 450 000 personnes vivant avec un handicap visuel au Québec. Moi, ça m'a vraiment frappée, parce que, très humblement, je ne pensais pas que le chiffre était aussi élevé. J'aimerais vous entendre là-dessus, mais aussi vos projections avec une population québécoise vieillissante. Est-ce que, ça aussi, vous pourriez nous entretenir un peu?

M. Perreault (Antoine) : ...beaucoup de personnes... Pardon. C'est sûr que c'est beaucoup de personnes, 450 000 personnes. C'est des estimations qu'on a réussi à obtenir en appliquant le... à partir de Statistique Canada, en 2017, l'étude qu'ils ont faite, là. Si on prend le taux de personnes handicapées visuelles au Canada, on l'applique au Québec, ça nous donne ça. Il ne faut pas oublier aussi qu'on parle quand même de 22 % de la population qui ont des limitations fonctionnelles, donc c'est bien plus que 450 000 personnes. Toutes ces personnes-là peuvent être touchées par l'accessibilité du Web.

Puis c'est sûr qu'effectivement, nous, ce qu'on voit arriver, quand on lit ce que les ophtalmologues disent, c'est sûr que c'est les nombres qui vont augmenter beaucoup avec le vieillissement de la population. On a lu beaucoup aussi avec l'utilisation des écrans. C'est beaucoup, beaucoup de choses qui vont faire que, dans quelques années, ces nombres-là vont exploser. Puis c'est pour ça que, maintenant, on sonne la cloche d'alarme par rapport à l'accessibilité du Web, parce qu'on se dirige tranquillement vers une société et un gouvernement québécois qui communique majoritairement via le numérique avec ses citoyens.

Le risque qu'on a, c'est de les exclure complètement ou d'en exclure une très large partie d'un paquet de services auxquels ils ont droit. C'est déjà commencé. Quand on pense à... par exemple, je le ramène souvent parce que c'est un exemple frappant, mais, quand on pense à Consultation Québec, quand on pense à toutes les plateformes qui sont mises en place sans numéro de téléphone, quand on pense... c'est tous des trous dans lesquels les gens vont tomber. Puis plus ça avance, plus les gens vont tomber dans ces trous-là.

Mme Rizqy : Bien, prenons le temps de le faire correctement, justement. Vous mentionnez des plateformes que le numéro de téléphone n'existe même pas. Donc, le citoyen, s'il n'est pas en mesure de s'inscrire en ligne, bien, il se retrouve devant un bris de service. Pouvez-vous nous nommer quelques exemples, s'il vous plaît?

M. Perreault (Antoine) : Bien, Rendez-vous santé Québec est un bon exemple d'une plateforme où on peut... On parle quand même de prendre rendez-vous avec un médecin, c'est la base, de la base, de la base de notre système de santé, pas de numéro de téléphone. Je vous dirais que les tests, on n'a pas été en mesure de faire les tests d'accessibilité sur la plateforme en tant que telle, mais il y a certains endroits sur cette plateforme-là qui nous inquiètent. On veut travailler à fort à les faire, là, le plus rapidement possible. Mais c'est beaucoup, beaucoup d'inquiétudes qu'on a... Tu sais, nous, on le répète toujours, ce message-là. Au-delà d'une règle, au-delà d'un standard, on parle d'une personne qui n'aura pas accès à un service public.

Mme Rizqy : Effectivement. Puis, parmi vos membres, j'imagine que vous avez reçu divers témoignages aussi de ceux qui ont été confrontés à cette absence de services et qui ont subi ce qu'on appelle la fracture numérique, mais, dans leur cas, c'est carrément un bris de services, notamment en santé.

M. Perreault (Antoine) : Tout à fait, tout à fait. Si ça vous intéresse, il y a des très bons articles qui ont été faits, Radio-Canada en a fait, Le Journal de Montréal, sur des situations que des membres chez nous ont vécues, des situations pas drôles où ils ont dû... Par exemple, la plateforme Clic Santé, ils ont eu toute la misère du monde à obtenir un rendez-vous pour se faire vacciner. Parce que même, puis ça, c'est quelque chose qu'il faut dire, même quand on a un numéro de téléphone, ce qui était le cas à ce moment-là, encore faut-il que ce soit une plateforme qui soit efficace. Si on attend trois heures et demie au téléphone, on ne peut pas dire que c'est efficace, là.

Mme Rizqy : Et, pour être fiscaliste, je peux vous dire que trois heures et demie, vous êtes généreux, parce que, des fois, à Revenu Canada, c'est toute la journée qu'on attend. Alors... Je n'ai pas pu m'empêcher, M. le Président. Bien, pour revenir à nous, à ce qui nous concerne, j'en profite pendant que je vous ai avec nous. Plus tard, oui, aujourd'hui, on crée un ministère qui aura comme responsabilité le volet numérique, mais il y aura des questions qui seront posées par rapport à l'identité numérique et aussi la reconnaissance avec des éléments biométriques. Pour vos membres, plus particulièrement ceux qui ont un handicap visuel, c'est quoi, l'impact, pour eux?

• (16 heures) •

M. D'Amour (Jean-Marie) : Ça dépend de la biométrie qu'on utilise. C'est sûr que s'il faut fixer... Bien, je prends un exemple concret, sur un téléphone cellulaire, maintenant, il y a beaucoup de téléphones qui permettent la reconnaissance faciale. Et la reconnaissance faciale, il faut être à une certaine distance de l'écran. Moi, personnellement, à cette distance-là, je ne vois pas mon écran. Ça fait que, si je veux que mon téléphone me reconnaisse, il faut que je le tienne à cette distance-là, mais je ne peux pas l'utiliser à cette distance-là. Bon, heureusement, c'est seulement pour le déverrouiller. Mais c'est sûr que c'est un enjeu important l'identité numérique, là, et ça demande réflexion, mais il faut que, dans toutes ces réflexions-là, on tienne compte aussi de l'accessibilité puis qu'on consulte les gens qui peuvent en parler.

Mme Rizqy : Inquiétez-vous pas, on va vous rappeler lorsque ça sera le sujet précisément. Je vais laisser, évidemment, mon collègue et le ministre faire les annonces en temps opportun pour convoquer les différents groupes, puis assurément on va vous mettre sur notre liste d'invités pour pouvoir s'assurer de ne pas vous oublier.

Ce matin, différents groupes, on leur a posé la question, suite à votre mémoire, en fait — alors, je vous dis, il a été très pertinent — on leur a demandé : Oui, virage numérique, mais est-ce qu'on doit aussi s'assurer qu'il y a toujours des points d'entrée physiques? Alors, j'imagine... je vous pose la question puis je ne veux pas vous mettre des mots dans la bouche, même si c'est pas mal ça que je suis en train de faire, là, donc je m'en excuse, donc j'imagine, je tiens pour acquis que, de votre côté, c'est important que les services en personne aussi existent puis par téléphone, toujours, là.

M. D'Amour (Jean-Marie) : Parce qu'il y a une... Je prends, par exemple, au Regroupement des aveugles et amblyopes du Québec, que je connais bien parce que j'en suis le président, on a 25 % de nos membres avec qui on n'a pas pu communiquer de façon numérique, avec qui on doit communiquer par téléphone, pour lesquels on a créé des rubriques téléphoniques qu'ils peuvent consulter pour avoir la même information que le restant de nos membres.

C'est sûr que, pour une personne aînée d'un certain âge — je suis rendu dans cette catégorie-là, mais, bon — là, ce n'est pas tous les gens qui sont à l'aise avec la technologie. Et, si on parle d'une personne qui a une limitation visuelle relativement sévère, bien, c'est encore plus difficile. Ça fait que c'est important qu'il demeure des services en personne, des services au téléphone, pour desservir cette population-là. Le virage numérique, c'est bien, et ça va s'élargir de plus en plus avec le temps qui passe, mais il y a une transition à faire, puis il ne faut pas échapper des gens derrière.

Mme Rizqy : Ce matin, on parlait avec Me Poitras, qui parlait qu'il y avait, justement, des lois pour s'assurer que ça demeure accessible pour les personnes, notamment, qui ont un handicap visuel. Alors, je lui ai mentionné une statistique qui est dans votre mémoire : 68 % des sites Web gouvernementaux et des sites Web des CISSS et des CIUSSS ont un niveau d'accessibilité entre faible et inutilisable lorsqu'il est question des standards d'accessibilité des sites Web. Alors, c'est quoi, la conséquence, quand ces sites Web ne sont pas conformes aux normes que le gouvernement du Québec s'est doté depuis 2011?

M. Perreault (Antoine) : Vous l'avez mentionné tantôt, des bris de services, des difficultés d'accès.

Mme Rizqy : ...gouvernement.

M. Perreault (Antoine) : Pardon?

Mme Rizqy : La conséquence du gouvernement. Donc, quand le gouvernement ne fait pas ses devoirs, ne rencontre pas ses propres standards, c'est quoi, les conséquences?

M. Perreault (Antoine) : Bon, il n'y en a pas.

Mme Rizqy : Il n'y en a pas.

M. Perreault (Antoine) : Au mieux de notre connaissance, il n'y en a pas.

Mme Rizqy : Bien, c'est ça que je me suis dit, alors. Puis moi, j'ai été prof à l'université puis je me suis toujours dit : Si je veux que mon étudiant soit meilleur, il doit y avoir des conséquences, non?

M. D'Amour (Jean-Marie) : Oui, il faudrait qu'il y ait des conséquences puis il faudrait qu'il y ait une veille, une certaine surveillance, un contrôle. Parce que, si on met des règlements puis qu'il n'y a personne qui contrôle leur application, bien, on se retrouve avec la situation qu'on connaît actuellement.

Mme Rizqy : Bon, alors je tiens pour acquis qu'on pourrait ajouter ça parmi votre liste de suggestions pour les amendements futurs. Oui? On ne vous a pas entendus au micro.

M. Perreault (Antoine) : Tout à fait, tout à fait, tout à fait.

Mme Rizqy : Tout à fait?

M. Perreault (Antoine) : Puis, tu sais, si je peux me permettre, ce qui est intéressant de votre exemple, c'est que nous, on fait beaucoup de représentations, depuis plusieurs années, à ce sujet-là puis souvent on se le fait dire par les ministères : Bien, on a fait ce qu'on pouvait, même si ce n'est pas aux normes, on a fait ce qu'on pouvait. Sauf que, malheureusement, le «on a fait ce qu'on pouvait» ne donne pas accès aux personnes. Dans ce cas-là, ce n'est pas suffisant.

Mme Rizqy : Ah! absolument. Puis moi, ce qui m'étonne, c'est qu'il y a des standards, mais il n'y a pas de suivi. Puis j'ai beau regarder — puis est-ce que je l'ai, là — j'ai l'organigramme, là, je vais le mettre au bon endroit... puis je n'ai pas trouvé la personne responsable de cette norme. Alors, je ne sais pas si vous, vous la connaissez, là, mais vous me le direz, mais je ne l'ai pas trouvée dans l'organigramme.

M. D'Amour (Jean-Marie) : ...actuellement, c'est le Conseil du trésor , il y a une personne, à ma connaissance, au Conseil du trésor. Je ne sais même pas si elle a changé de chaise depuis la dernière fois que je lui ai parlé. Le problème, souvent, dans les ministères, c'est qu'on commence à dialoguer avec une personne, puis cette personne-là s'en va ailleurs, et, quand il y a juste une personne, bien, c'est difficile que l'expertise continue dans le temps.

Mme Rizqy : Effectivement.

M. D'Amour (Jean-Marie) : Alors, il faudrait former une équipe, idéalement. Et actuellement il y a une équipe, du côté de Québec.ca, qui fait quand même du très bon travail. Québec.ca, c'est un site assez exemplaire, au niveau de l'accessibilité, mais Québec.ca ne peut pas diffuser, en tout cas, pas à court terme, l'ensemble de l'information gouvernementale. Alors, il reste encore beaucoup de travail à faire. Puis il faut former des gens, il faut former des équipes qui vont pouvoir suivre ce processus-là, suivre le développement de l'accessibilité.

Mme Rizqy : Merci. Bien, une personne pour plus de 450 000 Québécois, pour qui il y a un immense impact dans leur vie, c'est peu de monde. Alors, je suis d'accord avec vous pour une équipe.

Il reste une minute, mais je passe la parole tout de suite à ma collègue de Vaudreuil. Merci énormément pour votre présence puis de mettre un visage sur les personnes qu'on peut oublier.

Le Président (M. Simard) : Chère collègue.

Mme Nichols : Oui. Merci, M. le Président. Une petite miniquestion. Je le sais, j'ambitionne sur votre générosité. J'écoutais, là, des échanges avec ma collègue de Saint-Laurent puis je me demandais : Quand il y a des changements ou quand il y a des transitions comme, là, le Clic Santé, est-ce que vous êtes préalablement consultés ou préalablement informés pour que, mettons, vous demandiez un accès, justement, pour vos membres ou pour les gens que vous représentez?

M. D'Amour (Jean-Marie) : Non, on n'est pas consultés à l'avance. Et, quand il se produit quelque chose comme le VaxiCode, par exemple, on le sait par après et là on intervient, on demande à être consultés, on demande à vérifier l'accessibilité, on demande à ce qu'il y ait des tests qui soient faits avec des utilisateurs, et finalement, souvent, il finit par se faire quelque chose. Mais tous les problèmes de VaxiCode n'ont pas encore été réglés. Ça fait que le problème, c'est que ça fait déjà plusieurs mois que c'est en circulation, et les gens n'ont pas été capables d'aller chercher leur propre code...

Mme Nichols : C'est quand même un...

Le Président (M. Simard) : Excusez-moi. Il y aurait consentement afin que notre collègue de Vaudreuil puisse poursuivre? Il y a consentement. Allez-y, chère députée.

Mme Nichols : Merci. J'ai vraiment des collègues adorables... bien, pas toujours, mais bon. Ça fait que je comprends, là, que le VaxiCode, là, c'est, entre autres, là, une des problématiques qui vous a beaucoup touchés, entre autres, en temps de pandémie, là. Ça fait qu'il y en a qui ont encore ce préjudice-là, parce qu'il n'y a pas de... il n'y a pas... il n'y a rien qui a été mis en place, là.

M. D'Amour (Jean-Marie) : Oui, ça puis Clic Santé, là, je vais vous dire, c'est un très gros irritant, une très grande frustration pour nos membres.

Mme Nichols : Bien, c'est noté puis je... merci pour votre mémoire, merci pour vos représentations. Puis je pense que ça va de soi que vous devez être préalablement consultés ou informés. Ou on doit penser, là, à une façon que, quand il y a une transition, là, que... qu'il n'y ait pas de préjudice qui soit occasionné à ces 450 000 personnes, entre autres, là, qui souffrent d'une... d'un handicap visuel, vous avez dit.

Le Président (M. Simard) : Très bien.

Mme Nichols : Alors, merci.

Le Président (M. Simard) : Alors, MM. Perreault et D'Amour du Regroupement des aveugles et amblyopes du Québec, merci beaucoup pour votre précieux témoignage cet après-midi, sur quoi nous allons suspendre nos travaux.

Mais, avant de vous quitter, je vous rappelle que, pour des raisons techniques, puisque nos prochains invités seront en visioconférence, nous allons devoir changer de salle et nous retrouver à la salle Pauline-Marois. Quant à moi, je ne serai pas avec vous, vous aurez un nouveau président pour diriger les destinées de cette belle audition. Alors, on se retrouve néanmoins demain.

Une voix : ...

Le Président (M. Simard) : À 17 h 30.

(Suspension de la séance à 16 h 09)

(Reprise à 17 h 37)

(Visioconférence)

Le Président (M. Polo) : Alors, bonsoir. Bienvenue à la Commission de la fonction publique.

La commission est réunie afin de poursuivre les consultations particulières et auditions publiques sur le projet de loi n° 6, Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique et modifiant d'autres dispositions. Ce soir, nous débutons par entendre l'Association québécoise des technologies.

Je vais vous demander, avec votre consentement, compte tenu que les deuxième et troisième oppositions ne sont pas avec nous à ce moment-ci, si vous acceptez qu'on redistribue également équitablement leur temps. Parfait.

M. Caire : ...M. le Président, ma collègue avait suggéré qu'on pourrait aussi peut-être permettre à nos invités d'utiliser plus de temps dans leur présentation.

Le Président (M. Polo) : Avec consentement, on peut procéder de la façon...

Des voix : ...

Le Président (M. Polo) : Parfait, excellent. Alors...

M. Caire : Je seconde la proposition de la députée de Saint-Laurent.

Le Président (M. Polo) : Alors, le secrétariat va ajuster, là, le temps, là, ici également. Donc, je souhaite, donc, la bienvenue aux représentants de l'Association québécoise des technologies. Je vous rappelle que vous disposez au minimum de 10 minutes, on va s'ajuster, là, peut-être de quelques minutes, pour votre exposé, après quoi nous procéderons à la période d'échange avec les membres de la commission. Je vous invite, donc, à vous présenter puis à commencer votre exposé.

Association québécoise des technologies (AQT)

Mme Martel (Nicole) : Alors, merci, M. le Président. Merci aux membres de la commission, qui nous accueillent ce soir. Je sais que vous avez dû vous déplacer pour accueillir cet échange en visioconférence, donc c'est très apprécié. Merci beaucoup. Donc, je suis Nicole Martel, présidente de l'Association québécoise des technologies. Et je suis accompagnée de M. Alain Lavoie, président de la compagnie LexRock AI et membre de notre comité affaires publiques.

Alors, bien, il va sans dire que l'AQT est heureuse de participer à cette consultation, qui marque un jalon quand même important dans l'évolution du numérique au sein de l'État québécois. Et, bien sûr, on espère que nos commentaires contribueront à vos réflexions. Donc, aux yeux de l'AQT, la création du ministère de la Cybersécurité et du Numérique s'inscrit en toute logique avec la vision amorcée depuis trois ans pour permettre une meilleure synergie dans les efforts gouvernementaux pour réaliser une réelle transformation de l'État québécois.

Donc, juste avant d'entrer dans le vif du sujet, je sais qu'on a eu la chance de venir échanger avec certains d'entre vous dans des commissions parlementaires antérieures. Je vais néanmoins dire un petit mot sur l'AQT puis mettre en perspective, dans le fond, les commentaires qu'on va vous présenter. Donc, nous représentons l'ensemble de l'industrie québécoise des technologies numériques. Donc, cet écosystème touche tous les domaines d'expertise, les télécommunications, les services informatiques et logiciels. Nos solutions rendent optimale la transformation numérique et touchent l'ensemble des secteurs d'activité économique. Donc, l'apport du secteur est indéniable, alors qu'on dénombre près de 2 000 entreprises privées. Elles emploient à leur tour 154 000 professionnels au Québec. Ça nous en prendrait un petit peu plus, mais, bon, on en a 154 000 pour l'instant. Donc, phénomène important à souligner, c'est que l'expertise québécoise rayonne à l'international, alors, plus que deux tiers de nos entreprises vendent hors Québec.

• (17 h 40) •

Donc, tel que mentionné précédemment, il y a plusieurs actions structurantes que nous avons résumées en page 3 de notre document, que, je pense, vous avez entre les mains, notre mémoire, donc, à débuter par la création du Centre québécois d'excellence numérique en juin 2019, jusqu'à l'adoption de la loi n° 64 sur la protection des renseignements personnels, en septembre dernier. Donc, vous dire que notre mémoire s'articule principalement autour de trois grands thèmes, soit la gouvernance, les infrastructures, considérant l'adoption et l'intégration des innovations, et les synergies avec l'industrie.

Comme nous avons consulté nos membres juste avant de vous rencontrer, sachant qu'on venait vous rencontrer aujourd'hui, on va profiter de l'occasion de nos remarques d'introduction pour vous faire part de quelques observations que nous avons reçues de leur part dans les derniers jours.

Donc, d'entrée de jeu, on reconnaît la pertinence de l'intégration au sein d'un seul ministère des fonctions et des entités citées au projet de loi. On est d'avis que les synergies créées entraîneront une plus grande harmonisation entre les façons de faire des ministères et organismes. De ce fait, le projet de loi vient corriger une lacune importante observée à ce jour, alors qu'on découvre qu'il y a des systèmes qui ne se parlent pratiquement pas, des pratiques et des façons de faire différentes entre les ministères et organismes, rendant, des fois, difficile le fait de transiger avec l'État, sans parler de la nature des ressources informationnelles, des fois, qui sont inégales, qui sont souvent le fruit ou en fonction de la taille et les ressources de l'organisation.

Donc, sur le plan des points de vigilance et des recommandations, je débuterais par nos deux premières recommandations.

Donc, étant donné les avancées constantes dans le domaine du numérique et de la cybersécurité, on estime qu'il faut créer un point de contact régulier avec les spécialistes du gouvernement du Québec et les organisations privées qui sont au coeur des l'innovation, un peu comme le Conseil de l'innovation au MEI ou le Comité consultatif sur les changements climatiques à l'Environnement. On recommande de créer un comité aviseur afin de conseiller le ministre et l'appuyer dans la définition des orientations, des programmes, des politiques et des différentes stratégies.

Par ailleurs, comme il est difficile, aujourd'hui, d'évaluer ce que seront les besoins de l'avenir étant donné l'évolution constante du secteur, en ce sens, l'AQT invite le gouvernement à ne pas hésiter à mobiliser d'autres experts en mettant en place des sous-comités spécifiques et ponctuels sur des thèmes pointus, comme le permet l'article 9 du projet de loi. Donc, parmi les commentaires qui ont été évoqués par nos membres et sur lesquels il serait bon d'avoir un échange, j'en ai quelques-uns... selon notre compréhension, il est prévu que les ministères et organismes auront accès à un catalogue de solutions qui auront été préapprouvées par l'ITQ. Par le passé, on a pu constater des écueils de fonctionnement tant du côté des fournisseurs que des ministères et organismes utilisateurs. On peut se demander comment l'ITQ sera capable d'absorber une nouvelle clientèle sans l'ajouter de nouvelles ressources. La question qui se pose, bien, dans le fond, c'est : Aurez-vous les moyens de vos ambitions? Donc, on pourra peut-être revenir sur ce point pendant la période d'échange.

Quant à la volonté de regrouper l'expertise des équipes de sécurité, il est bon de se rappeler que les expertises sectorielles doivent demeurer, car chacune des organisations aura toujours des besoins très spécifiques. On peut penser, par exemple, au secteur de la santé, le ministre des Finances, l'Agence du revenu. Eux ont des normes spécifiques et leurs besoins peuvent être différents. Donc, ça serait bien de préciser votre vision à ce sujet. Est-ce que les équipes de sécurité seront toutes sous un même toit, ou encore délocalisées un peu à l'image du modèle du ministère de la Justice?

Sur un autre sujet, le fait de pouvoir certifier des fournisseurs de façon centralisée comporte son lot de bénéfices. En ce moment, les entreprises doivent passer des tests ou des questionnaires de sécurité dans chacune des organisations où on fait l'utilisation de leurs logiciels. Donc, ce qui a été évoqué par nos membres, c'est qu'on trouve que... on pense que le groupe qui devra être en mesure d'évaluer une certification... de délivrer, pardon, des certifications, après un audit d'un fournisseur, devra tenir compte des niveaux de sécurité requis. Par exemple, est-ce que le logiciel est d'usage interne versus un usage externe, ce qui, pour nous... dans un effort d'uniformité, il ne faudrait pas que ça devienne un bloquant pour des solutions de moindre envergure.

Du point de vue de certains membres, ils voient cette centralisation de l'accréditation comme étant une façon de favoriser l'adoption et la rapidité du déploiement, ce qui serait souhaitable avec... et un effet positif de cette réorganisation. En contrepartie, l'AQT a souvent évoqué que les centralisations peuvent favoriser les grands joueurs globaux, souvent au détriment des PME. Donc, pour éviter cette situation, on pense que le ministère pourrait appuyer la certification de logiciels produits de façon locale. Par exemple, de petites entreprises pourraient se faire appuyer par le gouvernement pour devenir des solutions certifiées et admissibles, donc voir à un accompagnement pour les plus petites entreprises.

Aussi, dans la foulée des collaborations entre le privé et l'État, on espère que le nouveau ministère porte une attention particulière aux solutions existantes. Il pourrait réfléchir à mettre en place une architecture technologique permettant une véritable interopérabilité des systèmes. C'est un mot qu'on a toujours... qu'on accroche souvent. Donc, les articles 1.4 et 1.7 du projet de loi portent spécialement sur les services qui doivent être mis à la disposition des ministères et organismes, notamment à titre de courtier infonuagique. Or, les entreprises qui se retrouvent au catalogue d'offre infonuagique s'interrogent parfois sur la bonne compréhension de cet outil par les ministères et organismes, puisqu'on a le sentiment qu'ils ne s'y réfèrent pas aussi souvent qu'on pourrait l'imaginer.

Dans un contexte de pénurie de main-d'oeuvre criante du secteur des technologies de l'information, le secteur privé serait un partenaire pour permettre au ministère de mettre en oeuvre sa vision. Nous recommandons de développer une architecture de type place de marché ou «marketplace» afin de mettre en relation les ministères et organismes avec des fournisseurs d'applications. En procédant ainsi, les fournisseurs sauront comment se conformer aux standards gouvernementaux sans que le gouvernement reste dépendant de ses fournisseurs. Donc, c'est un concept qu'on décrit dans notre recommandation 6 du document.

Donc, nous sommes d'avis que les rôles des ministères et organismes en sera un de maître d'oeuvre pour établir les stratégies, la planification, la vigie des projets plutôt que de développeur de projets de transformation numérique. Comme tout changement organisationnel privé ou public, il faudra prévoir une adaptation et une évolution culturelle des mentalités. Donc, nous sommes convaincus que, si le scénario décrit dans ce projet de loi se confirme, il en résultera un réel partage de meilleures pratiques et une plus grande efficacité dans les projets de transformation numérique, et c'est ce qui motive nos recommandations 4 à 8. Donc, c'est tout pour nos remarques. On est prêts à ouvrir des échanges. Merci.

Le Président (M. Polo) : Merci beaucoup aux représentants de l'Association québécoise de technologies. Compte tenu de l'absence du troisième groupe d'opposition, c'est un 2 min 45 s qui s'ajoute également, qui va être réparti équitablement. Donc, sans plus tarder, j'invite M. le ministre à prendre la parole. Vous disposez d'un peu plus que 16 min 30 s, là, 19 minutes d'échange avec le groupe.

M. Caire : Merci, M. le Président. Bien, bonjour, bonjour, Mme Martel, bonjour, M. Lavoie. Heureux de vous retrouver. Je vous dirais que c'est avec beaucoup de plaisir qu'on a pris connaissance de votre mémoire. Beaucoup d'éléments dans le mémoire en question.

Là, je comprends que la qualification des entreprises pose un certain nombre d'enjeux. Vous avez parlé... puis je vais y aller pour les différentes qualifications, parce que vous avez parlé du courtier en infonuagique, vous avez parlé de la qualification des applications au niveau de la sécurité, bon, dépendamment si l'application avait un volet externe puis un volet interne. Je vais commencer par ça, parce que je vous dirais que c'est peut-être la portion où je ne suis pas sûr d'avoir bien compris ce que vous vouliez dire exactement. Donc, je vous demanderais peut-être, Mme Martel ou M. Lavoie, d'élaborer un peu là-dessus. Premièrement, en quoi il y a une résonnance différente que l'application soit interne ou externe? Parce que la menace, à mon avis, elle peut être aussi grande dans un cas comme dans l'autre. Puis en quoi il y a une différenciation à faire dans ces applications-là? Je ne suis pas sûr, ce bout-là, que j'ai tout, tout, tout suivi, ça fait que je vous demanderais d'élaborer un peu là-dessus.

• (17 h 50) •

M. Lavoie (Alain) : Bien, on est d'accord avec vous, M. le ministre, que, dans le fond, on l'admet en voulant dire que, dans certains cas, bien, peut-être qu'on peut mettre plus de sécurité, dans d'autres cas, un peu moins de sécurité, dépendant si c'est une application, je ne le sais pas, de diffusion ou, par exemple, versus une application de transaction qui pourrait être faite, là, essentiellement. C'était dans... un peu dans un contexte comme ça qu'on l'amenait. Peut-être qu'on n'a pas choisi des bons mots pour l'amener, mais c'était dans ce cadre-là. Donc, dans le fond, ce n'est pas une recette pour tous les types d'application. Ça peut être différentes recettes, dépendant si on travaille avec de l'information personnelle ou avec d'autres choses.

M. Caire : Bien, en fait, je trouve ça intéressant, ce que vous amenez, parce que moi, je prétends, puis je veux vous entendre là-dessus aussi, puis ça va faire partie, bon, peut-être le volet plus cybersécurité du ministère de la Cybersécurité et du Numérique, qu'il faut changer, justement, cette approche-là, à savoir, on fait une spécificité sur la nature de l'information, est-ce que c'est un renseignement personnel? Est-ce que ce n'est pas un renseignement personnel? Tantôt, vous avez dit : Une application en santé aurait peut-être des besoins particuliers. Alors que... puis c'est là-dessus que je veux vous entendre, l'approche qu'on préconise ou qu'on préconiserait beaucoup plus, c'est de dire : Bien, écoutez, on va travailler en fonction de la sensibilité des éléments qu'on a à protéger. Par exemple, un renseignement est-il sensible? Peu sensible? Pas sensible? Et la mesure de protection à établir va être en relation directe avec le niveau de sensibilité des éléments qu'on a à protéger. On s'entend que des renseignements personnels sont une sous-catégorie des renseignements sensibles, mais les renseignements financiers en sont tout autant, d'autres types de renseignements. Et donc, bien, un, est-ce que vous diriez que cette approche-là est la bonne? Puis, par rapport à ce que vous avez amené dans votre présentation, est-ce qu'il faut comprendre qu'au contraire la nature des choses doit être ce qui conditionne la façon dont on travaille plutôt que d'y aller de façon plus générique et indépendamment, justement, de la nature de l'information ou du traitement qu'on a à faire?

Mme Martel (Nicole) : Je pense que vous avez utilisé... dans le fond, votre exemple est plus réaliste par rapport à ce qu'on voulait évoquer, c'est la nature de l'information, la nature de la donnée qui devrait motiver le niveau de sécurité. Je crois que ce que les membres ont évoqué dans les commentaires qu'ils nous ont soumis, c'est dans notre désir de centralisation et d'uniformisation, il faudrait quand même garder une certaine marge de manoeuvre à travers les certifications qui vont être faites ou les autorisations qui vont être données, à savoir quel type de solution on vise. Donc, c'était plutôt dans ce sens-là que les commentaires nous ont été soumis, là.

M. Lavoie (Alain) : Le gouvernement a déjà des niveaux de catégorisation de la donnée, là, essentiellement, là, dépendant de... et donc l'idée, c'est d'être capable d'avoir une harmonisation, essentiellement, par rapport au type de donnée, par rapport au type d'information qui va être manipulée par les entreprises ou les logiciels des entreprises qui sont utilisés. C'est dans ce contexte-là qu'on amène. Ça a été... on avait déjà parlé de ça, je pense, au p.l. n° 64 aussi, là, quand on avait fait des représentations.

Le Président (M. Polo) : Parfait.

M. Caire : Je vais laisser la parole à mon collègue de Vanier-Les Rivières, M. le Président.

Le Président (M. Polo) : Excellent. Merci. Je vais inviter, si vous le permettez, le député de Vanier-Les Rivières à prendre la parole. Allez-y.

M. Asselin : Mme Martel, M. Lavoie, bonjour. Je suis content de vous retrouver, une clientèle habituelle dans les consultations. Merci beaucoup. J'ai compris que vous avez consulté vos membres. Est-ce que... bien, je n'ai pas vu nulle part une prise de position publique relativement au projet de loi n° 6. De quelle façon est-ce que vous avez l'impression que votre gang a accueilli le projet de loi en général?

Mme Martel (Nicole) : Je vais répondre. Bien, dans le fond, on a des communications régulières avec nos membres et puis on a fait une communication les informant qu'on avait été invités en commission et les invitant à nous faire part de leurs commentaires s'ils en avaient. Donc, c'est comme ça que les membres ont pu s'exprimer en plus de notre comité affaires publiques. Puis, demain, soyez sans crainte, on va les informer aussi de notre présence avec vous puis des échanges qu'on a eus.

M. Asselin : Mais la réception est-elle positive?

Mme Martel (Nicole) : Bien, dans le fond, la réception était très positive, comme je l'ai mentionné dans mes notes, par exemple, quant aux autorisations ou quant aux certifications de certains logiciels. Donc, en ce moment, des entreprises, dès qu'elles vendent avec un organisme... obligées de faire certifier, faire les tests pour chacun des organismes avec lesquels elles transigent, pour un seul logiciel. Donc, on voyait ça d'un bon oeil, parce qu'on a dit : Maintenant, je vais avoir juste une certification à faire, donc ça, c'était très favorable à leurs yeux. Puis aussi comment... les différentes façons de faire dans les organismes, qui sont différentes d'un organisme à l'autre, là, les appels d'offres sont... les appels d'intérêt, les appels d'offres, les façons de transiger avec les équipes aussi peuvent différencier d'un organisme à l'autre. Donc là, on voyait comme un gain d'efficacité à ce niveau-là.

La contrepartie, c'est : en centralisant puis en ayant des fournisseurs uniques, bien là, le danger, peut-être, de tomber vers des plus gros joueurs, versus des PME, ça, ça a été évoqué, également.

M. Lavoie (Alain) : Si je peux ajouter, en fait, on représente le secteur des technologies de l'information et des communications. Il est normal qu'on ne peut que se réjouir qu'il y ait un ministère qui se réveille le matin puis qui pense juste aux technologies de l'information, au numérique et à la cybersécurité, qu'on a la possibilité d'avoir un interlocuteur unique, essentiellement, où on peut passer... où on peut faire des représentations. Comme on disait, il y a des infrastructures routières, il y a un ministère des Transports pour s'en occuper, bien là, il y a des infrastructures numériques, puis on a un ministère pour s'en occuper. Et ça, bien, nos membres sont... évidemment, ils ne peuvent pas être contre ces choses-là.

Ceci dit, vous le savez, il faut faire atterrir ça, maintenant, dans la machine. Il y a des préoccupations, comme on a vu dans d'autres circonstances. Il y a des préoccupations, à savoir la gestion du changement, comment ça va être perçu des groupes à l'intérieur. Nous, ce qu'on souhaite, c'est qu'on trouve de quoi qui va être rapide. Puis peut-être, la préoccupation, c'est : Est-ce que ça va aller rapidement, là, cette mise en place là du ministère? Est-ce que ça va changer les façons de faire dans... Ce qu'on comprend, c'est qu'essentiellement... puis c'est la question qu'on posait en introduction... on comprend que ça devrait être un peu comme le ministère de la Justice, avec la Direction des affaires juridiques, et donc... que ça fonctionnerait. Donc, si c'est dans ce contexte-là, bien, on garde l'expérience métier dans les ministères. Parce que, si on prend tout... on met tout ça dans un même bâtiment, bien, je pense que, là, on peut avoir un problème.

Donc, pour simplifier, le diable est dans les détails. C'est essentiellement ça, les préoccupations de nos gens.

M. Asselin : Je voulais vous donner l'occasion de manifester votre enthousiasme. Puis je comprends, je déduis, je lis entre les lignes que, foncièrement, vous êtes optimistes par rapport à l'avenir des technologies.

Je suis curieux un petit peu de vous entendre développer un peu plus sur le côté «marketplace», la recommandation n° 6 que vous avez inscrite dans votre mémoire. Pourriez-vous un petit peu développer là-dessus?

M. Lavoie (Alain) : En fait, l'idée, c'est... puis on a parlé de «marketplace», là, mais on a pris cet exemple-là... c'est d'avoir une architecture technologique qui permet à des joueurs de pouvoir embarquer et offrir des services à tout le gouvernement. Et une des façons qu'on a prises comme exemple, le «marketplace», c'est un peu comme ce que vous avez avec votre téléphone cellulaire Apple, là, il y a un «marketplace», puis là les gens doivent se conformer à des règles, des protocoles, des standards d'Apple pour pouvoir mettre en place leur application. Bien, c'est un peu la même idée qu'on amenait, de façon que ce soit interopérable, et que, dans le fond, que plusieurs joueurs peuvent offrir leurs solutions, qu'il y ait une architecture de ce type-là...

• (18 heures) •

M. Asselin : C'est comme ça que je l'avais compris, mais je voulais être bien certain de l'avoir bien compris. Donc, merci beaucoup, je vais laisser la place aux autres.

Le Président (M. Polo) : M. le ministre.

M. Caire : Oui. Bien, moi, je vais faire du pouce sur ce que mon collègue vient d'amener, parce que... En fait, deux choses. Premièrement, bon, vous en avez parlé, puis j'aimerais ça qu'on développe là-dessus, parce que le modèle du courtier en infonuagique répond un peu à ce que vous venez... En fait, la question serait : Est-ce que vous trouvez que le courtier en infonuagique répond un peu à ce que vous amenez comme concept de «marketplace», à savoir... Évidemment, là, c'est dédié à des services infonuagiques, mais il n'en demeure pas moins qu'il y a une préqualification de ces entreprises-là qui sont inscrites au courtier en infonuagique, qui, donc, doivent répondre à des standards, et, après ça, libre aux ministères et organismes de choisir le fournisseur de services qui répond le mieux à leurs besoins.

Dans le fond, si on étendait ce courtier-là à l'ensemble des services numériques préétablis... Évidemment, on ne parle pas de conception, de développement puis de mise en production, mais, dans ce qui existe, dans le déjà existant, le modèle du courtier en infonuagique, est-ce que c'est un modèle qu'on devrait étendre ou vous êtes vraiment plus nuancés que ça avec le concept de «marketplace»?

Mme Martel (Nicole) : Non, ce serait exactement dans la foulée ou dans la continuité de ce modèle-là de courtier en infonuagique.

M. Caire : Donc, on pourrait conclure que d'étendre cette façon de faire là à un ensemble plus vaste de services numériques répondrait à votre recommandation.

M. Lavoie (Alain) : Oui, en autant que les PME puissent entrer dans ça, parce que, dans l'infonuagique, c'était... il y a eu beaucoup de grands joueurs.

M. Caire : Oui, bien, c'est... Oui, mais, dans l'existant, je vous entends, mais je vous amène ailleurs. Puis, Mme Martel, M. Lavoie, là, vous ne serez pas surpris parce que c'est un élément que j'amène depuis longtemps, est-ce qu'on ne pourrait pas aussi aller vers une solution d'appel à solutions? C'est-à-dire, le gouvernement a un besoin... Parce que vous avez raison, là, dans l'existant, les chances que ce soient des joueurs qui ont quand même les reins assez solides pour offrir une gamme de produits étendue, une gamme de produits qui ont été testés, qui se sont avérés efficaces, c'est sûr que, dans la plus petite entreprise, ça a moins de chances... on a moins de chances de trouver des joueurs qui ont la capacité de faire ça pour toutes sortes de raisons.

Par contre, quand on parle des plus petits joueurs, et donc de secteurs très innovants, est-ce que, là, on ne pourrait pas s'ouvrir plus à des appels à solutions? Donc, le gouvernement a un besoin, le gouvernement a un budget x, et, à ce moment-là, on y va vers la solution qui répond le mieux à nos besoins et qui correspond au budget, quitte, évidemment, à jouer avec, là. Ça, c'est un modèle... Est-ce que vous pensez, en fait, que c'est un modèle qui pourrait être intéressant et qu'on pourrait mettre de l'avant éventuellement, justement, pour nos plus petites et moyennes entreprises?

Mme Martel (Nicole) : Bien, absolument, puis ça, ça fait partie aussi des recommandations qu'on a faites par le passé. Vous ne serez pas surpris de nous entendre répondre oui à cette question-là. Les appels à solutions, c'est des modèles... ce sont des modèles qui existent dans d'autres juridictions aussi puis qui permettent à des PME d'avoir un premier client référence, qui est le gouvernement, ce qui n'est pas banal en soi, notamment quand on veut exporter.

Puis, par rapport aux solutions qui pourraient faire partie du catalogue, si on va plus loin que simplement les solutions des gros joueurs en infonuagique, il existe des solutions, des fois, qu'ils font, qui proviennent d'entreprises plus modestes, mais qui peuvent être utilisées par plusieurs ministères et organismes, je veux dire, par exemple, des outils de gestion de feuilles de temps, des outils de gestion d'aide à la planification budgétaire. Donc, c'est des entreprises, des fois, des PME, vraiment, de taille très, très modeste, qui, avec leur bâton de pèlerin, vont d'un ministère à l'autre, puis, des fois, ils ont quatre, cinq, sept, 10 ministères comme clients. Bien, des entreprises comme celles-là voient d'un bon oeil le fait d'être qualifiées par une instance puis, après ça, être... pouvoir desservir plusieurs ministères et organismes.

M. Lavoie (Alain) : Si je peux me permettre, M. le ministre, pour les appels à projets ou... d'appels à solutions, on voit, dans d'autres juridictions, que ça fonctionne. Des fois, il y a des petits... Il peut y avoir des choses... Moi, ce que... Ce qu'on proposerait aussi, c'est qu'on voit aussi, dans des... Des fois, ce n'est pas juste une compagnie qui est sélectionnée, mais deux ou trois compagnies, pour une preuve de concept, pour démontrer... ou une preuve de faisabilité de la solution pour, après, aller dans une autre étape pour les choisir. Donc, ça, ça pourrait être très stimulant pour les PME et les petites entreprises innovantes.

M. Caire : M. le Président, ma collègue de Charlevoix voudrait poser une question. Je lui céderai, donc, la parole.

Le Président (M. Polo) : Mme la députée de Charlesbourg... Charlevoix—Côte-de-Beaupré.

Mme Foster : Charlevoix—Côte-de-Beaupré, merci beaucoup, mais île d'Orléans, c'est important. Merci beaucoup, M. le Président. Alors, bienvenue, là, je regarde pour être sûre de ne pas me tromper dans vos noms, là, M. Lavoie, Mme Martel. Merci de votre présentation qui est extrêmement instructive et pertinente.

Et j'aurais peut-être une petite question... pages 6 et 7 de votre mémoire, la recommandation 1, qui parle de la création d'un comité aviseur en matière de cybersécurité pour conseiller le ministre et l'appuyer dans la définition des orientations, des programmes, des politiques et des stratégies, bon, vous faites référence... Vous dites qu'il y a quelques comités ou quelques exemples dont pourrait s'inspirer le gouvernement, entre autres le Conseil de l'innovation et le Comité consultatif sur les changements climatiques. J'aimerais vous entendre davantage là-dessus, sur la pertinence, selon vous, de cette proposition, également à savoir quelle devrait être la composition d'un tel comité aviseur, parce que, ça, je ne le lis pas à nulle part. Donc, j'aimerais vous entendre davantage là-dessus.

Des voix : ...

Mme Martel (Nicole) : Excusez, c'est parce qu'on joue avec nos boutons de micro pour ne pas qu'il y ait d'écho quand un ou l'autre parle.

Bien, tu sais, un comité comme celui-là, naturellement, il y aurait des experts du gouvernement, des experts, selon les sujets qui devraient être touchés par le comité aviseur, puis il existe énormément d'expertise au Québec. Ça peut être des professeurs, des chercheurs. Ça peut être aussi des dirigeants d'entreprises qui, des fois, s'illustrent sur plusieurs scènes internationales, qui sont sollicités par plusieurs entreprises hors Québec. Donc, on dit : On peut faire profiter d'une présence un peu indirecte, là, des différentes avancées sur d'autres marchés internationaux par la présence d'experts québécois. Donc, on les inviterait sur un comité aviseur comme celui-là, par exemple. On pourrait vous en faire la recommandation.

M. Lavoie (Alain) : Sur le pourquoi de ça, de notre recommandation, c'est qu'il faut comprendre, là, qu'il y a un... Si on prend la cybersécurité, il y a un fleau, là, incroyable, et ce n'est pas juste le gouvernement qui va passer à... c'est aussi l'industrie, c'est aussi tout le monde qui va... Il faut se mettre ensemble pour pouvoir combattre ce fléau-là des cyberattaques qui se fait en ce moment partout dans le monde, mais aussi au Québec. Donc, ce qu'on dit : Mettons-nous ensemble pour pouvoir réfléchir ensemble puis peut-être amener des pistes de solution. Et c'est dans ce contexte-là qu'on amène cette proposition-là.

Le Président (M. Polo) : Merci beaucoup, Mme Martel. Je cède maintenant la parole à Mme la députée de Saint-Laurent pour également... attendez, 13 min 30 s, voilà.

Mme Rizqy : Merci beaucoup, M. le Président. Bonjour et bienvenue parmi nous. Vous êtes habituellement... des habitués avec toutes les questions qui touchent le numérique. Alors, c'est un plaisir de vous retrouver. J'aimerais, d'ailleurs, continuer sur le sujet des comités aviseurs. Présentement, est-ce qu'on vous consulte suffisamment, là? Parce qu'il risque d'y avoir beaucoup de changement numérique. Un, il y en a déjà, comme vous le savez, mais les prochains qui s'en viennent sont quand même assez importants, notamment sur la question de l'identité numérique.

Mme Martel (Nicole) : Bien, je dois dire que, quand on... Lorsqu'on se présente avec des experts ou différents intervenants du milieu puis qu'on propose ces expertises-là à des décideurs... Depuis plusieurs années, ça remonte à il y a cinq, 10, 15 ans même, où on a proposé des comités, des tables rondes. M. Saul Polo en a été témoin aussi, quand on avait besoin de parler de recommandations, par exemple, par rapport à l'exportation, ça a toujours été bien accueilli.

Maintenant, ce qu'on propose, c'est vraiment un comité aviseur, une instance en continu, donc, vraiment une instance continuelle plutôt qu'une instance ponctuelle, pour répondre à des besoins ad hoc. On pense que cette pérennité-là va faire en sorte que les échanges vont être facilités, puis, aussi, le partage d'information puis le suivi des dossiers aussi pourraient être... en bénéficier.

• (18 h 10) •

Mme Rizqy : Bien, justement, un comité qui existe de façon ad hoc, de façon, disons-le, permanente, ça nous permettrait aussi, j'imagine, de développer et de s'assurer de conserver le réflexe Québec, parce qu'on a une grande expertise ici, au Québec, mais, des fois, malheureusement, on dirait qu'on ne pense pas immédiatement à regarder dans notre propre cour avant de donner peut-être un contrat à l'extérieur. Est-ce que je me trompe?

Mme Martel (Nicole) : Oui, bien, dans le fond, je ne le voyais pas nécessairement exclusivement dans le but de contracter, puis ça n'exclurait pas qu'on pourrait aller chercher des experts externes aussi si l'expertise existe sur un autre marché, mais c'est plutôt le fait d'avoir un comité aviseur permanent qui peut assurer un suivi puis peut avoir comme... être les yeux et les oreilles du ministre, finalement, pour pouvoir s'assurer de prendre les meilleures décisions puis d'avoir couvert tous nos angles, donc, des détecteurs de radars un peu partout, une extension du ministre et de son équipe.

Mme Rizqy : Est-ce que ce serait aussi...

M. Lavoie (Alain) : Pour vous donner une...

Mme Rizqy : Ah oui! Pardon, allez-y, M. Lavoie.

M. Lavoie (Alain) : Pour vous donner une idée, entre nous, dans les PME, en ce moment, étant donné le manque de main-d'oeuvre qu'il y a, essentiellement, on commence à mutualiser entre nous les expertises des entreprises, parce qu'il y a un... Écoutez, il y a tellement d'attaques, comme je dis souvent, là, il y a tellement de feux, il va manquer de pompiers. Il va manquer de pompiers, à un moment donné, puis on ne peut pas en créer autant qu'on en a besoin.

Ça fait que l'idée, c'est... Entre nous, on se mutualise, on dit : Bien, on va mettre des groupes entre nous... qu'on se fait confiance, puis on va essayer de mutualiser certaines expertises. Ce qu'on dit par rapport à notre recommandation, c'est de dire : Bien, travaillons ensemble, travaillons ensemble avec le gouvernement pour trouver des pistes de solution. Ce n'est pas de contracter, c'est de trouver comment on peut s'en sortir, tu sais, de ça, parce que, je vous dirais, on a des histoires d'horreur, là, de notre côté, dans notre industrie, et on pense que vous devez vivre à peu près les mêmes affaires.

Mme Rizqy : Bien, moi, je peux vous garantir que les histoires d'horreur se rendent jusqu'à nos bureaux de comté, où des entreprises ont, malheureusement, vu leurs données saisies par des cyberattaques et se font demander des rançongiciels énormes, qui dépassent les millions de dollars et qui ne sont pas couverts dans leur entièreté, les réclamations auprès de leur assureur, et c'est des drames qui non seulement paralysent l'entreprise, mais c'est toute la famille ainsi que des employés qui en subissent les contrecoups. Alors, oui, je peux vous le garantir, qu'on reçoit bien ces appels, malheureusement. Vous alliez dire quelque chose?

M. Lavoie (Alain) : Et vous comprenez que, dans le contexte, on va apprendre aussi des meilleures pratiques que le gouvernement va mettre en place. Donc, ça va être du «win-win», là, comme on dit. Donc, c'est dans ce sens-là qu'on amenait ça.

Mme Rizqy : Absolument. Puis, tant qu'à avoir aussi votre expertise, des fois, on apprend certaines pratiques au niveau de la machine, l'appareil gouvernemental, puis on se dit : Voyons, on est rendu en 2021. Le comité, justement, pourrait aussi permettre d'aller dans différents ministères, par exemple, en éducation... que je suis aussi porte-parole, pour voir... Est-ce qu'on pourrait optimiser les pratiques pour, justement, entrer puis être en diapason avec l'air du temps, là, parce qu'il me semble que, dans certains endroits, on est un petit peu... Disons qu'on n'est pas à l'avant-garde de toutes les technologies qu'on pourrait s'attendre... au Québec.

Mme Martel (Nicole) : Moi, j'essaierais de... En tout cas, dans notre idée, on le voyait plus au niveau de la gouvernance, moins des opérations. Je pense qu'il y a toutes les expertises nécessaires au sein de l'appareil gouvernemental pour... en tout cas, les connaissances sectorielles auxquelles on faisait référence un peu plus tôt. Je ne vous dis pas qu'eux ne peuvent pas consulter aussi, là, les experts des secteurs, là, mais, pour le comité aviseur, on aurait tendance à le tenir plus au niveau de la gouvernance.

Mme Rizqy : À l'AQT, vous êtes aussi en contact avec les cégeps, et les centres de formation professionnelle, ainsi que les centres universitaires. Est-ce qu'on gagnerait aussi, justement, à s'assurer qu'on soit tous à la même table de décision, ou de concertation, ou de consultation? Parce que, tantôt, vous mentionniez, M. Lavoie, qu'il manque de pompiers. Il commence à en manquer davantage et il faudrait s'assurer d'arrimer les besoins du Québec avec aussi les centres de formation, que ce soit secondaire, collégial et universitaire, pour préparer cette relève-là.

M. Lavoie (Alain) : Bien, on n'a pas besoin de comité aviseur pour dire qu'on a besoin de main-d'oeuvre, là. Ça, c'est clair, mais, dans le contexte, nous, ce qu'on voulait, c'est vraiment être à une table et échanger sur les meilleures pratiques, être capable de lever... de temps en temps, dans une direction, dire au gouvernement : Bien, regardez, on a eu telle chose venant de nos gens... voir ça, puis, de la même façon, de voir peut-être aussi comment le gouvernement a pu sortir avec tel standard, avec telle façon ou avec telle procédure pour travailler. Donc, c'est plus dans ce mode-là qu'on est. On n'est pas dans le mode de... Je vais utiliser le mot «micromanagement», là. On ne veut pas aller dans les opérations. On veut être vraiment au niveau macro.

Mme Rizqy : Moi, je suis très micro et macro, là. Donc, c'est pour ça que mes questions sont très...

Mme Martel (Nicole) : Oui, on veut résoudre les problèmes.

Mme Rizqy : Exact.

Mme Martel (Nicole) : Je vous dirais... je le vois bien.

Mme Rizqy : On a... C'est sûr que faire un virage numérique... puis, on l'a vu avec la pandémie, ça s'est fait quand même très rapidement pour le télétravail. Alors, c'est beau de voir qu'au Québec on a été capable de virer, mais... Il y a des acquis qu'on veut conserver, mais il y a aussi d'autres affaires qu'on aimerait améliorer. Alors, c'est pour ça que je suis dans la gestion un peu plus micro, pardonnez-moi.

Mme Martel (Nicole) : C'est bon, mais je vous dirais autre chose aussi. On a entendu des histoires. Vous avez fait référence à un cas qui est quand même assez malheureux, là, de cyberattaque. On en entend aussi. C'est un peu tabou, hein? Des fois, c'est rendu public parce que l'entreprise est publique ou, bon, son site n'est absolument plus fonctionnel. On en a eu des exemples. C'est un petit peu tabou. On n'en parle pas trop. Puis, bon, c'est dans discussions un peu en privé qu'on en entend... dont on entend parler des exemples. Donc, je pense qu'il y a tout lieu de mettre en commun ces exemples-là puis les leçons apprises des cyberattaques aussi, là, pour pouvoir tirer des leçons de ça puis améliorer nos processus, là.

Mme Rizqy : Puis est-ce qu'on devrait même, le gouvernement, accompagner, justement, les entreprises en amont, au niveau de la protection de leurs données, mais s'assurer de... pas de dire «prise en charge», là, mais, lorsqu'il y a une attaque, on appelle qui? Oui, on appelle la police, là, mais, après ça, pour essayer de retrouver nos données, j'essaie de me mettre dans la peau du citoyen, de l'entrepreneur, c'est quand même tout un raz de marée, là, qui secoue l'entreprise lorsqu'ils sont sous une attaque.

• (18 h 20) •

M. Lavoie (Alain) : En fait, ce qu'on comprend, là, ça, c'est... oui, il faut de l'accompagnement, mais c'est plutôt le ministère de l'Économie, là, qui va nous aider, là, plus sur la formation, être capable, en amont, d'aider les entreprises, ne serait-ce de comprendre qu'il y a un problème, essentiellement. Puis là on parle plus large que juste les technologies. L'idée, ici, c'est, oui, les accompagner à une formation, accompagner les employés à savoir qu'il faut faire attention aux informations. On a une épée de Damoclès au-dessus de la tête. Ça nous prend de la formation en entreprise. Ça nous prend de l'aide.

Puis, par rapport au... Lorsqu'il y a une attaque, c'est sûr qu'il y a... c'est compliqué, là, parce qu'une attaque... Le gouvernement, comment il peut arriver à aider... Il ne peut pas sortir l'argent directement... On ne pense pas que la... parce qu'il y en a tellement, d'attaques, là, c'est... mais peut-être de trouver un moyen que... Puis là je lance... On lance une idée de moyens où les... On regarde ça ici, à l'AQT, de voir comment on peut arrimer ça avec les assureurs pour être capable... que, quand le feu pogne, bien, on s'assure qu'il y a des pompiers qui vont venir. On s'assure qu'il y a des pompiers qui vont venir quand on va faire le 9-1-1 et on s'assure que notre assurance va payer. Ça, c'est une des choses qui est une des préoccupations, et ce n'est pas juste en techno, c'est toutes les entreprises au Québec. Donc, ce n'est pas par rapport au ministère, c'est par rapport au ministère de l'Économie, probablement...

Mme Rizqy : Le ministre me fait signe que, si jamais... justement, l'accompagnement serait désormais sous son ministère numérique et pas nécessairement au niveau économique. Alors, je ne sais pas si vous voulez dire un petit mot là-dessus. Ça ne me dérange pas, là. Non? O.K., parfait, on s'en reparlera plus tard.

Juste une petite question. Peut-être que je suis hors champ et que ça excède, au fond, votre champ à vous. Vous, est-ce que vous avez été en mesure de voir, par hasard, les contrats d'assurance, justement, des... Est-ce que c'est habituellement couvert, les cyberattaques, ou est-ce que c'est vraiment limité? Par exemple, moi, dans un cas que j'ai vu, c'était limité à 500 000 $, la couverture en cas de cyberattaque, alors que la réclamation était autour de 3 millions, là. Mais j'ai juste eu un cas, devant moi, d'assurance. Alors, je ne sais pas si vous avez une plus grande expertise que moi là-dedans, là. En tout cas, je l'espère.

Mme Martel (Nicole) : Je vais répondre. Écoutez, bien, j'ai plein, plein, plein d'entreprises, plein de dirigeants d'entreprises qui nous ont appelés, puis ils ont dit : Bon, bien, écoute, moi, il faut que je change d'assureur parce que mon assureur... mon assurance... ma prime, ça a été multiplié par 12 par rapport à l'année passée. Donc, ça, c'est quelque chose qui existe en ce moment. Puis, ensuite, c'est les exclusions par rapport à la couverture aussi, là, sur laquelle nous, l'AQT, on peut faire de l'éducation auprès de nos entreprises pour, bon, poser les bonnes questions à ces assureurs-là.

Puis on a aussi demandé à certains avocats de nous aider à mutualiser, dans le fond, l'analyse qu'ils font, là, des contrats puis des primes pour qu'on puisse mieux conseiller nos membres, mais j'imagine... Je peux imaginer que toutes les associations sectorielles ont vécu la même chose avec leurs membres qui détiennent des informations, là, que ce soient les commerces de détail qui détiennent des informations sur leurs clients... Maintenant, c'est ce que les assureurs regardent : Est-ce que vous avez une base de données, est-ce que vous avez des listes de clients? Bien, on va s'asseoir puis on va regarder votre prime d'assurance.

M. Lavoie (Alain) : Et on reçoit nos renouvellements d'assurance, puis, dans la première page, on n'assure plus pour la cybersécurité, ça vous prend un avenant. C'est comme ça maintenant. Là, évidemment, je vous l'ai dit, il y a un fléau, puis c'est... On voit juste la pointe de l'iceberg en ce moment.

Mme Rizqy : Est-ce que vous avez une idée des montants des avenants?

M. Lavoie (Alain) : Vas-y.

Mme Martel (Nicole) : Bien, j'en ai vus, mais... C'est comme un peu anecdotique, là, mais j'en ai vus, puis c'était assez gros.

Mme Rizqy : Parfait. Bien, merci beaucoup. J'aurais peut-être une dernière question.

Le Président (M. Polo) : ...

Mme Rizqy : Ah! bien, écoutez, en 15 secondes, je vais plutôt dire merci, mais j'aurais posé plus une question... Est-ce qu'on peut développer encore mieux l'expertise en infonuagique? Mais, je pense, je vais venir vous voir à vos bureaux. Vous n'êtes pas trop loin de moi.

Le Président (M. Polo) : Merci beaucoup. Merci. Je vous remercie pour votre contribution aux travaux de la commission aux deux représentants, Mme Martel et M. Lavoie. Honnêtement, ça fait plaisir de vous revoir. Effectivement, par le passé, on a collaboré ensemble. Alors, merci pour votre contribution aux travaux du projet de loi n° 6.

On va prendre quelques instants juste pour assurer la connexion avec notre prochain invité, là, qui va se connecter avec nous à partir de Londres. Donc, je suspends les travaux temporairement. Merci beaucoup.

(Suspension de la séance à 18 h 22)

(Reprise à 18 h 24)

Le Président (M. Polo) : Bonjour. On reprend les travaux, M. le ministre, membres de la commission. Nous avons le plaisir d'avoir M. Axel Simon, membre de La Quadrature du Net. C'est bien ça?

M. Axel Simon

M. Simon (Axel) : Tout à fait.

Le Président (M. Polo) : ...qui se joint à nous à partir de Londres. Je vous remercie de veiller aussi tard pour contribuer aux travaux du projet de loi n° 6. Je vous rappelle que vous disposez d'un temps de 10 minutes. Cependant, si jamais vous souhaitez avoir plus de temps, le temps nous le permet, c'est avec le consentement des différents partis ici comme tel. Donc, je vous donne la parole pour commencer votre allocution ou votre présentation, M. Simon.

M. Simon (Axel) : Merci beaucoup. Mmes et MM. les parlementaires, merci de m'avoir invité à travailler... à participer à vos travaux et à m'exprimer devant vous aujourd'hui. Donc, je m'appelle Axel Simon. Je suis membre de La Quadrature du Net, qui est une organisation de protection des libertés fondamentales dans le monde numérique, qui est basée en France, d'où je suis originaire. Et donc je travaille également au quotidien sur les sujets de sécurité, en particulier dans les logiciels libres et «open source». Donc, j'utiliserais cette expression de «logiciel libre», «open source», pour faire plaisir à tout le monde et pour aborder les différents aspects de ces logiciels.

Donc, de ce que j'ai pu comprendre, le projet de loi dont vous discutez aujourd'hui, il vise à améliorer la sécurité des infrastructures ainsi que la sécurité de l'information par la création d'un ministère de la Cybersécurité et du Numérique. Fondamentalement, l'amélioration de la sécurité de l'information et des infrastructures, moi, je vois ça comme une bonne chose. Évidemment, c'est, entre autres, mon métier. Donc, j'aurais tendance à dire ça, mais je sais aussi qu'elle court souvent le risque d'être perçue comme un problème binaire.

On a parfois cette impression que quelque chose serait soit sécurisé soit ne le serait pas, et c'est vraiment le premier point sur lequel j'aimerais insister, c'est que la sécurité, donc, c'est toujours un spectre. Il faut toujours réfléchir, en fait, en termes de gestion du risque. C'est vraiment cette question de cette approche en gestion du risque qui est fondamentale pour commencer à aborder les choses de la bonne manière.

Au-delà de ça, si la sécurité de l'information, c'est une gestion du risque, ce n'est, donc, pas une gestion purement technique. C'est un autre point, et c'est le deuxième point sur lequel j'aimerais insister. On peut avoir tendance... On peut être tenté de prendre les choses sur un angle technique, et c'est souvent un danger, puisque, dans ces cas-là, on risque de s'aveugler par rapport aux conséquences possibles, et même, souvent, probables, des choix techniques.

Il y a cette situation... Il y a cette citation d'un historien des technologies américain, qui s'appelait Melvin Kranzberg, que j'affectionne, qui dit : La technologie n'est ni bonne ni mauvaise, et elle n'est certainement pas neutre. Je pense que c'est un point qui est toujours important à garder à l'esprit. L'idée de neutralité technologique est souvent tentante, mais on a nombre d'exemples d'une technologie qui change les choses autour d'elle, qui change le monde autour d'elle, et qui, du coup, modifie la réalité telle qu'elle est vécue, qui est, donc, une question forcément politique.

Et enfin une autre question qui me semble très importante, c'est : Qu'essaie-t-on de rendre de possible? Souvent, on réfléchit aux outils. Il y a des outils qui sont importants, mais... Les outils sont même cruciaux, j'ai envie de dire, mais il faut se méfier de cette erreur, qui est assez classique, qui est celle de confondre les buts avec les moyens.

Parfois, par exemple, un bon exemple de ça, je pense, c'est la lutte contre l'anonymat. La lutte contre l'anonymat est un assez bon exemple de ça, puisqu'au-delà d'être souvent illusoire et contre-productive elle est généralement la confusion d'un but qui est, mettons, par exemple, d'améliorer le civisme dans les commentaires sur les articles de journaux avec un moyen qui est l'identification de toutes les personnes qui vont commenter dans les journaux.

Le problème n'est pas de savoir qui dit quoi. Le problème est que les gens ont des comportements inacceptables. Et les deux sont, en fait, des problèmes assez différents, mais on peut être tentés, à vouloir... à utiliser des solutions et à s'intéresser trop aux solutions techniques... à perdre de vue l'objectif. Donc, encore une fois, c'est le troisième point sur lequel... point assez préliminaire, mais qui me semble assez important, sur lequel je voulais insister, c'est : attention à la confusion entre les buts et les moyens.

Donc, tout ça pour dire qu'en fait il faut toujours essayer de comprendre les problèmes qu'on aborde, et ça va peut-être sembler bateau, mais ça me semble quand même quelque chose de très important, d'abord, les aborder, en fait, au niveau social, au niveau économique, au niveau sociétal, et non directement au niveau technique. Et parfois ça revient un peu au point précédent, mais on peut être très tentés de faire ça parce qu'il y a une dernière technologie à la mode qui va apporter des nouvelles possibilités, et on commence à réfléchir par l'outil et non plus par le besoin, par la question sociale, la question culturelle, la question économique.

Ceci étant dit, pour rentrer plus... un petit peu plus sur la question, donc, de votre projet de loi, de ce que j'ai pu voir... Il y a trois grands sujets principaux, de ce que j'ai vu, de ce que... qui ont été évoqués par M. le premier ministre du Québec, M. François Legault, que je vais résumer en ces trois points, donc, rehausser les pratiques sécuritaires de l'État et protéger des cyberattaques, décloisonner, donc, les bases de données gouvernementales et mettre en place une identité numérique. Il me semble, de la lecture brève que j'ai pu faire du projet de loi à l'heure actuelle, que tous ces points ne sont pas encore intégrés, ne sont pas, en tout cas, dans la version de travail actuelle du projet de loi. Mais je vais partir du principe, comme ils ont été établis en tant que but politique, qu'ils ont leur importance ici. Donc, ce premier point, rehausser les pratiques sécuritaires, fondamentalement, je pense que c'est une bonne idée.

• (18 h 30) •

Quelques points qui me semblent importants, sur lesquels il me semble important d'insister ici, premièrement, donc, quasiment tous les outils et toutes les technologies à l'heure actuelle dépendent des logiciels libres et «open source». Malheureusement, ceux-ci sont trop souvent soit pris pour acquis, soit laissés en gestion à des acteurs privés, et, dans ce sens, ce n'est pas forcément négatif, mais avec cette idée que la responsabilité serait entièrement leur, alors qu'en fait ça devient... les logiciels libres et «open source» sont devenus des briques fondamentales des infrastructures mondialisées, et il est nécessaire de reconnaître une responsabilité dans leur entretien et dans leur bon fonctionnement, et donc ça veut dire également dans le bon financement, puisque la création de logiciels, c'est un travail, ce sont des compétences. Tous les gens qui fabriquent du logiciel ne le font pas uniquement pour le travail. C'est aussi à but culturel, à but artistique, à but d'amélioration personnel et de recherche purement scientifique. Mais, néanmoins, il y a des questions de coûts qui sont fondamentales, et donc reconnaître une responsabilité par rapport à ça et participer à... (panne de son) ...tous les gens où les infrastructures deviennent hyperdépendantes sur des briques logicielles libres et «open source».

Deuxièmement, la question des chaînes d'approvisionnement logicielles. Les logiciels sont maintenant généralement assemblés à partir d'autres briques logicielles, dont les briques libres et «open source» que je mentionnais... (panne de son) ...même dans les logiciels dits propriétaires, qui ne sont pas des logiciels clairement libres et «open source», ceci serait...

Le Président (M. Polo) : M. Simon?

M. Simon (Axel) : Oui?

Le Président (M. Polo) : Vous m'entendez? Peut-être, reprenez les 30 dernières secondes de vos...

M. Simon (Axel) : D'accord.

Le Président (M. Polo) : Parce que la communication s'est interrompue, là, à deux occasions au cours des 30 dernières secondes. Juste pour qu'on ne perde pas le fil des idées.

M. Simon (Axel) : Bien sûr.

Le Président (M. Polo) : Donc, reprenez la conclusion de votre premier point et le début de votre deuxième point.

M. Simon (Axel) : Très bien. Très bien. Donc, je disais que les logiciels libres et «open source», donc, sont des briques qui sont fondamentales aux infrastructures à l'heure actuelle, infrastructures mondialisées. Nous en sommes tous très dépendants, et donc il faut contribuer à leur financement et à leur responsabilité en tant que biens communs.

Et le point suivant qui en découle, c'est celui sur les chaînes d'approvisionnement logicielles, où je faisais remarquer que les logiciels, à l'heure actuelle, sont majoritairement assemblés à partir d'autres briques, en majorité, souvent des briques libres et «open source». Et il y a un travail de fond qui existe, à l'heure actuelle, pour renforcer la sécurité de ces chaînes d'assemblage, ces chaînes d'approvisionnement, parce qu'elles sont la cible de plus en plus fréquente d'attaques dont la portée peut être absolument redoutable. On l'a vu aux États-Unis avec l'attaque dite SolarWinds, où cette entreprise, qui avait des produits qui étaient déployés à beaucoup, beaucoup d'endroits du gouvernement fédéral américain... ont été attaqués au niveau de la chaîne d'approvisionnement, et, du coup, les logiciels qu'ils fabriquaient se sont retrouvés vérolés et ont été distribués à leurs clients, dont le gouvernement américain.

Donc, ça, ça me paraît être un point important en termes de pure sécurité de l'information. Prendre conscience de la fragilité encore, à l'heure actuelle, de certaines chaînes d'approvisionnement et contribuer à leur amélioration, bien, ça peut être par des programmes de recherche, ça peut être par des financements directs, ça peut être juste par des modifications de ce qui est requis pour pouvoir, par exemple, participer à un appel d'offres avec le gouvernement, des choses comme ça.

Et enfin je voulais faire une dernière mise en garde sur un point un peu plus général, sur la cryptographie, donc qui est l'art de protéger les secrets, ce qui fait que, typiquement, le fait que vous me voyez en vidéoconférence ici n'est visible que par vous, et non pas par d'autres personnes qui observeraient mon réseau, le réseau Internet ou le réseau tel qu'il arrive chez vous. Donc, la cryptographie, donc, qui protège la vie privée et la confidentialité. On a beaucoup entendu parler récemment de volonté de mettre des portes dérobées pour pouvoir accéder quand même, malgré tout, à des messages secrets pour pouvoir percer cette confidentialité, toujours pour des excuses qui semblent bonnes a priori, mais néanmoins les portes dérobées dans la cryptographie sont une extrêmement mauvaise idée, et j'insiste là-dessus, parce qu'on est incapable de créer des portes dérobées qui ne servent que pour les gentils et pas pour les méchants, pour caricaturer. À partir du moment où une porte dérobée existe, il y a toutes les chances qu'elle soit découverte par un adversaire ou par un acteur malveillant et qu'elle soit utilisée. Donc, c'est vraiment quelque chose qui risque de se retourner contre les personnes qui la mettraient en place. Donc, les portes dérobées dans la cryptographie sont vraiment une très mauvaise idée.

Au-delà de ça, sur le fait de rehausser les pratiques sécuritaires, je n'ai pas grand-chose d'autre à dire. Ça me semble, dans l'ensemble, être une bonne idée. Et, d'ailleurs, ça me rappelle... ça me fait penser au fait qu'aux États-Unis il y a eu un «executive order» du gouvernement Biden qui propose et qui pousse des choses relativement similaires.

Brièvement, sur la partie... Oui?

Le Président (M. Polo) : ...je vous écoute. J'attends...

M. Simon (Axel) : Très bien. Je continue alors. Sur la partie sur le décloisonnement des bases de données gouvernementales, ça peut s'entendre, évidemment, pour des questions d'efficacité. Là, nous, avec l'expérience qu'on a à La Quadrature, tout de suite, moi, ça me fait penser à des problèmes de risques de dérive que nous, on a pu voir, qu'on a pu constater en France, avec des grandes difficultés dans le contrôle, voire l'absence de contrôle de qui a accès, en fait, à ces informations, qui deviennent de plus en plus précises et de plus en plus efficaces pour le suivi de la population.

Donc, il faut, encore une fois, réfléchir à pourquoi on met ça en place. Est-ce que c'est le seul moyen? Et surtout : Quel contrôle effectif il y a dessus? On peut rapidement passer, dans une proposition de loi, dans un projet de loi, d'un contrôle effectif à un contrôle qui devient très dilué pour finalement, en fait, ne plus vraiment exister, où le contrôleur et le contrôlé sont finalement la même entité, et des choses comme ça. Donc, ça, c'est quelque chose dont il faut vraiment... auquel il faut vraiment faire attention. Et, au-delà de ça, avec une approche plus technique, plus on va combiner les données et plus on va mettre, dans un dépôt unique de données, des données qui ont de la valeur, plus on va augmenter la valeur de la cible en termes d'attaques informatiques.

Donc, ça pose deux questions. Encore une fois, ça peut être la question de la sécurisation : Pense-t-on être en moyen de sécuriser un dépôt qui aurait autant de valeur? Et, en parallèle à ça, est-ce que les garde-fous juridiques, encore une fois, sont au niveau? Plus la cible est intéressante, plus la tentation pour des institutions, pour des... même pour des personnes qui travaillent dans ces institutions d'accéder à ces données devient forte, pour des raisons bonnes ou mauvaises, et, du coup, plus les garde-fous juridiques doivent être importants. Ça, c'est assez complexe, quand même, à mettre en place et c'est vraiment à garder à l'esprit.

Enfin, sur la partie identité numérique, je vous avouerais qu'à l'heure actuelle, au sein de La Quadrature du Net, nous n'avons pas de position singulière. C'est quelque chose qui fait encore débat parmi nous, dans laquelle on se pose encore pas mal de questions. Néanmoins, il y a quelque chose qu'on a constaté, c'est que quasiment systématiquement les cas d'application de l'identité numérique à l'heure actuelle, de notre expérience, donc, qui est... je vais être... préciser probablement assez circonscrite à la France, sont quasiment systématiquement, donc, liés à des questions de contrôle de la population. On est très rarement, enfin, je n'ai même pas d'exemple qui me vient à l'esprit, dans une idée de capacitation de la population, d'apporter des choses en plus à la population, aux gens, mais beaucoup plus dans un contrôle de la population, dans du contrôle d'accès, dans de l'obligation de faire des choses ou de l'interdiction de faire des choses.

La question de l'identité est assez complexe puisqu'à l'heure actuelle, dans le monde numérique, c'est une des questions qui n'est pas résolue correctement. Il y a beaucoup encore de problèmes qui ne sont pas résolus au niveau technique dans le monde numérique, mais ça, c'est un grand problème qui n'est quand même pas clairement résolu, qui est comment... Souvent, la manière dont c'est abordé, c'est comment puis-je faire confiance à quelqu'un qui n'est pas dans la même pièce que moi, comment est-ce que je peux m'assurer que la personne en face de moi soit la personne à laquelle je pense. On va revenir, dans ces cas-là, à une question que je visais à l'origine, que je posais à l'origine, qui est : Quel est le but réel? Si je veux être certain de pouvoir avoir confiance en quelqu'un, je n'ai pas nécessairement besoin de savoir qui cette personne est. Je n'ai pas forcément besoin d'avoir son identité étatique. Très souvent, j'ai besoin savoir, par exemple, si la personne va me payer ou si la personne a un certain âge ou n'a pas un certain âge, par exemple, pour rentrer dans un bar, si on rentre dans un contexte plus quotidien et physique. Donc, encore une fois, garder à l'esprit cette question-là.

• (18 h 40) •

Mais, sur les... pour revenir sur la question de l'identité numérique en elle-même, nous, ce qu'on constate, c'est que l'accès à l'identité était historiquement quelque chose de... le contrôle et l'accès à des informations d'identité étaient historiquement quelque chose de très lié à l'État, et, en fait, ça devient accessible à de plus en plus d'acteurs, généralement des acteurs soit institutionnels, soit des entreprises privées. On met en avant l'identité à des endroits où on n'en avait pas forcément besoin et on arrive à cette notion d'être tout le temps identifié et tout le temps identifiable, qui est très problématique puisqu'elle pave le chemin, elle créé le chemin vers des sociétés où vraiment tout le monde serait constamment identifié, qui sont des choses assez inquiétantes, d'autant que, généralement, c'est pris comme un proxy, serais-je tenté de dire, pour utiliser le terme anglais, pour, donc, qu'il y ait quelque chose... pour quelque chose qui vient en remplacement d'un vrai problème, d'un problème qui est différent.

Donc, généralement, les entreprises privées, par exemple, ont typiquement recours à de l'information... à des cartes d'identité nationales parce qu'en fait elles n'ont pas trouvé autre chose pour résoudre leur problème. Ce n'est pas qu'elles ont besoin de savoir qui les gens sont. Quand on vient récupérer un paquet qu'on a acheté en ligne, généralement, la personne n'a pas besoin de savoir qui vous êtes, elle a besoin de savoir que le paquet correspond bien à la personne que vous êtes. Et, trop souvent, donc, on abuse des systèmes d'identité pour des buts secondaires. Donc, ça, c'est quand même quelque chose qui nous inquiète particulièrement.

Et donc, encore une fois, et, pour finir sur ce point, j'arrive à la fin du 10 minutes, on est très souvent dans l'identité dans un rapport de pouvoir assez asymétrique où, très vite, on conditionne l'accès à des choses dont les gens ont besoin par des révélations d'informations assez personnelles. Une carte d'identité, ça va dire l'âge qu'on a, mais ça va également dire où on habite, en général, pas mal d'informations, donc, qui peuvent être très personnelles. Et, au lieu de permettre aux gens, par exemple, de faire des choses comme de la révélation sélective, qui sont possibles, techniquement, on est trop souvent dans des questions de tout ou rien avec... On pourrait presque parler de chantage à l'accès : Si vous ne révélez pas toutes vos informations, si vous ne donnez pas assez d'informations privées, vous ne pouvez pas avoir accès. Et donc ces rapports... ces questions de rapport de force et de rapport de pouvoir entre acteurs puissants que vont être l'État et, par exemple, des grandes entreprises privées et des individus qui vont être, dans ces situations-là, bien plus faibles, elles me semblent très importantes à garder à l'esprit, dès qu'on réfléchit sur les questions de l'identité, en particulier d'identités numériques, puisqu'elles sont beaucoup plus faciles d'emploi et donc courent le risque d'être généralisées ou d'être utilisées encore plus facilement. Voilà.

Donc, c'étaient les trois points... c'était ce que je voulais dire sur ces trois points, principalement, avec les points préliminaires. Merci beaucoup.

Le Président (M. Polo) : Merci beaucoup, M. Simon. Alors, nous procédons avec un peu moins de 16 minutes. M. le ministre, la parole est à vous.

M. Caire : Oui. Bien, en fait, d'entrée de jeu, j'aurais peut-être deux questions à poser à M. Simon, qui ont été effleurées assez brièvement, d'entrée de présentation. Les organisations gouvernementales ont tendance, je dirais, à confier à des organisations dédiées l'admission de la transformation numérique et aussi surtout de la cybersécurité. Donc, je voulais avoir peut-être l'avis de M. Simon là-dessus. Le fait de créer ce ministère de la Cybersécurité là, est-ce que ça s'inscrit dans une tendance qui aurait, je dirais, l'art d'améliorer la sécurité par la gouvernance, par le regroupement des expertises? Puis, tout à l'heure, vous avez dit quelque chose, d'entrée de jeu, qui a attiré mon attention en disant : Bon, écoutez, la sécurité, ce n'est pas nécessairement une question de moyens technologiques, c'est une question de conception sociale, sociétale. Là-dessus, j'aimerais ça, peut-être, essayer de comprendre un peu plus ce que vous voulez dire. Parce qu'ultimement la façon de protéger les systèmes, on les protège par des moyens technologiques, par des façons de faire, par des bonnes pratiques, par des saines pratiques. Donc, j'essayais de voir le lien que vous faisiez entre la question sociétale et la technologie qui doit être mise en place pour protéger des systèmes d'information. Donc, essentiellement, là, mes deux questions, M. le Président.

M. Simon (Axel) : Merci pour vos questions. Alors, pour la question pour la partie ministère, pour votre première question, alors je n'ai pas... Je ne suis pas l'actualité juridique internationale particulièrement, donc je n'ai pas un grand recul là-dessus, mais, à ma connaissance, c'est la première fois, je pense, que j'entends parler d'un ministère de la cybersécurité et de la transformation numérique. Je pense que tout laisser au privé serait une erreur. Je pense que les entreprises privées à but lucratif ont un rôle à jouer, qu'elle joue déjà. Mais très souvent, historiquement, on voit que les entreprises privées affinent des fruits issus de la recherche publique, que ce soit du travail académique ou du travail scientifique. Donc, ce rôle-là, je pense qu'elles le jouent relativement bien et qu'elles peuvent continuer à le jouer, mais qu'il ne faut pas compter que sur celui-là.

Donc, l'idée de regrouper les expertises et de faire de la politique au sens propre, c'est-à-dire de créer des incitations, de créer des issues sociales, des issues politiques dont on a envie par divers biais, comme vous disiez... Tout à l'heure, moi, je citais, par exemple, le fait de faire des recommandations et d'avoir des demandes pour dire : Si vous voulez fournir vos services à l'État ou à n'importe quelle administration publique, vous devez rentrer dans tels critères, ça, c'est une manière de faire de la politique à ce niveau-là qui me semble assez intéressante, qui peut guider, en fait, l'action privée et guider également l'action publique en même temps. Donc, j'espère que ça répond globalement à votre question. Je vais essayer de répondre à votre deuxième. Si vous voulez, je pourrais revenir sur la première, si vous avez des précisions.

Pour ce qui était de : En quoi la sécurité n'est pas qu'une question technique?, c'est fondamentalement parce que, la sécurité, c'est un moyen, mais parce qu'en fait... mais le but en lui-même, c'est la gestion du risque. Et donc la gestion du risque, ça ne passe pas toujours par une réponse technique. Quelque chose qui attriste énormément les... je dis ça en rigolant un petit peu, mais quelque chose qui attriste énormément les chercheurs en sécurité informatique, c'est que, parfois, la bonne réponse n'est pas la sécurité informatique, c'est de l'assurance. Il y a pas mal d'entreprises qui regardent, par exemple, combien coûterait une défaillance dans leur système d'information et de la révélation d'informations ou l'accès à certaines informations, combien ça coûterait de se protéger contre ça en termes de changement technique, en termes de changement de formation par rapport à leurs employés, par exemple, et combien coûterait une assurance pour se prémunir du risque, constatent que l'assurance est moins chère et décident, au lieu de prendre la solution qui serait la bonne, techniquement, à savoir de se protéger du risque techniquement, décident juste de prendre une gestion du risque par l'assurance. Donc, ça, évidemment, quand on travaille dans la sécurité, ça nous attriste toujours un petit peu, mais c'est juste ne serait-ce qu'un exemple du fait qu'on est dans la gestion du risque.

Pour le point plus profond, à mon avis, c'est qu'on peut mettre en place des solutions techniques pour protéger les gens ou protéger des systèmes, ça va toujours dépendre de comment les gens s'en servent, et de s'ils acceptent ces solutions, et s'ils comprennent leur intérêt. Pendant très longtemps, il y avait des messageries en ligne qui permettaient de chiffrer ces échanges et donc d'avoir un niveau de vie privée bien supérieur quand on échangeait avec, mettons, sa famille, sauf que la majorité des gens ne voyaient pas l'intérêt puisqu'ils ne pensaient pas être écoutés, ils ne pensaient pas que c'était techniquement vraiment faisable de stocker leurs messages, de les écouter, de faire de l'analyse à grande échelle, à l'échelle d'une ville, d'un pays, voire d'un continent, sur l'ensemble des messages des gens. Donc, pendant très longtemps, le risque n'était pas perçu, et, du coup, la solution technique n'était pas utilisée même si elle existait.

À partir du moment où, typiquement dans l'exemple que je cite, on a eu des révélations d'Edward Snowden en 2013, les gens ont pris conscience de ce risque, de la réalité de ce risque. Et là la demande pour la solution technique qui existait déjà, mais, on va dire, de manière un peu brusque, les solutions n'étaient pas encore très, très pratiques à utiliser, tout d'un coup, il y a eu une grande demande, et les solutions se sont largement améliorées. On a vu apparaître des solutions techniques beaucoup plus simples d'utilisation.

Donc, on a toujours cette espèce de danse entre la partie technique et la partie culturelle et sociale, et tout ça, ça contribue à la... enfin, ça contribue de la gestion du risque et de la perception du risque, je pense.

M. Caire : Ça va pour moi, M. le Président. Merci.

Le Président (M. Polo) : MM. les députés de la banquette ministérielle? Parfait, aucune question.

M. Simon, si vous permettez, on va poursuivre avec la députée de l'opposition officielle, députée de Saint-Laurent.

Mme Rizqy : Merci beaucoup. Merci de vous joindre à nous aujourd'hui. J'aimerais vous parler, parce que vous avez quand même une grande expertise en matière de tout ce qui est... les données, la gestion des données, aussi, je crois, aussi les cyberattaques et aussi la pensée en silo numérique. Alors, j'aimerais vous entendre... Première des choses, au Québec, plusieurs de nos entreprises subissent des cyberattaques avec des rançongiciels. Qu'est-ce qu'un gouvernement responsable peut faire pour accompagner les entreprises?

M. Simon (Axel) : C'est une très bonne question, une assez vaste question. Déjà, il me semble qu'avoir un pôle d'expertise qui est capable de venir en aide à tout ce qui est... que ce soit administration publique, opérateur d'intérêt vital, etc., ça me semble assez fondamental, capable... exprimer des recommandations, être capable d'avoir, pour revenir un peu sur le point que faisait votre collègue précédemment, avoir comme une expertise technique assez forte qui puisse être partagée et qui puisse être mobilisée, en fait, en cas de besoin.

Après, très concrètement, aussi, ça passe par le fait de donner des moyens. Typiquement, beaucoup d'hôpitaux qui sont touchés par des rançongiciels le sont, entre autres, parce qu'ils sont sur du matériel vétuste, avec des logiciels vétustes, qui n'ont peut-être pas été mis à jour parce que, très souvent, on est sur des logiciels propriétaires, mettons, des vieilles versions de Windows, où le coût pour monter en version est prohibitif. Du coup, on laisse tomber et on préfère utiliser des vieilles versions. Potentiellement, utiliser... avoir recours à une assurance plutôt qu'à une protection technique.

• (18 h 50) •

Mme Rizqy : Juste pour bien comprendre, par exemple, dans ce cas précis, ce serait, par exemple, d'aider les entreprises à acquérir des logiciels de nouvelle génération?

M. Simon (Axel) : Alors, ce serait... ça pourrait être ça. Moi, le point un peu plus précis auquel j'allais venir, c'est que, pour moi, généralement, ce qu'il manque, c'est une politique réelle, une politique autour du logiciel libre et «open source». Par exemple, il y a parfois des ordinateurs qui sont bloqués sur des systèmes anciens parce que la mise à jour coûte trop cher, alors qu'il existerait des logiciels libres et «open source» en remplacement qui soit existent déjà, soit pourraient être développés avec l'aide de l'État, ou améliorés, ou mis à un niveau d'usabilité, comme on dit, pour répondre aux besoins.

Typiquement, quelque chose qui me semble assez incompréhensible, c'est pourquoi des fonds publics, les impôts des citoyens, contribuent à payer, de multiples fois, des licences logicielles qui existent... pour un logiciel qui existe déjà et qui ne reviennent pas, en fait, ni aux citoyens ni à l'État, alors que ces mêmes fonds pourraient être investis pour améliorer un logiciel libre et «open source» qui serait utilisable par l'État, par les citoyens, potentiellement par des régions, par des groupements d'États. Quelque part, on paie une entreprise privée pour réinventer la roue, alors qu'en fait on pourrait améliorer la roue d'une manière collective. Ça me semble important.

Mme Rizqy : Dites-moi, est-ce que cette politique existe dans d'autres États?

M. Simon (Axel) : Différents États ont des approches plus ou moins fortes par rapport à ça. Au niveau français, il y avait une circulaire, il y a quelques années, qui mettait une préférence sur le logiciel libre, donc qui proposait qu'avant toute solution propriétaire qui soit choisie il fallait démontrer qu'un logiciel libre correspondant ne suffisait pas.

Il y a un exemple souvent cité dans le milieu des logiciels libres et «open source», c'est la région de l'Estrémadure en Espagne, qui utilise quasiment exclusivement des logiciels libres depuis très longtemps. La gendarmerie française était passée du logiciel libre il y a longtemps avec succès. Généralement, c'est assez bien résumé par un slogan qu'utilise la Free Software Foundation Europe, donc, qui est la version européenne de la Fondation pour le logiciel libre, qui est... enfin, si c'est de l'argent public, le code devrait être public.

Mme Rizqy : C'est bien, ça. C'est à se rappeler.

M. Simon (Axel) : C'est assez résumé, mais... parce qu'en fait c'est aussi... ce n'est pas qu'une question d'argent, c'est que c'est aussi au-delà du fait que, si les impôts des citoyens devraient être... devraient contribuer à quelque chose sur lequel ils ont et un droit de regard et idéalement la possibilité de réutiliser, si c'est possible, bien, il y a aussi des réalités techniques très concrètes. C'est que, si, par exemple, plusieurs États s'associent, plusieurs régions s'associent, voire plusieurs pays s'associent et associent leurs moyens pour contribuer ensemble à une même solution, plutôt que de, chacun de leur côté, repayer le même acteur privé, en combinant leurs forces, ils pourraient largement avoir les moyens d'avoir des équipes de développement, de tests, d'amélioration qui feraient aussi bien, peut-être mieux, mais, en tout cas, dans tous les cas, qui seraient beaucoup plus proches de leurs besoins. Ce n'est pas pour dire que tous les développements privés, ou à but lucratif, ou propriétaires sont mauvais, mais juste... il y a parfois un gâchis de fonds publics qui est assez enrageant.

Et donc on voit apparaître de plus en plus, à ce niveau-là, ce qu'ils appellent parfois les... j'essaie de me souvenir du terme, mais il me vient en anglais «open source office». Donc, ce sont les bureaux de «l'open source», des entités au sein d'organisations qui soient... qui peuvent être, donc, des entreprises à but privé, des privés à but lucratif, des administrations publiques ou même des ONG, des entités à l'intérieur de ces entités qui ont pour but de collaborer avec les autres organisations pour mettre en commun les besoins, les connaissances, et donc améliorer en commun les logiciels. Et ça, en termes de sécurité, ça a aussi beaucoup de valeur, parce que plus il y a de gens qui peuvent regarder un logiciel et l'étudier, plus il y a de chances de trouver des bogues, et donc plus il y a de chances de les corriger. Ça ne fonctionne que s'il y a des gens qui effectivement le font, mais il y a une espèce de... pas d'axiome, mais de loi dans le logiciel libre et «open source» qui est que tous les bogues deviennent transparents si suffisamment... si on y met suffisamment de paires d'yeux. Et donc, comme le logiciel libre et «open source» est, par définition, transparent puisque son code source est accessible, donc la liste des ingrédients et la recette est accessible, il est possible de voir les erreurs qu'il y aurait dedans. Et alors, pour les logiciels qui ne le sont pas, on n'a pas la liste des ingrédients, ou alors elle est incomplète, et on doit bien faire confiance au pâtissier de ne pas avoir fait de bêtise. Donc, ça a beaucoup de valeur, en termes de sécurité, de pouvoir aller voir soi-même, vérifier, fabriquer le logiciel soi-même, faire la recette soi-même, la suivre, constater qu'on arrive au bon résultat, et, si on constate des problèmes, les corriger. Et donc, ça, à l'échelle de... comme je disais, encore une fois, plusieurs villes, plusieurs régions, plusieurs pays, etc., peu importe l'assemblage qu'on fait, ça devient très intéressant.

Mme Rizqy : Parfait. Je comprends. Alors, maintenant, en parlant de bêtises, vous mettez la table, je vais me permettre de vous exposer certains faits au Québec, notre réalité depuis quelques années. Comme ailleurs dans le monde, nous avons subi beaucoup de fuites de données, mais il y en a eu une majeure qui a touché, à toutes fins pratiques, l'ensemble des Québécois, c'était la fuite de données de Desjardins. Et souvent ceux qui volent les données peuvent s'asseoir, permettez-moi l'expression, sur ces informations pendant quelques années avant de les rentabiliser. Alors, vous me voyez venir. Par la suite, il y a eu d'autres fuites de données dans d'autres organismes. Par contre, celle-ci étant la plus importante au Québec, c'est pour ça que je me permets de faire la table avec celle-ci. Dans la mesure que la prochaine étape, une fois que nous allons créer ce ministère numérique, les questions d'avoir éventuellement une identité numérique, puisque nous ne connaissons pas l'étendue des dommages suite à la fuite de données de Desjardins, notamment, mais aussi d'autres fuites de données, quel est le danger, lorsqu'un État n'est pas nécessairement outillé pour, un, contrecarrer les fuites de données actuelles, réagir suite à une fuite de données à son propre... dans le propre gouvernement, là, avec une identité numérique biométrique, c'est quoi, le danger, si jamais il y a une fuite de données?

M. Simon (Axel) : Alors, il y a un cas historique qui existe, c'est la base de données d'identité qui était en Inde il y a quelques années, dont je ne me souviens plus de son nom exact, mais dans lequel un nombre faramineux de données ont fuité. Il me semble que c'était quelque chose comme 700 millions de personnes, alors c'était quelque chose d'absolument incroyable. Bien, une fois que ça a fuité dans la nature, comme vous disiez, ça garde de la valeur pendant un certain temps. Ça en perd... alors, ça va en perdre sur la durée, alors que plus on avance dans le temps, moins le bloc de données dans son ensemble reste pertinent puisque les choses évoluent, nécessairement. Néanmoins, quand on a des volumes de données absolument colossaux, ça continue à avoir de la valeur pendant longtemps.

Donc, c'est un point que j'avais un petit peu abordé dans mon point préliminaire, qui est : plus on va créer un dépôt central qui a de la valeur, plus il y a de la valeur aussi pour les attaquants, et donc plus ça va être dur à défendre. Donc, ça, c'est un bon argument, en général, pour ne pas centraliser, pour ne pas tout mettre au même endroit et pour plutôt... c'est plutôt un point qui vote en faveur d'une décentralisation de l'information pour éviter de tout mettre au même endroit pour qu'un attaquant ne puisse jamais avoir plus de, mettons, je ne sais pas, un cinquième, un dixième, un tiers des données relatives à une personne, si jamais il venait à entrer dans la base de données.

C'est une question qui est très difficile. Moi, je n'ai pas de réponse vraiment au-delà de ça, à part de vraiment se poser des questions sur pourquoi est-ce qu'on a besoin de tout mettre au même endroit. Est-ce que c'est vraiment la seule solution technique, en fait? Réfléchir en termes de proportionnalité et en termes d'alternative, en fait. Avant d'en arriver là, se demander : Comment est-ce qu'on pourrait faire autre chose? Et... bien, comment est-ce qu'on pourrait faire autrement? Et généralement on peut faire autrement, je pense.

Mme Rizqy : Est-ce qu'on a absolument besoin de...

M. Simon (Axel) : Et un dernier point... Pardon.

Mme Rizqy : Pardon. Est-ce qu'on a absolument besoin d'avoir un identifiant qui utilise une composante biométrique, alors que, par exemple, je peux très bien me connecter sur certains comptes financiers bancaires avec une double identification qui n'a aucunement besoin de données biométriques, où est-ce que je peux recevoir tout simplement un texto avec un code en ajoutant aussi mon mot de passe? Est-ce que ça, c'est plus sécuritaire que d'avoir, par exemple, un gouvernement qui utiliserait soit mon empreinte oculaire, mon empreinte vocale ou mes empreintes digitales?

M. Simon (Axel) : Alors, je pense que le... enfin... Brièvement, non. Non, ce n'est pas nécessaire. Il y a une obsession autour de la biométrie que moi, je n'ai jamais vraiment comprise. Je pense que les gens attribuent beaucoup de choses à la biométrie qui ne sont pas forcément justes.

La biométrie, c'est très efficace pour prouver qui on est, mais, en fait, très, très souvent, le besoin, ce n'est pas de prouver qui on est. Quand vous accédez... Quand vous utilisez votre carte bancaire, la carte bancaire n'a pas besoin de savoir qui vous êtes, elle a besoin de savoir si vous avez le droit de l'utiliser. C'est autre chose. Donc, on n'est pas dans la question de l'identification, on est dans la question de l'autorisation, de : Est-ce que l'entité qui se présente a le droit de faire quelque chose? On n'a pas forcément besoin de savoir qui elle est. Et, très souvent, il y a une confusion entre les deux qui fait qu'on met tout sur le dos de l'identité, alors qu'en fait, beaucoup plus souvent, ce serait une question d'autorisation.

Donc, pour moi, la biométrie rentre absolument là-dedans. La biométrie, c'est très efficace pour prouver qui on est...

Le Président (M. Polo) : M. Simon...

• (19 heures) •

M. Simon (Axel) : ...mais c'est très inefficace pour prouver qu'on a le droit de faire quelque chose.

Le Président (M. Polo) : Oui, rapidement, si vous pouvez conclure, parce qu'on a dépassé le temps, déjà, de 30 secondes. Mais allez-y pour conclure rapidement.

M. Simon (Axel) : D'accord. Donc, bien, ce que j'allais dire, en fait, c'est qu'en sécurité on sait qu'on peut prouver qui on est de plusieurs manières. Et la biométrie n'en est qu'une, de ces manières. Elle n'est pas forcément la meilleure, et surtout elle a cet énorme problème d'être impossible à changer par la suite. Une fois que l'empreinte de votre iris ou votre empreinte digitale a fuité, vous ne pourrez jamais la changer. Donc, c'est un peu dommage pour des choses... quand on a besoin de... de pouvoir revenir en arrière.

Le Président (M. Polo) : Merci beaucoup, M. Simon. Merci. On vous salue à distance.

M. Simon (Axel) : Merci beaucoup de m'avoir invité.

Le Président (M. Polo) : Allez vous reposer.

M. Simon (Axel) : Merci beaucoup.

Le Président (M. Polo) : Et puis je remercie M. le ministre, tous les membres de la commission.

Et la commission ajourne ses travaux jusqu'au mercredi 24 novembre, à 15 heures. Merci beaucoup.

(Fin de la séance à 19 h 01)