Journal des débats (Hansard) of the Committee on Public Finance

(Neuf heures quarante-sept minutes)

Le Président (M. Simard) : Je constate que nous avons quorum. Conséquemment, nous pouvons entreprendre nos travaux. Et, comme vous le savez, la Commission des finances publiques est aujourd'hui réunie afin d'entreprendre les consultations particulières et les auditions publiques sur le projet de loi no 82, Loi concernant l'identité numérique nationale et modifiant d'autres dispositions.

M. le secrétaire, bonjour, heureux de vous retrouver en cette année 2025. Y a-t-il des remplacements ce matin?

Le Secrétaire : Oui, M. le Président. M. Beauchemin (Marguerite-Bourgeoys) est remplacé par Mme Caron (La Pinière) et Mme Rizqy (Saint-Laurent) est remplacée par Mme Setlakwe (Mont-Royal-Outremont).

Le Président (M. Simard) : Alors, avant, donc, bienvenue à nos collègues, qu'on est heureux de retrouver, et avant d'entreprendre nos consultations, bien sûr, comme le veut la tradition, nous avons des remarques préliminaires. Et je cède maintenant la parole à M. le ministre.

M. Caire : Bien, merci beaucoup, M. le Président. Vous me permettrez de saluer, en tout premier lieu, mes collègues de la partie ministérielle, mes collègues de l'opposition officielle, deuxième opposition, M. le député indépendant... Est-ce que c'est...

Une voix : ...

M. Caire : Des Érables est officiellement accolé au nom de son comté. Donc, je le salue bien bas. Nos amis de... qui vont être le premier groupe qu'on va entendre.

M. le Président, c'est... je vous dirais que je pense avoir déposé plusieurs projets de loi qui ont construit une espèce d'édifice, au niveau de la transformation numérique gouvernementale, avec des étapes, différentes étapes. Nous sommes rendus à une étape extrêmement importante, à savoir la création d'une identité numérique nationale. Pourquoi? Bien parce que, dans l'univers numérique comme dans l'univers physique, on doit être en mesure d'identifier les gens qui vont utiliser les services, les prestations électroniques de services, bien sûr, échanger, que ce soit dans des commerces, dans des... bref, vous comprenez ce que je veux dire, l'univers numérique...

M. Caire : ...ces impératifs qui nécessitent qu'on puisse identifier de façon unique les individus. Évidemment, ça prend un cadre législatif. On l'a déjà, je dirais, avec les pièces physiques qu'on connaît déjà : le passeport, le permis de conduire, la carte d'assurance maladie, certificat de naissance, etc. Maintenant, il faut donner cette valeur juridique là à nos pièces numériques. On vient créer ce cadre-là.

Et là je vais avoir l'occasion de l'expliquer, M. le Président, mais il est extrêmement important, pour nos citoyens, de comprendre que, quand on parle d'une centralisation des renseignements d'identité, un, on ne parle pas de collecter des renseignements que le gouvernement ne possède pas déjà. Il faut comprendre que tous ces renseignements-là identifiés à nos concitoyens, le gouvernement les a déjà.  Deux, quand on parle de centralisation, ce qu'on veut dire, dans les faits, M. le Président, c'est d'éliminer le trop grand nombre de sources de renseignements sur l'identité des Québécois. Chaque ministère et organisme qui donnent des services à la population collectent déjà ces renseignements-là. C'est nécessaire, parce que le ministère et l'organisme qui donnent un service... doit être en mesure d'identifier le citoyen à qui il donne le service.

• (9 h 50) •

Donc, actuellement, au Québec, considérez que ce registre d'identité que nous souhaitons gérer au ministère de la Cybersécurité et multiplier à des centaines d'exemplaires, et ça, c'est autant de surfaces d'attaque, c'est autant de potentiel de bris de sécurité, ça veut dire une surmultiplication de la nécessité d'investir des ressources humaines, financières et matérielles pour protéger ces sources de données là.  Donc, M. le Président, ce qu'on fait, dans les faits, c'est d'éliminer ces sources, cette surmultiplication de sources de renseignements sur l'identité des Québécois, pour ramener ça à une seule, cette source-là sera évidemment celle de référence pour l'ensemble des ministères et organismes. Donc, en termes de sécurité, c'est une avancée extrêmement importante, beaucoup plus facile à protéger.

Ensuite, au niveau de la cohérence, parce qu'il faut bien comprendre, M. le Président, que, quand on a autant de multiplications de sources de données, bien, tout le monde n'est pas au fait de votre changement d'adresse, tout le monde n'est pas au fait de votre changement de numéro de téléphone, tout le monde n'est pas au fait des changements qui peuvent se dérouler dans la vie normale d'un citoyen. Pourquoi? Parce que, tant et aussi longtemps que le ministère ou l'organisme n'interagit pas avec le citoyen, il n'y a pas de mises à jour qui se font. Et ça, ça donne des situations d'incohérence dans les renseignements qu'on possède sur le citoyen.

Donc, une meilleure intégrité de la donnée, une meilleure cohérence de la donnée, ça, c'est le résultat de ce qu'on fait. Un meilleur contrôle citoyen, j'ai entendu ça dans les banques de données. Le citoyen devrait avoir le contrôle sur ces renseignements, et c'est vrai. Comment faire ça quand on parle de centaines de banques à mettre à jour? Comment le citoyen pourrait avoir le contrôle de ses données, de ses renseignements personnels quand ils sont disséminés dans autant de banques différentes? C'est impossible. Donc, avec une banque centrale, c'est possible, pour le citoyen qui se connecte, d'être capable d'avoir le contrôle sur ses données. Donc, imaginez le simple fait de changer une adresse qui est un parcours du combattant actuellement, pour nous citoyens, on change ça en quelque chose de très simple. Je m'identifie, je fais mon changement d'adresse, et comme c'est la source unique de tout le monde, bien, tout le monde a la bonne adresse.

Alors, M. le Président... Puis il y a d'autres dispositions. Puis d'ailleurs, j'en profite pour saluer ma collègue de Fabre, qui va voir au volet plus cybersécurité, parce qu'il y a cet élément-là dans le projet de loi, mon collègue d'Orford, qui va aussi s'occuper plus spécifiquement du volet télécommunications, on le sait que c'est son mandat depuis maintenant six ans, que nous sommes au gouvernement. Donc, on aura l'occasion aussi, dans le projet de loi, de faire la démonstration des avancées de ce projet de loi pour l'ensemble des services numériques offerts par le MCN. 

Le Président (M. Simard) : Merci à vous, M. le ministre. Alors, je cède maintenant la parole à la porte-parole de l'opposition officielle et députée de Mont-Royal-Outremont. Madame.

Mme Setlakwe : Merci, M. le Président. Bonjour à vous tous. Donc, je partagerai notre temps avec ma collègue de La Pinière. Nous allons participer, M. le Président, M. le ministre et toutes personnes présentes, donc, avec grand intérêt aux consultations et à l'étude de ce projet de loi n° 82, parce qu'on croit sincèrement que les Québécois s'attendent et méritent de meilleurs services numériques de la part de l'administration publique. Nous reconnaissons l'importance d'offrir aux citoyens des services numériques accessibles, sécuritaires et adaptés à leurs besoins.

Donc, comme toujours, tout au long du processus, nous allons contribuer de façon constructive au processus, car nous espérons réellement que cette identité numérique nationale va réussir à faciliter l'obtention de services publics, pour le plus grand nombre de Québécois possible...

Mme Setlakwe : ...et qu'il réduira les risques de fraude comme les vols d'identité, l'hameçonnage, les fuites, etc. Il faudra trouver le juste équilibre entre l'efficience administrative et bien sûr la protection des renseignements personnels, bref, trouver l'équilibre entre simplicité et sécurité.

Plusieurs conditions sont nécessaires à la réussite de ce projet structurant. Et on va questionner le gouvernement et on va travailler à bonifier le projet de loi afin que ces conditions soient rencontrées, notamment la question de l'hébergement des données, qui sera importante. On va s'assurer que les données soient entreposées dans une infrastructure, que ce soit infonuagique ou autre, souveraine. Il va falloir qu'on parle de cet élément-là. Et surtout, il va falloir qu'on... qu'on... qu'on parle de l'utilité de ce nouveau système pour les citoyens. Il va être très important de gagner leur confiance, d'avoir une acceptabilité sociale, il va être important de fédérer le plus grand nombre de Québécois possible pour que ce soit un succès. Comment cette identité numérique nationale va-t-elle simplifier leur vie? Et en se rappelant aussi qu'il y a des Québécois qui n'ont pas cette littératie numérique sophistiquée.

L'importance de gagner la confiance va être un facteur de réussite dans ce projet. Et, à cet égard-là, je suis heureuse d'entendre le ministre expliquer les objectifs de son projet de loi, car, quand il a été déposé, on n'a pas eu cette communication, qui est tellement importante. En déposant le projet de loi, on n'a pas eu cette communication adressée à la population afin de leur expliquer en quoi ce sera simple, accessible, efficace et surtout sécuritaire.

Le Président (M. Simard) : Merci à vous, chère collègue. Mme la députée.

Mme Caron : Merci, M. le Président. Alors, qui dit identité numérique, dit littératie numérique. Et, bien entendu, on sait que certaines personnes, un bon nombre par exemple parmi les aînés, n'ont pas cette facilité d'utiliser le numérique. Malheureusement, le Québec est un des champions de l'analphabétisme fonctionnel, alors il y a beaucoup de personnes qui ont de la difficulté à comprendre ce qu'ils lisent. C'est un obstacle à la littératie numérique. Et on a des personnes qui sont capables de le faire mais qui sont en situation de pauvreté, qui ne peuvent pas se payer un appareil, que ce soit un cellulaire, un ordinateur, une tablette ou même un forfait pour utiliser ce matériel. Alors, ça va être important, dans nos travaux, de s'assurer que, bien que c'est la voie de l'avenir, l'identité numérique, qu'on ne laisse pas pour compte ces personnes-là parce qu'elles vont avoir aussi besoin de services comme les autres. Merci, M. le Président.

Le Président (M. Simard) : Merci à vous, chère collègue de La Pinière. Et je cède maintenant la parole au député de Maurice-Richard.

M. Bouazzi : Merci, M. le Président. Bonne année à vous toutes et vous tous. Très heureux d'être ici.

Effectivement, les Québécoises et Québécois sont en droit de s'attendre à des meilleurs services numériques, et c'est quelque chose qui va... auquel on va porter une attention particulière. Ceci étant dit, il y a beaucoup de questionnements que ce projet de loi pose. Et d'ailleurs il nous met dans le projet de loi des choses qui ont déjà été faites pour beaucoup d'entre elles par décret. Donc, on déplore le manque de débat public, de toute façon, dans l'avancée des questions numériques.

Premièrement, si vraiment c'est centraliser toutes les données et ne pas avoir de copies ailleurs, ça voudrait dire que, si ce système tombe, aucun ministère ne pourrait travailler avec l'adresse par exemple, ce que je doute fortement. Ça fait que probablement que ça ne fait qu'étaler la surface d'attaque des données. Deuxièmement, quand elles sont toutes centralisées, c'est un point de vulnérabilité que les hackers vont vouloir attaquer. Et troisièmement, il y a des nouvelles données qu'on voudrait avoir, y compris des données, des caractéristiques physiques, ou de l'oeil, ou de la rétine, ou je ne sais pas ce qu'on pourrait utiliser, qui ne sont pas aujourd'hui stockées. Bref, il y a beaucoup de questionnements. L'utilisation de l'intelligence artificielle sur ces données, est-ce qu'elle va être permise ou pas? Tout ceci doit se faire avec un débat public. Et on est contents qu'au minimum ceci va peut-être y palier.

Le Président (M. Simard) : Merci beaucoup, cher collègue. M. le député d'Arthabaska, souhaitez-vous intervenir à ce stade-ci?

M. Lefebvre : Bien oui, rapidement. Tout d'abord, très heureux moi aussi de me retrouver ici avec vous ce matin pour l'identité numérique nationale. Je suis persuadé que c'est un projet de loi qui est important pour l'efficacité de l'État, assurément. La difficulté qu'on va avoir, c'est... naturellement, on se doit de gagner la confiance des citoyens puis s'assurer que... la protection des données. Mais, une fois qu'on va avoir gagné la confiance des citoyens avec la protection des données, bien, je suis persuadé que l'efficacité de l'État va en sortir gagnante, et nous en sortirons tous et toutes gagnants. Merci, M. le Président.

Le Président (M. Simard) : Alors, merci à vous, cher collègue. Bien. Alors, nous sommes en mesure de pouvoir entreprendre nos consultations. Et nous avons... Nous commençons avec force avec des représentants de l'Obvia, c'est-à-dire l'Observatoire international sur les impacts sociétaux de l'IA et du numérique. Alors, chers amis, bienvenue. Vous savez que vous disposez d'une période de 10 minutes. À vous la parole.

M. Loiseau (Hugo) : Merci, M. le Président. Messieurs les députés, mesdames les députées, M. le ministre, merci de nous accueillir aujourd'hui pour...

M. Loiseau (Hugo) : ...commission parlementaire. Je suis le professeur Hugo Loiseau, de l'Université de Sherbrooke. Je suis accompagné de Mme Lyse Langlois, professeure à l'Université Laval et directrice de l'Obvia, du Pr Steve Jacob, à ma gauche, professeur de sciences politiques aussi à l'Université Laval, et de Mme Nadia Tremblay, qui est directrice du département d'informatique aussi à l'Université Laval.

Donc, je suis bien entouré par mes collègues et je viens vous présenter le mémoire que nous avons déposé dans le cadre du projet de loi no 82. Un petit mot, d'ailleurs, en partant, sur l'Obvia. L'Obvia est un observatoire, comme vous l'avez dit, M. le Président, international sur les impacts sociétaux de l'IA et du numérique. C'est un observatoire qui regroupe 240 chercheurs de façon interdisciplinaire, autant des sciences humaines et sociales, que du génie, que de la santé. Donc, c'est une force de frappe scientifique extrêmement importante, financée d'ailleurs par le FRQ. Notre sous-groupe, qui avons travaillé notamment sur ce mémoire, c'est le pôle d'expertise en cybersécurité et impacts sociétaux. Donc, on est en plein cœur de l'identité numérique, ici, et nous avons donc apporté notre expertise qui, cette fois-ci, est aussi interdisciplinaire, parce que nous avons à la fois des manques de toutes sortes d'origines disciplinaires. Et donc nous apportons le point de vue des études que nous avons pu entreprendre sur l'identité numérique, à partir de comparaisons internationales mais aussi de sondages que nous avons pu mener avec les membres du pôle d'expertise en cybersécurité et impacts sociétaux, qui sont d'ailleurs co-auteurs de ce mémoire.

• (10 heures) •

Je n'irai pas par quatre chemins parce que vous savez, je n'ai que 10 minutes, et vous avez reçu notre mémoire la semaine passée. Essentiellement, nous sommes tout à fait en accord avec l'initiative gouvernementale pour lancer concrètement, après quelques tentatives, l'identité numérique nationale. C'est une initiative législative qui s'inscrit, comme vous le savez, dans la transformation numérique de l'État québécois, une transformation numérique qui est la bienvenue, d'accord?

Ce que nous apportons aujourd'hui, ce sont des analyses approfondies. Des expériences internationales que nous avons pu observer, mais aussi à partir de ce que la population québécoise peut penser, justement, de l'identité numérique, en tant que telle, pas du projet de loi, en tant que tel, mais vraiment du concept de l'identité numérique.

Et donc nous avons forgé six recommandations sur lesquelles je vais m'attarder tout au long de ma présentation. Et là vous me facilitez beaucoup la tâche, parce qu'à la fois je suis d'accord... à la fois avec la partie gouvernementale et avec les oppositions, c'est-à-dire qu'il y a beaucoup d'enjeux qui ressortent avec ce projet de loi, et ce projet de loi, à notre avis, est guidé par différents principes qui nous satisfont, c'est-à-dire les fins non commerciales de l'identité numérique, donc, il y a tout un enjeu ici qui est déjà balisé par le projet de loi, la question du contrôle des utilisateurs et des utilisatrices sur leurs propres données, qui est aussi fondamentale, de notre point de vue, l'interopérabilité avec l'environnement existant ou déjà existant, avec d'autres paliers, d'autres institutions, évidemment, et aussi la non-imposition de l'identité numérique par les organisations, qui est une forme d'acceptabilité qui... qui est, à nos yeux, quelque chose de tout à fait louable.

Sur le plan de la gouvernance de l'identité numérique nationale, nous sommes tout à fait en accord avec le point de vue qui est proposé par le projet de loi, c'est-à-dire que le MCN, le ministère de la Cybersécurité et du Numérique, soit une autorité centrale. C'est-à-dire qu'on s'est aperçu, durant nos études, notamment dans d'autres États qui ont lancé des initiatives, des identités numériques, que le fait de disperser l'autorité sur différents... de façon horizontale, voyez-vous, sur différents organismes ou institutions engendrait une sorte de cafouillage et était nuisible, essentiellement, au déploiement de l'identité numérique. Donc, le MCN devient chef de file, centralise les décisions. Il y a une verticalité qui est la bienvenue, notamment pour assurer une cohérence de l'identité numérique sur le plan gouvernemental au gouvernement du Québec... pour l'ensemble de la société québécoise.

Nous avons quelques inquiétudes, bien entendu, et donc nous sommes ici et nous avons posé certaines questions dans notre mémoire sur, justement, le rôle du privé, la question de l'entreposage des données, comme ça a été souligné par l'opposition officielle. Nous sommes tout à fait conscients des enjeux de cybersécurité et de cyberrésilience associés justement au fait de centraliser les données à un seul endroit, mais il y a quand même deux grandes questions qui ressortent.

Premièrement, y aura-t-il un dispositif infonuagique souverain au Québec pour héberger les données gouvernementales, et, deuxièmement, qui sera propriétaire des données inférées et des données d'usage. Il serait intéressant que, dans le projet de loi, ces éléments-là soient balisés. Bien entendu aussi, il y a une question de transparence, et c'est-à-dire que, vous allez voir, l'ensemble des recommandations se lisent à l'aune de la confiance, c'est-à-dire qu'il y a un problème de confiance envers l'identité numérique et, en général, envers tous les projets de transformation numérique lancés par le gouvernement du Québec. Et ce n'est pas nouveau, c'est depuis une bonne dizaine d'années.

La première des recommandations, c'est de dire que nous misons sur le dialogue et la transparence pour construire l'acceptabilité sociale de l'identité numérique nationale...

M. Loiseau (Hugo) : ...sans acceptabilité sociale, vous savez, les projets gouvernementaux sont souvent voués à l'échec. Ici, on a une belle occasion de favoriser cette acceptabilité sociale par différents moyens, qui sont mentionnés dans les autres recommandations. Notons qu'environ 25 % de la population québécoise, à partir d'un sondage que nous avons effectué, se méfie beaucoup, est contre l'identité numérique. Donc, il y a 25 % de la population, des citoyens qui peuvent freiner l'élan lancé par le... le déploiement de l'identité numérique.

Deuxième recommandation, nous recommandons de renforcer les capacités de cybersécurité pour protéger l'intégrité de l'identité numérique nationale du Québec, et donc il faut concevoir, dès le départ, dès la conception de ce système-là que c'est la cybersécurité qui est au centre, la protection des renseignements personnels, des données personnelles des citoyens. Et c'est un élément fondamental, qui revient, justement, à renforcer l'acceptabilité sociale et la confiance envers la... ce projet gouvernemental.

Nous plaidons aussi pour assurer une protection robuste des renseignements personnels par une architecture décentralisée et des mécanismes de contrôle citoyens. Mon collègue Sébastien Gambs, qui est coauteur de ce mémoire, va d'ailleurs vous en parler davantage demain, lorsqu'il siégera. Donc, je vais passer rapidement sur cet élément-là, puisque ça va être abordé par mon collègue Gambs demain.

Quatrièmement, nous recommandons d'adopter une approche inclusive et collaborative, impliquant l'ensemble des parties prenantes, pour... dans le développement et le déploiement de l'identité numérique nationale. C'est-à-dire qu'on s'est rendu compte... et c'est une... quelque chose d'assez commun en sciences politiques... on se rend compte que plus on consulte les gens, plus l'acceptabilité sociale, plus la confiance est présente. Et quand je dis «les gens», c'est à la fois les utilisateurs futurs, mais aussi les organisations qui vont avoir — les parties prenantes, essentiellement — à travailler avec le... l'identité numérique.

Cinquièmement, nous recommandons de confirmer le rôle central du ministère de la Cybersécurité et du Numérique dans la gouvernance de l'identité numérique nationale. C'est-à-dire que, sur le plan de la cohérence, sur le plan de la coordination, de la communication, le MCN peut jouer ce rôle, et c'est un rôle qui va être central pour mener à bien ce projet-là.

Sixièmement, nous recommandons de maximiser la valeur et l'utilité quotidienne de l'identité numérique nationale pour les citoyens. Ce projet-là va être en concurrence avec d'autres projets d'identité numérique ou d'autres systèmes d'identité numérique. Vous avez tous, fort probablement, des abonnements sur Facebook, sur d'autres types de... de plateformes. Eh bien, plus le citoyen va se rendre compte que l'identité numérique nationale du Québec est utile, plus il va avoir à l'utiliser, et plus, donc, il va pouvoir adhérer à ce processus-là. C'est, encore une fois, une question de confiance et d'acceptabilité sociale.

Donc, essentiellement, en conclusion, M. le Président, le projet de loi n° 82 marque donc une étape importante, selon nous, dans la transformation numérique de l'État québécois. Nos travaux, nos études, le mémoire, ainsi que l'ensemble des documents qui sont afférents à ce mémoire-là, qui sont disponibles sur le site de l'Obvia... eh bien, nous sommes tout à fait en faveur. Et d'ailleurs, une grande majorité de Québécois... je ne l'ai pas dit dans ma présentation, mais 75 %, et plus, des Québécois sont en faveur de l'identité numérique nationale. Eh bien, nous avons quand même des... nous exprimons quand même des attentes légitimes et des questions légitimes, notamment en matière de sécurité... de cybersécurité et de renseignements... de protection des renseignements personnels. Donc, nous encourageons le gouvernement à bonifier son projet de loi à la lumière des recommandations de notre mémoire. Je vous remercie.

Le Président (M. Simard) : Mais merci à vous, cher collègue. Je cède maintenant la parole à M. le ministre, pour une intervention de 16 min 30 s.

M. Caire : Merci, M. le Président. Bien, bienvenue, bienvenue à vous. Merci, Pr Loiseau, pour cette présentation-là. D'entrée de jeu, j'aimerais aborder avec vous la question de la transparence, parce que c'est un terme qui est assez récurrent dans la plupart des mémoires qu'on a... qu'on a reçus, puis dans les objections qui sont... Et je comprends de ça que les gens se disent : Bon, bien, c'est quoi ça, l'identité numérique, puis, effectivement, qu'est-ce que ça veut dire, pour moi, dans la protection de... de ma vie privée, de mes renseignements personnels?

Alors, j'aurais tendance à vous poser la question suivante. Le fait que la loi interdise d'imposer l'identité numérique, jusqu'à quel point vous dites : Le débat public demeure quand même nécessaire, dans la mesure où je vous dis : C'est là, vous vous en servez si vous voulez, vous ne vous en servez pas si vous ne voulez pas? Et moi, je vous garantis que le maintien des services qu'on connaît... Parce qu'il y a un article dans la loi, là, qui... qui vient faire à peu près ça, avec le... avec le MESS, le ministère de l'Emploi et de la Solidarité sociale. Jusqu'à quel niveau on amène ce débat là public? Et... et jusqu'à quel point quelqu'un qui ne veut pas se servir de...

M. Caire : ...identité numérique nationale pourrait imposer à quelqu'un qui veut le faire de ne pas le faire.

• (10 h 10) •

M. Loiseau (Hugo) : ...pour votre question, M. le ministre. Je vous dirais que la première des choses, notamment sur le plan de la transparence, c'est vraiment de publiciser très clairement la question que vous venez de poser. C'est-à-dire de dire à la population : Le gouvernement du Québec a un projet pour lancer véritablement une identité numérique nationale, voici les éléments, d'une part, le premier élément, comme vous l'avez dit, bien, vous n'êtes pas obligés d'y adhérer. Et donc, d'une part, ça va être une façon tout à fait claire et transparente de dire à la population : Ce projet s'en vient, néanmoins, vous ne serez pas obligés, d'accord? Et, lorsque vous allez adhérer ou vous inscrire à l'identité numérique nationale du Québec, bien, voici les garde-fous : protection des renseignements personnels, feuille de route, notamment pour le déploiement, comment ça va se dérouler, c'est-à-dire est-ce qu'on va commencer par tel ministère ou tel service octroyé aux citoyens ou est-ce qu'on va faire ça de façon globale, sur l'ensemble. Voyez-vous, simplement informer la population de ce qui s'en vient avec une feuille de route 2028 pour le lancement concret, 2029 pour de nouveaux services, etc., pour être en mesure de donner un horizon d'adhésion pour les citoyens et les citoyennes. Les gens ne sont pas contre. D'ailleurs, ils s'en servent constamment, hein, de l'identité numérique. C'est juste que maintenant, ça va être quelque chose d'un peu plus sérieux. C'est-à-dire qu'au-delà simplement des renseignements financiers, comme par exemple sur AccèsD ou sur d'autres plateformes, eh bien là, il y aura des renseignements personnels encore plus sensibles, notamment en santé. Et ça, c'est un enjeu. C'est-à-dire qu'on a vu dans nos études tout ce qui est financier, fiscal et santé, ce sont des données très, très... où les gens sont assez chatouilleux, d'accord? Et donc, aller chercher la confiance et l'acceptabilité sociale à travers la transparence, c'est une étape, un facteur qui va faire en sorte que ça va être beaucoup plus facile, notamment sur le plan d'adhésion de la population, comme nous le dit notre sixième recommandation.

M. Caire : Donc, je comprends, là, de ce que vous nous dites, par transparence, qu'on a intérêt à mieux expliquer notre démarche pour favoriser une meilleure compréhension de ce qu'on souhaite faire, effectivement. D'accord.

Vous avez entendu mon mot d'introduction sur la... ce qu'on entendait par centralisation, parce que je pense que ça génère beaucoup de confusion. On a l'impression qu'on va prendre des morceaux disparates, là, et rassembler ça dans un grand tout et en faire une espèce de point d'attaque tentateur. D'ailleurs, mon collègue de Maurice-Richard le soulignait, bien que je sois d'accord avec, en partie, le point qu'il amène, je pense qu'il y a des réponses à ça, notamment la redondance et, bon, mais qui ne doit... mais qui n'ont pas à figurer dans un projet de loi. On s'entend, là, ça, c'est... c'est des éléments techniques. Mais ce qu'il dit est... est... est potentiellement exact, mais c'est déjà...

Par rapport à... le fait d'éliminer ces différentes... Parce que ce qu'on ne comprend pas, je pense, c'est que ce que le registre d'identité numérique va contenir, d'abord, ce sont des informations que le gouvernement possède déjà, mais ce sont des informations que le gouvernement possède en de multiples bases de données. Et, est-ce que ça, vous ne pensez pas que c'est... c'est... c'est plus dangereux potentiellement d'avoir cet ensemble d'informations là surmultiplié à différents endroits, est-ce que ça n'augmente pas justement les surfaces d'attaque, un petit peu ce que... ce que... ce que j'essayais d'expliquer d'entrée de jeu, et que le fait justement de les éliminer... Donc, la centralisation, dans le fond, on pourrait voir ça comme éliminer des surfaces d'attaque. Est-ce qu'en termes de sécurité on ne s'en va pas plutôt dans la bonne direction en faisant ça?

M. Loiseau (Hugo) : Dans le mémoire, on conseille, en fait, le fait que le MCN devienne l'acteur central pour la gouvernance, d'accord? Il est bien entendu, comme... Vous avez raison, le projet de loi n'a pas à aborder les questions de la technologie en tant que telle qui va être utilisée. C'est plutôt par règlement ou par décret. Et donc ici, ce que l'on tente de faire valoir, c'est que justement, le fait d'avoir un porteur de ballon qui donne un leadership clair pour le déploiement de ce projet-là va assurer une meilleure cybersécurité.

Sur le plan de la surface d'attaque, soyons clairs, la surface d'attaque, elle est à la fois informatique, la protection des données, en tant que telles, numériques, mais aussi sociales. Sur le plan social, si on garde en tête qu'il va y avoir une rationalisation, on va regrouper l'ensemble des banques de données déjà existantes en un seul endroit numérique, donc ce n'est pas un endroit physique en tant que tel, parce qu'il y a une redondance, etc., ça réduit la surface d'attaque, d'accord? Et donc cette surface d'attaque, lorsqu'on rationalise et on peut mieux investir justement avec un leadership fort centralisé sur un endroit numérique dans le cyberespace, bon, l'infonuagique ou peu importe, eh bien, ça réduit justement cette surface d'attaque, ça réduit les divergences entre les réponses, ça augmente finalement la cyberrésilience...

M. Loiseau (Hugo) : ...de l'identité numérique. Cependant, il faut bien garder à l'esprit que ce réinvestissement-là vers une centralisation des données en tant que telles, eh bien, il faut que ces investissements-là soient sur la sécurité, que ça soit conçu de façon sécuritaire. Et je pense que la technologie, de nos jours, et, en général, la gouvernance associée à la technologie, est assez mature pour assurer une protection. Bien entendu, le risque zéro n'existe pas, ça, on le sait tous, donc il y aura toujours éventuellement une chance ou un risque associé à une fuite de données ou à, bon, un enjeu, une vulnérabilité. Néanmoins, on peut réduire ce risque avec une centralisation, avec des garde-fous, dont on mentionne dans notre mémoire.

M. Caire : Est-ce que je vous comprends bien si vous dites que le MCN a clairement un rôle à jouer au niveau de la gouvernance, donc la gouvernance doit être centralisée, mais les opérations pourraient être décentralisées? Par exemple, le fichier... bien, le registre d'identité numérique pourrait être morcelé, par exemple. On pourrait demander à la SAAQ d'être le gardien de la banque de photos, ce qu'ils font déjà. On pourrait donc éclater ce fichier-là de façon opérationnelle. Ce que je vous suis bien quand vous dites ça?

M. Loiseau (Hugo) : Oui, exactement. C'est-à-dire que c'est déjà le cas, d'ailleurs, comme vous l'avez dit, il s'agirait juste que le MCN assure une lisibilité, c'est-à-dire de dire : Voici les grandes lignes directrices...

M. Caire : Oui, je comprends qu'au niveau de la gouvernance, c'est le MCN qui est seul maître à bord.

M. Loiseau (Hugo) : C'est ça.

M. Caire : Ça, je le comprends bien. Mais dans les opérations, vous nous prescrivez de peut-être éclater les opérations à travers différents organismes.

M. Loiseau (Hugo) : La réflexion n'est pas allée jusque là pour éclater, d'accord? Centraliser, un peu plus peut être, mais, néanmoins, avoir une vision claire de qui fait quoi, qui est redevable, qui est responsable afin justement d'assurer une meilleure cyberrésilience, une meilleure cybersécurité.

M. Caire : Mais ça, cette vision-là de qui fait quoi, trouvez-vous qu'on la retrouve suffisamment dans le projet de loi où on pourrait préciser encore plus?

M. Loiseau (Hugo) : Il y a encore quelques marges d'imprécisions dans le projet de loi qui pourraient être...

M. Caire : ...

M. Loiseau (Hugo) : Par exemple, tout autre renseignement que le ministre pourra désigner ou que le gouvernement pourra désigner. Il y a un article qui mentionne ça.

M. Caire : Oui, oui, oui, je sais exactement à quoi vous faites référence.

M. Loiseau (Hugo) : Et donc ça, ça peut créer un doute dans la tête de la population, comment on va baliser ces tout autres renseignements là. Ce serait important peut-être de le mentionner dans le projet de loi, les limites, à défaut de dire exactement quels seront ces renseignements. Je comprends que le gouvernement veut juste garder une marge de manœuvre. Il y a de nouveaux renseignements, de nouvelles informations qui vont...

M. Caire : C'est ça, et changer une loi, ce n'est pas chose simple.

M. Loiseau (Hugo) : C'est plus difficile, c'est ça.

M. Caire : Donc, changer un règlement, c'est plus souple, c'est plus agile. Mais je comprends que ça peut, parallèlement à ça, créer, peut-être...

M. Loiseau (Hugo) : Et le doute est important ici, c'est-à-dire que ce doute-là peut donner...

M. Caire : Impacter la confiance.

M. Loiseau (Hugo) : C'est ça, entamer la confiance, parce que, là, on ne sait pas ce que le gouvernement va faire. Un changement de gouvernement, un gouvernement un peu plus... Voyez-vous ce que je veux dire? Et donc, là, ça peut être la porte ouverte à toutes sortes d'abus. Et donc, pour une question de contrôle démocratique, hein, c'est-à-dire que ça s'adresse à la population, ça va être un bien public, eh bien, il faut que la population puisse avoir un contrôle là-dessus, et donc connaître les balises, d'entrée de jeu, à travers le projet de loi, à travers la future loi.

M. Caire : Je comprends. Vous parlez d'une architecture décentralisée, des mécanismes de contrôle citoyen. Bon, on comprend qu'au Québec, l'organisme phare en matière de contrôle de protection des renseignements personnels, c'est la Commission d'accès à l'information. Est-ce que vous jugez que la commission d'accès à l'information, dans sa loi constitutive, évidemment, la loi n° 25, etc., même la loi concernant le cadre juridique des technologies de l'information, a suffisamment de pouvoir et de contrôle pour exercer ce rôle-là? Sinon, vous pensiez à quoi quand vous parliez d'un mécanisme de contrôle citoyen?

M. Loiseau (Hugo) : Oui, on parle d'une identité numérique autosouveraine, c'est-à-dire que le citoyen conserve le contrôle sur l'ensemble de ses données. Bien entendu, la Commission d'accès à l'information a un rôle très important à jouer. Bien entendu, moi, je pense que le cadre juridique qui l'anime est tout à fait adéquat. Ce qu'il faut lui faire, c'est lui donner du budget en tant que tel, lui donner l'habilité par la loi, mais aussi l'habilité par le budget afin qu'elle puisse remplir son rôle complètement.

M. Caire : ...l'information vous remercie.

M. Loiseau (Hugo) : Ce sont mes constatations.

M. Caire : Oui, je sais.

M. Loiseau (Hugo) : Mais c'est ça, augmenter, donc, les ressources pour la commission.

Sur le plan de l'identité numérique autosouveraine, et là je vous dirais que... c'est que le citoyen, dès qu'il y a un changement sur ses données personnelles, garde le contrôle, c'est-à-dire que c'est lui qui décide ce qu'il donne en tant que tel, il peut retirer constamment son consentement ou retirer ou corriger des informations. Et donc ça, ça va assurer beaucoup l'acceptabilité sociale parce qu'on va donner la responsabilité au citoyen de contrôler sa propre information, sa propre identité, finalement, qui est déployée dans le cyberespace, dans l'espace numérique.

M. Caire : Bien, comme je disais d'entrée de jeu, c'est l'objectif. Mais actuellement, c'est impossible à cause de la trop grande multiplicité des fiches, des renseignements...

M. Caire : ...qui sont... qui sont un peu partout au gouvernement, mais en ayant ce fichier central là, effectivement, c'est un petit peu ce que je disais tantôt, là, si on veut changer des éléments. Par contre, au niveau du fait de retirer des informations, je comprends ce que vous dites. Ceci étant dit, dans un objectif de prestation de services, puis c'est peut-être dans ce contexte-là que je veux vous entendre, évidemment, il y a des prestations services qui requièrent d'avoir certaines informations. Sans ces informations-là, la prestation de services n'existe pas, ou ne peut pas être donnée, ou, en tout cas, ne peut pas être donnée de façon numérique, disons-le comme ça. Donc, jusqu'à quel point on peut dire au citoyen : Bien oui, retire ces informations-là. Mais, tu sais, à partir de là, il y a quand même une espèce d'effet domino qui dit : Sauf que tu ne recevras plus tel, tel, tel service. Ce que ça ne devient pas extrêmement lourd. C'est un petit peu comme, je vous dirais, quand on demande le consentement, puis le consentement, puis le consentement jusqu'à tant que le citoyen s'écœure, puis c'est ça l'objectif, là. Puis là, bien, il dit oui à n'importe quoi, là. Alors, j'essaie de trouver... mais je comprends ce que vous dites, mais j'essaie de voir, là, comment on peut équilibrer ça entre donner le contrôle puis faire en sorte de noyer le citoyen dans des informations où, à un moment donné, il va se perdre complètement, là.

• (10 h 20) •

M. Loiseau (Hugo) : Oui, tout à fait, c'est-à-dire que les modalités d'application de l'identité numérique autosouveraine mais demeurent à être identifiées. D'entrée de jeu, dans le projet de loi, c'est clairement dit où on l'a mentionné, c'est-à-dire qu'on n'est pas obligés, hein, d'adhérer à des entités. Donc, c'est une première façon de dire aux citoyens : Vous avez gardé le contrôle parce que vous avez, d'entrée de jeu, une sorte de droit de veto : vous y allez ou vous n'y allez pas. Donc, ça, c'est très bien.

Ensuite, pour les modalités davantage plus spécifiques sur l'identité numérique, retirer les contrôles, comme vous l'avez dit, ça peut être aussi : Voici les conséquences, voici les prestations de services auxquelles ça va être beaucoup plus difficile pour vous, que vous allez donc devoir vous présenter sur place avec des pièces d'identité physique. Donc, rendre claires au citoyen les conséquences de ses choix. Je pense qu'avec un avertissement clair, simple, parce que, comme vous l'avez dit, hein, les consentements que l'on... qu'on accorde sans les lire, nécessairement, c'est un enjeu d'ailleurs en acceptabilité sociale. Mais, ici, ce serait une des modalités qui serait à implanter.

Bien entendu, il y a d'autres idées qui ne me viennent pas en tête mais qui pourraient être aussi déployées et appliquées. Il faut juste lancer quelques recherches là-dessus. Il y a, certainement, à travers le monde, de très bonnes initiatives qui ont été lancées à ce sujet là.

M. Caire : Il me reste combien de temps, M. le Président.

Le Président (M. Simard) : Exactement 2 min 24 s.

M. Caire : Parfait. Bien, je vais formuler ma question très rapidement. Le choix que nous avons fait au niveau de l'identité numérique, c'est de ne pas inclure le privé, parce que nous pensons que l'identité numérique, c'est une mission régalienne de l'État, qui appartient à l'État. C'est la raison pour laquelle d'ailleurs, dans le portefeuille numérique qui va être déployé bientôt, on n'a pas utilisé des technologies existantes, que ce soit Apple, Google ou autres technologies, d'une part parce que c'est des technologies fermées, donc on ne sait pas exactement qu'est-ce qui se passe avec ça. On a choisi, pour la création de l'identité numérique, d'aller vers des logiciels libres. Donc, jusqu'à quel point ce choix-là fait en sorte, justement, que la communauté peut participer d'emblée? En sachant ce qu'on fait, en rendant disponible le code source, vous ne pensez pas qu'au niveau de la transparence puis de l'implication, c'est quand même un geste qui est assez significatif?

M. Loiseau (Hugo) : Oui. Il faudrait le publiciser davantage. Le seul enjeu, c'est que, vous savez, il y a beaucoup d'avantages au code libre, mais il y a aussi des désavantages, notamment en termes de cybersécurité. Puisque le code est accessible, on peut facilement le travailler, le bidouiller, l'altérer. Oui, mais il faut faire attention parce qu'ensuite, ce code-là, il faut le mettre à jour et ça retombe donc sur la communauté. Donc, bien entendu, en ayant le soutien du gouvernement du Québec, la communauté va être davantage intéressée à maintenir un code source libre parce qu'il est utilisé par une autorité quand même importante, ce n'est pas... Bref, le code source libre, donc, oui, il y a des avantages, mais il y a aussi des inconvénients; inconvénients qu'on peut réduire en tant que tel. Il faut donc faire bien attention. Ça aussi, sur le plan de la confiance, ça peut être... que si c'est bien expliqué, parce que ce n'est pas toujours évident à bien saisir, si c'est bien expliqué, la population va être beaucoup plus apte à comprendre et donc à adhérer à l'identité numérique nationale.

M. Caire : Merci beaucoup.

M. Loiseau (Hugo) : Ça me fait plaisir.

Le Président (M. Simard) : Alors, il reste 35 secondes à votre groupe parlementaire. Un de vos collègues peut intervenir. M. le député d'Orford, rapidement, s'il vous plaît.

M. Bélanger : Bien, en 35 secondes, je veux juste souligner... votre mémoire était très intéressant, mais je serais curieux... au niveau de la gestion du changement, quel rôle vous voyez au niveau de l'intelligence artificielle comme moyen de support à la gestion du changement pour la transformation numérique.

M. Loiseau (Hugo) : Vous me poser une question... Et quoi, j'ai 10 secondes pour répondre?

M. Caire : 20.

Le Président (M. Simard) : 15, 20.

M. Loiseau (Hugo) : Très bien. Je vous dirais simplement : l'intelligence artificielle, c'est une boîte de Pandore. On s'en rend compte...

M. Loiseau (Hugo) : ...d'ailleurs, l'Obvia travaille presque exclusivement sur la responsabilisation des grandes entreprises, la responsabilisation justement des créateurs de LLM, les grands modèles de langage, etc. Et les impacts sociétaux se font sur tout, l'ensemble de la société a été touché, là.

Le Président (M. Simard) : Je suis désolé.

M. Loiseau (Hugo) : Désolé, je me lançais comme un professeur.

Le Président (M. Simard) : Désolé. M. Loiseau. C'est très ingrat de ma part de faire ça, mais je dois contrôler le temps bien malheureusement, bien que c'était fort intéressant. Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Vous disposez de 9 min 54 secondes.

Mme Setlakwe : Merci. Je vous permettrais de... Merci, d'ailleurs... Merci beaucoup pour votre mémoire, mais vous pouvez compléter votre réponse, là, sur l'intelligence artificielle. Je pense que ça intéresse tous les membres de la commission.

M. Loiseau (Hugo) : Bon. Oui, si je peux compléter. C'est une boîte de Pandore, donc c'est-à-dire qu'on a une très, très grande... un grand mandat à travers l'Obvia pour justement responsabiliser, détecter les impacts sociétaux. Tous les secteurs de la société sont touchés. Le grand problème, c'est temps-ci, c'est qu'on a un voisin aux États-Unis, un président qui a fait tout le contraire de ce que la Charte de Montréal, que vous connaissez peut être, qui donne 10 balises très claires pour encadrer l'intelligence artificielle. Mais lui, il fait le contraire, c'est la dérégulation, c'est le privé à tout... à tout va. Et donc ça, ça donne un élan qui est contraire à ce qu'on devrait faire en tant qu'autorités, en tant que gouvernements, en tant que tels, c'est-à-dire contrôler et être en mesure de restreindre, d'atténuer voire, les impacts souvent néfastes de l'intelligence artificielle.

Pour répondre un peu plus précisément à votre question, on peut utiliser l'IA d'ailleurs pour augmenter la cybersécurité, assurer un meilleur changement, une meilleure transformation numérique de l'État. Mais comment le faire? Avec quel LLM? Avec... comment... Essentiellement, comment ça va être fait? Et c'est surtout... les détails se retrouvent là, et donc le diable est dans les détails. C'est vraiment une question à étudier davantage. C'est un beau mandat de recherche pour nous, ça.

Le Président (M. Simard) : Merci à vous, M. Loiseau. Alors, Mme, veuillez poursuivre.

Mme Setlakwe : Oui, merci. Vous abordez plusieurs enjeux dans votre mémoire et vous posez même des questions. On en a identifié ma collègue et moi, mais je vais commencer à la... à la page 9, là, section II, Analyse des principales dispositions, dont le premier paragraphe. Vous parlez de l'article 6 et vous... là, vous posez vous-même plusieurs questions. Vous avez l'impression, je pense, que les... Vous dites :  «Seuls les modèles d'authentification semblent être passés sous silence dans l'article 6.» Puis là, vous... vous posez une série de questions et, à la fin, vous dites que bon, «des réponses claires à ces questions-là favoriseraient la transparence nécessaire à une plus grande acceptabilité sociale». J'aimerais ça que vous élaborez sur... Donc, il doit avoir des choses à être... qui devraient être prévues de façon explicite dans le projet de loi.

M. Loiseau (Hugo) : Donc, oui, oui, tout à fait. Mentionné plus clairement dans le projet de loi, c'est-à-dire que l'article 6, notamment, aborde les questions de cybersécurité. Et en cybersécurité, c'est toujours les mêmes choses, hein? C'est l'intégrité, la disponibilité.... la disponibilité, et donc il nous manquait l'authentification, l'authenticité. Et donc ici la non-répudiation aussi qui était mentionnée dans le projet de loi, et ça,  moi, ça m'a surpris, c'est-à-dire qu'on mentionne la non-répudiation, mais il nous manque l'authentification. L'authentification, c'est à la base de l'identité numérique nationale et donc ici, simplement le rajouter dans le projet de loi pour dire essentiellement, l'authentification fait partie des grands principes de cybersécurité que nous allons mettre en œuvre, c'est un ajout qui... c'est une bonification extraordinaire.

Mme Setlakwe : Merci. Un peu plus loin, encore dans la page 9, au sujet de la gouvernance, évidemment, on comprend, là, que le... qu'il y a du travail qui se fait en silo, qui est à éviter, on veut viser une plus grande fluidité. Et à cet égard-là, vous parlez du... de l'article 3 qui semble aussi avoir certaines lacunes. J'aimerais ça que vous puissiez élaborer aussi sur cet élément-là de votre mémoire, s'il vous plaît.

M. Loiseau (Hugo) : C'est-à-dire que dans le processus de transformation numérique de l'État, mon collègue Daniel J. Caron a fait des études là-dessus, auxquelles j'ai participé aussi. On s'est rendu compte dans les conclusions, c'est qu'il y a d'une grande volonté de la part du gouvernement actuel pour transformer les emplois au gouvernement du Québec, trouver des... des... définir des emplois qui vont être plus à même justement d'aborder les enjeux de cybersécurité ou d'identité numérique nationale. Sauf que lorsque ces propositions sont lancées, là, le secrétariat du Conseil du trésor, là, nous dit constamment : Oui, mais ça ne rentre pas dans les cadres comptables que nous avons et donc on ne peut pas créer ce type d'emplois là à l'intérieur du gouvernement du Québec. Donc, il y a toute une question syndicale, il y  a tout... Ce sont des enjeux qui, de notre point de vue, sont importants aussi à bien aborder, à bien considérer dans le cadre du déploiement de l'identité numérique nationale, parce que si le gouvernement, le MCN et les organisations qui vont être responsables de tenir le registre, bien, c'est tous, tous les emplois fonctionnent en silo, puis il n'y a pas de... il y a peu d'interfaces entre eux, notamment des interfaces à la fois politiques et à la fois technologiques, à la fois de la fonction publique ou des professionnels de la fonction publique et des opérateurs. Là, il va y avoir des enjeux, c'est-à-dire que ce qui va être responsable de quoi? Et donc il faudrait peut-être créer... ce n'est pas mentionné explicitement dans le projet de loi...

M. Loiseau (Hugo) : ...explicitement dans le projet de loi et... dans notre mémoire, pardon, mais peut-être créer des emplois qui vont être justement à même de traiter de ces enjeux-là, qui soient à la fois... qui jouent à la fois à l'interface justement du politique et du technologique, à la fois de la fonction publique mais aussi des acteurs plus de l'opération de la tenue du registre d'identité numérique nationale par exemple.

Mme Setlakwe : Merci. À la page 10, vous parlez de la... vers la fin, là, le dernier paragraphe, la numérisation des pièces d'identité, bon, évidemment, c'est ce qu'on souhaite... vont remplacer les documents papier, soulèvent des questions, des préoccupations de confidentialité... Juste élaborer ici, là, pour éviter qu'on en arrive, là, à pouvoir ouvrir à des situations qui pourraient mener à du profilage... on comprend que c'est... ce n'est pas... ce n'est pas souhaitable, mais qu'est-ce qu'on devrait prévoir de plus... de plus spécifique à cet égard-là?

• (10 h 30) •

M. Loiseau (Hugo) : Oui. Le projet de loi parle déjà du profilage. Donc, c'est interdit dans... selon... à la lumière du projet de loi. Le profilage... et ça tombe aussi un petit peu dans les données inférées, dont on parle plus haut dans le mémoire, c'est-à-dire que le gouvernement... certains gouvernements pourraient abuser, en fait, dépasser les cadres juridiques, ça s'est déjà vu ailleurs à l'étranger, notamment pour la surveillance de masse, et donc il faut éviter ça. Donc, il faut très clairement dire à la population : Il n'y aura aucun profilage associé à la tenue du registre d'identité numérique ou à l'identité numérique nationale du Québec, que les données inférées, donc les croisements entre les différentes banques de données, ne vont pas créer de nouvelles données qui vont pouvoir être utilisées par le gouvernement, nouvelles données créées qui ne sont pas prévues dans le projet de loi ou dans la future loi. Donc, il faut faire aussi attention à cet... à ces éléments-là. Il y a toute une question aussi de vie privée et le respect de la vie privée. Le profilage, c'est une violation de la vie privée, essentiellement, si on est en mesure, notamment avec les moyens technologiques de nos jours. La géolocalisation, l'identification par différents types d'identification, d'authentification biométrique aussi, il y a des enjeux associés à ça.

Donc, le mémoire en parle, mais je vais laisser mon collègue Sébastien Gambs répondre davantage et mieux que moi, probablement, à cette question-là demain, lors de la même commission parlementaire.

Mme Setlakwe : Merci. Une dernière question avant de céder la parole à ma collègue. Vous l'avez mentionné dans votre mémoire et également ici durant votre présentation, vous avez fait une étude... ou, en tout cas, vous avez comparé avec ce qui se fait ailleurs dans le monde. De qui devrions-nous nous inspirer? Et est-ce qu'il y a des éléments gagnants, des conditions gagnantes qui ont été respectées ailleurs, là, qui ne semblent pas être respectées ici dans le projet de loi qui est déposé?

M. Loiseau (Hugo) : Qui ne semblent pas être respectées ici... Moi, je vous dirais, les grands... les grands succès, c'est l'Estonie, Singapour, la Corée du Sud, mais ils ont des enjeux de sécurité qui sont complètement différents des nôtres. L'Estonie, on le comprend, petite société à côté d'un géant russe. Corée du Sud, à côté de la Corée du Nord, qui pratiquent le cyberespionnage à tout vent et qui n'ont aucun contrôle vraiment sur ce qui se peut se produire, la Chine juste à côté aussi. Donc, ce sont des succès parce que ça a été mené à bien. Il y a eu des... une adhésion sociale très, très forte et que c'est extrêmement fonctionnel de nos jours. Donc, ce sont des exemples à suivre.

On a d'autres exemples qui sont moins à suivre, peut-être des choses à ne pas faire, comme le Royaume-Uni, où il y a eu des... de l'instabilité gouvernementale et des enjeux d'acceptabilité sociale de la part de la société britannique. Et donc... Et ce sont les exemples, là, que... auxquels je pourrais vous référer. Les documents de l'Obvia sont très explicites là-dessus d'ailleurs. Vous pourrez aller les consulter sur le site du pôle d'expertise.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Chère collègue de La Pinière...

Mme Caron : Merci. Alors, merci...

Le Président (M. Simard) : ...il vous reste une minute 40 secondes.

Mme Caron : Combien?

Le Président (M. Simard) : Une 1 min 40 s.

Mme Caron : Ah mon Dieu! Alors, je voulais savoir... peut-être nous... À l'article 6, il y a la définition de... du... de l'identité numérique. Est-ce qu'à vos yeux c'est une définition qui est complète ou est-ce que vous aviez noté peut-être des éléments qu'on devrait ajouter?

M. Loiseau (Hugo) : La définition nous paraissait complète. Les éléments de sécurité étaient mentionnés, les services gouvernementaux, l'utilité. Donc, moi, je n'avais... je n'ai pas eu le sentiment que c'était incomplet. Bien entendu, c'est une définition par la loi, ce n'est pas une définition à laquelle on est habitués, nous les universitaires, mais néanmoins c'est fonctionnel... la loi. Je n'ai pas eu de drapeau rouge, si vous voulez, qui a été levé.

Mme Caron : Parfait. Merci. Et, en réponse à ma collègue, quand vous avez nommé les pays dont l'exemple serait à suivre, est-ce que, dans ces pays ou sinon ailleurs, il y avait quelque chose pour les personnes qui n'ont pas de littératie numérique, comment les amener ou quoi faire pour... si c'est des personnes qui ne peuvent pas l'obtenir? Est-ce qu'il y avait des éléments intéressants à suivre?

M. Loiseau (Hugo) : M.... Professeur Jacob va...

M. Jacob (Steve) : Sur ce point-là, je pourrais vous répondre parce que, dans plusieurs pays, les efforts de transformation numérique se sont aussi faits avec des efforts d'inclusion numérique. Donc, dans...

M. Jacob (Steve) : ...certains pays, et notamment l'Estonie, il y a des dimensions dans les projets de loi qui concernent la transformation numérique qui vont inclure et associer l'inclusion numérique. Donc parfois, c'est vraiment un maillage qui se fait directement, plutôt que d'avoir des choses qui se font d'une manière très, très séparée.

Mme Caron : Et est-ce que vous avez vu ça dans le projet de loi?

Le Président (M. Simard) : En conclusion. Malheureusement... Je m'excuse, hein, c'est vraiment ingrat.

Alors, je cède maintenant la parole au député de Maurice-Richard.

M. Bouazzi : Merci, M. le Président. Moi, j'ai encore moins de temps, ça fait que je vais essayer d'être... D'abord, je pense qu'il y a une incompréhension que je voudrais qu'on lève. Ça va être avec vous, là. L'objectif de ce qu'on a devant nous n'est pas une grosse base de données partagée pour aller manger des données dans d'autres systèmes, c'est l'idée d'avoir une identité numérique, là. Parce que moi, j'entends : Ces données-là vont être centralisées, ne vont pas être ailleurs, etc. On n'est pas dans un même DM, on est dans une gestion d'identité, et oui, il va y avoir une tonne de données ailleurs, et ce n'est pas l'objectif de cette affaire-là de devenir une grosse base de données. Vous avez parlé de données, par exemple, qui ont trait à la santé. Ce n'est pas de ça qu'on parle ici?

M. Loiseau (Hugo) : Le projet de loi... En fait et en tant que tel, dans la réalité, c'est que les données existent déjà. Le projet de loi, ce qu'il fait, c'est qu'il crée justement une identité numérique nationale, avec un registre d'identité numérique et des attestations d'identité numérique. Et donc, on va juste... Et, sur le plan informatique, c'est assez simple à faire, là, donner de nouvelles étiquettes à des données qui existent déjà pour être en mesure de les retrouver dans une immense banque de données, tout simplement.

M. Bouazzi : Le projet de loi parle de la possibilité de rajouter des données biométriques. Est-ce que les données biométriques existent déjà, à votre connaissance?

M. Loiseau (Hugo) : Bien, une donnée biométrique, ça peut être une simple photo de votre visage, et donc le permis de conduire, l'assurance maladie, tout ça, sur nos cartes on a déjà ça. Donc, ça existe déjà, de ce point de vue là.

«Biométrique», on peut aller un peu plus loin : la rétine, l'empreinte digitale, etc. Ça aussi, ça existe déjà. Il y a déjà d'ailleurs sur... certains appareils qui sont équipés pour détecter notre empreinte. Votre téléphone intelligent, probablement, l'est déjà, équipé. Est-ce que le gouvernement du Québec veut aller jusque-là pour être en mesure de s'assurer de l'authenticité de la personne qui est devant elle? Donc, son identité est-elle vraiment... Physiquement, on peut la reconnaître par des signes qui sont inaltérables, jusqu'à l'ADN, même? On n'ira pas... probablement pas jusque-là, parce que vous imaginez les investissements que le gouvernement du Québec va être obligé de faire pour s'assurer de tenir à jour ces banques de données là, de juste les déployer et tous les enjeux de cybersécurité associés à ça. Là, il y a des enjeux assez importants ici.

M. Bouazzi : Bien, vous savez comme moi que, pour reconnaître une identité de quelqu'un, une simple photo n'est pas vraiment suffisante, il faudrait...

M. Loiseau (Hugo) : De nos jours, oui. Avec l'IA, ça peut être, oui, effectivement...

M. Bouazzi : Il en faudrait deux, disons, donc un peu de 3D. Mais imaginons... Et ce projet de loi ne ferme pas la porte à rajouter des données biométriques, soyons clairs pour les gens qui nous écoutent. Vous, vous pensez qu'il n'irait pas là Peut-être que le ministre ne pense pas aller là. Peut-être que le prochain ministre du Numérique, avec un prochain gouvernement dans l'avenir, décide d'aller là. C'est une possibilité que le projet de loi ouvre.

M. Loiseau (Hugo) : En fait, les innovations technologiques, notamment en identité numérique, sont tellement rapides, il y a une célérité... elle est tellement forte que je ne peux pas vous répondre très clairement en disant : Jamais nous n'irons là-bas, jamais nous n'irons... Il y a un enjeu, là.

M. Bouazzi : Ce n'est pas... En tout respect, ce n'est pas à vous de répondre à la question, c'est au ministre. Mais moi, je vous pose la question : Est-ce qu'un ministre pourrait aller là-bas? La réponse, c'est oui, et c'est écrit dans le projet de loi. Je veux dire, ça...

M. Loiseau (Hugo) : Il faut donc baliser davantage l'usage du profilage... pardon, de... l'usage biométrique, et ça, peut-être qu'il y a une bonification à y apporter là-dessus, là.

M. Bouazzi : On est... on est d'accord.

Le deuxième point, c'est justement les utilisations possibles de combinaisons de ces technologies-là, et c'est probablement... plus gros risque de pouvoir imaginer ce qui pourrait aller mal dans l'avenir. Imaginons plusieurs projets qui vont ensemble. Et j'en parlerai avec d'autres invités, malheureusement, parce qu'il me reste cinq secondes.

Le Président (M. Simard) : Bien. Merci beaucoup. Est-ce que le député indépendant souhaite intervenir?

M. Lefebvre : Je dois avoir 12 secondes?

Le Président (M. Simard) : Non, vous avez quand même 3 min 18 s. Vous êtes, relativement, très avantagé.

M. Lefebvre : Bienvenue à tous, je vous souhaite une belle...

Le Président (M. Simard) : Profitez-en.

M. Lefebvre : Non. On sait que... le projet de loi, au niveau de l'identité numérique, on dit qu'elle n'est pas obligatoire. Au fur et à mesure que la confiance va augmenter, je pense que l'utilisation va augmenter, puis l'objectif, c'est qu'on devient... on vienne à ce que de plus en plus de gens l'utilisent.

D'entrée de jeu, dans votre allocution, vous en avez parlé, de... qu'il y avait 25% de la population qui était contre, 75% pour. Est-ce que vous avez les groupes d'âge des gens qui étaient contre? Est-ce que vous avez été jusque-là, ou on n'a pas cette...

M. Loiseau (Hugo) : Non, mais on peut les deviner...

M. Lefebvre : Oui, c'est ça, hein?

M. Loiseau (Hugo) : ...c'est-à-dire que l'illectronisme touche les personnes âgées, à très, très, très forte majorité, ainsi que les jeunes enfants, bien entendu, ce qui est tout à fait logique. Et donc ce que vous dites, c'est-à-dire qu'au fur et à mesure que le projet va se... va être lancé, va se déployer, les gens vont y adhérer, mais il y a une question d'utilité perçue et d'utilité réelle aussi qui va tenir en compte de cela, mais il y a trop... il y aura toujours une marge de la population qui va être touchée par la fracture numérique...

M. Loiseau (Hugo) : ...donc, il faut faire bien attention. Et, quand on dit : C'est non obligatoire, c'est justement pour ces personnes-là qui n'auront pas accès. Ça a d'ailleurs été mentionné durant les propos préliminaires. Ils n'auront pas accès à l'identité numérique et, donc, ils doivent avoir un système qui vont leur permettre, sur le plan physique, de pouvoir être en mesure de s'identifier. Donc, il faut toujours penser à ces délaissés, ces laissés-pour-compte du numérique qui, grosso modo, 5 à 10 % de la population qui soient touchés par une mauvaise littératie numérique, soit par l'électronique, donc, l'incapacité d'utiliser des appareils électroniques. Et ensuite, bien entendu, toutes les personnes qui souffrent de handicaps qui sont... qui peuvent nuire, justement, au déploiement de l'utilité de l'identité numérique.

• (10 h 40) •

M. Lefebvre : Donc, si on réussit à se rendre à 85 %, éventuellement, dans le futur, ça serait déjà un immense succès.

M. Loiseau (Hugo) : Oui, oui, tout à fait.

M. Lefebvre : Parfait. Merci.

Le Président (M. Simard) : Très bien. Alors, merci à vous, M. le député. M. Loiseau, permettez-moi cet éditorial : Je vous félicite pour votre engagement universitaire. La présence des scientifiques comme vous, dans le débat politique et dans la construction des politiques publiques, est fondamentale à une démocratie qui se veut saine. Alors, merci à vous et à vos collègues d'être présents parmi nous.

Alors, sur ce, nous allons suspendre nos travaux momentanément.

(Suspension de la séance à 10 h 41)

(Reprise à 10 h 45)

Le Président (M. Simard) : Alors, chers amis, nous sommes de retour. Nos invités sont présents parmi nous. Nous avons l'honneur de recevoir des représentants de la Commission d'accès à l'information. Madame, messieurs, soyez les bienvenus, et vous savez que vous disposez d'une période de 10 minutes. Nous sommes à votre écoute.

Mme Ayotte (Naomi) : Merci, M. le Président. Donc, bonjour. Mon nom est Naomi Ayotte. Je suis commissaire à la section surveillance de la Commission d'accès à l'information et j'assume aussi présentement l'intérim de la vice-présidence de la section surveillance. Je suis accompagnée aujourd'hui de Me Jean-Sébastien Desmeules, qui est secrétaire général et directeur des affaires juridiques à la commission, ainsi que M. Jorge Passalacqua, qui est directeur des affaires institutionnelles, et des communications, et de la promotion, et de Me Maxime Martineau-Gagné, qui est avocat à notre Direction des affaires juridiques.

D'abord, je tiens à vous remercier de nous offrir l'occasion de partager nos commentaires sur le projet de loi n° 82, portant sur l'identité numérique nationale. En cette Journée internationale de la protection des données personnelles, la commission n'aurait pas pu imaginer un meilleur contexte afin de parler d'identité numérique et de protection des renseignements personnels.

Ce n'est pas la première fois que la commission s'exprime sur l'identité numérique. En septembre 2022, elle a élaboré et publié avec ses homologues canadiens du fédéral et des autres provinces et territoires une résolution commune intitulée «Assurer le droit à la vie privée et la transparence dans l'écosystème d'identité numérique au Canada». Cette résolution était accompagnée d'une liste non exhaustive de conditions et de propriétés qui devraient être intégrées à un cadre législatif applicable à la création et à la gestion des identités numériques.

La commission accueille donc positivement le fait que le gouvernement veuille prévoir un fondement juridique au système d'identité numérique. Elle comprend que ce projet d'envergure est évolutif et sera composé de plusieurs projets technologiques qui devront interagir dans un tout coordonné et cohérent. L'identité numérique n'est pas en soi une chose tangible, c'est plutôt un concept qui se définit par ses éléments constitutifs ainsi que par les usages et fonctions qu'on lui rattache. Il s'agit d'une notion complexe. À cet effet, la commission insiste sur l'importance de définir clairement l'ensemble des éléments constitutifs de l'identité afin d'être en mesure d'en déterminer la portée, les usages ainsi que les impacts.

En général, l'identité numérique correspond à un ensemble d'attributs regroupés en format numérique permettant à une personne d'interagir de façon sécuritaire avec d'autres entités, que ce soit afin de s'identifier et de s'authentifier ou encore afin de produire la preuve de la possession de certains attributs. Cette démarche d'identification et d'authentification repose sur l'interaction d'au moins trois acteurs qu'on appelle «triangle de confiance». La personne souhaitant accéder à un service donné, que ce soit en ligne ou hors ligne, doit fournir des preuves de son identité au fournisseur de services. Elle y arrive notamment par la production d'attestations émises par un tiers de confiance, le fournisseur d'identité, auprès duquel le fournisseur de services peut vérifier l'authenticité des attestations, notamment via la consultation d'un registre de preuves.

La commission croit que l'identité numérique peut apporter plusieurs avantages pour la protection des renseignements personnels, qu'elle détaille dans son mémoire. L'identité numérique est une occasion pour le gouvernement d'offrir aux citoyens des solutions technologiques qui assurent la protection des renseignements personnels et qui permettent de réduire le nombre de renseignements personnels collectés et en circulation. De même, de tels moyens technologiques devraient offrir aux citoyens un meilleur contrôle sur leurs renseignements personnels ainsi que des mesures de sécurité accrues pour les protéger. Par contre, si elle n'est pas bien planifiée, implantée et gouvernée, l'identité numérique peut représenter des risques pour la protection des renseignements personnels. Son utilisation implique que des renseignements pouvant permettre le traçage et le profilage des individus, voire la surveillance de la population, seront générés. C'est notamment pour cette raison que l'utilisation de l'identité numérique doit demeurer un choix, et la commission se réjouit de constater que ce principe semble expressément prévu au p.l. n° 82.

La commission constate que le projet de loi établit les pouvoirs généraux du ministre de la Cybersécurité et du Numérique en matière d'identité numérique nationale. Elle reconnaît l'importance que les responsabilités de la gouvernance et de la gestion centralisée de l'identité numérique soient dévolues à un seul et même acteur, et ce, afin de coordonner les différentes parties qui devront intervenir dans le cadre...

Mme Ayotte (Naomi) : ...l'identité numérique et observe que c'est ce que tente d'accomplir le présent projet de loi.

Par contre, la commission constate que la Loi concernant l'identité numérique nationale proposée n'est actuellement pas en elle-même autoportante. Dans les faits, il faut se référer à une multitude de pièces législatives afin de pouvoir avoir une vision globale de l'identité numérique nationale et de ses enjeux, notamment la Loi sur le ministère de la Cybersécurité et du Numérique, la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, la Loi concernant le cadre juridique des technologies de l'information, la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels dans le secteur privé, la Loi sur les renseignements de santé et les services... les renseignements de santé et de services sociaux, ainsi que plusieurs règlements et décrets qui s'y rattachent. S'ajoutent à cela les règles applicables aux projets technologiques ainsi que les dossiers d'affaires qui se rattachent à ceux-ci.

• (10 h 50) •

Cela accentue, selon la commission, les risques que les règles essentiellement... essentielles, applicables à l'identité numérique, ne soient pas connues, comprises et, en bout de piste, respectées. Dans son mémoire, la commission présente des exemples d'autres juridictions qui ont fait le choix de lois autoportantes et de réglementations ou normes découlant toutes de ces mêmes textes. La commission est d'avis que cette façon de faire devrait être privilégiée par le Québec dans le but d'assurer une meilleure protection des renseignements personnels.

Un autre constat que fait la commission est qu'il y a plusieurs éléments essentiels de l'identité numérique qui sont absents du projet de loi no 82, mais qui devraient, selon elle, s'y retrouver. Dans son état actuel, le projet de loi ne fait pas référence à la notion de triangle de confiance mentionné précédemment et ne définit pas les différents acteurs primaires de l'identité numérique. La commission considère que les acteurs de l'identité numérique devraient être définis à même la Loi sur l'identité numérique, afin notamment d'établir leurs rôles et leurs obligations.

Aussi, le projet de loi prévoit très peu d'obligations concernant ces différents acteurs de l'écosystème, ce qui préoccupe la commission. Il serait préférable, selon elle, voire essentiel, que les obligations devant s'appliquer aux acteurs de l'identité numérique soient prévues à la loi elle-même ou dans un règlement en découlant. La Commission est également d'avis que la non-observance d'une obligation prévue à la loi ou à un règlement concernant l'identité numérique devrait entraîner des sanctions pour les acteurs concernés et que ces sanctions devraient être prévues à même la loi. Également, les systèmes d'identité numériques doivent pouvoir être évalués dans leur ensemble et faire l'objet d'une surveillance indépendante.

Bien qu'il soit vrai que l'identité numérique implique en grande partie des renseignements personnels, la commission est d'opinion que le cadre juridique de l'identité numérique va bien au-delà de la protection des renseignements personnels et concerne d'autres aspects que les lois concernant la protection des renseignements personnels ne pourraient soutenir. A cet effet, et considérant l'importance de la portée du projet de l'identité numérique, la commission estime que le projet de loi devrait prévoir que des pouvoirs d'inspection et d'enquête soient dévolus à un organisme indépendant chargé de faire respecter tout le cadre juridique de l'identité numérique nationale, le tout notamment afin d'en assurer le bon fonctionnement et de susciter davantage de confiance et d'adhésion auprès de la population.

L'identité numérique est une occasion de mettre en place des solutions respectueuses de la protection des renseignements personnels. Une attestation numérique peut en principe représenter une version intégrale d'une pièce d'identité, ou d'un acte officiel, ou simplement se limiter à prouver un fait en particulier. Le projet de loi no 82 est pourtant muet quant à cette caractéristique connue des attestations numériques qui permettraient de limiter la communication des renseignements personnels à ce qui est réellement nécessaire aux circonstances données.

Le projet de loi est également muet quant au fait que le consentement exprès des personnes soit requis pour la communication de toute attestation. La commission souhaite souligner le fait que cette nécessité d'un consentement exprès à la communication, ainsi que les possibilités de fragmenter les attributs de l'identité en diverses attestations devraient être expressément prévues à la loi à titre de garantie de protection des renseignements personnels. La Commission désire souligner que cette fragmentation des attributs de l'identité est nécessaire pour limiter le nombre de renseignements personnels en circulation. Elle est d'autant plus importante, considérant le fait que le projet de loi prévoit que l'identité numérique nationale pourra être utilisée dans le cadre des interactions dans la collectivité, ce qui inclut la communication avec le secteur privé.

De même, aux fins de transparence du système et afin de permettre un meilleur contrôle des détenteurs d'identité sur la collecte et l'utilisation de leurs attributs, la commission considère important qu'un registre des transactions soit rendu disponible aux détenteurs. Ce registre permettrait à ceux-ci d'avoir une vue d'ensemble sur les consommateurs qui ont eu accès à leurs attributs d'identité.

Le projet de loi établit la responsabilité du ministre de veiller à la gouvernance et à la gestion centralisée de l'identité numérique, mais est presque muet sur le rôle des autres organismes publics en matière d'identité numérique et plus spécifiquement quant à l'émission des attestations et à la gestion des renseignements qui découlent de leur...

Mme Ayotte (Naomi) : ...de leur utilisation. À cet égard, la commission insiste sur le fait qu'un modèle basé sur la centralisation des renseignements, notamment ceux d'identité, peut présenter certains enjeux au niveau de la protection des renseignements personnels. La commission invite donc les parlementaires à considérer ces risques et à s'assurer de la mise en place d'un modèle permettant notamment de garantir à la population que des acteurs malveillants ne pourront compromettre la sécurité des services et des données par l'accès aux informations d'identification des détenteurs.

Le projet de loi n° 82 définit le profilage et crée une interdiction pour le ministre d'utiliser les données qui sont... qui sont déposées au registre de l'identité à cette fin.

Le Président (M. Simard) : En conclusion.

Mme Ayotte (Naomi) : À cet effet, la commission souligne l'importance que les renseignements contenus à l'écosystème d'identité ne soient pas utilisés à d'autres fins que celles nécessaires à l'identification et à l'authentification des détenteurs et ne devraient pas permettre le suivi ou le traçage et... de l'utilisation des attestations numériques.

Le Président (M. Simard) : Très bien. Merci. Vous pourrez éventuellement, Mme, poursuivre indirectement dans une réponse que vous pourriez fournir à l'un ou l'autre de nos collègues. Alors, M. le ministre, vous disposez de16 min 30 s.

M. Caire : Merci. Merci, M. le Président. Bien, merci aux membres de la commission de se joindre à nous aujourd'hui. D'entrée de jeu, j'ai... j'ai... disons, j'ai retenu le fait que vous dites il y a on se réfère à trop de lois. Alors, j'imagine que vous parlez de la loi n° 25, évidemment, j'imagine que vous parlez de la LGGRI et j'imagine que vous parlez de la Loi concernant le cadre juridique des technologies de l'information. Donc, ce que vous dites dans les faits, c'est qu'on devrait importer toutes ces lois-là dans une seule loi qui touche le numérique. Est-ce que je comprends bien ce que vous nous dites aujourd'hui ou ce n'est pas exactement ce que vous me dites?

Mme Ayotte (Naomi) : En fait, M. le ministre, c'est... c'est juste pour préciser un peu, ça ne serait peut être pas de tout reprendre, mais ce qui est en lien évidemment avec l'identité numérique et ce qui est essentiel à son fonctionnement, et en particulier les éléments sur lesquels on voudrait pouvoir sanctionner s'il y avait une problématique, parce qu'entre autres, juste si on veut parler de la... de la LCCJTI, pardon, on sait tous que c'est une loi qui met des normes et pour lesquelles il n'y a aucune sanction prévue. Donc, oui, les lois que vous identifiez sont les bonnes, mais pas par souci de simplifier et de savoir ce qui s'applique, toujours dans le but après ça que ça soit respecté, on pense que ça serait préférable de regrouper sous une... une même loi ces règles-là.

M. Caire : C'est... Mais c'est important, maître, ce que vous venez de dire, là, parce que l'avis que j'ai de ma Direction des affaires juridiques, c'est que la loi n° 25 étant une loi quasi constitutionnelle, elle s'applique et à la LCCJTI et à la LGGRI. Donc, les sanctions prévues à la loi n° 25 puis s'appliquent dans le cas de la LCCJTI et aussi dans le cas de LGGRI. Est-ce que vous avez la même lecture?

Mme Ayotte (Naomi) : J'ai la même lecture, oui, M. le ministre, dans le sens que, quand on parle de renseignements personnels, bien sûr. Donc, on comprendra que l'identité numérique va au-delà de ça aussi. Un exemple que je peux vous donner. Actuellement, dans la pièce législative qui est déposée, on a une interdiction de profilage, cette interdiction-là est... serait dans la Loi sur le ministère du Cybersécurité Numérique, donc pas une règle pour laquelle la commission a des pouvoirs de faire appliquer. Nous, on a les pouvoirs de faire appliquer les règles qui sont à la Loi sur l'accès, à la loi sur le secteur privé, Loi renseignements de santé et services sociaux. Donc, c'est un exemple que, si du profilage était fait en contravention de cette disposition-là de votre projet de loi, qui pourrait la sanctionner cette règle-là et où serait la conséquence de l'avoir fait? Donc, il faut vraiment faire le lien à se demander est-ce qu'on va être en présence de renseignements personnels, et dans ce cas-là, oui, on pourra se rendre dans certaines lois. Le registre des preuves est peut-être un autre exemple d'éléments qu'on a ciblés. Y aura-t-il des renseignements personnels ou non? Mais une chose est sûre, c'est crucial l'information qui va être dans ce registre-là, puis il faut s'assurer qu'elle sera protégée.

M. Caire : Je comprends. Dans le fond, ce que vous me dites, c'est que la section II de la loi n° 25, là, sur la collecte et l'utilisation des renseignements personnels, dans le cas du profilage, le lien ne serait pas évident.

Mme Ayotte (Naomi) : Le lien ne serait pas évident.

M. Caire : Et donc les sanctions autant administratives que pénales pourraient ne pas s'appliquer.

Mme Ayotte (Naomi) : Voilà, puisque le profilage n'est pas interdit.

M. Caire : Je comprends. Et donc dans notre interdiction du profilage, ce que vous nous dites, c'est qu'il faudrait préciser que ces sanctions-là s'appliquent ou comment je... Parce que vous comprenez que, comme législateurs, on a une hésitation à créer un double régime de sanctions.

Mme Ayotte (Naomi) : Je comprends.

M. Caire : Puis j'entends ce que vous me dites, c'est que ce n'est pas un double régime de sanctions, parce que les sanctions prévues à la loi no 25 dans le cas d'un profilage, par exemple, d'un cas avéré de profilage...

M. Caire : ...de profilage, ne pourrait pas se rattacher à la loi 25. Mais ce que j'essaie de comprendre, c'est que le profilage requiert nécessairement qu'on utilise des renseignements personnels, non?

Mme Ayotte (Naomi) : Le profilage le requiert, vous avez raison. Mais, dans tous les cas, la loi sur l'accès ne l'interdit pas. Donc, à partir du moment où on aurait une autre pièce législative qui prévoit une règle disant : Il ne faut pas profiler, ce n'est pas en vertu de la loi sur l'accès qu'on serait en mesure de sanctionner...

M. Caire : À ce moment-là - puis je pose... on réfléchit à voix haute, là - est-ce que vous diriez que l'interdiction de profilage devrait plutôt se retrouver dans la loi 25 plutôt que dans le P.L. 82? Parce qu'il n'y a pas... je veux dire, on s'entend que du profilage, on n'en veut pas, point. Ce n'est pas juste dans le cas de l'identité numérique, on ne veut pas de profilage, point. Puis je me souviens, puis peut-être que... Non, c'est vrai, c'était dans l'ancienne législature. L'ancien collègue de La Pinière et moi, on avait eu un échange là-dessus, sur certaines modifications qu'on apportait, notamment, sur la Loi de l'administration fiscale, si ma mémoire est bonne, où on se disait : Bien, O.K., mais il ne faudrait pas qu'il y ait de profilage. Puis la démonstration avait été faite que non, ce n'était pas... ce n'était pas la finalité des modifications législatives qu'on apportait. Donc, moi, je vous dirais, j'avais le sentiment que le profilage était une façon interdite de façon transversale, vous me dites, ce n'est pas le cas.

• (11 heures) •

Mme Ayotte (Naomi) : En fait, la règle existerait, mais ce qu'on soulève, c'est qu'il n'y aurait pas nécessairement d'entité pour surveiller son application puis la sanctionner. Je pense que, pour répondre à votre question, M. le ministre, c'est qu'il ne faut pas perdre de vue que, dans le système d'identité numérique, il y a des renseignements personnels. Je le répète, il n'y a pas de doute, mais il y aura aussi beaucoup d'autres éléments qui pourraient, par analyse, être assimilés à des renseignements personnels, j'en conviens, mais il faudra analyser. Peut-être que tout le monde ne sera pas du même avis. Et là on revient au fait qu'on est dans un écosystème avec énormément, déjà, énormément de visions.

M. Caire : Vous n'avez besoin de me convaincre que deux avocats peuvent ne pas être du même avis.

Mme Ayotte (Naomi) : Alors, c'est pour cette raison-là, puis, principalement, comme je dis, la crainte qu'on ne soit pas en présence de renseignements personnels, que la conclusion de quelqu'un soit ça, il puisse  dire : Ah! à ce moment-là, les règles ne s'appliquent pas à nous. Si, dans une pièce législative portant sur l'identité numérique, on faisait état clairement de l'interdiction complète d'utiliser quelque renseignement que ce soit qui découle de l'utilisation, donc, à des fins de, clairement, en précisant qui est responsable de surveiller l'application des règles qu'on met en place et en prévoyant, si c'est le souhait, des sanctions qui pourront être appliquées par celui qui a l'autorité.

M. Caire : En fait, si je vous comprends bien, c'est qu'il faudrait associer le profilage à la loi 25 et, donc, le régime de sanctions s'appliquerait. Parce que, comme je vous dis, puis on aura certainement ces discussions-là avec les collègues, mais, moi, j'ai beaucoup de difficultés à dire : Je vais créer deux régimes de sanctions, je pense que ça prend un régime de sanctions. Puis, dans le cas du profilage, dans la mesure où on utilise des renseignements personnels, ma compréhension était que, bien, le régime prévu à la loi 25 s'appliquait. Vous me dites, ce n'est pas le cas.

Mme Ayotte (Naomi) : En fait, je vous dis, le régime de la loi 25 n'interdit pas le profilage. Donc, déjà, il n'y a pas de sanction.

M. Caire : Non, non, mais il interdit quand même une utilisation des renseignements personnels à d'autres fins que pour lesquelles elles ont été collectées. Or,  je doute qu'un organisme collecte des renseignements personnels à des fins de profilage. Et donc, si on fait du profilage, ça veut dire que les renseignements personnels qui ont été collectés ont été utilisés à d'autres fins que ce pour quoi ça a été collecté. Et donc là, on tombe dans le régime de sanctions de la loi 25 ici. Puis, corrigez-moi si je me trompe, là, c'est vraiment juste mon interprétation, là.

Mme Ayotte (Naomi) : En fait, je suis obligée de vous corriger, M. le ministre...

M. Caire : Allez-y, non, mais allez-y, maître.

Mme Ayotte (Naomi) : ...ce n'est pas parce que je voulais. La loi 25 n'interdit pas l'utilisation à des fins secondaires. La règle générale, c'est que ça prend le consentement, mais après, on a une série d'exceptions, notamment, quand c'est au bénéfice de la personne nécessaire à l'application d'une loi. Donc, puis juste le fait qu'on dise «le consentement», je pense que le souhait... en tout cas, le message qu'on...

M. Caire : ...

Le Président (M. Simard) : ...on va laisser... Me Amyot, allez-y. Allez-y, Me Amyot...

M. Caire : J'aimerais ça qu'on reste vraiment sur le profilage, parce que ce que maître dit, c'est superimportant. Puis, s'il faut amender le projet de loi, ceci étant, moi, je ne suis pas fermé à le faire. Mais je veux juste être sûr que le législateur ne parle pas pour ne rien dire.

Mme Ayotte (Naomi) : Je vous comprends. Pour revenir... déjà, sur le profilage, la loi sur l'accès, la règle nous dit qu'il faut aviser les gens puis, essentiellement, il faut avoir leur consentement. O.K. Il faut pouvoir mettre... activer, dans le fond, les fonctionnalités de profilage, pardon, ça revient à dire que ça prend un consentement. Donc, de notre opinion, même avec le consentement des gens, on ne devrait pas accepter qu'il y ait du profilage, du traçage, de la qui soient faits. Donc, ça, c'est juste un exemple pourquoi la loi 25 n'est pas nécessairement la bonne façon. Et je répète que la loi 25 ne peut parler que de renseignements personnels. Vous faites le pari, puis je vous comprends, de dire...

Mme Ayotte (Naomi) : ...ça prend toujours des renseignements personnels pour faire du profilage, mais je reviens à ce que j'ai dit il y a quelques minutes, une série de chiffres, ce qui va être conservé, il va y avoir des discussions, et certains vont prétendre que ça n'en est pas et, durant cette période-là où on va tous se demander, il pourra se passer des choses. D'où, selon nous, le besoin que ces règles-là, celles sur le profilage, mais probablement d'autres, soient expressément prévues dans votre pièce législative.

M. Caire : Je comprends que la commission nous invite à la réflexion. Vous comprenez mes enjeux. Je comprends les vôtres.

Mme Ayotte (Naomi) : Absolument.

M. Caire : Puis on... par la discussion, je pense qu'on comprend tous qu'on ne veut pas de profilage. Ça, on est bien... on est bien d'accord là-dessus. O.K.

Vous avez fait un commentaire, c'est étonnant, quand vous parlez du triangle de confiance, c'est étonnant. D'ailleurs, je félicite la commission parce que c'est effectivement dans le fonctionnement de la validation de l'identité.

Mme Ayotte (Naomi) : Oui.

M. Caire : Là, vous semblez dire qu'il faut définir ce triangle de confiance là. D'entrée de jeu, j'ai envie de vous dire : Ça devient extrêmement difficile. Dans la mesure où l'identité numérique se restreint à l'utilisation aux seules fins gouvernementales, je vous dirais O.K. Dans la mesure où, comme on le fait avec nos pièces physiques, donc permis de conduire, carte d'assurance maladie, cette utilisation-là pourrait être permise dans la société civile, ça devient un peu plus compliqué.

Et jusqu'à quel point vous... parce qu'effectivement ça donne une certaine latitude, j'en conviens. Puis jusqu'à quel point cette latitude-là, dans l'objectif que je viens de mentionner, est en contradiction avec l'avertissement que vous nous donnez et l'intention du législateur de dire : Oui, mais ce que nous souhaitons, c'est que ceux qui le désirent pourraient utiliser leur identité numérique. Je ne vous le cache pas, on signe une entente présentement avec le gouvernement fédéral qui voudrait pouvoir utiliser les services d'authentification gouvernementale du Québec.

Mme Ayotte (Naomi) : Oui.

M. Caire : Pour nous, ça simplifie la vie des citoyens parce que ça veut dire moins de mots de passe à retenir. Bon, vous comprenez les avantages. Puis je ne vous... je ne vous cache pas qu'on a des discussions aussi avec certains éléments de la société civile, que je ne nommerai pas parce qu'on est en discussion, mais qui voudraient pouvoir faire la même chose et qui ont des obligations légales d'assurer l'identité de leurs... des gens avec qui ils interagissent. Donc, dans quelle mesure on peut concilier ce que je viens de vous dire et les avertissements que vous nous donnez par rapport à la définition des rôles et responsabilités, et des sanctions éventuelles de ces tiers de confiance là?

Mme Ayotte (Naomi) : Selon nous, c'est possible de le faire. Première chose, on l'a vu dans d'autres juridictions. O.K. Ça fait que déjà, quand on voit la possibilité, il y a des pièces législatives, il y a d'autres juridictions qui ont choisi de le faire. La raison pour laquelle on trouve ça important, en fait les raisons, c'est que c'est la finalité, en fait. C'est qu'on veut être en mesure de pouvoir... On pense en tout cas que ça serait important de pouvoir sanctionner les acteurs qui ne respecteraient pas les règles. Puisque c'est ça, l'identité numérique, hein, c'est des... c'est les acteurs qui conviennent ensemble de règles et qui s'engagent à les respecter, puis on se fait confiance, puis à ce moment-là on se permet mutuellement de consommer les attestations...

M. Caire : Et des sanctions, vous prêchez un converti.

Mme Ayotte (Naomi) : Bon, alors la confiance est importante. Mais notre compréhension, un peu comme dites, c'est qu'actuellement la manière que c'est fait, c'est que ça va être par des ententes qu'on va s'engager à.

M. Caire : Oui.

Mme Ayotte (Naomi) : Alors, quelle sera la conséquence si l'entente... Quelle sera la conséquence pour celui qui ne respecterait pas les règles? Une poursuite puis de... une poursuite en lien avec un bris contractuel. Nous, on pense que, premièrement, de nommer les acteurs va permettre une meilleure compréhension, parce que je reviens au commentaire général que c'est dur à saisir de quoi on parle, c'est quoi qui est impliqué. Mais le but de les nommer, c'est après, pour pouvoir leur donner des obligations claires ou à tout le moins faire des références. Parce que je vous suis quand vous dites que tout ne peut pas être mis dans une loi et ça prend une souplesse. Mais la loi peut déjà affirmer que de ne pas respecter une condition d'une entente, par exemple, constitue une infraction. Donc, d'aller dans la loi, se donner les moyens pour encourager fortement les cocontractants à respecter les obligations qu'on a avec eux et qu'il y ait des conséquences. Je reviens à la confiance et au fait que c'est sérieux, puis que parce que le bout juste contractuel pour nous, ça nous fait peur. Je... On ne pense pas qu'on protège adéquatement les données. On pense qu'il y aura des risques à ce moment-là.

M. Caire : O.K. Parce que vous comprenez, puis j'entends bien ce que vous dites là, nous n'avons pas l'intention, absolument pas, d'obliger qui que ce soit...

M. Caire : ...l'intention, absolument pas, d'obliger qui que ce soit à utiliser l'identité numérique nationale. A contrario, quelqu'un qui voudrait le faire, on veut lui donner la possibilité de le faire. Or, aujourd'hui, comme... puis comme je vous dis pour moi, il n'est pas question que l'État sous-traite sa mission régalienne qui est de créer l'identité. L'identité d'un citoyen, ça relève de l'État. Je pense que ça, là-dessus, vous et moi, on sera... on sera d'accord, dans l'univers physique, dans l'univers numérique.

Comment on peut faire? Par exemple, je vous donne un exemple, puis ce n'est pas le cas, là. Mais, par exemple, si une banque voulait participer à l'utilisation de l'identité numérique, donc là on s'entend que ça amène des dispositions particulières. D'ailleurs, Desjardins, dans son mémoire, nous a fait part d'un certain nombre de questions de qu'est ce que ça voudrait dire. Et là, comment on peut définir ce cadre-là dans une loi alors qu'on sait que les technologies, ça change, ça évolue. Il y a des questions qui se posent, notamment sur la biométrie, sur les échanges de renseignements, etc. Donc, vous ne pensez pas que la loi nous donne cette souplesse-là actuellement puis qu'on est peut-être mieux justement d'y aller par règlement pour avoir cette capacité-là à s'adapter à la situation?

• (11 h 10) •

Mme Ayotte (Naomi) : En fait, ce qu'on pense actuellement, c'est que la loi donne trop de souplesse à cet effet-là, en ce sens qu'on ne voit pas les règles.

M. Caire : O.K.

Mme Ayotte (Naomi) : Notre... notre vision de la chose, en s'inspirant entre autres, comme je vous mentionne, là, ce qui s'est fait ailleurs, mais notre vision serait d'atteindre un équilibre à l'intérieur de ça. Notre mémoire va... vous mentionne plusieurs éléments qu'on pense qui devraient être prévus à la loi, O.K., qui auront un impact sur les règles plus précises dont on parle là. Par exemple, si je reviens au commentaire qu'on a fait sur le fait qu'on souhaite que les attestations puissent... puissent être... être séparées pour donner une seule information. O.K., on a une attestation puis on va pouvoir la scinder pour juste passer l'information. Si cette règle générale là était à la loi, évidemment on n'a pas besoin les dizaines et les centaines de petites règles à ça. Mais il y aurait un principe dans la loi-cadre qui, après, forcément, devra être... on devra avoir son écho dans les ententes qui seraient prises, puis tout ça. Donc, c'est comme un équilibre entre des grands principes et des grandes interdictions aussi, hein, parce que des interdictions, par exemple, d'avoir des renseignements très sensibles et tout, on les voudrait à la loi. On comprend qu'un certain bout serait référé vers des ententes, des cadres, des règlements, mais grandes règles, là, référence au fait que ce n'est pas respecté, on aurait des sanctions.

Le Président (M. Simard) : Merci .

Une voix : Ça serait le modèle.

Le Président (M. Simard) : Merci. Alors, Mme la députée de Mont-Royal--Outremont, à vous la parole.

Mme Setlakwe : Merci, M. le Président. Merci beaucoup pour le mémoire et la présentation. Le mémoire est très étoffé, on n'a pas eu le temps d'en prendre connaissance. Nous allons le faire. Mais déjà vous nous avez mentionné plusieurs éléments. Là, sans revenir sur les choses qui ont déjà été discutées, vous avez... vous mettez de l'avant différentes... différentes préoccupations. On comprend que... et vous l'avez dit d'emblée, là, que... même qu'il y a une possibilité de... que le projet de loi ou que le projet d'identité numérique nationale apporte des avantages au niveau de la protection des renseignements personnels. J'aimerais vous entendre là-dessus, mais aussi, généralement, sur les lacunes que vous avez identifiées,là, qui sont importantes à mettre de l'avant, qui n'ont pas été discutées encore, qui sont importantes à corriger, peut-être, dans l'étude du projet de loi.

Mme Ayotte (Naomi) : Absolument. Merci beaucoup. Donc, les avantages pour nous, ils sont vraiment au niveau de la quantité de renseignements personnels qui se trouve actuellement en circulation, et donc il y en aurait beaucoup moins. À ce niveau-là, c'est notre compréhension, puisque, plutôt que d'avoir à recueillir des copies de pièces d'identité ou tout ça, on aurait, là... les systèmes, entre eux, se donneraient les confirmations nécessaires. On n'aurait plus besoin de garder des copies pour être, après ça, capables de démontrer qu'on a bel et bien obtenu les informations. Ça fait qu'il y a un gros gain au niveau de la quantité de renseignements qui vont être en circulation.

Il y a aussi un gros gain sur le contrôle par le citoyen sur ses informations. En ce sens que... l'attente en tout cas qu'on a sur un système d'identité numérique, c'est qu'il y aura toujours un consentement. Donc, quand quelqu'un veut consommer une de nos attestations, clairement, on va être au courant, on va nous demander notre consentement puis on clique. Ça, c'est quelque chose qui est important. Là, je bascule un peu dans ce qui manque, là, je fais les deux, mais ça, c'est un autre élément, donc le contrôle, mais en général aussi la fonctionnalité, qui fait que je vais pouvoir, par exemple, en poussant une attestation, confirmer que je suis majeure mais sans donner ma date de naissance. Donc, ça, c'est... c'est tous des éléments qui font en sorte que, moins de renseignements, meilleur contrôle.

Puis, si on bonifiait le projet de loi, une suggestion comme celle qu'on fait d'un registre de tout ce qui a été consommé, en fait, c'est une autre façon pour le citoyen de vérifier que... où sont ses...

Mme Ayotte (Naomi) : ...ces informations puis qui les a eues, puis de s'assurer qu'il avait bien donné son consentement. Donc, vraiment, là, au niveau de la protection des renseignements personnels, il y a énormément de gains avec une identité numérique, mais vient avec ça les désavantages, donc, je les ai mentionnés. Déjà, je ne suis pas certaine d'en avoir oublié, mais on revient aux possibilités de traçage et de profilage et de surveillance, parce que tous ces éléments-là dont on parle, qui permettent qu'il y ait moins de circulation de renseignements, il faut quand même conserver des preuves que l'attestation a été présentée, à qui, à quelle heure, après ça qu'elle était valide, qu'elle n'était pas valide. Une preuve, une attestation peut aussi être révoquée, hein, dans le temps, parce que, là, on a une carte d'assurance maladie en ce moment, peut-être qu'elle n'est plus bonne. Ça va être la même chose avec une attestation numérique. Il faut qu'on soit en mesure, en la consommant, de savoir si elle a été révoquée. Donc, il existe des registres, dans un système d'identité numérique, qui vont contenir de la donnée. C'est de la donnée qu'on génère en utilisant ça. Donc, il faut protéger ces données-là. C'est le message qu'on envoie, puis c'est ce qu'on souhaiterait voir plus en évidence, dans ce projet de loi là, des règles et des interdictions en lien avec l'exploitation des renseignements qui sont générés par l'identité numérique.

Mme Setlakwe : Merci. Vous avez déjà mentionné certaines de vos préoccupations au niveau de la surveillance, ou en tout cas de vous assurer que vous... que la CAI, par le biais de sa... de la loi qui s'applique à elle ait le pouvoir, le droit de regard sur, notamment la question du profilage. On aura une discussion à ce sujet-là, mais est-ce qu'il y a d'autres éléments où vous êtes inquiète de votre... de l'exercice de votre pouvoir de surveillance avec ce nouveau... ce nouveau système?

Mme Ayotte (Naomi) : À part les éléments que j'ai mentionnés, comme je vous dis, je le sais que ça peut avoir l'air un peu spécial de dire que, des fois, c'est difficile d'identifier si on est en présence ou pas d'un renseignement personnel, mais je pense que ceux qui naviguent dans cet univers-là le savent, que des fois ça peut être difficile. Puis, comme on l'a dit tout à l'heure, il y a des fois plusieurs opinions sur la table en même temps. Donc, il y a quelque chose au niveau de la clarté qui est à faire là.

Sinon, bien, au niveau des pouvoirs et des ressources, peut-être juste vous mentionner qu'évidemment, quand on rajoute des systèmes qui contiennent des renseignements personnels, qu'on rajoute des règles à appliquer, qu'on rajoute des acteurs à qui ça va s'appliquer, bien, c'est sûr que c'est des fonctions qui s'ajoutent, c'est des tâches supplémentaires qui s'ajoutent pour un organisme de surveillance, quel qu'il soit. Donc, à ce niveau-là, c'est sûr qu'au niveau du projet de loi, tant pour le système lui-même, on pense que c'est important qu'il y ait les ressources suffisantes pour mettre en place le meilleur système... on pense aussi qu'il faut que l'organisme ou les organismes de surveillance qui auraient la tâche de surveiller ça soient également... qu'on leur fournisse également les ressources nécessaires pour faire un bon travail.

Mme Setlakwe : Mais, justement, on peut peut-être élaborer un peu là-dessus parce que j'allais vous poser la question, on le sait qu'avec la nouvelle réglementation puis l'entrée en vigueur des différentes phases de déploiement, d'application, et... bien, il y a possiblement un manque de ressources à la CAI. Est-ce que vous pouvez élaborer là-dessus, et qu'est-ce qui vous manque, et comment ça se passe, actuellement?

Mme Ayotte (Naomi) : En fait, si vous pouvez me permettre, sur cette question-là, c'est sûr que, comme je viens de le dire, d'ajouter des fonctions, les fonctions qui nous ont été ajoutées récemment, vous le mentionnez, c'est du travail supplémentaire. Par exemple, pour ce qui est de l'état des lieux, si je peux le dire, comme ça, l'état des troupes, je n'ai pas... je n'ai pas l'information, ce matin devant vous, je n'ai pas non plus reçu le mandat de la présidente de vous présenter ces informations-là. Donc, c'est pour cette raison-là que je ne peux pas vous le dire, mais cependant je peux vous proposer de prendre cette question-là en délibéré puis de vous revenir avec une réponse. Mais je suis désolée, les circonstances font que je ne peux pas répondre .

Mme Setlakwe : Ah! il n'y a pas de... n'y a pas de problème, merci. Vous avez parlé, donc, puis on en a... Il y a déjà eu un échange avec le ministre sur le fait qu'il n'y a pas une loi autoportante. On pourra revenir sur cet élément-là. Mais vous avez mentionné que c'était le cas dans d'autres juridictions. Est-ce que vous pouvez élaborer un peu sur ce que... ce qui vous inspire. Et par rapport à quelle juridiction est-ce qu'on devrait se comparer, ou s'inspirer de qui exactement, là? Puis est-ce qu'il y a d'autres éléments qui sont importants à dupliquer ici?

Mme Ayotte (Naomi) : Oui, mais en fait il y a plusieurs, là... La façon... Je pense que le mémoire va être un vraiment un bon outil pour répondre à cette question-là puis vous vous appuyez là-dedans. On a fait ressortir, dans le mémoire, deux juridictions en particulier. Donc, on est allés voir l'Union européenne et l'Australie, mais il y en a plusieurs autres. Hein, l'identité numérique, en ce moment, là, c'est partout, là, il n'y a pas juste ces deux exemples-là. Mais c'est deux exemples, là, on parle de lois avec... en fait, les règles que je prétends depuis tout à l'heure qui sont manquantes, c'est deux législations dans lesquelles on a la présence de ces règles-là, claires. Aussi du côté de l'Australie, peut-être, vous dire ce qu'on a pu remarquer, parce que je ne prétends pas être une experte de leur législation, loin de là, mais ce qu'on a pu voir qui est intéressant, c'est qu'ils sont allés... ils ont démarré leur projet sans cette législation-là. Et, après un certain temps, ils ont jugé nécessaire d'aller rajouter dans leur législation...

Mme Ayotte (Naomi) : ...un niveau de précision auquel ils ne s'attendaient pas, de toute évidence dès le départ. Donc, on voit, là, que même si on a voulu aller vers quelque chose de plus souple, peut-être, pour toutes sortes de raisons, ils ont eu besoin de ramener ça avec des règles claires, des sanctions claires en dessous. Mais là, ça fait que je pense que c'est peut-être une juridiction intéressante à regarder et de laquelle s'inspirer.

Mme Setlakwe : Merci. De façon générale, dans l'exercice de vos fonctions, vous devez avoir une certaine idée. Est-ce que vous pensez que la population est prête? Est-ce que c'est un pas vers l'avant et que vous encouragez le gouvernement à faire?

• (11 h 20) •

Mme Ayotte (Naomi) : C'est un pas qu'on encourage le gouvernement à faire. On a besoin d'une identité numérique pour la protection des renseignements personnels. Vous savez comme moi qu'il y a eu de nombreux incidents dans les dernières années. Nos renseignements personnels, là, ils sont... ils sont en circulation, on va se le dire. Ça fait qu'il faut... Il faut trouver des moyens alternatifs à ça pour s'identifier et s'authentifier. Et l'identité numérique, pour nous, est vraiment la bonne façon d'avancer. Puis c'est vraiment ce qui serait à privilégier de ce côté-là. Voilà.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Il vous reste 1 min 30 s, chère collègue.

Mme Setlakwe : Bon. O.K. On arrive... On arrive à la fin. Je ne sais pas si ma collègue veut embarquer, mais... Oui.

Mme Caron : Pardon. Oui. Alors, bonjour. Bien, en fait je vous demanderais, dans les deux législations que vous avez mentionnées, est-ce qu'il y a des règles d'inclusion... pas des règles, mais est-ce qu'il y a des pratiques d'inclusion pour les personnes qui n'ont pas de littéracie numérique? Qu'est-ce qu'on fait avec ces personnes-là qui ne peuvent pas utiliser, soit pour... en raison de leur âge, en raison de... de pauvreté qui ne leur permet pas d'avoir les outils, le matériel ou l'accès? Est ce que vous avez vu des exemples, là, peut-être d'inclusion qui permettrait de ne pas laisser ces personnes-là pour compte et de les amener?

Mme Ayotte (Naomi) : Oui. En fait, je ne veux pas vous promettre. Est-ce que ça serait exactement dans les deux, là, qu'on nomme dans notre mémoire? Si c'est le cas, vous allez le voir dans le mémoire, ils sont repris, mais ce qui est certain, c'est que dans les multiples lois que j'ai pu regarder, oui, on y pense. Puis habituellement, ce qu'ils font, c'est qu'on a évidemment une interdiction de l'imposer, donc, c'est déjà une chose, puis de toujours offrir, il y en a certaines qui le disent, une obligation d'offrir des moyens alternatifs. Donc, c'est un peu comme ça qu'on répond au besoin que vous, je pense, que vous exprimez. Sinon, les autres éléments, bien, ça serait de mettre des obligations d'information, d'accompagnement dans la population. Ça se voit aussi, des fois, des éléments comme ça.

Le Président (M. Simard) : Très bien. Merci, Mme. Nous poursuivons. M. le député de Maurice-Richard.

M. Bouazzi : Merci beaucoup. Merci énormément. C'était vraiment passionnant. C'est un des privilèges comme député, c'est d'avoir accès à des personnes aussi compétentes que vous. Question. Sur la question de l'utilisation des données, on a beaucoup parlé des questions de profilage. Et vous, ce que je comprends bien, ce que vous dites, c'est toutes les données ne doivent être utilisées... On doit avoir le minimum possible de données pour pouvoir faire ce qu'on veut, qui est la question de l'identité, et on doit utiliser ces données à une seule fin, c'est à répondre à cet objectif-là. Comme ça, ça règle le problème.

Mme Ayotte (Naomi) : Exactement.

M. Bouazzi : Et donc ce que je comprends, c'est que, de toute façon, la question du profilage ne suffit pas. C'est-à-dire il pourrait y avoir d'autres utilisations qui ne sont pas du profilage et qui, pour vous, seraient déplacées de toute façon.

Mme Ayotte (Naomi) : Exactement.

M. Bouazzi : Ça a le mérite d'être clair. Deuxième question. Il y a effectivement des logs d'un historique, des tokens, je ne sais pas, je ne sais plus qu'est-ce qu'on garde. Et vous, ce que vous dites, c'est : Il n'est pas clair aujourd'hui dans le projet de loi que le consentement des utilisateurs est requis à tout moment pour l'utilisation de l'identité, oublions le reste, on n'en veut pas, et que d'un côté l'utilisateur doit avoir accès à quand est-ce qu'on a utilisé son identité de citoyen plutôt que l'utilisateur, et de l'autre côté, les autres ne devraient pas y avoir accès, en fait.

Mme Ayotte (Naomi) : Exactement.

M. Bouazzi : Et on s'entend qu'il y a des bonifications au projet de loi pour permettre ce qu'on est en train de parler actuellement.

Mme Ayotte (Naomi) : Voilà.

M. Bouazzi : Je vais faire du millage sur la question de l'obligation de participer ou pas à avoir une identité numérique. Et j'ai un exemple qui vient en tête, parce que ce n'est pas parce qu'on a le choix qu'on a réellement le choix. Donc, il y a une institution financière que je ne nommerai pas, qui est une coopérative qui est la plus grosse coopérative au Québec, n'est-ce pas, qui a des très bons services, des très bons services numériques, je dois dire. Et une grosse transformation numérique a eu lieu dans les dernières années. Elle n'est pas obligatoire, mais il y a des services qui ont été coupés du fait que tout simplement il y a beaucoup moins de gens qui ont besoin d'aller à la rencontre. C'est que... Est-ce que ce projet de loi permet d'éviter justement des dérives en disant ce n'est pas obligatoire...

M. Bouazzi : ...mais en fin de compte, en région, bien, on aura moins de services. Il y a des espaces, on aura moins de services, parce que, de toute façon, il y a moins d'utilisateurs qui ont besoin de parler des êtres humains, étant donné qu'il y en a beaucoup qui sont agiles avec leur téléphone intelligent.

Mme Ayotte (Naomi) : C'est une bonne question. Le projet de loi est... Le projet de loi est clair à l'effet qu'avoir une identité numérique ou pas est un choix. Ça, je peux vous le confirmer. Ceci étant dit, est-ce que le gouvernement pourrait, à l'instar d'une entreprise privée, décider de ne plus donner certains services? Là, je ne suis pas certaine que le projet de loi pourrait pallier à ça. Mais je pense qu'on tombe dans d'autres règles que les règles de protection des renseignements personnels à ce moment-là parce qu'il y a d'autres principes applicables au gouvernement qui pourraient probablement s'appliquer, là, dans une... dans une situation comme vous parlez.

M. Bouazzi : Combien il me reste?

Le Président (M. Simard) : Quinze secondes, cher collègue.

M. Bouazzi : 15 secondes. Bien, je vais vous remercier de nouveau. Malheureusement, j'aurais voulu parler de biométrique, mais ce sera une autre fois.

Mme Ayotte (Naomi) : Merci.

Le Président (M. Simard) : M. le député d'Arthabaska.

M. Lefebvre : Merci, M. le Président. Tantôt, vous avez parlé d'organisations qui vont avoir nécessairement des preuves de présentation, puis il va y avoir un registre de ces preuves de présentation là. Puis, que cette protection de données-là, est-ce que c'est une de vos plus grandes mises en garde que vous nous faites ce matin?

Mme Ayotte (Naomi) : Oui. Ça en est une. Je pense que votre lecture est bonne, là, on attire... on veut attirer votre attention sur les éléments, les données qui vont être générées par le système, qu'on comprend que c'est nécessaire qu'elles soient générées, mais sur l'importance de les protéger et sur le danger de ce... de faire l'équation : ce sont des renseignements personnels, donc pas besoin de règles à leur sujet. Ce sont deux éléments importants qu'on vous souligne aujourd'hui.

M. Lefebvre : O.K. Et tout ça va être directement en lien, on en parlait d'entrée de jeu, à la confiance des citoyens par rapport à ça.

Mme Ayotte (Naomi) : Exactement. Oui.

M. Lefebvre : Merci beaucoup. Merci de votre présentation. Très agréable.

Le Président (M. Simard) : Alors, Mme Ayotte, Messieurs, merci pour votre présence parmi nous ce matin. Ce fut fort instructif.

Ceci étant dit, nous allons suspendre momentanément nos travaux.

(Suspension de la séance à 11 h 26)

(Reprise à 11 h 32)

Le Président (M. Simard) : Alors, chers amis, nous pouvons reprendre nos travaux. Et nous sommes maintenant en présence de représentants de l'Institut de gouvernance numérique du Québec, des gens qui sont des habitués de nos travaux et qui participent, à chaque fois, avec toujours autant de... comment dire... de... de propos constructifs à nos travaux. Alors, M. Gauthier, soyez le bienvenu parmi nous. Vous savez que vous disposez d'une période de 10 minutes pour votre présentation.

M. Gauthier (Jean-François) : Merci beaucoup, M. le Président. Bonjour, tout le monde, Mmes, MM. les députés. Je m'appelle Jean-François Gauthier, donc, président-directeur général de l'Institut de gouvernance numérique. Je suis accompagné aujourd'hui de M. Kaiwen Zhang, qui est titulaire de la Chaire de recherche industrielle T‑RIZE en application de systèmes de chaîne de blocs durables, de l'École de technologie supérieure, de Mme Charlaine Bouchard, qui est titulaire de la Chaire de recherche sur les contrats intelligents et les chaînes de blocs, de l'Université Laval, et de M. David Kouadio, qui est assistant de recherche à la même chaire et doctorant en droit.

Le mémoire que vous nous... que nous vous déposons aujourd'hui s'inscrit en parfaite continuité avec un livre blanc que l'IGN a produit en novembre 2019, et qui portait sur le potentiel des registres distribués et des chaînes de blocs au Québec. Ce livre blanc fut le résultat de travaux menés par un comité d'universitaires, d'entrepreneurs et d'administrateurs publics, dont madame... dont M. Bouchard et M. Zhang... Mme Bouchard, excusez-moi, et M. Zhang faisaient partie. Ces principes sont aussi valides aujourd'hui qu'ils ne l'étaient au moment de sa publication. Notre mémoire vous propose la modification de certaines dispositions du projet de loi pour y inscrire certains principes qui nous apparaissent fondamentaux pour réduire les risques et, surtout, redonner aux citoyens la confiance et les moyens pour gérer eux-mêmes leurs informations personnelles.

Ce qui nous anime d'abord, nous, c'est... notre objectif, c'est tout... c'est cet empowerment des citoyens. Ce que nous proposons aujourd'hui, ce sont des outils pour y arriver. Le premier outil que nous vous proposons, c'est celui de l'identité numérique autosouveraine. Pour nous, cette identité numérique autosouveraine est un principe clé qui doit être au cœur de l'identité numérique nationale québécoise. Dans un État démocratique comme le Québec, il est difficilement envisageable d'établir un cadre dans lequel l'identité numérique du citoyen est la propriété du gouvernement et fait l'objet d'une centralisation opaque. Les trois grandes caractéristiques de l'identité numérique autosouveraine sont, premièrement...

M. Gauthier (Jean-François) : ...l'individu au centre de la gestion de son identité numérique, deuxièmement, de compter sur des technologies décentralisées, et troisièmement, d'utiliser des standards ouverts. Cela a pour effet de garantir sécurité, interopérabilité et autonomie. Le modèle décentralisé de l'identité numérique autosouveraine s'oppose au modèle centralisé qui concentre les données dans des bases de données contrôlées par des tiers. L'identité numérique autosouveraine repose sur une approche distribuée où chaque individu possède et contrôle directement ses identifiants et ses informations personnelles.

Dans notre mémoire, nous présentons en détail les grands principes de l'identité numérique autosouveraine que sont le contrôle individuel, la minimisation des données, la décentralisation et l'interopérabilité, ainsi que la transparence et la traçabilité.

Les plateformes de gestion des identités numériques autosouveraines utilisent des registres distribués et des standards ouverts. Ces registres distribués prennent souvent la forme de chaînes de blocs pour créer une infrastructure résiliente et transparente. Les standards ouverts promus par le W3C permettent une reconnaissance et une utilisation individuelle des identités numériques. Ces standards assurent une interopérabilité entre les différents écosystèmes numériques, favorisant ainsi les interactions entre citoyens, institutions publiques et entités privées. L'utilisation des registres distribués garantit par ailleurs que les identifiants ne sont pas stockés dans des bases centralisées, limitant ainsi les risques liés à un point de défaillance unique.

L'objectif ultime de l'identité numérique autosouveraine est de donner le plein contrôle de son identité à l'individu dans un environnement totalement décentralisé. Nous reconnaissons que cela peut parfois entrer en tension avec la réalité des États au sein desquels la gestion de l'identité concerne à la fois la reconnaissance juridique du citoyen et l'exercice des prérogatives gouvernementales, notamment celles liées à la sécurité publique.

C'est là qu'entre en scène le deuxième outil que nous vous proposons. En effet, entre les deux extrêmes que sont une décentralisation complète et une centralisation rigide, nous vous proposons une voie intermédiaire, la fédération d'identités. La fédération d'identités est un modèle conceptuel qui permet de concilier les impératifs gouvernementaux de gestion de l'identité avec la reconnaissance d'une plus grande autonomie des citoyens dans la gestion de leurs données. La fédération d'identités repose sur une architecture décentralisée et modulaire dans laquelle plusieurs entités, comme les ministères ou d'autres organismes autorisés, agissent en fonction... en tant que fournisseurs d'identité, tout en respectant des standards communs et en assurant une interopérabilité entre leurs systèmes.

Voilà pour la philosophie qui sous-tend la façon de faire que nous proposons. Une façon de faire, il faut le reconnaître, qui s'écarte passablement de celle qui sous-tend le projet de loi n° 82.

Nous proposons donc trois amendements au projet de loi afin de mettre... afin de faire en sorte que l'identité numérique gouvernementale soit mieux centrée sur le citoyen. Nous proposons aussi une série de recommandations qui visent à faire en sorte que l'identité numérique nationale soit ancrée dans un cadre de gouvernance ouvert, intégré et transparent.

Lors des auditions et des consultations particulières du projet de loi n° 95 modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, plusieurs experts, dont notamment les professeurs Sébastien Gambs et Benoît Dupont, avaient attiré l'attention sur les risques d'une centralisation des données et sur l'opportunité de recourir à des architectures qui favorisent une gestion moins centralisée de la donnée. Nous abondons dans le même sens dans le cadre du projet de loi n° 82. Une approche décentralisée des sources de données gouvernementales et de la prestation électronique de service gouvernemental serait plus sécuritaire et pourra offrir des gains d'efficience. Ce modèle, qu'on retrouve par exemple en Estonie, repose sur une architecture qui distingue entre les sources de données et l'infrastructure de communication et d'utilisation des données. Ainsi, chaque organisme public concerne les... conserve les responsabilités afférentes au traitement des données qu'il collecte et il est tenu de respecter différents standards, les différents standards gouvernementaux.

Son modèle décentralisé présente de nombreux avantages et il élimine le risque d'un point de défaillance unique, caractéristique des systèmes centralisés, et limite aussi les conséquences d'une cyberattaque ou d'une panne de l'ensemble du réseau. Il améliore également la sécurité des données grâce à l'utilisation systématique du cryptage, de l'horodatage et des logs, tout en garantissant une protection accrue de la vie privée des citoyens.

Dans le contexte québécois, une architecture inspirée du modèle estonien pour le registre numérique de l'identité nationale serait particulièrement pertinente. Elle permettrait de respecter les objectifs initiaux de la LGGRI, notamment en assurant une communication fluide et sécuritaire entre les différents organismes publics, tout en identifiant les écueils d'une... tout en évitant les écueils d'une centralisation excessive. Ce modèle offrirait une solution résiliente et fiable pour la gestion des données numériques, tout en renforçant la confiance des citoyens dans les services numériques gouvernementaux. L'approche modulaire garantirait une gestion rigoureuse de la sécurité et de la traçabilité des données, limitant les risques d'abus et ou de failles systémiques et répondrait pleinement aux exigences de transparence, d'efficacité et de protection des citoyens, dans un...

M. Gauthier (Jean-François) : ...un cadre numérique moderne. Le projet de loi n° 82 marque pour nous un moment charnière dans l'histoire numérique du Québec, en particulier dans la manière dont l'État envisage la gestion de l'identité numérique de ses citoyens. Il constitue une opportunité historique de redonner le pouvoir au citoyen sur son identité numérique, marquée aujourd'hui par des dynamiques de marché qui relèguent parfois au second plan la centralité de l'individu et considère la donnée uniquement comme un objet monétisable. Pour saisir pleinement cette opportunité, il est essentiel que le projet de loi ne considère pas uniquement la donnée sous son apport utilitaire, mais qu'il l'apprécie dans son rapport avec le citoyen, sous l'angle de la reconnaissance juridique de ce dernier. Clairement, il s'agit de renforcer la souveraineté individuelle dans un monde interconnecté tout en affirmant les valeurs démocratiques fondamentales du Québec. La mise en œuvre d'un projet de loi aussi ambitieux ne peut se faire en vase clos, elle nécessite une collaboration étroite avec toutes les parties prenantes. Sur le plan institutionnel, une coordonation avec les... une coordination avec les autres provinces canadiennes et le gouvernement fédéral est essentiel pour assurer l'interopérabilité et la reconnaissance mutuelle des identités numériques. En ce sens, l'implication du Québec dans la réalisation d'un cadre... du cadre de référence pancanadien est à féliciter. Il est essentiel que ce soit à travers cette tribune ou une autre que la collaboration intergouvernementale s'effectue suivant une vision commune centrée sur le citoyen. Au-delà des collaborations institutionnelles, ce projet de loi doit également mobiliser toutes les forces vives de la société québécoise. Les citoyens, les organisations de la société civile, les experts en technologie, en technologie, les juristes et les chercheurs doivent être impliqués activement dans le processus. Le Québec bénéficie d'une expertise de premier plan en matière de gouvernance numérique, d'identité numérique autosouveraine et de technologie décentralisée, comme en témoignent les travaux des organisations des chaires de recherche représentés ici. Ces ressources peuvent jouer un rôle stratégique en accompagnant le gouvernement dans ses efforts de conception, de mise en œuvre et de gestion d'une identité... une identité numérique nationale. Le projet de loi n° 82 ne doit pas seulement être une réforme technique visant à moderniser les infrastructures numériques du Québec, il doit poser les bases d'un cadre durable, transparent et inclusif qui renforcera la confiance des citoyens dans l'État et ses institutions. En s'appuyant sur des principes de gouvernance ouverte, la collaboration, la transparence, le gouvernement a l'occasion de poser les bases d'un système d'identité qui non seulement répondra aux exigences de l'ère numérique, mais placera également le citoyen au cœur de cette révolution. Sur ce, nous sommes prêts à répondre à vos questions.

• (11 h 40) •

Le Président (M. Simard) : Merci beaucoup, M. Gauthier. Avant de poursuivre, j'inviterais le Pr Zhang à pouvoir fermer son micro afin d'éviter les échos. Merci pour votre collaboration. M. le ministre, à vous la parole.

M. Caire : Eh, M. Gauthier, bonjour. On a eu ces conversations-là, je vous dirais, à quelques reprises, puis je vous avoue un certain étonnement par rapport à différents éléments que j'ai retrouvé dans votre mémoire. Puis, si vous le permettez, je pense que la discussion que nous aurons va être plus sous forme de mise à jour que de questionnements sur les éléments que vous apportez, parce que beaucoup d'éléments que vous apportez sont déjà adoptés et en cours de déploiement au gouvernement du Québec, là. Je pense que je vous en avais parlé d'ailleurs, au niveau de l'utilisation des registres distribués, le service d'authentification gouvernementale est basé sur les registres distribués. On a même signé, si ma mémoire est bonne, début 2023, une entente d'interopérabilité avec la Colombie-Britannique, qui s'engageait à déployer sur son territoire les registres distribués pour l'utilisation du service d'authentification gouvernementale. Vous n'êtes pas sans savoir que le Québec a adopté et est en phase de déploiement de la plateforme d'échange de données sécuritaire X-Road. Donc, vous parlez de l'Estonie, on a des protocoles d'entente avec l'Estonie, on a des protocoles d'entente avec l'Ukraine pour l'utilisation de cette plateforme d'échange de données sécuritaire. Donc, je suis tout à fait en ligne avec ce que vous dites, mais c'est déjà en cours de réalisation.

Quant à la centralisation des données, j'ai eu l'occasion d'expliquer que l'idée de la centralisation, c'est de dire qu'on a une source unique. Parce que, je suis d'accord avec vous, là, il y a trop de surfaces d'attaque, il y a trop d'endroits où les renseignements personnels sont stockés et ça favorise justement la... en tout cas, ça peut amener un problème au niveau des fuites de données, là, puis on veut... on veut éliminer ça. L'idée, c'est d'amener le gouvernement du Québec sur une base d'un modèle relationnel, à savoir que oui, les renseignements seront regroupés de façon logique, unique et à des endroits différents, donc, les renseignements de santé, que ce soit les renseignements d'identité, l'éducation, et tout ça, dans des... ce qu'on appelle des sources officielles de données...

M. Caire : ...mais qui seront, évidemment, à usage obligatoire par les ministères et organismes et qui vont éviter la multiplicité des informations et des échanges plus fluides.

Donc, dans ce contexte-là, comment vous situez les recommandations que vous nous faites, et par rapport à ce que je vous dis, qu'est-ce qu'on fait qu'on ne devrait pas faire ou qu'est-ce qu'on devrait faire pour aller plus loin ou... mais j'aimerais ça qu'on le situe dans le contexte de ce que le gouvernement fait déjà puis... ce qui m'apparaît être important. Puis je retrouve plusieurs des éléments que vous amenez dans ce qu'on fait déjà, depuis déjà un certain temps.

Et peut-être aussi ajouter à la discussion un élément qui n'est pas, peut-être, suffisamment pris en compte, c'est tout ce qu'on appelle, excusez l'anglicisme, mais le «legacy». Quand on parle de l'Estonie, tu sais, il faut comprendre que l'Estonie... quand l'Estonie est devenue indépendante, c'était tabula rasa, là, ils n'avaient rien, ils sont partis de rien, là, il n'y a pas de «legacy», et eux se sont lancés directement dans le numérique, donc, alors que nous, bien, on a des systèmes patrimoniaux, on a des «legacy», on a un cadre législatif qui... Donc, cette transition-là, vous nous amenez dans un univers idéal, mais est-ce que... dans quelle mesure vous tenez compte aussi qu'il faut aussi gérer ce «legacy» là dans notre transition vers cet univers idéal là?

M. Gauthier (Jean-François) : Bien, si vous me permettez, je vais laisser, probablement, Mme Bouchard, qui va vouloir compléter, mais, à mon avis, le premier élément, quand on parle d'identité numérique autosouveraine... Vous avez compris, l'idée, le principe de base de ça, c'est de redonner la capacité de gérer et de décider lui-même quelles informations il partage, à quelle instance, et il en devient le gestionnaire et le responsable.

M. Caire : Oui.

M. Gauthier (Jean-François) : Ça, à notre avis, cet élément-là, il devrait être inscrit dans la loi pour faire en sorte d'éviter, effectivement, le risque, les risques... de réduire les risques de dérapage à cet égard-là, mais je vais laisser Mme Bouchard compléter.

Mme Bouchard (Charlaine) : Je vous remercie, M. le ministre. Tout d'abord, on se réjouit, en tout cas, moi, personnellement, je me réjouis de ce que je viens d'entendre. Ça va tout à fait, évidemment, dans le sens de nos recommandations, mais, eu égard à la lecture du projet de loi no 82, on se pose plusieurs questions, et c'est peut-être en ce sens que nos recommandations, là,  vous devez les interpréter, là.

On va vous donner quelques exemples. Je vais peut-être demander à mon collègue, M. Kouadio, d'intervenir et ensuite je laisserai la parole donc, à M. Zhang. Voilà. Donc, David.

M. Kouadio (David) : Bonjour, M. le ministre, bonjour, Mmes et MM. les députés. Donc, c'est sûr qu'il y a de grands efforts qui sont déjà mis en œuvre par le gouvernement du Québec pour aller dans le sens de l'interopérabilité, de la décentralisation et de la reconnaissance de certains principes, mais ce n'était pas clair,  en fait... ce n'est pas clair, de notre lecture du projet de loi, que ce qui va être institué comme registre national de l'identité numérique respectera ces principes-là, premièrement.

Donc, déjà, on définit le registre national de l'identité numérique comme un système à la fois de dépôt et de communication. Pour nous, et c'est l'une des recommandations qu'on a formulées, ça pourrait être plus clair de différencier le système de dépôt ou les différents systèmes qui vont accueillir ces différentes sources de données numériques gouvernementales. Donc, qu'il soit clair que, dans la LGGRI, c'est dit qu'il y a différentes sources de données gouvernementales, mais qu'on le reprécise, comme l'ont mentionné tout à l'heure les représentants de la CAI, qu'il y ait différents, éventuellement, acteurs qui pourraient émettre l'identité, donc... de confiance qui seront les différents acteurs qui pourraient émettre les données numériques gouvernementales, qu'on les précise clairement, et quelles seraient les modalités, éventuellement, qui permettraient les communications de ces différentes données là.

Vous avez mentionné le cas de... qui est la plateforme que l'Estonie utilise pour la communication des données, mais, clairement, il y a une différence en Estonie entre la loi qui institue ce registre-là et l'encadre et la norme, en fait, qui prévoit qu'ils auront... qui prévoit, en fait, le titre d'identité qu'ils ont. Parce qu'à la différence du Québec, en Estonie, on a comme une forme d'identité, d'identité nationale. Comme en Estonie, comme en France, il y a une carte nationale d'identité, et c'est sur la base de cette carte nationale d'identité là qu'on va développer un système d'identité numérique qui va permettre de recouper différentes informations.

Ici, à Québec, dans...à partir des connaissances que j'ai, on n'a pas d'identité unique comme ça, on n'a pas de carte d'identité nationale québécoise. Donc, on a une différence du système, on a une différence par rapport aux lois qui instituent les documents d'identité, et la clarté, en fait, pour définir c'est quoi, cette plateforme d'échange, là, de notre lecture de la loi, elle ne ressort pas.

M. Caire : Bien, peut-être quelques commentaires. D'abord, sur la propriété de la donnée, on a déjà légiféré là-dessus, à qui appartient la donnée, donc, ce n'était pas...

M. Caire : ...de le faire, dans le projet de loi actuel, parce que c'est déjà encadré. On l'avait fait en adoptant la loi 95, donc, on avait modifié... sur la protection des renseignements personnels. On l'a fait avec la loi 25. Je comprends que la Commission d'accès à l'information dit : Il y a beaucoup de lois qui interviennent, c'est vrai, mais, tu sais, quand je vous parle de... c'est parce qu'on vit avec le cadre législatif québécois. Vous avez raison, il n'y a pas de... il n'y a pas de carte d'identité unique. On souhaite qu'il y ait ça dans l'univers numérique, bien sûr, d'où le fait que le MCN a cette responsabilité-là. Maintenant, sur les attestations, c'est déjà prévu. La Régie de l'assurance maladie a la responsabilité d'émettre la carte d'assurance maladie, c'est vrai dans l'univers physique, c'est vrai dans l'univers numérique. La Société d'assurance automobile du Québec a la responsabilité d'émettre le permis de conduire, c'est vrai dans l'univers physique, c'est vrai dans l'univers numérique.

Donc, vous savez, chacun, le Directeur de de l'état civil a la responsabilité d'émettre les différents certificats de naissance, notamment, mariage, décès, etc. C'est vrai dans l'univers physique, c'est vrai dans l'univers numérique. Donc, ça, ces responsabilités-là vont rester des responsabilités aux organismes mentionnés. Mais, justement, l'avantage qu'on a dans l'univers numérique, c'est de progresser vers ce monde idéal dont je parlais, mais tout en respectant notre cadre législatif qui existe déjà. Je veux dire, on ne peut pas faire tabula rasa sur nos lois, sur nos bases de données, sur tout ça, là. Il faut avancer dans cette... Donc, est-ce que, par rapport à ce que vous je vous dis, puis ce que vous voyez du projet de loi, est-ce que vous diriez qu'on s'en va, minimalement, dans la bonne direction?

• (11 h 50) •

M. Gauthier (Jean-François) : Bien, moi, je pense que, si vous me permettez une première étape de réponse, ma collègue va compléter, Mme Bouchard, moi, je pense que c'est possible, le cadre qui est déposé, la loi qui est déposée actuellement permettrait de faire les choses de la bonne façon. Mais le risque qu'on voit, c'est qu'il permettrait, comme c'est quand même assez large comme cadre, il y a autant de risque à bien faire qu'à l'échapper. Et c'est là qu'on a...  on aimerait que des éléments, des principes qui soient inscrits dans la loi, qui réduiraient le risque, effectivement, de dérapage puis de centralisation... Malgré tout ce que vous venez de dire, il reste que, tant que ce n'est pas écrit dans la loi, ces principes-là vont faire en sorte d'être... en tout cas, d'être à risque. Donc, c'est pour ça que nous, on pense que c'est important de faire certaines modifications au projet de loi pour encadrer ce qui est déjà là. Il y a des éléments qui sont très positifs, mais il y a quand même certains éléments qu'on croit qu'il faut resserrer. Mme Bouchard.

Mme Bouchard (Charlaine) : Oui. Vous allez dans la bonne direction, ça, c'est clair. Et on l'a mentionné à deux ou trois endroits dans notre projet de loi, ce qu'on recherche, c'est, à tout le moins, une situation mitoyenne. On comprend que, considérant la... pour reprendre vos vos termes, c'est extrêmement difficile de se retrouver dans la même situation, si on reprend l'exemple de l'Estonie. N'empêche que - puis on pourrait revenir sur la question de la centralisation - il y a quand même... Il demeure quand même, et je le dis avec beaucoup de respect, une centralisation importante entre les mains du MCN. Donc, je ne sais pas si, David, vous voulez poursuivre là-dessus.

M. Kouadio (David) : Alors, j'abonderais dans le même sens sur... On part éventuellement, on part, en ce moment, déjà, dans la bonne direction, mais il sera intéressant d'avoir très clairement des précisions dans la loi sur les différents acteurs. Comme vous venez de le dire, en fait, on a déjà un système d'identité, on va le reproduire dans le monde... dans le monde numérique et on va juste ajouter un nouveau référent qui permettrait de comme créer la relation entre ces différentes bases de données là. Mais, clairement, dans la loi, ceux qui, en ce moment, détiennent certaines données d'identité vont conserver ce rôle-là, ce privilège-là. Il viendra, avec ça, en fait, les différentes... ce qu'on appelait l'imputabilité, ce dont on a discuté, il viendra avec ça, tout, tout, tout ce qu'il a comme responsabilité, premièrement. Deuxièmement, sur le point de la centralisation, dans ce qui a déjà été dit, en fait, plus tôt, on parlait souvent de gouvernance, mais il y a une différence entre la la gouvernance et l'opérationnalisation.

Donc, je suis très d'accord quand on dit que pour... En fait, nous sommes très d'accord quand on dit que, pour la gouvernance, c'est nécessaire d'avoir une vision commune, d'avoir un leadership qui est fort. Mais, pour l'opérationnalisation, comme on l'a dit pour les différentes sources de données, c'est essentiel qu'il y ait plusieurs sources de données. C'est essentiel qu'on sache clairement la politique qu'on suit et qu'on ait des personnes pour, comme les gens de la CAI le disaient, il faut avoir des règles, il faut avoir des sanctions, il faut savoir qui sanctionne, Il faut savoir qui détermine qui a un problème. Donc, tout ça, de notre lecture, en ce moment, ça n'apparaît pas très clairement dans la loi. C'est sûr qu'on se dirige vers une identité numérique, c'est souhaitable qu'on ait un modèle qui est, éventuellement, distribué, c'est souhaitable, mais il faudrait que ça soit plus clair.

M. Caire : Bien, je comprends ce que vous dites puis, effectivement, il y a des...

M. Caire : ...éléments que vous... dans ce que vous mentionnez qui ne se retrouvent pas dans la loi parce qu'elles sont déjà prévues dans d'autres lois, et donc là c'est une question de cohérence du corpus législatif québécois.

Je vous donne un exemple : sur les sources de données, la définition des sources de données, l'obligation d'avoir des évaluations des facteurs relatifs à la vie privée, l'obligation d'établir des règles, l'obligation de transmettre ces règles-là à la Commission d'accès à l'information, le pouvoir de surveillance et les différents pouvoirs de la Commission d'accès à l'information, qui sont, eux, prévus à la loi... dans la loi n° 25, notamment, les pouvoirs de sanction.

Ça fait que je comprends ce que vous dites, puis je vais faire le lien avec ce que la Commission d'accès à l'information nous a dit. Je comprends que ça nécessite une compréhension latérale du corpus législatif québécois. Mais, en même temps, et je reviens à ce que je disais, il y a un patrimoine législatif, tu sais. Le Directeur de l'état civil, ses responsabilités, ses prérogatives, ses obligations sont claires dans sa loi constitutive; même chose pour la RAMQ, même chose pour la SAAQ. Donc, on ne peut pas relégiférer sur des choses pour lesquelles on a déjà légiféré. C'est un petit peu dans ce sens-là où je dis... Je comprends ce que vous nous dites, puis, si on était devant une espèce d'univers vide où on bâtit à partir de rien, je vous dirais : Vous avez... vous avez raison. Mais ce n'est pas le cas, il faut quand même partir d'où on est pour aller vers où on veut aller. Mais j'entends ce que vous nous dites.

Jean-François, tu disais... M. Gauthier, vous disiez qu'il y a des précisions au niveau des règles sur la centralisation, puis ça, c'est peut-être un... un petit point qui me chicote plus, parce que la vision de ce que je souhaite et la vision que vous m'en renvoyez sont diamétralement opposées. Je ne vois pas une centralisation, je vois une... Est-ce qu'on dit une «démultiplication»? En tout cas, d'éliminer trop de sources qui existent pour se concentrer sur une qui va devenir le point de référence. Mais il y a effectivement une délocalisation. Par exemple, les renseignements de santé sont... seraient la prérogative du registre des renseignements de santé prévu par la loi qu'on a adoptée l'année dernière, même chose pour l'éducation. Tout ça est délocalisé, tout ça est démultiplié. Mais on va épurer ces différentes banques de données là des renseignements qui n'ont pas à être reproduits dans les différentes banques, pour s'assurer qu'il n'y a pas d'incohérences, qu'il n'y a pas de... de doublons, qu'il n'y a pas... Bon. Vous comprenez ce que je veux dire? Donc, l'idée... - puis c'est pour ça que je prends toujours l'exemple du modèle d'une base de données relationnelle - changez le mot «source de données» par «table», puis vous allez avoir à peu près le concept, là.

Alors, c'est pour ça que quand vous me dites : On centralise, ce n'est pas l'intention, ce n'est pas l'objectif. Donc, est-ce que, peut-être, au niveau de ce qu'on fait, il y a plus un problème de communication que d'intention?

Mme Bouchard (Charlaine) : Moi, je ne crois pas. Je me permets de répondre, puis je vais...

M. Caire : Oui, oui, oui.

Mme Bouchard (Charlaine) : ...donner la parole à Kaiwen par la suite. Vous avez... Woups! Excusez-moi. Vous avez raison de mentionner qu'il y a un premier pas de fait, là. On part de multiples banques de données et puis on se retrouve avec le MCN. On est 100 % d'accord avec vous. Mais nous, on est d'avis, puis je pense que c'est dans ce sens-là, l'intervention de Jean-François... Quand on parle de décentralisation, bien, c'est autre chose. Puis je laisserais la parole à mon... Je le regarde là, là, mais je laisserais la parole à mon collègue, voilà, pour le dire autrement, en d'autres mots peut-être.

M. Zhang (Kaiwen) : Oui. Donc, tout d'abord merci, M. le ministre, pour vos clarifications. Je pense que c'est... vos propos sont encourageants, je suis d'accord avec ce que vous dites. Cependant, il reste encore le fait qu'il faudrait clarifier ce qui est écrit dans le... ce projet de loi.

Vous avez mentionné, là, le modèle estonien, vous avez mentionné le système X-Road. Donc, au niveau technologique — donc, je vais m'occuper de la partie technologique — c'est un système qui permet une communication directe entre un détenteur d'une identité et un fournisseur de services, ou on peut appeler ça aussi un vérificateur, alors que dans le projet de loi actuel vous parlez de sources officielles de données. Ça laisse sous-entendre que chaque action, chaque utilisation de son identité nécessiterait de passer à travers la plateforme comme intermédiaire, alors que ce n'est pas le cas dans le modèle estonien, avec X-Road.

Le Président (M. Simard) : Oui. Professeur, malheureusement, je m'excuse de devoir vous couper et vous interrompre. C'est un peu plus difficile, puisque nous sommes à distance. Mais le temps qui était en fait imparti à la partie gouvernementale est dépassé. Donc, je cède la parole à la députée de Mont-Royal-Outremont.

Mme Setlakwe : Merci, M. le Président. Moi, je permettrais au professeur de continuer.

Le Président (M. Simard) : Bien sûr.

Mme Setlakwe : Je pense que c'est important qu'on ait au...

Mme Setlakwe : ...on a le... le fond de... de sa pensée. Si vous voulez bien poursuivre, là, il n'y a pas d'enjeu.

Le Président (M. Simard) : Merci beaucoup.

M. Zhang (Kaiwen) : Merci beaucoup pour le temps. Donc, comme je disais, dans le modèle... dans le système XLoad, un des piliers de ce système-là, c'est la... les communications directes entre les détenteurs de... de pièces d'identité et les fournisseurs de services, alors que le projet de loi, qui dit que le registre serait la source officielle, là, sous-entend que chaque intervention devrait passer à travers cette... cette source-là, ce qui créerait un point unique de défaillance. Donc, si le système tomberait en panne, soudainement peut-être qu'on ne serait plus en mesure, là, de... de faire des gestes quotidiens comme récupérer un colis à la poste ou acheter une bouteille de vin à la SAQ. Donc, je pense que c'est très important, là, de... de renforcir ce point-là.

Et, de plus, l'autre aspect, c'est... c'est le concept de... de surveillance ou de traçabilité dans l'utilisation de... de ces données-là, car, dans le projet de loi, ça indique qu'il y aura une traçabilité dans l'utilisation. Et présentement, c'est... c'est... on a ce... le privilège, je dirais, pour les citoyens que, quand on utilise nos cartes physiques, il n'y a pas de surveillance, il n'y a pas de traçabilité. On est libres d'utiliser... de... de s'authentifier pour... pour des gestes quotidiens, alors que, si jamais dans le... dans un futur, avec cette identité numérique là, tous les... toutes les méthodes d'authentification passeraient à travers la plateforme, il y aurait soudainement une surveillance, là, de... de chacun de nos gestes, là. Donc, j'aimerais avoir vos propos là-dessus.

• (12 heures) •

Mme Setlakwe : Merci. Bien, moi, je vais revenir de façon plus générale. On aimerait ça, je pense, personnellement, vous entendre davantage. Parce que vous dites que c'est un pas dans la bonne direction, mais, ensuite, si je comprends bien vos propos, c'est toute la structure ou le fait qu'on centralise. Vous êtes en désaccord avec la... la façon de le déployer. Je pense que vous devez tenter de nous expliquer, en tout cas dans mon cas, un peu mieux, là, en quoi on se... on s'en va dans la mauvaise direction avec... avec cette structure qui est mise... mise de l'avant.

Mme Bouchard (Charlaine) : Bien, nous, on pense... on... en tout cas, on est d'avis que, oui, il y a une certaine amélioration, et ça... et là, je le répète, comme le ministre le mentionnait tout à l'heure, donc, vous avez plusieurs entités qui détenaient des... ou qui détiennent, actuellement, des... des données. Là, il va y avoir une centralisation ou un regroupement au niveau du... du MCN, mais ce n'est pas suffisant selon nous. Donc, il y a encore des risques qui sont associés par cette centralisation dans les mains du MCN. Et là je donnerai la parole à je ne sais pas lequel de mes deux collègues donc pour donner des exemples.

M. Gauthier (Jean-François) : Bien, écoutez, l'exemple, c'est que, bien, en tout cas, moi ce qui... ce qui m'inquiète personnellement, quand je regarde ça puis par rapport aux risques, il y a deux catégories de risques. Premier élément, à mon avis, c'est le risque de perte d'imputabilité, parce qu'actuellement la gestion de l'information, la gestion de la donnée, c'est... on le sait tous, là, la donnée, c'est... c'est l'énergie du XXIᵉ siècle. L'information, c'est crucial. Donc, la... quand on est responsable de la gestion de l'information dans les organismes publics, c'est très important, les signaux qu'on envoie, qu'on n'a pas l'intention... puis j'entendais très bien, M. le ministre, je sais que ce n'est pas votre intention du tout d'enlever de l'imputabilité puis de la responsabilisation dans les... de ce qui se passe dans les ministères. Sauf que, dans la façon dont la loi est écrite actuellement, nous, notre lecture, on a une crainte à cet égard-là, de perte de responsabilité puis d'imputabilité dans la gestion de la donnée puis la responsabilité des gens qui sont actuellement en situation de gérer cette information-là. L'autre risque qui est, à notre avis, très important, puis je ne vous apprendrai... je ne vous étonnerai pas quand je vais vous parler de ce risque-là, c'est le risque de dérapage dans le sens informatique du terme, parce qu'on peut faire de ce projet-là... si on n'y fait pas attention, ça peut devenir un grand projet informatique qui va coûter très cher et qui risque effectivement d'avoir des dérapages là-dedans. Il y a des... Il y a toujours cet élément-là qui est présent, donc on a une crainte à cet égard-là.

Puis par ailleurs, bien, toute la notion de centralisation de la donnée, de coffre-fort, moi, ça, ça m'inquiète beaucoup, parce que plus un coffre-fort, peu importe la sécurité qu'on va y mettre, il va devenir d'autant plus attractif pour les hackers parce que l'information qui va s'y retrouver va être absolument plus attractive que jamais. Donc, il y a un élément de risque à cet égard-là. Si tu veux compléter, David?

M. Kouadio (David) : Oui. Alors, plusieurs, en fait, informations qui nous ont été données par M. le ministre, c'est que l'objectif en tout cas visé, ce n'est pas d'aller vers la centralisation, essayer d'aller vers la décentralisation. Enfin, pas la décentralisation, mais qu'on... qu'on ait toujours plusieurs sources de données, comme c'est déjà le cas dans... avec... à partir du dispositif législatif.

Donc, l'élément intéressant par rapport à ça qu'on pourrait soulever, en fait, c'est que les... les différentes lois, tout ce qui est prévu en ce moment, comme vous l'avez dit, c'est pour les cartes d'identité physique, et ça ne devrait pas être différent dans le monde numérique. Pourquoi ça pourrait être différent en ce moment? C'est qu'on n'a pas de définition de l'identité numérique qui soit portée par ce qu'elle représente, et c'est l'une des définitions qu'on a apportées...

M. Kouadio (David) : ...et des recommandations qu'on a apportées, c'est qu'on définisse l'identité numérique par rapport au citoyen et par rapport à ce que ça lui permet de représenter. C'est un ensemble d'attributs, c'est un ensemble d'attestations qui représentent des attributs. Donc, si on a cette définition-là qui est claire, qui dit que l'identité numérique, c'est juste une représentation dans l'univers numérique de ce que vous avez déjà comme attributs, on ne change plus rien, on sait qui est responsable des différents attributs dans le monde physique. Donc, ça serait les mêmes, juste qu'on aura une gouvernance du déploiement par le MCN qui est claire, qui fait qu'on a des règles par rapport à la cybersécurité, par rapport à la collecte des informations, et tout est clair. Mais on n'a pas cette définition-là qui nous dit que l'identité numérique, ça serait une représentation de ce qui est comme attribut dans le monde physique. On a donné une définition de l'identité numérique qui part sur son utilité. Donc, ça serait un ensemble de moyens déployés par l'État pour accéder à des services. Ça ne nous dit pas clairement, en fait, que c'est les mêmes acteurs qui vont jouer les mêmes rôles, juste avec, en fait, de nouveaux moyens. C'est ce qu'on soulève, en fait.

Mme Setlakwe : Merci. Est-ce que... Je ne suis pas sûre que c'est dans votre mémoire, mais on en a parlé avec d'autres intervenants. Est-ce que vous avez une crainte par rapport à l'utilisation des données biométriques? Quelle est votre vision à ce sujet-là?

Mme Bouchard (Charlaine) : Kaiwen...

M. Zhang (Kaiwen) : Oui. Donc, si je comprends bien, dans le projet de loi, ça mentionne brièvement, là, les données biométriques. Certainement, il faut les utiliser de la bonne façon. Donc, ici, on a une opportunité de passer à la transformation numérique. Et donc, dans ce contexte-là, l'utilisation des données biométriques devrait renforcer la sécurité du système, donc prévenir la fraude, le vol d'identité. Donc, c'est... Mais ce n'est pas clairement indiqué dans le projet, que c'est pour ces fins d'utilisation là que ça va être, que ça va être enregistré. Donc, si c'est vraiment dans cette direction-là, c'est ça va être... ça va être un avantage sur notre système actuel, mais il faudrait que ce soit clairement précisé.

Mme Setlakwe : Merci. Votre... Dans votre mémoire, vous... vous parlez beaucoup de la place du consentement. Pouvez-vous élaborer, là, sur ce que vous recommandez en termes de modifications au projet de loi pour que le consentement soit... soit exprimé de façon explicite par le citoyen?

M. Kouadio (David) : Donc, on partait en fait du... Comme c'est indiqué, il y a plusieurs éléments qui sont présents dans le projet de loi, il y a plusieurs éléments en fait par rapport au projet d'identité numérique qui ont déjà été mis en œuvre. Donc, on a déjà un registre en fait qui existe, le... qui permet en fait le fonctionnement du SAG, donc du service d'authentification gouvernemental ou du système de... Donc, pour ce registre en particulier, là, c'est clairement mentionné dans le décret, dans, je crois, que le cinquième attendu, que le consentement doit être écrit, en fait, systématiquement pour quasiment toutes les utilisations. Donc, ce que nous, ce que nous on soulève éventuellement, c'est que c'est dit implicitement, mais étant entendu que c'est facultatif, chacun choisit, ce n'est pas obligatoire. On est d'accord sur ça. Mais pour l'utilisation... la facultativité, en fait, c'est très bien pour l'utilisation de services. Donc, vous pouvez ne pas utiliser les services, mais éventuellement vous pouvez avoir un document d'identité qui existe. Donc, pour moi, ça serait essentiel que déjà pour la génération de l'identité, pour l'utilisation, sa consommation, à chaque moment on puisse demander le consentement du citoyen pour savoir, en fait, ce qu'il veut en faire de ses données. C'est ça...

Mme Setlakwe : Merci.

Mme Caron : Mais quand on parle d'autosouveraineté des données, une fois que l'utilisateur ou le citoyen a donné... a autorisé l'utilisation ou la fourniture de données dans un registre, que ce soit un registre centralisé ou que ce soit des registres démultipliés, est ce que... est ce qu'il peut revenir derrière? Est-ce qu'il peut faire supprimer certaines informations? Est-ce que c'est... Est-ce que c'est inscrit, ça, dans l'autosouveraineté des données, ou une fois que c'est donné, c'est fini, et la donnée, elle est là pour toujours?

M. Kouadio (David) : Peut-être que ça permettra de préciser ce que je disais sur le consentement, parce que je me suis un peu perdu dans mes mots. Mais en fait, dans la gestion de l'identité, on crée l'identité, on la consomme et éventuellement on la révoque. Pour que le consentement soit au cœur du processus, il faut qu'à chaque étape, mais vraiment à chaque étape, création, utilisation, consommation, révocation, que le citoyen puisse être au courant et qu'il puisse donner son avis à chaque fois qu'on veut le faire. C'est ça.

Le Président (M. Simard) : Merci beaucoup. Je cède maintenant la parole au député de Maurice-Richard.

M. Bouazzi : Merci, M. le Président. Merci beaucoup pour votre présentation. Il y a écrit en filigrane, hein, vous en avez un peu parlé, mais à peu près partout...

M. Bouazzi : ...chaîne de blocs, chaîne de bloc, chaîne de bloc, on va se le dire. Et je vous trouve quand même généreux sur l'idée de dire que ça va dans le bon sens, parce que moi, ce que j'entends du côté du gouvernement et dans à peu près tous les mémoires qui nous ont été donnés, c'est centralisation, centralisation, centralisation. Alors, en gros, il y a une différence entre régler les choses par programmation et/ou par design. Nous, ce qu'on dit, c'est : Par programmation, c'est... on va avoir plus de résilience, plus de serveurs, plus de sécurité, etc. Par design, c'est ce que vous dites, c'est... Vous dites : Par conception. En fait, il sera impossible de faire autre chose que la bonne chose, qui consiste à dire : Il y a un consentement, il y a une décentralisation, donc une résilience, etc. Est-ce que... Est-ce que j'ai bien compris ce dont vous parlez?

• (12 h 10) •

M. Gauthier (Jean-François) : Absolument, vous avez très, très bien compris le principe du... ce qu'on exprime dans notre livre blanc, comme je vous le disais d'entrée de jeu, qui est tout à fait pertinent aujourd'hui, c'est-à-dire que la technologie de chaîne de blocs est la seule technologie aujourd'hui qui n'a jamais été hackée. Donc, ça assure une sécurité qui peut permettre de faire... C'est la seule, en fait, technologie qui pourrait permettre l'identité numérique autosouveraine. Ça, c'est très clair, là. Il n'y a que cette approche-là qui permettrait de redonner au citoyen la gestion de son identité. Et ça, pour nous, c'est le principe fondamental. On le redit encore une fois, à l'ère numérique où nous sommes, les données, elles appartiennent aux citoyens. C'est ça, ce sont les citoyens qui devraient être... en être les maîtres, les gardiens puis être en situation de décider à quel moment, à quel organisme, quelles informations ils décident de partager. Et c'est ce que permet de faire l'identité numérique autosouveraine, qui n'est pas possible dans... avec une autre technologie.

M. Bouazzi : Exact. Et donc on s'entend que, les autres technologies qui sont les plus classiques, on va se le dire, centralisées, non seulement elles sont à câble, mais l'histoire nous montre qu'elles sont souvent hackées aussi.

M. Gauthier (Jean-François) : Absolument.

M. Bouazzi : La... le... Il y a beaucoup de gens qui ne comprennent pas ce dont vous parlez, hein? Bon, la question des blocs, des blocs, moi, je vous avouerais que, quand je m'y suis intéressé, j'ai trouvé ça passionnant, c'est quand même des mathématiques poussées, là, on s'entend. Et c'est terriblement inutile, d'un point de vue monnaie numérique, etc., à part pour spéculer en bourse, mais on a vu que c'était du coût par câble, parce que ces monnaies-là sont encore aujourd'hui... Ça fait que ma question c'est... Vous avez parlé de pays qui l'ont mis en place. Est-ce qu'il y aurait un risque par rapport au manque de compétences, par exemple, associé à la mise en place d'une telle technologie pour pouvoir régler... Parce que moi, je ne vois pas d'autre explication. Honnêtement, là, même... même les questions de rapidité d'exécution, on n'est pas si nombreux, ce n'est pas tant de données, ce n'est pas des... Bref, je vois bien une application, mais comment est-ce qu'on règle le problème du manque de compréhension et de compétences?

M. Gauthier (Jean-François) : Bien, je peux peut-être laisser Kaiwen répondre à ce point-là, parce qu'évidemment c'est lui, l'expert au niveau technologique, mais, à mon avis, je pense que ça se règle, parce qu'on a l'expertise ici, au Québec, qui est nécessaire pour faire les bases de ça. On a des... on a des très, très bons technologues en décentralisation, en chaînes de blocs, mais je vais laisser Kaiwen compléter.

Le Président (M. Simard) : Très bien.

M. Zhang (Kaiwen) : Certainement, c'est...

Le Président (M. Simard) : Professeur, désolé, désolé, je m'excuse, je me dois à nouveau de vous couper la parole.

M. Zhang (Kaiwen) : O.K.

Le Président (M. Simard) : Et je laisse, bien sûr, le temps à mon collègue d'Arthabaska de pouvoir intervenir.

M. Lefebvre : Merci beaucoup, M. le Président. Je vais laisser le professeur terminer sa réponse.

Le Président (M. Simard) : Très bien. Vous pouvez poursuivre, professeur.

M. Zhang (Kaiwen) : D'accord. Merci pour le temps. Donc, certainement, donc, pour répondre à la question précédente, il faut... d'abord, c'est la responsabilité des professeurs, comme moi, comme Pre Charlene Bouchard, de faire... d'éduquer nos étudiants, de les former dans cette technologie-là, d'améliorer la compréhension de cette technologie-là, de développer des compétences pour programmer ces chaînes de blocs là.

Et l'autre aspect, c'est la conscientisation, là, de ce que cette technologie peut apporter, d'aller au-delà de la cryptomonnaie, de montrer qu'essentiellement on peut stocker toutes sortes d'informations dans ces chaînes de blocs là, pas nécessairement de l'information sur des... ou des cryptomonnaies, comme on voit aujourd'hui, qui ont souvent une connotation négative. Donc, on peut pousser au-delà de ça.

On peut aussi aller vers des technologies qui sont vertes. Ce n'est pas toutes les chaînes de blocs qui consomment des quantités d'énergie immenses comme bitcoin, mais il y a... aujourd'hui, on a des alternatives vertes pour ces technologies-là. Donc, ça, c'est des aspects que des groupes de recherche, de chercheurs comme moi, ou celui de la Pre Charlène... nous ferait plaisir d'accompagner, là, le gouvernement, là, pour faire cette conception-là.

Le Président (M. Simard) : Merci à vous. Alors, cher collègue, il vous reste... il vous reste deux minutes encore.

M. Lefebvre : Bien, merci beaucoup. Écoutez, M. le professeur, j'aimerais vous entendre un peu là-dessus, parce que, justement, je pense que tout le monde est d'accord, au niveau de la chaîne de blocs, au niveau de la protection qu'on voit présentement... Mon collègue disait... en parlait encore un peu, au niveau de la cryptomonnaie. Là, vous nous parlez d'alternatives...

M. Lefebvre : ...parce qu'une des problématiques, on le sait, c'est la consommation énergétique. Mon collègue d'Orford nous en parle régulièrement. Alors, j'aimerais ça vous entendre sur l'alternative verte que vous nous parlez au niveau de la chaîne de blocs.

M. Zhang (Kaiwen) : Oui. Donc, la consommation d'énergie principalement est causée par un seul aspect dans les chaînes de blocs, c'est ce qu'on appelle le minage, le minage de nouvels jetons de cryptomonnaie. Et aujourd'hui, c'est principalement une seule cryptomonnaie qui est responsable, c'est évidemment la plus grosse, et c'est Bitcoin, où il faut encore utiliser de l'équipement spécialisé, des cartes graphiques ou des cartes dédiées au minage pour pouvoir effectuer ce minage-là, et donc c'est ça qui consomme beaucoup d'électricité. Mais, dans d'autres cryptomonnaies, par exemple, même la deuxième cryptomonnaie la plus populaire au monde, qui est Ethereum, ils ont aboli ce minage-là, ça n'existe plus depuis déjà quelques années, là, 2021, 2022, si je ne me trompe pas. Donc, par ce fait-là, en abolissant le minage, ils ont réussi à réduire la consommation d'électricité par 99,95 %. Donc, c'est... c'est vers ce genre de technologie là qu'il faut encourager, si on décide d'utiliser des chaînes de blocs, des technologies qui ne dépendent pas du minage.

M. Lefebvre : Merci beaucoup. Très intéressant. Merci à vous tous de la présentation également.

Le Président (M. Simard) : Très bien. Alors, Mme, Messieurs, merci beaucoup pour votre présence parmi nous aujourd'hui.

Cela met fin à nos auditions de l'avant-midi. Et on se retrouve à peu près vers 15 h 15. À plus tard.

(Suspension de la séance à 12 h 16)

(Reprise à 15 h 23)

Le Président (M. Simard) : Alors, chers amis, bienvenue à toutes et à tous. Je constate que nous avons quorum. Comme vous le savez, nous poursuivons les consultations particulières et auditions publiques sur le projet de loi no 82, Loi concernant l'identité numérique nationale. Alors, cet après-midi, nous débutons en force, en lion, j'oserais dire, en recevant l'Institut multidisciplinaire en cybersécurité et cyberrésilience. Nous sommes en visioconférence. Messieurs, bonjour.

M. Cuppens (Frédéric) : Bonjour.

Le Président (M. Simard) : Auriez-vous d'abord l'amabilité de vous présenter?

M. Cuppens (Frédéric) : Oui, bien sûr. Donc, Frédéric Cuppens, je suis professeur à Polytechnique Montréal, Département génie informatique, génie logiciel. Et je suis le directeur de l'IMC2, et je laisserai mes collègues le soin de se présenter.

M. Dupont (Benoit) : Bonjour, Benoît Dupont. Je suis professeur à l'Université de Montréal à l'École de criminologie et titulaire de la Chaire de recherche du Canada en cyberrésilience et directeur adjoint de l'IMC2 pour les politiques publiques.

M. Gervais (Marc) : Oui, bonjour, je suis Marc Gervais, je suis le directeur exécutif de l'IMC2.

Le Président (M. Simard) : ...et nous vous écoutons.

M. Cuppens (Frédéric) : Très bien. Merci. Merci, M. le Président. Donc, nous avons transmis un mémoire, donc, qui donne un certain nombre de recommandations sur ce projet de loi no 82. Donc, en fait, la présentation que je vais faire reprend un peu le plan de ce mémoire. Et donc on va discuter des points suivants. Tout d'abord, quels services...

M. Cuppens (Frédéric) : ...associés à cette identité numérique nationale. Ensuite, on va parler d'identification, d'authentification ainsi que d'autorisation. On a quelques commentaires sur le registre de l'identité numérique et la notion de consentement. Et enfin, on abordera certains points en lien avec le déploiement d'une identité numérique nationale. Enfin, on conclura.

Donc, incontestablement, le... ce projet de loi n° 82 marque une étape très importante, pour ne pas dire majeure, vers une transformation numérique sécurisée des interactions entre l'État et les citoyens. Et donc la création de cette identité numérique va permettre le déploiement de... des différentes fonctions de contrôle d'accès sécurisées, à savoir l'identification, l'authentification et l'autorisation. Et donc on va commencer par discuter de ces trois fonctions.

Donc, l'identification numérique, je pense qu'on vous... on en a déjà pas mal parlé depuis... depuis le début de ces auditions. Donc, c'est le processus permettant d'attribuer et de reconnaître une identité unique à une entité dans un environnement numérique. C'est la définition.

Alors, on peut se poser la question : Qui va être au bout du compte doté d'une identité numérique? Alors, ce n'est pas explicitement dit dans le projet de loi, mais on comprend, d'après certains articles, que ça concerne les personnes physiques, mais aussi des personnes morales.

Alors, une première recommandation qu'on ferait par rapport à ça, c'est qu'avec l'émergence de l'intelligence artificielle, mais aussi l'Internet des objets, ça nous paraît également pertinent d'étendre l'identité numérique non seulement aux personnes physiques et morales, mais également aux objets connectés, parce qu'on peut effectivement anticiper le besoin pour des objets connectés, alors on peut penser à des robots mais aussi à des avatars qui travailleraient pour le compte des personnes physiques ou morales, de se connecter de... à ces services gouvernementaux et donc de disposer de leur propre identité numérique. Alors, dans ce contexte, des normes existent déjà. On peut notamment, par exemple, mentionner l'IEEE 802.1AR, qui définit, donc, une structure standardisée pour attribuer une identité numérique unique et sécurisée à n'importe quel objet connecté.

Pour la fonction d'authentification, c'est clair que c'est un élément clé que va apporter l'identité numérique nationale. Et donc, pour l'authentification, on a fait également plusieurs recommandations.

La première recommandation, c'est que le projet de loi et aussi le règlement associé qui est prévu dans le texte de ce projet de loi devraient préciser les obligations à respecter en termes d'usage de l'authentification multifacteurs, qui nous paraît un élément central dans... pour cette fonction d'authentification.

Le règlement devrait également prévoir l'abolition que... d'une... d'un... que je n'aime pas du tout, qu'on appelle en général les questions secrètes. Dans un processus d'authentification, qu'est-ce que c'est qu'une question secrète? C'est par exemple de poser la question : Quel est le prénom de votre mère? Ça repose naturellement sur la collecte de données personnelles, et toutes ces questions secrètes deviennent inutiles dès lors qu'on a une identité numérique sécurisée.

Et puis un dernier point concernant l'authentification, c'est que l'usage des données biométriques nécessite également la collecte de données personnelles, et, de notre point de vue, elle ne devrait pas être envisagée dans tous les cas, mais uniquement lorsque c'est strictement nécessaire. Et, notamment, il y a des moyens actuels efficaces, comme l'utilisation de mots de passe à usage unique, qui, à notre point de vue, devraient être, chaque fois que c'est possible, préférés à... aux données biométriques.

La troisième fonction, c'est l'autorisation. Alors, qu'est-ce que c'est que l'autorisation? Donc, ça vient après l'identification et l'authentification et ça permet de définir, au bout du compte, pour quelqu'un qui est authentifié, qu'est-ce qu'il a le droit de faire par rapport aux services auxquels il peut accéder. Alors, en général, ça peut dépendre de certaines conditions, hein? Je vais prendre des exemples simples. Ça peut dépendre de l'âge de la personne, de la situation professionnelle de la personne. Donc, ça nécessite également la collecte de données personnelles. Et donc, par rapport à cette fonction d'autorisation, qui nous paraît également très importante dans ce projet de loi, il faudrait préciser justement le besoin de collecter certaines données personnelles pour gérer ces autorisations. Et ça relève du point suivant, qu'on va également mentionner, qui est la création de ce registre de l'identité numérique.

Alors, le projet de loi prévoit la création d'un tel registre, et il y a un certain nombre de...

M. Cuppens (Frédéric) : ...recommandations que nous souhaiterions faire par rapport à ce registre numérique. Tout d'abord, donc, on va collecter des données personnelles, et, de notre point de vue, elles ne devraient être collectées que si on précise, effectivement, quelle est la finalité de cette collecte. Donc, le projet de loi, de notre point de vue, devrait préciser davantage dans quel but ce registre est créé, ainsi que les données qui seraient concernées par ce registre. D'un autre point de vue, les données collectées dans ce registre devraient être limitées strictement au besoin d'identification, d'authentification et d'autorisation.

• (15 h 30) •

Tous les autres services, de notre point de vue, ne relèvent pas directement des services liés à cette loi sur l'identité numérique, et notamment les pouvoirs réglementaires associés à plusieurs articles du projet de loi... je ne vais pas les énumérer, parce qu'il y en a un certain nombre, nous paraissent insuffisamment justifiés.

Une autre recommandation par rapport à ce registre, c'est que le projet de loi devrait préciser que le ministre doit non seulement assurer la qualité et la cohérence de ces données, comme c'est mentionné dans le projet de loi, mais également leur confidentialité, leur intégrité, leur disponibilité. Enfin, les données personnelles collectées dans ce registre devraient être soumises au consentement explicite des personnes physiques ou morales.

Donc j'en arrive au dernier point, qui concerne comment déployer effectivement cette identité numérique nationale. On peut... sans se tromper que ça va nécessiter des ressources techniques et également organisationnelles très importantes. Et donc, dans ce contexte de déploiement, on souhaiterait faire les recommandations suivantes : tout d'abord, le projet de loi devrait préciser quels seront les mécanismes de gouvernance et le modèle de partenariat prévus avec le secteur privé. Ensuite, la nature des interactions prévues entre les services et outils existants pourrait faire l'objet de plus grande précision dans le projet de loi. Concernant l'article 5.2, celui-ci mentionne que l'une des motivations de la loi est de favoriser la mutualisation, la centralisation et l'optimisation des structures. C'est une bonne idée, mais on souhaiterait rappeler que la notion de cyberrésilience devrait aussi figurer dans les objectifs de ce projet de loi, et notamment une vigilance toute particulière devrait être apportée à la nature très centralisée proposée dans ce projet, car elle constitue potentiellement un point unique de défaillance pour l'ensemble des services gouvernementaux.

On peut également observer que l'intelligence artificielle, on en parle très souvent, par ailleurs, n'est pas directement mentionnée dans ce projet de loi, à part une mention concernant l'interdiction de profilage. Il serait donc pertinent d'inclure des dispositions qui préciseraient les conditions et paramètres d'utilisation de l'IA, ainsi que sa surveillance, naturellement en lien avec le déploiement d'une identité numérique.

Et puis la question de l'articulation avec une identité numérique canadienne, donc fédérale, n'est pas mentionnée, si ce n'est via l'interopérabilité, et mériterait peut-être davantage de détails.

Donc, j'en arrive presque à la conclusion. Avant de conclure, je voudrais mentionner quelques commentaires concernant les articles 5.2 et 5.3, qui concernent les... les responsabilités pour le ministre d'assurer une vision globale des infrastructures et des services de télécommunication utiles et essentiels. De notre point de vue, les deux... ces deux articles sont très importants, incontestablement, et soulèvent plusieurs commentaires. On ne les a pas commentés dans le mémoire, car ils ne nous semblent pas relever directement du projet de loi sur l'identité numérique. Cependant, ils devraient faire l'objet d'un projet de loi séparé sur les responsabilités du MCN en matière de supervision des infrastructures essentielles et des services de télécommunications.

Donc, j'en arrive à la conclusion. La création et le déploiement d'une identité numérique nationale, incontestablement, représentent un défi majeur pour le Québec, et donc l'Institut IMC2 soutient complètement cette démarche et propose ses services au ministère de la Cybersécurité et du Numérique pour aider, conseiller et contribuer à ce projet. Voilà, j'en ai terminé. Je vous remercie pour votre attention, et on est, naturellement, tout à fait disposés à répondre à vos questions.

Le Président (M. Simard) : Merci, messieurs. Je souhaite donc céder la parole au ministre.

M. Caire : Merci, M. le Président. Écoutez, énormément de choses, je ne sais pas si les collègues auront des questions, mais je peux vous dire que 16 minutes, ça va être très court.

De tous les sujets que j'ai envie d'aborder avec vous, je vous dirais que, peut-être, celui que je voudrais aborder en premier...

M. Caire : ...c'est celui d'une identité numérique pour les objets connectés, éventuellement, les systèmes d'intelligence artificielle. Honnêtement, là, puis je pense qu'on... depuis que je suis en poste, on couvre pas mal tous les sujets, mais je pense que c'est la première fois qu'une recommandation est faite et là je dis : O.K., non, celle-là, je ne l'avais pas vu venir, là, ça, je n'avais jamais pensé à ça. Alors, j'aimerais ça, Pr Cuppens, que vous nous en disiez plus là-dessus parce que je trouve cette idée-là extrêmement intéressante. Ceci étant dit, comment on peut créer une identité pour un objet connecté, pour un système d'intelligence artificielle? Là, vous m'avez donné une norme qui pourrait servir de mot de passe tellement je n'ai rien retenu. Je voudrais vous entendre parce que je... honnêtement, j'ai trouvé ça intéressant, ce commentaire-là.

M. Cuppens (Frédéric) : Très bien. Oui. Alors, pour le moment, c'est quelque chose qui est essentiellement utilisé dans le domaine privé, et donc pas mal d'entreprises, aujourd'hui, utilisent la norme que j'ai mentionnée pour, effectivement, assurer la sécurité et éviter que des objets non autorisés puissent se connecter comme ça à une infrastructure critique. Donc, ça, c'est par construction, hein, c'est le constructeur. Un certain nombre de constructeurs fournissent des objets qui sont, dès le départ, équipés d'une identité numérique, via des certificats, et donc ces certificats ensuite peuvent être utilisés pour s'intégrer dans une infrastructure critique. Donc, c'est...

M. Caire : C'est à la conception. Ce n'est pas nous qui créons ça, c'est à la conception que ça se fait.

M. Cuppens (Frédéric) : C'est à la conception qu'effectivement il y a des certificats qui sont intégrés dans ces objets et qui, ensuite, peuvent être utilisés comme identité numérique, dès lors que cet objet est intégré dans une infrastructure critique. Donc, ça, c'est le principe, c'est l'usage actuel.

Par rapport à une identité numérique nationale qui intégrerait des objets connectés, le Québec serait pionnier. J'ai regardé un petit peu, même les pays très en avance sur l'identité numérique, je peux penser à l'Estonie, à Singapour, y pensent, à avoir une identité numérique pour les objets, mais, pour le moment, il n'y a aucun pays dans le monde qui a initié, effectivement, un tel projet. Donc le Québec serait pionnier.

Et je pense que, par rapport à un certain nombre de fonctions futures qu'on peut anticiper, on pense à l'intelligence artificielle, on pense à la robotique, on pense à tout ce qu'est Internet des objets, on est dans un environnement où, naturellement, il va falloir assurer la sécurité, parce que ces robots, hein, ces objets connectés, vont pouvoir, naturellement, réaliser des fonctions soit autonomes, soit pour le compte de citoyens. Et donc ça nous paraît très important que, bien, d'abord, en termes de services, bien, un citoyen puisse utiliser son avatar pour accéder... services gouvernementaux et puisse le faire de façon aussi sécurisée que s'il se connectait lui-même.

M. Caire : Puis, si je peux me permettre, ce que je comprends, c'est que, compte tenu que c'est créé à la conception, ça veut dire que, si on légifère sur une identité numérique d'un objet connecté, ça veut dire qu'on se crée une obligation légale d'acquérir des objets qui peuvent être connectés mais qui ont... donc, qui sont... qui viennent avec ces certificats-là.

Or, je ne sais pas quel est l'état du marché, mais est-ce que le gouvernement du Québec, comme organisme public, ne so tirerait pas un peu dans le pied en allant maintenant dans cette direction-là? Ou est-ce qu'il y a des façons, je dirais, de l'introduire graduellement qui ne seraient pas des façons législatives?

M. Cuppens (Frédéric) : Ça, c'est une bonne question. Moi, je ne suis pas... je ne suis pas juriste, je suis... je vois ça d'un point de vue technique, mais, effectivement, les grands constructeurs, aujourd'hui, d'objets connectés intègrent ce genre de fonctionnalités. Donc, ce serait une obligation, oui, mais ce serait une obligation qui, aujourd'hui, permettrait de ne pas imposer un choix particulier de constructeur par rapport à l'obligation qui pourrait en découler d'avoir un objet connecté sécurisé pour se connecter à certains services.

M. Caire : Et dans quelle mesure on peut se fier à ça? Vous le savez comme moi, Pr Cuppens, il y a beaucoup, beaucoup de matériel qui sont produits en Chine. Or, la Chine a la réputation que vous connaissez. Jusqu'à quel point on pourrait se fier, justement, au fait qu'à la conception on a intégré les certificats dont vous parlez...

M. Caire : ...et que ces certificats-là nous donnent un haut niveau de confiance par rapport à l'identification qu'on pourra faire éventuellement de l'objet en question.

• (15 h 40) •

M. Cuppens (Frédéric) : Alors, c'est une bonne question. Par rapport à ça la faille n'est pas directement sur le certificat. Le certificat, lui, respecte un standard, et pour être opéré, ce standard doit être respecté. C'est plus, effectivement... je pense que ce que vous mentionnez plus tôt, c'est des objets connectés qui, au-delà du certificat, pourraient introduire effectivement des chevaux de Troie ou des pièges dans la conception. Alors, je suis d'accord avec ça, mais il faut penser qu'aujourd'hui la plupart des services auxquels on accède sur Internet passent déjà par notre mobile, par notre téléphone. Donc, le problème se pose déjà au niveau de notre téléphone. Est-ce que notre téléphone est sécurisé? Est-ce que, quand je me connecte à mon... via mon téléphone, mon téléphone n'est pas en train de transmettre illégalement des informations sans mon contrôle vers des applications malveillantes? Donc, ce problème de sécurité, il est... il est très pertinent, hein? Ce n'est pas moi en termes de professeur en cybersécurité qui va dire que vous soulevez un faux problème. Au contraire, c'est un problème très pertinent, mais ce que je veux dire, c'est que ce problème se pose déjà aujourd'hui, dès lors que le service est accédé par des moyens informatiques, que ce soit mon ordinateur, qui en face de moi, ou un téléphone mobile, ou une tablette. Donc, c'est vrai qu'en introduisant ces objets connectés on rajoute une dimension, mais je pense que c'est ce qui va se passer dans le futur, hein...

M. Caire : Non, mais je vous suis tout à fait.

M. Cuppens (Frédéric) : ...aujourd'hui, c'est notre téléphone, c'est notre ordinateur, mais demain ce sera... Moi, je rêve du jour où j'aurai un avatar qui va pouvoir me remplir automatiquement ma déclaration d'impôts sans avoir à payer mon expert-comptable, hein?

M. Caire : Oui, mais... Je me posais la question, parce que, vous l'avez peut-être remarqué, dans le projet de loi, il y a aussi une disposition qui fait que le ministère de la Cybersécurité, en termes de cybersécurité, pourra donner un avis quant à l'acquisition de matériel. Et on est en direct, en lien direct avec ce que vous dites.

Donc, est-ce que, par exemple, le ministère de la Cybersécurité pourrait exiger ou recommander qu'on n'acquiert que des... du matériel qui dispose de ce... du certificat en question? Est-ce que le marché est mature pour ça? Est-ce que nos réseaux sont matures pour ça? Est-ce que le niveau de confiance que les certificats en question nous donnerait… sur l'intégration, par exemple, une caméra avec vision, vous savez, on a restreint l'utilisation des caméras avec vision pour les raisons qu'on connaît. Même si le fournisseur nous assurait d'avoir le certificat en question, jusqu'à quel point on pourrait être en confiance d'intégrer ce genre de matériel là dans nos réseaux? Là, c'est un petit peu ça qui est ma question.

M. Cuppens (Frédéric) : Je pense avoir répondu pour la partie certificat. Pour la partie certificat, je pense que le risque et la vulnérabilité n'est pas nécessairement à ce niveau-là, mais, pour le l'objet lui-même, effectivement, il y a...

M. Caire : Je comprends.

M. Cuppens (Frédéric) : Comme pour tout... n'importe quel objet connecté, je pense qu'il faut faire une analyse détaillée en termes de... de «supply chains», de chaînes d'approvisionnement. Oui?

M. Caire : Ça nous garantit que... ça nous garantit que l'objet est bien celui auquel on pense, auquel... mais ça ne nous garantit pas de ce qu'il va faire ou ne pas faire ou des vulnérabilités qu'il pourrait introduire dans le réseau. C'est ça que je comprends. Donc, c'est une garantie sur l'identification de l'objet qu'on a amené dans le réseau, mais ce n'est pas une garantie de sécurité. C'est une garantie d'identité sécurité, mais pas de sécurité.

M. Cuppens (Frédéric) : Ça garantit quand même qu'une fois authentifié... et c'est pour ça que j'ai parlé de fonctions d'autorisation. Une fois authentifié, l'objet ne va pouvoir faire que ce pour quoi il est autorisé par le service auquel il accède. Donc là, on n'est plus dans l'objet lui-même, on est dans la fonction d'autorisation qui va contrôler l'accès au service.

M. Caire : ...

M. Cuppens (Frédéric) : Et là on retrouve les mêmes fonctions dont on a besoin pour les citoyens ou les personnes morales.

M. Caire : Je vais laisser la parole à mon collègue d'Orford.

Le Président (M. Simard) : Je vous en prie. Merci. Cher collègue, il vous reste encore 6 min 30 s.

M. Bélanger : Merci, M. le Président. J'avais une question sur les objets connectés, puis parce que ça peut être infini, là. Je vais vous donner deux exemples, une montre, comme le ministre parlait, qui collecte des informations de santé, alors de sommeil, etc., qui nous positionne en GPS, ou...

M. Bélanger : ...je donne un autre exemple des véhicules, des véhicules qui sont connectés, on l'a vu à Vegas. Les moyens qui ont été pris par un ministère en particulier pour être capable d'identifier les semaines précédant l'attentat ou la tentative, l'utilisation des caméras. Puis, à ce moment-là, ça devient... ça devient infini. Puis on parlait de gouvernance, et ça n'ouvre pas la porte à un risque énorme où on peut avoir des objets connectés qui collectent des données et qui sont... qui offrent une... en tout cas, qui sont beaucoup plus vulnérables que ce que, justement, ce qu'on essaie de développer avec le projet de loi. Là, à ce moment-là, on associe des objets connectés avec des humains qui ont une identité... une entité numérique. Donc, moi, j'y vois un risque majeur, peut-être dans une deuxième étape. Mais les objets... le nombre d'objets connectés, au Québec, dépasse la population du Québec.

M. Cuppens (Frédéric) : Oui, tout à fait, et ça ne va cesser que... enfin, la courbe va être croissante, de façon exponentielle, probablement. Alors, je n'ai pas dit que n'importe quel objet connecté devait pouvoir se connecter, hein, ce n'est pas n'importe quel objet connecté qui nécessairement va avoir une identité numérique, hein? C'est effectivement un point important à signaler, hein... de voitures connectées, ce n'est pas forcément à ce type d'objet auquel je pensais en premier.

Par contre, une montre, oui, pourquoi pas, hein? Je pense que, d'une certaine mesure, les montres connectées fournissent des fonctions qui recouvrent pas mal ce qu'on trouve aujourd'hui dans un téléphone mobile, avec des possibilités de connexions intéressantes dans certaines circonstances. Donc, oui, une montre connectée, pourquoi pas? Pourquoi pas? Mais de la même façon, à ce moment-là, il faut contrôler l'insertion... d'une part, l'attribution d'une identité numérique à ce genre d'objet et, ensuite, quel type de service ce genre d'objet aurait l'autorisation d'accéder. Donc, il faut faire une analyse de risques, effectivement...

Le Président (M. Simard) : Merci...

M. Cuppens (Frédéric) : ...pour répondre aux besoins, il faut faire clairement une analyse de risque en termes d'analyse des risques comprend...

Le Président (M. Simard) : Très bien.

M. Cuppens (Frédéric) : ...en ouvrant la porte à ce genre d'objet connecté...

Le Président (M. Simard) : Merci, monsieur. Alors, je cède la parole à la députée de Fabre. Je cède maintenant la parole à ma collègue de Fabre. Parce que notre temps est très compté, cher monsieur. L'idéal, c'est d'être synthétique dans vos réponses. Je vous remercie. Madame.

Mme Abou-Khalil : Merci, M. le Président. Messieurs, je suis contente que vous êtes avec nous aujourd'hui.

Moi, j'ai juste une petite inquiétude. Tu sais, on se parlait que les objets connectés à l'Internet of Things, on peut les connecter à nos réseaux en utilisant le YoYo ID, puis ils sont attachés à un certificat, et ce certificat est stocké dans un HSM ou TPM ou «whatever», pour que les gens soient, comment dire, identifiés et sécurisés comme vous l'avez mentionné tantôt.

Mais, par contre, moi, ce qui m'inquiète... L'idée, j'aime bien, je ne peux pas dire que je n'aime pas l'idée. Mais comme mon collègue disait, il y en a pas mal, des milliers et des milliers, des objets connectés qu'il faut qu'on connecte. Et, de plus, le travail en arrière-plan, à toutes les fois que quelqu'un change un cellulaire ou change un portable, je veux dire, la maintenance de ces bases de données, ça va être colossal. Alors, je ne sais pas comment vous pouvez me répondre à cette question-là, s'il y a une façon que vous savez qu'on peut faire la maintenance des bases de données vite, à toutes les fois que quelqu'un change un cellulaire ou un portable, ce serait... je serais très heureuse à vous entendre.

M. Cuppens (Frédéric) : Donc, ça, c'est une bonne remarque, hein? L'insertion et le retrait d'un objet doit être complètement sécurisé, donc doit être à la fois simple et sécurisé. Donc, il faut qu'une fois qu'on a attribué une identité numérique à un objet, cet objet puisse s'intégrer facilement et se connecter aux services, et qu'une fois qu'effectivement l'objet n'est plus... n'est plus... n'est plus disponible, il faut... il faut effectivement pouvoir le retirer facilement. Donc, par rapport à ça, bien, c'est déjà des choses qui existent au niveau des certificats. Quand vous vous connectez sur Internet, que vous accédez à votre banque, à tout moment, la banque peut enlever un certificat et le rendre inopérant. Donc, ça, c'est déjà des choses qui existent et qui sont en général gérées par des règles de... des listes de révocation. Et donc le même genre de mécanisme serait applicable pour qu'un objet puisse rejoindre le service, avec un mécanisme d'attribution d'une entité numérique qui, de mon point de vue, ne différerait pas...

M. Cuppens (Frédéric) : ...de celle de l'attribution pour les entités physiques et morales, dès lors qu'effectivement l'objet est intitulé du bon certificat et ensuite le retrait de l'objet se ferait via la gestion de liste de révocation comme on le fait pour pour gérer les certificats.

Une voix : Merci.

M. Cuppens (Frédéric) : Je ne sais pas si ça répond à la question. Encore une fois, je n'ai pas toutes les solutions.

• (15 h 50) •

Le Président (M. Simard) : M. le ministre, il vous reste 45 secondes.

M. Caire : Oui, bien en fait, je voulais revenir sur l'identification, l'authentification et l'autorisation ou les accès, pour dire je... Je comprends ce que vous dites, mais ce qu'il faut comprendre, au niveau du projet de loi, c'est qu'en créant une identité numérique, on veut identifier, authentifier les gens, mais les accès ou l'autorisation, c'est quelque chose qui doit se faire organisation par organisation, parce qu'il y a tellement de paramètres légaux, réglementaires, etc., de sécurité qui entrent en ligne de compte. Je ne pense pas qu'on puisse mettre les autorisations au niveau de la loi comme on le fait avec l'identification et l'authentification. Voilà.

Le Président (M. Simard) : Très bien. Alors, nous allons poursuivre. Mme la députée de la Pinière, la parole vous appartient.

Mme Caron : Combien de temps?

Le Président (M. Simard) : Et techniquement, environ... attendez, je... oui, 9 min 54 s.

Mme Caron : Merci.

Le Président (M. Simard) : Je n'ai pas mes lunettes, hein, c'est toujours difficile.

Mme Caron : Merci. Alors, bonjour à vous trois. Merci pour votre présentation. Je pense que vous avez touché vraiment un point sensible en parlant d'authentification d'identité numérique pour les objets connectés. Alors, vous aviez mentionné des objets connectés intégrés à des infrastructures critiques. On a parlé de... de... aussi d'objets connectés même dans les maisons. Moi, ce qui m'est... ce qui me... ce qui m'interpelle le plus, c'est, par exemple, à l'heure actuelle, le gouvernement tente d'effectuer un virage vers le soutien à domicile pour les personnes aînées. Et donc il y a aussi, je dirais, l'intelligence artificielle qui va arriver de plus en plus dans ce contexte-là. Que ce soit une personne qui... qui demeure seule dans son appartement ou dans sa maison, il pourrait y avoir toutes sortes de capteurs pour détecter si elle fait une chute, si elle a une baisse de pression, en tout cas pour... pour surveiller pour son propre bien, comme on dirait. Sauf que, si tous ces objets sont... sont connectés, s'il y a une communication qui se fait, même si ce sont des objets qui sont... qui sont vraiment bien authentifiés et tout ça, il peut avoir des changements de posologie qui vont se faire, des commandes qui vont se passer à la pharmacie ou tout ça. Je parle un petit peu dans le futur. Mais, à ce moment-là, j'ai... je ne suis pas une spécialiste comme vous, mais j'ai l'impression que l'utilisateur, le citoyen perdrait pas mal le contrôle, alors que depuis tantôt, depuis ce matin, on parlait d'autosouveraineté de son identité numérique, de contrôler les... les renseignements personnels qui sont donnés. Alors, je vois ça... Donc, les objets connectés, l'identité numérique des objets connectés m'interpelle beaucoup dans ce... dans ce contexte-là. Alors, peut-être que vous pourriez soit me rassurer, soit nous mettre en garde contre certaines choses.

M. Cuppens (Frédéric) : Puis l'exemple du domaine médical est excellent. Je pense que de plus en plus effectivement de personnes âgées sont équipées de ce genre d'objets, avec les problèmes de sécurité que ça pose, hein, en termes de protection de la vie privée, en termes d'intégrité des données, en termes de disponibilité aussi de ces données. Donc, il y a encore du travail à faire en termes de sécurité, hein? C'est clair que, de toute façon, la sécurité à 100 % n'est jamais accessible, mais là on est vraiment sur des applications qui posent de vrais problèmes de sécurité. Les vulnérabilités associées aux objets, ce n'est qu'en imposant justement, de mon point de vue, des exigences réglementaires en termes de sécurité qu'on va améliorer globalement la sécurité de l'Internet des objets.

Si je prends l'exemple des véhicules connectés, tant que la tendance sera d'avoir des voitures les moins chères possibles, bien, naturellement, ça pose un problème au développement de véhicules connectés et a fortiori de véhicules autonomes. C'est... Aujourd'hui, il y a peut-être des solutions de sécurité pour les véhicules autonomes. Je prends cet exemple parce qu'on travaille là-dessus, mais je pourrais prendre des... également dans le domaine de la santé. Le principal blocage pour effectivement développer des véhicules autonomes sécurisés, c'est le coût que ça représente et parce qu'effectivement on est dans un domaine très, très concurrentiel où, au bout du compte, les constructeurs automobiles veulent vendre à tout prix les voitures les moins chères possibles, et cette tendance va continuer avec la concurrence asiatique. Et donc je pense que, dès lors qu'on a des applications un petit peu critiques, voire...

M. Cuppens (Frédéric) : ...peu critiques, voire très critiques, eh bien, il faut... il faut qu'effectivement ça passe par des exigences au niveau des lois pour imposer, effectivement, des contraintes, en termes de sécurité, par rapport aux produits et aux solutions qui vont être déployés sur le marché. Donc, c'est mon point de vue, et je pense que c'est par là qu'on arrivera à améliorer, globalement, la sécurité des objets connectés.

Mme Caron : Alors, est-ce qu'on peut faire l'analogie avec les voitures autonomes, que plus on a de sécurité, plus elles coûtent cher? Est-ce que ce sera la même chose pour les autres objets connectés qui ont une identité numérique? Est-ce que plus on voudra s'assurer qu'il y a des niveaux de sécurité plus ça va coûter cher pour avoir ces objets-là ou pour gérer le système, disons, d'identité numérique?

M. Cuppens (Frédéric) : Alors, je ne suis pas économiste, mais, si vous vous rappelez bien, les premiers fours micro-ondes coûtaient une fortune, et puis, au fur et à mesure que les gens en achetaient, les prix ont baissé considérablement. Je pense que la tendance, pour la sécurité dans les objets connectés, ça va être la même. Dès lors qu'effectivement il y aura des obligations à respecter par rapport à la sécurité, ça va représenter un coût au début, mais, petit à petit, les coûts vont baisser, dès lors qu'on va être sur des objets qui vont être déployés à des millions d'exemplaires. Donc, encore une fois, je ne suis pas... je ne suis pas économiste, mais je pense que c'est ce qu'on peut raisonnablement anticiper.

Mme Caron : D'accord, merci. Maintenant, j'aurais une question sur votre recommandation 11 dans le mémoire, à la page 6, où vous disiez... vous observiez que l'intelligence artificielle n'était pas mentionnée dans la loi, à part dans une mention de l'interdiction du profilage, et vous recommandiez la pertinence d'inclure des dispositions qui préciseraient les conditions et paramètres d'utilisation de l'intelligence artificielle, ainsi que sa surveillance, en lien avec le déploiement d'une identité numérique nationale. Est-ce que vous avez des exemples ou des modèles de... de dispositions de ce genre-là qui... de conditions et de paramètres d'utilisation de l'intelligence artificielle que vous avez vus, par exemple, dans d'autres... d'autres législations?

M. Cuppens (Frédéric) : Je suis en train de me rendre compte que je réponds à toutes les questions. Donc, pour cette question, je vais passer la parole à Benoit Dupont, qui va pouvoir, effectivement, répondre très... très... de façon très pertinente à cette question.

M. Dupont (Benoit) : Merci, cher collègue. Alors, non, malheureusement, il n'existe pas d'exemple d'intégration des... des dispositions sur l'usage de l'intelligence artificielle par rapport à des législations sur l'identité numérique. Mais comme le profilage est déjà mentionné dans le projet de loi, et qu'on imagine que ce profilage qui est interdit, pourrait être utilisé... en fait, serait mené dans un monde où il ne serait pas interdit par des intelligences artificielles, mais que, par ailleurs, on va vouloir utiliser de l'intelligence artificielle pour protéger l'identité numérique — dans le registre, notamment, on va être protégés, certainement, par des outils d'intelligence artificielle — ce serait peut-être bon de spécifier quels sont les usages légitimes de l'intelligence artificielle qui seront mobilisés dans le cadre de la protection de l'identité numérique des Québécois, pour les rassurer, pour assurer, peut-être, un peu de transparence, pour énoncer un certain nombre de principes, par exemple, découlant de... de la Déclaration de Montréal, qui pourraient faire en sorte qu'on reconnaîtrait que des outils d'intelligence artificielle vont être nécessaires pour protéger l'identité numérique sans nécessairement que cela, obligatoirement, conduise à un profilage des usagers. Donc, c'était un petit peu la teneur de... de cette recommandation.

Mme Caron : Merci. Il reste combien de temps?

Le Président (M. Simard) : 2 min 28 s.

Mme Caron : D'accord. Alors, bien, je vais revenir sur un point que j'ai oublié tout à l'heure, à propos des objets connectés. Vous disiez que le Québec serait précurseur si on avait... on intégrait ça à l'identité numérique, et précurseur parce que ça n'existe même pas en Estonie, alors que l'Estonie est évoquée en... en modèle depuis plusieurs années. Est-ce que... est-ce qu'on sait pourquoi ce n'est pas intégré en Estonie? Est-ce que ça nous donne une... une indication de la complexité ou... ou, simplement, de la nouveauté de... de cette proposition?

M. Cuppens (Frédéric) : Je... je sais qu'en Estonie ça fait partie des réflexions. Je sais que... j'ai vu... j'ai vu, effectivement, que c'était envisagé. Répondre à la question pourquoi ce n'est pas, aujourd'hui, mis en place, encore une fois, je pense qu'il... il faudrait faire une analyse de risque complète pour identifier, effectivement, la complexité du problème. Mais je pense qu'il y aura des... dans... dans un avenir proche qui vont, effectivement, s'orienter vers... vers ça. J'ai mentionné l'Estonie, j'ai vu aussi des choses...

M. Cuppens (Frédéric) : ...Singapour, dans ce sens, donc. Je ne saurais pas dire à quelle échéance ça va arriver. C'est un peu comme l'ordinateur quantique, hein, on en parle, mais on ne sait pas exactement quand est-ce que ça va être opérationnel. Pour ça, je pense que... Ça va arriver un jour. Je pense qu'il y a des... pays qui vont... qui vont commencer à envisager ce genre de choses, il commence d'ailleurs à y en avoir. Je n'ai pas trouvé aujourd'hui de calendrier précis en termes de projets de déploiement de ce genre de solution. Donc, effectivement, le Québec serait pionnier, comme je l'avais dit dans ma présentation, si un tel projet était envisagé.

• (16 heures) •

Mme Caron : Merci. Et dernière question pour ma part. Dans votre recommandation numéro huit, vous proposez de préciser les mécanismes de gouvernance et le modèle de partenariat prévu avec le secteur privé. Ça, c'est toujours un petit peu chatouilleux, si parfois on est... On veut bien proposer...

Le Président (M. Simard) : ...

Mme Caron : Bon, j'en reste là, on n'a pas...

Le Président (M. Simard) : Il vous reste 10 secondes.

Mme Caron : Bien, si on a... On est peut-être plus à l'aise de donner des données à l'état, mais de là à savoir qu'elles vont être partagées avec le privé, je pense qu'on est un petit peu plus chatouilleux de ce côté-là.

Le Président (M. Simard) : Très bien. Merci beaucoup, chère collègue. M. le député Maurice-Richard, vous disposez de3 min 18 s.

M. Bouazzi : Merci, M. le Président. Très heureux de recevoir... vous recevoir ici parmi nous, même virtuellement. Bien, en fait, j'ai... Il y a plusieurs choses qui m'ont un peu étonné dans ce que vous avez dit. Vous avez parlé de toutes les questions d'autorisation. Moi, je n'ai pas vu une seule chose qui pourrait nous permettre de penser qu'on fait autre chose que de l'identification ou de l'authentification, mais... Mais je ne vois aucune... aucun mécanisme d'autorisation dans ce projet de loi là. Est-ce que... est-ce que... est-ce qu'il y a quelque chose de particulier auquel vous faisiez référence?

M. Cuppens (Frédéric) : Je ne fais pas... Effectivement, c'est un point... un point important, le projet de loi ne le mentionne pas. Comme l'a dit le ministre Caire, on peut envisager différentes solutions pour déployer l'autorisation, soit centraliser soit décentraliser. In fine, les données dont on a besoin pour décider si tel ou tel service est autorisé dépend effectivement des fonctionnalités de ce service.

Maintenant, si on veut avoir un contrôle d'accès sécurisé, ça inclut les fonctions d'identification, ça inclut les fonctions d'authentification, mais ça inclut aussi les fonctions d'autorisation. Et donc, pour assurer la sécurité au même niveau de l'autorisation par rapport à l'identification et l'authentification, il nous semblait, même si ce n'était pas précisé dans le projet de loi, que c'était bien que ça repose aussi sur les fonctions centralisées assurées par l'identité numérique nationale, dans la mesure où on a besoin de données sécurisées...

M. Bouazzi : Excusez-moi, excusez-moi, je vais vous... je vais vous... je vais vous couper parce que j'ai très peu de temps. Je comprends l'importance de l'autorisation, ça, je vous... vous n'avez pas à me convaincre. Ceci étant dit, on est d'accord qu'il n'y a aucune description... même du mot dans le projet de loi. Ça fait que, si vous... si vous pensez que c'est très important, il faudrait peut-être l'intégrer, là. C'est une question. Moi, je dois avouer que, techniquement, je suis plutôt en désaccord avec vous, mais je n'ouvrirai pas cette parenthèse tout de suite, étant donné la taille de tous les ministères et toutes les... centraliser l'autorisation là-dessus, au minimum il faudrait que ce soit distribué, mais...

Mais j'irais sur la question des objets en tant que telle. Ici, on ne parle pas d'un système de... genre de IAM, là, où on authentifie, même deux systèmes qui se parlent, on authentifie des personnes et voire des personnes morales, même ça, je pense qu'il y a matière à réflexion, mais c'est des personnes qui ont des responsabilités légales si elles font des choses. Si moi, j'ai une ampoule ou même de l'intelligence artificielle qui décide de se connecter et de faire des choses, est-ce que vous avez même évalué c'est quoi, les conséquences légales de donner des droits d'accès à ces choses qui n'ont pas d'obligation légale?

Le Président (M. Simard) : En 30 secondes.

M. Cuppens (Frédéric) : C'est un bon point. Moi, je ne suis pas un... je ne suis pas juriste, mais effectivement, j'ai parlé de robots, d'avatars, mais ces robots et ces avatars doivent travailler pour le compte d'une personne, une personne physique ou morale qui a son identité numérique. Mais il ne faut pas confondre cette identité numérique avec l'identité numérique qu'aurait l'objet connecté, ce sont des choses différentes. Et c'est justement comme ça qu'on va pouvoir gérer les responsabilités.

Le Président (M. Simard) : Très bien. Alors, voilà. S'il n'y a pas d'autre intervention, nous allons donc mettre un terme à votre présentation...

Des voix : ...

Le Président (M. Simard) : Donc, conséquemment, Pr Cuppens, merci beaucoup pour votre présence, et, à travers vous, bien sûr, je remercie vos collègues.

Sur ce, nous allons suspendre momentanément nos travaux.

(Suspension de la séance à 16 h 04)

(Reprise à 16 h 08)

Le Président (M. Simard) : Alors, chers collègues, nous poursuivons nos travaux. Et, à ce stade-ci, nous avons l'honneur de recevoir le P.D.G., le président-directeur général de la Régie de l'assurance maladie du Québec. M. Thibault, soyez le bienvenu parmi nous.

M. Thibault (Marco) : Merci, M. le Président. M. le ministre de la Cybersécurité et du Numérique, Mmes, MM. les députés et membres de la Commission des finances publiques, c'est avec grand intérêt que la Régie de l'assurance maladie du Québec participe aujourd'hui aux consultations particulières sur le projet de loi n° 82, Loi concernant l'identité numérique nationale et modifiant d'autres dispositions. Nous tenons d'ailleurs à vous remercier de nous avoir invités et, par cette occasion, de pouvoir échanger avec vous au regard du potentiel que représente une identité numérique nationale pour notre organisation.

D'entrée de jeu, sachez que la Régie de l'assurance maladie souscrit aux objectifs de ce projet de loi. Celui-ci démontre clairement la volonté du gouvernement du Québec de faciliter l'accès à la prestation de services en ligne pour les citoyens, en leur octroyant une identité nationale numérique, tout en assurant la sécurité des données. Il s'agit d'un premier jalon d'importance en matière de gestion de l'identité au Québec. Nous accueillons aussi favorablement le développement de sources officielles de données numériques permettant la réutilisation et la fiabilité de ces données.

Notre allocution abordera plus spécifiquement deux thèmes, soit l'identité numérique nationale et le partage de données. Mais d'abord, permettez-moi de rappeler la mission de la régie, qui est responsable de la saine gestion du régime d'assurance maladie et du régime public d'assurance médicaments du Québec. La RAMQ est donc au service de 8,5 millions de personnes, couvertes par son régime d'assurance maladie. De ce nombre, 3,9 millions de personnes sont également inscrites au régime public d'assurance médicaments. La RAMQ administre aussi plus d'une quarantaine de programmes, touchant, par exemple, les aides auditives et visuelles, ainsi que le remboursement de certains frais médicaux engagés par les Québécois à l'extérieur du Québec. Elle rémunère plus de 60 000 professionnels de la santé et autres dispensateurs de services, conformément...

M. Thibault (Marco) : ...ententes ou autres modalités conclues entre les fédérations médicales et associations professionnelles avec le ministre de la Santé, en plus d'assurer les contrôles qui y sont requis.

• (16 h 10) •

Selon notre compréhension, ce projet de loi permettra notamment aux citoyennes et aux citoyens de bénéficier d'une identité numérique afin d'accéder de façon sécuritaire et simplifiée aux prestations électroniques des services gouvernementaux des différents ministères et organismes du gouvernement du Québec. Il s'agit, selon nous, d'une avancée significative. Toutefois la création de l'identité numérique met en lumière une autre dimension d'importance de ce sujet, selon nous, soit l'absence d'une pièce d'identité nationale au Québec. Présentement, en l'absence de cette dernière, la carte d'assurance maladie est utilisée à des fins identificatoires.

Dans le cadre de ce projet de loi, le fait que le ministère de la Cybersécurité et du Numérique devienne la source officielle de données numériques gouvernementales pour l'identité numérique nationale nous apparaît plus positif puisque cette désignation limitera dorénavant l'utilisation de la carte d'assurance maladie à titre de moyen d'identification. Toutefois, dans plusieurs situations, une carte d'identité nationale continuera d'être requise. Nous n'avons qu'à penser à l'achat de produits réglementés comme le tabac et l'alcool, l'accès à un établissement interdit aux mineurs, le vote dans le bureau de scrutin, l'ouverture d'un compte bancaire, etc.

La carte d'assurance maladie pallie présentement l'absence de carte d'identité nationale et dénature sa visée d'origine, soit de permettre d'accéder aux soins offerts par le système de santé et des services sociaux. De plus, l'utilisation actuelle de la carte d'assurance maladie à des fins identificatoires limite les possibilités envisageables par la régie dans le cadre de sa transformation numérique. En fait, que l'identité numérique nationale puisse être portée, en partie ou en totalité, par une clé liée aux soins de la santé soulève des questionnements plus larges, soit celles concernant l'identité factuelle au Québec. D'ailleurs, nous tenons à rappeler que la RAMQ possède uniquement des données de citoyens admissibles à l'assurance maladie. Cela exclut donc certaines populations comme les demandeurs d'asile, les travailleurs temporaires avec permis de travail ouverts ou encore des étudiants étrangers sans entente de réciprocité avec leur pays d'origine.

Il serait par conséquent plus adéquat que la possession d'une carte d'identité physique avec photo soit liée au fait de résider au Québec et non liée au fait qu'une personne soit admissible à l'assurance maladie. De plus, si le gouvernement du Québec allait de l'avant avec la création d'une pièce d'identité physique unique avec photo, cela permettrait d'engendrer davantage de possibilités et de bénéfices au projet de loi no 82 en matière de simplification. En effet, avec l'avènement d'une carte d'identité québécoise, l'existence numérique nationale prévue au présent projet de loi permettrait d'envisager, à terme, à titre d'illustration, la dématérialisation complète à la fois de la carte d'assurance maladie ou de tout autre document émis par l'État.

De plus, pour certaines populations, l'accès aux services en ligne peut représenter un défi. Nous n'avons qu'à penser aux personnes avec un faible niveau de littéracie, à celles qui n'ont pas accès à Internet ou qui n'ont pas la technologie pour y accéder. Le fait de se doter d'une identité factuelle nationale assurerait une cohérence autant pour l'ensemble de la population que pour les ministères et organismes qui doivent gérer l'identité des citoyens de façon indépendante, et ce, peu importe le mode de consommation des services gouvernementaux, qu'il soit numérique ou physique. La RAMQ serait très intéressée à contribuer à une telle réflexion qui nous apparaît porteuse pour la société. Le cas échéant, nous nous rendrons disponibles avec plaisir pour travailler en ce sens.

À titre de responsable de la gouvernance et de la gestion de l'identité numérique nationale, le MCN désignera les organismes publics pour agir comme source officielle de données numériques gouvernementales. Le projet de loi prévoit à terme que les ministères et organismes devront utiliser les renseignements identifiés par les MCN et détenus par les autres ministères et organismes. Il s'agit d'une autre avancée intéressante. La RAMQ est une source importante d'information et un grand utilisateur de données pour l'administration de ses programmes et des activités afférentes à sa mission. Toutefois, selon notre compréhension, l'actuel projet de loi ne semble pas déterminer les façons d'accéder aux données numériques gouvernementales pour l'identité numérique nationale ou encore la tenue du registre de cette identité. Peut-être s'agit-il pour nous d'une erreur de lecture, mais c'était difficile de l'identifier.

Il importera donc de prévoir une voie d'accès simple et fluide à ces informations. Bien sûr, il va de soi que la fiabilité de la donnée, les mesures de sécurité en place et la protection des renseignements confidentiels demeurent des éléments d'importance pour la régie. D'un point de vue opérationnel, en tant qu'organisme qui détient des données requises pour la constitution et la tenue de l'actuel registre d'attributs d'identité gouvernementale et qui devra continuer à communiquer pour les fins du registre de l'identité numérique nationale, l'actualisation du projet de loi soulève des questionnements quant aux ressources humaines, financières et technologiques qui seront nécessaires pour...

M. Thibault (Marco) : ...déployer l'initiative, réviser les processus en place, assurer le maintien et l'interopérabilité avec les systèmes ainsi que la pérennisation de la solution. En ce sens, la Régie souhaite travailler de concert avec ses partenaires gouvernementaux afin de trouver les moyens les plus simples et économiques, sans nuire aux activités de mission des ministères et organismes.

Par ailleurs, l'un des facteurs du succès pour mener à bien cette initiative repose sur le calendrier de réalisation. Bien que l'on souhaite une mise en œuvre rapide et simple, il faudra tenir compte des réalités opérationnelles de chacune des parties prenantes. Un calendrier réaliste comportant des étapes progressives et mesurables sera essentiel pour garantir une transition harmonieuse. L'expérience client citoyenne devant demeurer la priorité selon nous.

Finalement, nous tenons à souligner un ajout intéressant en matière contractuelle. Le ministère de courtier en infonuagique pour le compte des organismes publics, en rendant disponibles des offres infos numériques par type de biens et/ou de services. À cette fin, le courtier élabore un catalogue d'offres d'infonuagique destiné à répondre aux besoins de tels organismes et l'accompagne en cette matière.

L'article 36 du projet de loi prévoit l'élargissement des services offerts par le courtier en ajoutant la technologie spécialisée à son catalogue. Cet ajout est positif pour le secteur de la gestion contractuelle, car il permet de bonifier les options actuellement proposées en infonuagique. Cependant, il aurait été bénéfique, selon nous, de permettre que le projet de loi octroie des contrats de cinq à 10 ans dans le cas d'acquisition de biens par le courtier. À notre avis, avoir étendu la durée de ces... de contrats aurait permis d'obtenir des gains d'efficacité. Il faut se rappeler que les coûts d'acquisition et d'implantation des technologies militent, selon nous, pour un amortissement des efforts pour une plus longue période.

En guise de conclusion, la Régie est fière de contribuer aux travaux gouvernementaux en fournissant les identités du registre soutenant l'identité numérique. Le présent projet de loi présente plusieurs gains potentiels pour le citoyen et l'appareil gouvernemental. Toutefois, nous nous permettons et réitérerons que nous gagnerions encore plus à mener une réflexion gouvernementale sur la gestion de l'identité au Québec afin de contrer les inconvénients qui confèrent la disparité de la gestion d'identité entre les citoyens, mais également dans la prestation de service gouvernemental. Soyez assurés de l'intérêt de la Régie à participer à cette réflexion. Nous attendrons donc également, avec les intérêts du ministère à l'égard de l'encadrement du partage des données numériques gouvernementales. Pour la suite, je suis disposé à répondre à vos questions, M. le Président.

Le Président (M. Simard) : Merci à vous, M. Thibault, et je cède la parole à M. le ministre.

M. Caire : Oui, merci, M. le Président. Je dois dire, M. Thibault, que je suis assez, assez d'accord avec l'ensemble de ce que vous avez... de ce que vous avez dit. Je vais revenir sur la question des contrats parce que, ça, c'est un élément que vous amenez qui... qui m'intéresse particulièrement, mais j'ai peut-être quelques craintes sur la durée des contrats et puis la capacité à susciter de la concurrence, de la compétition, là, vous comprendrez ça.

Mais sur l'identité numérique, mon Carnet santé est un des utilisateurs du service d'authentification gouvernemental. Est-ce que vous trouvez que cette cette solution-là qu'on propose offre des avantages à votre organisation, par rapport à cliqSECUR, par exemple, qui... qui est aussi... qui est encore en fonction pour l'instant — et je me permettrai de dire «pour l'instant» — et dans quelle mesure, justement, le fait de déployer ce service d'authentification là, qui est la base de ce qui va s'en venir en termes d'identité, va procurer des avantages à des organisations comme la vôtre?

M. Thibault (Marco) : Je le prendrais par analogie, si vous me permettez, M. le ministre, en répondant à la chose suivante. Comme citoyen, on n'est pas en relation régulière avec l'État québécois, contrairement avec notre institution financière, par exemple, où là, notre identifiant et notre mot de passe, on l'utilise, et on peut utiliser, dans certaines applications, la reconnaissance faciale. Ce qui fait que l'usage fréquent de ces.. de ces dimensions-là fait en sorte que c'est facile pour le citoyen de consommer les services en ligne.

Dans le cas des services gouvernementaux, la fréquence que les citoyens pourraient avoir accès ou demander des services à la Régie va être variable dans le temps, puis ça peut arriver une fois, puis dans quatre ans, je vais y avoir besoin. Des fois, ça va être dans deux mois. Des fois, ça va être dans des fréquences plus rapides. Or, avec le service d'identité gouvernemental, c'est le même identifiant, peu importe les ministères et organismes, et ça, c'est un élément qui facilite l'appropriation par le citoyen de son propre identifiant, de son propre accès, sans égard au ministère. Donc, à terme, plus celui-ci sera déployé dans l'ensemble de la prestation de services numériques gouvernementale, plus on en facilitera l'usage au même titre. Puis c'est pour ça que je vous ai fait l'analogie avec nos institutions financières. Je ne sais pas si je réponds, M. le ministre.

M. Caire : Tout à fait, tout à fait, puis je vais faire du pouce sur ce que vous avez dit et ce que vous avez dit dans votre présentation...

M. Caire : ...vous avez dit aussi dans votre présentation sur l'usage illicite qu'on fait de notre carte d'assurance maladie et de l'identité numérique. Puis c'est peut-être un peu là-dessus aussi que je veux vous entendre. On sait très bien que, par exemple, je vais à un centre de collecte, écocentre, pour du recyclage, on me demande de m'identifier. Je présente ma carte d'assurance maladie. M. Thibault, on s'entend que la carte d'assurance maladie ne devrait pas être présentée à quelqu'un qui travaille dans un écocentre. En termes de protection des renseignements personnels, cette façon de faire là, jusqu'à quel point, vous, ça peut vous causer des problèmes en termes de fraude, de création de fausses cartes, etc.

• (16 h 20) •

M. Thibault (Marco) : Bien, c'est... Votre question est fort pertinente du point de vue de la régie. Il faut savoir que faute... Ce n'est pas tout le monde qui a un permis de conduire. Donc, quand on regarde au niveau de l'État québécois, l'entité qui est la plus susceptible d'avoir une carte avec photo pour être capable, c'est la carte d'assurance maladie. Elle devient donc, malgré ce que la loi dit, de facto, une pièce d'identité. Ce qui fait en sorte que donc des renseignements qui s'y retrouvent sont susceptibles d'être détenus par des tiers. Par conséquent, de confirmer qu'on a l'âge, c'est une chose, mais d'avoir la date de naissance, c'en est une autre. Et d'avoir le numéro...

M. Caire : ...

M. Thibault (Marco) : Et voilà! Et c'est là que, nous, ça nous cause malaise. Ça fait que, pour nous, l'identité numérique est une façon de pallier à cet enjeu-là. Mais l'identité factuelle par une autre pièce serait aussi une façon pour ceux et celles qui ont des enjeux d'y avoir accès, serait une façon de venir, de venir sortir le renseignement personnel, soit du permis de conduire, éventuellement, ou soit celui de la carte d'assurance maladie de l'écosystème. Parce que ce que les institutions ont besoin d'avoir, c'est la preuve qu'on existe vraiment, pas le numéro qui y est associé.

M. Caire : On prend de ce que vous dites que la Régie de l'assurance maladie du Québec s'attend à ce que l'identité numérique qui sera fournie par le MCN donne suffisamment de contrôle aux citoyens pour n'afficher que les renseignements nécessaires à la prestation de services. On le disait tout à l'heure, si on veut consommer de l'alcool, on doit prouver qu'on a 18 ans. On n'a pas besoin de donner sa date de naissance, son nom, son prénom, son adresse, son numéro de permis de conduire ou son numéro de carte d'assurance maladie. Donc, ce que je comprends en même temps, c'est que vous nous enjoignez d'avoir cette flexibilité-là au niveau de l'identité numérique qu'une carte physique n'aura pas, finalement.

M. Thibault (Marco) : Bien, la carte physique pourrait l'avoir si celle-ci est associée à une technologie qui permettrait d'avoir le même effet que le «wallet». Parce que je réfléchis toujours à... Il y a des... Il y a des personnes qui n'auront pas de téléphone cellulaire ou qui n'auront pas cette technologie-là qui le leur permettra. Comment celles-ci pourraient avoir accès aux services gouvernementaux. De par la nature des clientèles que la régie dessert, ça fait partie de nous, partie intégrante, dans le sens... O.K. Eux autres, ils vont avoir besoin des modes traditionnels. Comment s'identifient-ils faute d'identité numérique ou d'outils? Ça fait que... Et c'est pour ça que, pour nous, l'identité factuelle peut devenir un levier qui permettrait de couvrir cette dimension-là. C'est comme un complément, hein, c'est deux facettes d'une même dimension.

M. Caire : Mais je vous avoue que je ne vois pas, là, comment une carte physique pourrait me permettre, par exemple, de ne pas afficher ma date de naissance, tu sais, dans une identité transversale nationale. On comprend qu'il n'y aurait pas de numéro d'assurance maladie, il n'y aurait même pas de numéro de permis de conduire, mais il y aurait quand même le nom, le prénom, la date de naissance, le genre, etc., de l'individu sur la carte physique, là. C'est cette notion-là, que vous amenez, que ça, je ne suis pas sûr que je vois comment on pourrait contrôler ça.

M. Thibault (Marco) : Bien, on pourrait contrôler... Bon, il faut voir à la réflexion... Puis sur ça, on est prêts à participer à cette réflexion-là, jusqu'où on y va.

M. Caire : O.K.

M. Thibault (Marco) : Parce que la définition de ce qui devrait y être et ne pas y être, pourquoi s'enfarger même dans la question du genre? On pourrait avoir le nom tout simplement. Ça fait que, pour moi, c'est un élément de réflexion qu'on devrait avoir avec les différents partenaires gouvernementaux. La question que je vous... qu'on vous soulève est la suivante. Ceux et celles qui n'ont pas accès à la technologie, mais qui doivent consommer des services gouvernementaux et qui doivent s'authentifier, pour avoir accès seulement et seulement ce qui est nécessaire à la prestation de services du ministère ou organisme. S'ils n'ont pas la technologie, comment ils y ont accès? C'est... Quel est le support? Ça fait que c'est dans ce contexte-là que la pièce plus physique peut être un moyen d'y arriver. C'est dans ce contexte-là qu'on l'évoque.

M. Caire : Vous avez parlé d'identité numérique comme facilitateur à la transformation numérique de votre organisation. J'aimerais vous entendre sur votre vision d'une éventuelle attestation d'assurance maladie parce que, si on...

M. Caire : ...on reste dans l'univers numérique, évidemment on ne parle plus d'une carte, on parle d'une attestation. Et quel serait l'impact positif/négatif pour votre organisation?

M. Thibault (Marco) : Sans annoncer la suite des choses, mais je vais...

M. Caire : Ah bien, vous pouvez, hein?

M. Thibault (Marco) : Oui, mais je vais me garder quand même une petite gêne, parce qu'il y a encore des travaux à être complétés, mais ça vous donne des éléments sur lesquels présentement la Régie réfléchie, mais que, de par l'effet qu'elle supplée au niveau de l'identité par une pièce physique, on n'est pas capables d'aller là. Je vous donne un exemple. Pour nous, si je dis au professionnel dans son cabinet que Marco Thibault, il est admis à l'assurance maladie, il voit ma photo, puis il y a un crochet vert ou un cercle vert, la job est faite, ça fait que j'ai juste à donner mon nom, mon adresse, le tout affiche, puis l'admissibilité est gérée. La pièce comme telle,  à la limite, même le numéro n'aurait pas besoin d'être dessus parce qu'il est dans le système. Ça fait que je viens d'éliminer un intrant que je renouvelle à tous les huit ans, avec une fausse perception de sécurité, à l'effet que parce que je prends une photo à tous les huit ans, j'ai une garantie de présence sur le territoire. Je pourrais faire cette gestion-là en continu et donc de façon à alléger le travail du citoyen qui doit prendre congé, se déplacer, se rendre dans un bureau soit de la Société d'assurance automobile, soit dans un CLSC pour prendre sa photo et s'authentifier. Donc, ça vous donne juste une idée de ce que la dématérialisation de la carte d'assurance maladie pourrait permettre. Puis, pour nous, l'objet et l'outil, puis quand on en parle avec les professionnels ou même avec les établissements, il n'est pas si utile que ça, c'est... ce qui est important, c'est de savoir qu'on a, bel et bien, le bon citoyen devant nous et qu'il est admissible à l'assurance maladie.

M. Caire : C'est important ce que vous venez de dire. J'aimerais ça vous entendre là-dessus parce que, quand je présente une carte d'assurance maladie, mais je n'ose pas dire papier, là, mais plastique, dans les faits, je n'ai aucune façon... le citoyen n'a aucune façon de s'assurer que ce n'est pas une fausse carte. Dans quelle mesure...

M. Thibault (Marco) : Il faut un oeil averti pour le savoir.

M. Caire : Ça prend... Oui, c'est ça, des professionnels vont être capables, mais M., Mme Tout-le-monde, mon employé ou à l'Écocentre ne sera potentiellement pas capable de faire ça. Dans quelle mesure, justement, via des attestations, via des tiers de confiance, dont la Régie de l'assurance maladie, l'identité numérique va, justement, nous assurer que... vous parliez tantôt : j'affiche j'ai ma photo, j'ai le crochet vert qui atteste que la réponse à la question, c'est oui, sur l'âge, sur, etc. Mais justement le travail sous-jacent, le travail qu'on ne voit pas, de validation de ça fait en sorte qu'on s'assure que, non seulement je valide l'identité de la personne, mais un tiers de confiance vient valider cette identité-là. Je pense, entre autres, à la création des comptes SAG pour lesquels, effectivement, la Régie est un partenaire qui valide l'identité des gens. Donc, je pense... je voudrais vous entendre là-dessus, parce que ça nous amène aussi à un niveau de confiance sur le fait que la pièce n'est pas une fausse pièce.

M. Thibault (Marco) : Oui. Honnêtement, on n'a pas réfléchi tant sur cette dimension-là et de faire le lien entre la fausse pièce, parce que c'est rarement la Régie qui est fraudée par l'utilisation d'une fausse pièce, c'est plus les... dans la société civile. Là, vous avez donné cet exemple-là parce qu'on finit par les rattraper au niveau de la facturation. Ça fait qu'une fois cela dit je vous dirais que ce qu'on voit par le partage de données et ce qui est proposé dans le... c'est qu'il y aurait une identité. Il ne faut pas qu'il y ait plusieurs identités. Et actuellement l'identité est désignée par la RAMQ d'une façon x, tant et aussi longtemps que c'est la RAMQ qui est le partenaire officiel et de source de confiance, ça va très bien, nous on matche. Mais les autres ministères et organismes n'ont peut-être pas les mêmes codes actuellement au niveau de l'identité, ça fait que donc d'avoir un tiers, le MCN, qui devient fédérateur, lui, va aider à s'assurer que l'identité, elle soit unique dans l'ensemble des ministères et organismes. Ça, ça va être un défi pour l'ensemble des MO de s'assurer. Puis je vous donnerais l'exemple pour nous, prenons l'hypothèse qu'il y a un changement de réglementation, de législation et que quelqu'un passe d'un statut de réfugié, je donnais l'exemple tantôt des réfugiés qui ne sont pas admissibles, à citoyen québécois pleinement admissible à l'assurance maladie, comment je fais pour le reconnaître alors qu'il n'existait pas? Ça fait que c'est pour ça que l'idée d'une identité plus globale fait en sorte que c'est plus facile d'arrimer ce type d'identité là. Je ne sais pas si j'ai...

M. Caire : Ah oui, non, non. Tout à fait. On est là-dedans à temps plein, ça fait que oui, ça me parle. Mais je vais revenir sur mes fameux contrats, parce que je vous avoue que...

M. Caire : ...je... je comprends ce que vous nous dites parce qu'effectivement, quand on signe un contrat avec un fournisseur de services, qu'on retourne en appel d'offres, puis c'est un autre fournisseur de services qui gagne l'appel d'offres, on change généralement toutes les plateformes, les technologies, les façons de faire, puis là il y a une période d'adaptation, puis de transition qui nous amène dans une zone d'insécurité opérationnelle que je comprends très bien. Comment, par contre, vous conciliez ça avec le fait que mon fournisseur gagne pour 10 ans, donc mes autres fournisseurs qui cette fois pour une raison X, Y, pour quelques milliers de dollars de plus, ont... ont perdu le contrôle? Alors, cette... cette... cette concurrence-là, cette compétition-là, comment vous, vous allez chercher les bénéfices? Jusqu'à quel point la stabilité va vous générer des économies qui vont compenser pour la perte de concurrence, de un? Et de deux, dans le cas... puis on est dans le domaine des technologies, M. Thibault, là, vous le savez mieux que moi, à quel point ça évolue vite, dans quelle mesure peut-on réfléchir sur un horizon de 10 ans?

• (16 h 30) •

M. Thibault (Marco) : O.K.

M. Caire : Puis je vous dis ça parce qu'on a cette réflexion-là, nous, on va étaler des investissements sur 10 ans en ressources informationnelles, puis on se dit : Bien, j'étale sur 10 ans, mais le cycle de vie est sur cinq, ça fait que, là, je ne suis pas sûr.

M. Thibault (Marco) : Je vais y aller d'abord avec toute... toute l'approche qui nous amène vers l'infonuagique.

M. Caire : O.K.

M. Thibault (Marco) : Donc, on est en mutualisation de logiciels avec des systèmes de tarification qui peuvent varier d'un fournisseur à l'autre, qu'il soit en consommation, qui est à la transaction... O.K. Bon, je n'irais pas plus loin dans cette dimension-là.

Cela étant dit, quand on implante et on utilise ces technologies-là si, demain matin, on les personnalise trop en lien avec notre mission, de faire des contrats de cinq à 10 ans, on en perd totalement le bénéfice parce que chaque mise à jour du fournisseur vient nous mettre des coûts exorbitants de recalibrer ce qu'on aurait développé maison pour s'acclimater à la solution. Dans la mesure où qu'on est le plus d'années possibles, c'est-à-dire qu'on épouse la technologie telle qu'elle est là, l'évolution dans le contrat, parce que ça fait partie des des éléments du... de l'infonuagique, c'est-à-dire qu'on bénéficie en continu des évolutions. On a moins de coûts liés à cette évolution-là par l'utilisation des technologies de manière native. Et c'est là qu'on doit faire ce genre de choix-là, parce que, sinon, le fait d'avoir des contrats courts nous amène dans du... dans des démarches administratives qui sont lourdes, fastidieuses, sans création de valeur. Et si on fait des démarches de trop personnaliser les solutions qu'on a acquises, encore là, on se tire dans le pied. Ça fait qu'il faut trouver le juste équilibre qui nous permet d'évoluer et d'avoir. Et donc le 10 ans, pour moi, n'est pas un enjeu d'évolution dans la mesure qu'on réussit à rester assez proche de la solution native qui a été proposée par le fournisseur.

M. Caire : C'est une flexibilité que vous devriez avoir.

M. Thibault (Marco) : Tout à fait, tout à fait.

M. Caire : Mais pas nécessairement une règle pure et dure.

M. Thibault (Marco) : Ah! non, non. Puis il y a des investissements dans certaines technologies. Je vous donne un exemple, là. On va... on est en train de réfléchir à est-ce qu'on devrait avoir... je vais le dire en anglais parce que je ne sais pas c'est quoi en français, un «client relationship management system», SCRM. Je ne changerai pas ça après trois ans, puis après cinq ans, c'est... les coûts d'implantation sont beaucoup trop importants. Ça fait que donc de mettre une règle courte sans égard à la nature de l'investissement pour nous pose problème, mais de le mettre très long pourrait poser problème dépendamment d'autres types d'investissements.

M. Caire : Merci.

Le Président (M. Simard) : Très bien, merci.

M. Caire : Merci.

Le Président (M. Simard) : Nous poursuivons Mme la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Souhaitiez-vous intervenir à ce stade-ci?

Mme Setlakwe : Oui, nous allons toutes les deux intervenir.

Le Président (M. Simard) : Parfait.

Mme Setlakwe : Écoutez, bonjour et merci beaucoup. J'ai manqué malheureusement votre présentation. J'étais prise au salon rouge dans un autre projet de loi. J'ai suivi les échanges et moi, j'ai une question d'ordre général. Vous parlez du... du déploiement et des... et des délais, et du fait que vous souhaitez... vous faites référence, à quelques endroits, à une réflexion, participer à la réflexion. Est-ce que vous pensez que... À quel moment est-ce que vous pensez qu'on va être prêts, que le gouvernement va être prêt à déployer ce... ce nouveau registre?

M. Thibault (Marco) : Ça, je ne peux pas répondre à cette question-là parce que, dans le projet de loi où on se parle, il y a... les éléments plus opérationnels ne sont... ne sont pas suffisamment définis pour être capables de répondre à cette question-là. Ça, j'irais plus du...

Mme Setlakwe : Non, je réalise que... Oui, je réalise que ce n'était pas... Non, en fait le.... C'est... Est-ce que, dans votre... selon votre optique, puis vous êtes quand même une partie intégrante de ce projet-là, vous... et on lit, on voit que vous parlez d'une réflexion. Il semble y avoir encore beaucoup de réflexion à faire. Je ne sais pas si vous...

M. Thibault (Marco) : Il y a deux éléments de réflexion sur lesquels...

M. Thibault (Marco) : ...bien, il y a deux éléments de réflexion sur lesquels on attire l'attention des membres de la commission, la création d'une identité factuelle, qui n'est pas celle numérique, qui est un complément à celle numérique. Deuxième élément de réflexion ou de préoccupation, plus que de réflexion, c'est de dire : Quand viendra le temps d'opérationnaliser, on souhaite, on lève la main, on dit : On est déjà partie prenante à la première phase, on veut l'être, parce que ce qu'on... Quand on fait ce genre d'actif là, pour la mission de l'État, hein, on n'est pas dans la mission de la régie, moi, ma préoccupation, avec mon comité de direction, c'est de dire : Oui, mais on a des services à rendre. Ça fait que comment qu'on concilie ce qu'on fait comme mission, tout en participant à quelque chose de plus grand que nous? Ça fait qu'il ne faut pas que l'un vienne au détriment de l'autre. Ça fait que c'est là qu'on interpelle plus les parlementaires sur quand viendra le temps de l'opérer puis de le mettre en œuvre, juste de tenir compte de cette... de cette dualité-là, que, comme P.D.G., j'ai l'imputabilité d'assurer le fonctionnement des deux... des deux rôles et des deux missions.

Mme Setlakwe : Non, non, absolument, et c'est fondamental, ce que vous dites, parce que le succès de toute cette affaire-là va... dépend d'un plan qui est bien, bien réfléchi, qui... Et on ne peut pas se permettre, là, de... un autre... un autre fiasco et un déploiement trop rapide d'une nouvelle... d'un nouveau ou d'une nouvelle plateforme, de nouveaux outils numériques, donc.

M. Thibault (Marco) : Mais, si vous me permettez, en précision, l'expérience qu'on vient de vivre, nous, pour le service d'authentification gouvernementale, avec les collègues du MCN, s'est très bien passée. Ça fait que la migration s'est bien faite. On a appris, tout le monde a appris, mais honnêtement, on a eu une très belle collaboration. Ça fait que c'est juste de... ce n'est pas... ce n'est pas «plug and play», c'est plus compliqué que ça, mais on devrait être capable d'y arriver si on prend soin de ça.

Mme Setlakwe : Et, vous avez peut-être déjà répondu, mais toute la question du pan de la population qui n'est pas prêt ou qui n'a pas... qui n'a pas les outils, qui n'a pas les connaissances, et tout. Vous vous attendez à... Est-ce que ça vous inquiète? Est-ce que vous pensez que vous allez avoir... vous avez les ressources nécessaires? Vous vous attendez à quoi en termes de population qui a besoin d'accompagnement puis de soutien?

M. Thibault (Marco) : Le projet de loi prévoit que, quand les gens vont venir consommer des services à la régie, ceux-ci utiliseront l'identité numérique nationale. Il reste des éléments opérationnels à définir, mais, pour nous, ça, ce n'est pas un enjeu. Cette dimension-là n'est pas un enjeu. L'élément de préoccupation que nous avons, c'est pour ceux et celles qui n'ont pas la littératie numérique, qui n'ont pas accès à Internet, qui n'ont pas accès aux appareils connectés. Là, on fait ça comment?

Et le besoin que la régie va avoir d'avoir l'identité de la personne avec qui elle transige de manière téléphonique, de manière en personne, on le fait comment? Et c'est là que, pour nous, on se dit : I faut penser les deux dimensions. Pour la régie, c'est un volet, mais, pour d'autres ministères, organismes, où qu'il y a plus de services au comptoir, ça peut être une autre dimension. Ça fait que comment qu'on... comment qu'on accompagne ces personnes-là qui ne l'ont pas? Puis, on le sait, on l'a vu dans toutes les juridictions qu'on a introduit du numérique dans l'offre de services, il y a une courbe, il y a une courbe qui est en croissance, mais il faut prendre en compte que, cette population-là, il faut l'amener, et l'épauler, puis l'accompagner pour qu'il y ait cette transition-là. Puis il y aura toujours des personnes qui ne migreront pas au numérique.

Mme Setlakwe : ...cette réflexion, elle est en cours? Vus en parlez déjà avec...

M. Thibault (Marco) : Nous, on s'en préoccupe dans le cadre de notre transformation. On se pose la question. Puis le numérique, là, ce n'est pas toujours... ce n'est pas toujours un site Web, un formulaire en ligne, ça peut être d'autres façons. Puis je vous donne une façon comment qu'on pense réduire la fracture numérique. D'autres parlent de... je cherche le mot, là, d'inclusion numérique. Quand on parle d'inclusion numérique, comment on peut utiliser la donnée sans forcer le citoyen à nous la redonner? Exemple, pour la Régie de l'assurance maladie, pour savoir si une personne est admissible à l'assurance maladie, a-t-elle résidé sur le territoire du Québec puis réside... est-ce qu'elle y réside toujours? L'État possède cette information-là. Ça fait qu'on a-tu besoin d'avoir la déclaration de revenus de la personne? Pantoute, mais de savoir que la personne a une déclaration de revenus, ça nous donne un indice.

Je vous donne un exemple. Ça fait que, quand on utilise la donnée, non pas son contenu, mais qu'elle existe, on vient d'éliminer une tâche de demander à un citoyen de remplir puis de compléter un formulaire. Et là, même les personnes qui n'ont pas de littératie numérique, qui n'ont pas d'appareil, peuvent bénéficier du numérique. Et c'est là qu'on voit la plus-value, c'est à ça qu'on réfléchit. On vise à penser que le citoyen n'a plus besoin de nous appeler ou de nous contacter pour savoir qu'il doit migrer à l'assurance médicaments. Comment je peux faire ça avec les compagnies d'assurance? Pas savoir comment... qu'est-ce que le médicament que le citoyen consomme. Ça, ça ne m'intéresse pas. Il est… il est auprès de quel assureur? Ah! Donc, on lui facilite sa vie. Vous me suivez? C'est là aussi le pouvoir du numérique dans la façon... pas d'utiliser...

M. Thibault (Marco) : ...diffuser le renseignement personnel et diffuser la connaissance qui, avec le consentement éclairé, là, est plausible. Ça fait que c'est comme ça qu'on réfléchit la transformation à la régie au moment où on se parle.

• (16 h 40) •

Mme Setlakwe : Est ce que vous avez des recommandations spécifiques sur le texte du projet de loi? Je suis désolé, mais j'ai parcouru rapidement votre texte.

M. Thibault (Marco) : À part la dimension contractuelle où on pense qu'il y aurait intérêt à lier la durée des contrats à l'effort d'investissement et d'appropriation de la technologie, parce que sinon, on est plus en processus de renouvellement administratif de contrat. Et à un moment donné, on va se ramasser comme premier dirigeant à devoir utiliser des articles de la loi et des... en disant : Ce n'est pas dans l'intérêt public qu'on dépense des centaines, voire des millions pour changer de technologie après trois ans. Et donc d'avoir une durée de temps plus... plus fidèle à la durée de l'actif.

Mme Setlakwe : Merci.

Le Président (M. Simard) : Quatre minutes.

Mme Caron : Merci. Alors, bien d'abord, un grand merci d'avoir dans votre champ de vision la question de la fracture numérique pour les personnes qui sont en manque de littératie numérique ou qui peuvent avoir un handicap physique ou autre qui les empêchent d'utiliser la technologie. Et puis j'irais même jusqu'à dire qu'admettons qu'on se... qu'on se projette dans cinq ans, une personne de 70 ans dans cinq ans risque d'être capable de se servir, de savoir se servir du numérique. Mais quand elle va arriver à 85, ou à 90, ou à 95 parce qu'on sait que l'espérance de vie augmente, ce n'est pas sûr que ça va continuer à avoir... à être capable d'avoir accès à la technologie. Et peut être que ce petit bout-là aussi, ça peut faire partie de la réflexion, c'est-à-dire non seulement de ne pas être capable d'y avoir accès quand ça... quand ça commence, mais d'être capable puis, à un moment donné, de ne plus être capable. Qu'est-ce qui arrive à ce niveau-là?

Pour ce qui est de... des ressources humaines, vous disiez, pour la RAMQ, donc, les ressources humaines, financières, technologiques qui seront nécessaires pour déployer l'initiative, donc, il va falloir s'assurer que c'est au rendez-vous pour que vous soyez en mesure de vous acquitter de votre mission, de vos responsabilités. Mais qu'en est-il, par exemple, des ressources nécessaires et de la formation des ressources, une fois que ça va être à opérationnaliser dans le réseau, c'est-à-dire qu'à l'hôpital ou dans une clinique, on demande d'avoir la carte qui sera peut être dématérialisée, mais tout ce personnel-là devra aussi être formé à ce qu'on peut demander ou pas avec l'identité numérique, parce qu'on sait que ça peut parfois prendre du temps? Si on regarde juste les hôpitaux avec des fax encore, est-ce que ça fait partie de votre réflexion de... de voir comment, quels types de ressources seront nécessaires dans le réseau pour être capables de respecter les balises de l'utilisation de cette carte dématérialisée?

M. Thibault (Marco) : Bon, la régie n'a pas de portée dans sa réflexion, dans son mandat ou son rôle par rapport aux établissements. Mais je vais vous parler de la régie dans une logique de dématérialisation que je vous nommais tout à l'heure. Avant d'arriver là, on ne peut pas le faire sans les partenaires du réseau, avec Santé Québec. On ne peut pas le faire sans les professionnels. On ne peut pas le faire sans les citoyens et on ne peut pas le faire par les gens qui sont préposés à l'accueil. Autrement dit, on va devoir mener des tests utilisateurs puis faire l'expérience client-patient, là, usager, dépendamment du vocable et dans l'univers dans lequel on est. Ça fait que, pour nous, avant de déployer quelque chose, il faut le tester. Il faut mettre... Il faut mettre le citoyen dans ce qu'il va vivre. Et ça nous permet de jauger ce qui me semblait simple et devient complexe, ou de jauger que, finalement, en enlevant une étape, on vient simplifier tellement et que le défi de gestion du changement devient nettement moindre. Ça fait qu'à ce moment-ci il est prématuré de parler de cet effort-là, mais il faut que, dans la conduite du projet, ce genre d'approche là, ce soit fait. On l'a fait dans le cas du service de tarification gouvernementale, et ça a donné de bons résultats.

Mme Caron : D'accord. Merci. Tantôt, vous avez dit qu'enfin on pourra simplifier les choses et que, par exemple, la RAMQ pourra savoir que le citoyen a une assurance, est assuré auprès de tel assureur, sans connaître toutes les garanties d'assurance qu'il a et tout ça, mais... Et puis ça m'amène... Bien ça... On voit le lien avec le secteur privé ici. Puis ça... Ça m'amène à vous poser la question : Comment on va s'assurer, par exemple, que la RAMQ, le préposé qui... ou l'employé à la RAMQ, va effectivement pouvoir vérifier dans le système que, oui, il a un assureur. C'est tel assureur, mais qu'il n'ira pas plus loin ou qui... qu'on...

Mme Caron : ...on n'irait pas voir, bien, O.K., quel genre de... c'est quoi son mode de vie? Est-ce que c'est un fumeur? Est-ce que... Toutes ces informations-là pour dire : Bien, O.K.... Parce qu'on ne devrait pas en venir à un moment donné où on dirait : Bon, bien, telle personne a fait l'usage du tabac pendant tant d'années, bien, on ne va pas couvrir les soins pour ça, qui sont directement reliés, on voit un lien de cause à effet? Je vais large, là, je vais loin, mais c'est une préoccupation que M. et Mme-tout-le-monde peut avoir.

M. Thibault (Marco) : Et que nous avons. Notre objectif, ce n'est pas d'avoir ce qu'il y a dans le dossier du citoyen, l'objectif, c'est de savoir : est-il couvert ou pas par un assureur? Au Québec, c'est simple, puis là je vous donne... je vous donne des illustrations de ça qu'on réfléchit, je ne dis pas que ça va arriver demain matin, mais, si, demain matin, je sais que la personne est assurée auprès de Bénéva, dans son régime collectif, donc elle n'est pas au régime public. Simple. Pour le citoyen, pas besoin de m'appeler. Le citoyen n'est plus assuré à aucun régime public... privé, il doit être assuré au public. Donc là, je peux faciliter ma transaction et ma communication avec le citoyen. Et, quand il se présente à la pharmacie, il n'y a plus d'enjeu d'accès aux médicaments. On pourrait vous... je pourrais vous donner des exemples complexes d'expériences mal vécues d'un parent qui se présente à 20 h 30, le vendredi soir, chez un pharmacien. Ce n'est pas simple.

Le Président (M. Simard) : Très bien. Alors, merci beaucoup. Nous poursuivons nos échanges, et je cède la parole au député de Maurice-Richard.

M. Bouazzi : Merci beaucoup. Je voulais juste être sûr de comprendre ce dont vous parliez. Donc, concrètement, on s'entend qu'évidemment vous êtes heureux, et on comprend, et même on appuie cette joie qui pourrait faire qu'on ait une identité numérique qui facilite un certain nombre de choses. Et puis vous dites : Bien, moi... la carte de la RAMQ n'est pas une carte d'identité, normalement. Est-ce que... et j'ai peut-être mal compris, honnêtement, est-ce que ça veut dire que, pour vous, il faudrait que ce soit pensé, l'identité numérique, avec une carte d'identité, ce qui vous permettrait de ne plus avoir à jouer ce rôle-là et puis jouer juste un rôle beaucoup plus simple qui consiste à dire : J'authentifie la personne et là je sais, du coup, quel genre de service elle a le droit dans mes services de santé?

M. Thibault (Marco) : Vous avez tout à fait raison. De... par défaut, la régie joue un rôle identificatoire pour une grande partie de la population, mais pas toute la population.

M. Bouazzi : C'est ça, toute cette partie-là était claire, mais je voulais juste être sûr que... vous parliez d'avoir une nouvelle carte d'identité.

M. Thibault (Marco) : Oui, tout à fait.

M. Bouazzi : Exact. Ça fait quand même 400 ans qu'on n'a pas de carte d'identité, au Québec et au Canada, c'est quoi les raisons, pourquoi, d'après vous, ce n'est pas une... Il y a bien des gens qui y ont pensé avant nous, on s'entend?

M. Thibault (Marco) : Peut-être, là, mais, honnêtement, je n'y étais pas, ça fait que, là, je ne peux pas répondre à cette dimension-là. Ce que je constate, c'est qu'autant la société civile que les organismes publics et les ministères ont besoin d'être capables de savoir avec qui ils transigent et d'avoir l'assurance de ceux avec qui ils transigent. Il y a plusieurs États dans le monde qui ont choisi d'avoir ce genre de pièce d'identité là. Moi, ce que je vous dis, c'est : Est-il normal que le renseignement qui se retrouve sur une carte d'assurance maladie, dont l'objectif est l'accès aux soins, soit utilisé à d'autres fins que celles pour lesquelles elle a été conçue? C'est plus là que je vous amène, comme réflexion, comme parlementaires.

M. Bouazzi : Je vois très bien et je comprends, les arguments sont valides. On y rajoute quand même les arguments qui consistent à dire que la raison pourquoi on n'a pas une carte d'identité, c'est qu'on a le droit à l'anonymat. Parce que, si on a une carte d'identité, la police peut commencer à la demander, si on l'a sur... parce qu'on est censé l'avoir. Dans un... dans un... Au Québec, vous le savez probablement comme moi, il y a, par exemple, du profilage racial. Ce n'est pas Québec solidaire qui le dit, ce n'est pas seulement la Ligue des droits et libertés ou la... c'est aussi la justice qui le dit. Et on peut avoir des gouvernements qui refusent d'arrêter le profilage racial. Et donc il y a la question de dire, bien, comment, structurellement, on peut se protéger.

Et là vous ouvrez une grande, grande porte, hein, qui n'était pas prévue, de dire : On veut une carte d'identité, qui doit être pensée en parallèle avec l'identité numérique. Et je souligne que c'est une grande porte. Nous allons avoir toutes sortes de représentants de la société civile, dont les personnes de la Ligue des droits et libertés, et je suis persuadé qu'ils vont peut-être avoir des réactions face à l'idée d'avoir une carte d'identité nationale.

Dans l'aspect, justement, de sécurité, ce que je comprends de ce que vous dites, c'est... Bien, peut-être, je ferais du millage sur ce qu'on a entendu tout à l'heure, sur les questions de sécurité décentralisée. Je comprends qu'il y a l'idée...

M. Bouazzi : ...d'authentifier quelqu'un sur une carte. Puis ensuite, les accès qu'on a par rapport à ça, est-ce que vous, vous le voyez comme étant quelque chose de centralisé au niveau de la santé, par exemple, ou carrément décentralisé...

Le Président (M. Simard) : Succintement, s'il vous plaît.

M. Bouazzi : J'ai 20 secondes. Oui. Au niveau de chaque institution de santé par exemple?

• (16 h 50) •

Le Président (M. Simard) : Il vous reste 15 secondes.

M. Thibault (Marco) : Ce que... Ce qu'on comprend du projet de loi, ce n'est pas l'accès à l'ensemble des renseignements que chacun des ministères et organismes possède, qui est rendu accessible à l'ensemble. C'est la confirmation que la personne est bel et bien la personne. Par conséquent, il n'y a pas d'accès à d'autres données.

Le Président (M. Simard) : Très bien.

M. Thibault (Marco) : Chacune des entités juridiques a accès à son propre patrimoine.

Le Président (M. Simard) : Très bien.

M. Thibault (Marco) : Donc, il n'y a pas cet enjeu-là de centralisation sous cet angle-là, de notre point de vue.

Le Président (M. Simard) : Très bien. Merci beaucoup. Alors, M. Thibault, à nouveau, votre présentation fut des plus intéressantes. À nouveau, merci pour votre participation à nos travaux.

Et sur ce, nous allons suspendre momentanément.

(Suspension de la séance à 16 h 51)

(Reprise à 16 h 54)

Le Président (M. Simard) : Bien, chers amis, nous sommes en mesure de poursuivre. Nous reprenons nos travaux. Et nous avons l'honneur de recevoir cet après-midi des représentants de l'Association québécoise des technologies. Alors, Mme, M., soyez les bienvenus. Auriez-vous d'abord l'amabilité de vous présenter?

Mme Martel (Nicole) :Merci. Donc, je suis Nicole Martel, présidente-directrice générale de l'AQT, l'Association québécoise des technologies. Je suis accompagnée de... accompagnée de M. Mohamed Guetat, qui est président de Momentum Technologies, une entreprise membre de l'AQT, aussi membre du conseil d'administration.

Le Président (M. Simard) : Alors nous vous écoutons.

Mme Martel (Nicole) :Alors, bien, merci, M. le Président. Membres de la commission, merci de nous accueillir aujourd'hui. Donc, comme je le mentionnais, je suis accompagnée de M. Mohamed Guetat, qui voit avec, l'AQT, à différents sujets d'affaires publiques. Donc, l'entreprise Momentum Technologies, c'est une entreprise qui voit à la transformation numérique des entreprises, notamment des grandes organisations, ainsi que des ministères et organismes. Donc, vous pourrez certainement...

Mme Martel (Nicole) :...vos questions à M. Gaëtan d'ordre... d'ordre technologique. Donc, bien sûr, aux yeux de l'AQT, l'identité numérique s'inscrit en toute logique avec les différentes étapes qui ont été entreprises au cours des dernières années. Bien sûr, on salue aussi cette initiative et on sait que ça aura un impact transformateur pour l'ensemble de la population québécoise.

Donc, juste avant d'entrer dans le vif du sujet, je vous présente l'AQT. Donc, nous avons eu l'occasion de participer à quelques commissions par le passé, mais, pour vous aider à comprendre l'industrie que nous représentons et mettre en contexte nos communications, je vous dresse un mot sur l'AQT. Donc, on représente l'ensemble de l'industrie québécoise des technologies. Nos membres sont des entreprises. Et les intervenants avec lesquels nous intervenons, ce sont les P.D.G. de ces entreprises, notamment des PME. Donc, notre écosystème touche l'ensemble des secteurs d'activité économique, que ce soit les télécommunications, les logiciels, même la transformation IA, les services informatiques naturellement. Et nous visons tous les secteurs d'activité économique. Et fait intéressant à noter, c'est que nos entreprises, pour les deux tiers, sont présentes hors Québec, visant même une centaine de pays. Donc, preuve que notre industrie est un vecteur très important de l'économie québécoise. À elles seules, les entreprises emploient 150 000 professionnels.

Donc, nous, l'AQT, nous existons depuis 30 ans, et on compte parmi nos membres des entreprises qui sont très matures, des doyens, même des chefs de file, des fois mondiaux, ainsi que des plus jeunes entreprises.

Donc, plongeons dans le vif du sujet. Donc, compte tenu que vous avez, membres de la commission, accueilli plusieurs invités, vous accueillerez plusieurs invités qui se concentrent sur la protection des données, l'éthique des renseignements personnels, on a décidé de concentrer nos observations sur des considérations technologiques et sur les enjeux de gouvernance aujourd'hui.

Donc, comme vous avez peut-être vu dans notre mémoire, le mémoire s'articule autour de trois grandes priorités. Donc, d'abord, s'assurer d'avoir les moyens de ses ambitions, miser sur la transparence et l'acceptabilité sociale et gérer les données dans les règles de l'art.

Donc, avoir les moyens de ses ambitions, ça appelle à deux volets pour nous. D'abord, en termes de budget pour l'implantation et l'exploitation, on veut s'assurer que le gouvernement disposera des budgets nécessaires pour fournir tous les équipements, toutes les ressources nécessaires aux organismes visés. On pense aussi aux organismes en région ou encore des plus petits organismes. Est-ce que l'adaptation des services actuels des ministères et organismes sera prise à même leur budget d'opération courant ou encore proviendra du projet de l'identité numérique nationale? Le gouvernement prévoit-il des aides aux entreprises technologiques québécoises qui devront adapter leur technologie afin d'adapter leurs solutions existantes chez les différents ministères et organismes qui devront, dans le fond, s'arrimer avec le processus d'identification unique? Puis est-ce que le gouvernement a prévu des investissements, des programmes d'accompagnement qui pourraient être prévus pour aider des entreprises, notamment les PME, à se conformer aux nouvelles normes d'interopérabilité, de cybersécurité et de gestion des données? Nous en parlons un petit peu plus dans notre document sous l'article 10.5.

En ce qui a trait à la relation avec les fournisseurs, le projet confère au ministre la responsabilité de développer et d'exploiter le réseau d'infrastructures de connectivité. Comme le... comme le ministre dispose de pouvoirs accrus pour gérer les contrats, on s'attend à ce que le ministère mette en place des critères rigoureux pour sélectionner les fournisseurs en fonction de leur expertise. On espère qu'il favorisera une grande compétition pour attirer les meilleures propositions, sans privilégier nécessairement le plus bas soumissionnaire, mais plutôt miser sur des critères de qualité et d'expertise. Nous avons ici une occasion de promouvoir l'achat local tout en garantissant que les données soient stockées et traitées uniquement sur le territoire canadien.

Sur le plan des talents, cette recommandation est liée à la réalité qui affecte toutes les entreprises actuellement, au privé comme au public. On est toujours dans la notion du... d'avoir le budget nécessaire et les conditions gagnantes. Donc, une des conditions de succès liées à ce projet repose sur les talents qui y seront affectés. Devant la pénurie de main-d'œuvre...

Mme Martel (Nicole) :...criante du secteur des TI, plus précisément les talents spécialisés en cybersécurité. Il serait important d'introduire des mesures incitatives pour garantir la stabilité des équipes. Il faut à tout prix éviter du roulement de personnel, qui aurait pour effet de compromettre la livraison du projet. Il s'agit d'un risque, selon nous, qui doit absolument être mitigé.

• (17 heures) •

On veut s'appuyer sur des technologies éprouvées, sur des cas vécus. Donc, pourquoi on recommande ceci? Bien, bien sûr, dans le cadre de nos recherches, comme plusieurs invités avant nous, on a constaté que plusieurs économies sont allées de l'avant avec une identité numérique nationale. Donc, compte tenu de l'importance de cette transformation, selon nous, il est essentiel de mitiger nos risques au maximum, donc s'inspirer des solutions technologiques qui ont été validées à l'international pour réduire le risque, maximiser l'efficacité, éviter des approches trop expérimentales et privilégier des modèles ayant fait leurs preuves, aussi s'inspirer des moyens de communication qui ont été mis en place pour maximiser la participation et l'acceptation des citoyens, et ça rejoint la prochaine recommandation, qui est notamment sur la transparence et l'acceptabilité sociale.

Donc, il faut communiquer clairement avec les usagers des modalités prévues au projet, multiplier, naturellement, les campagnes de sensibilisation et d'information en amont du projet aussi, via des publicités, oui, mais aussi via d'autres réseaux naturels où sont présents les usagers, question de ne pas laisser pour compte certaines clientèles.

Dans les modèles que nous avons observés, plusieurs ressources sont mises à la disposition des citoyens : des tutoriels en ligne, des formations à imprimer ou encore des vidéos, en plus d'un numéro unique pour obtenir de l'aide en temps réel. Donc, est-ce que le MCN a prévu un service 1 800 ou un service d'aide pour permettre aux usagers d'obtenir du support en cas de besoin?

Il faudra que les citoyens constatent que le gouvernement sera transparent quant à l'utilisation de leurs données. Pour nous, il est essentiel que l'utilisateur ait accès à son dossier, qu'il ait un contrôle sur les données qu'il souhaite corriger. Et vous pouvez retrouver nos commentaires aux articles 10.4 et 10.7 dans notre document.

Pour ce qui est de l'encadré sur la gestion des données dans les règles de l'art, nous portons à votre attention des éléments de considération et points de vigilance. Les systèmes informatiques actuels des ministères et organismes sont souvent fragmentés, ce qui peut compliquer leur intégration avec des nouvelles structures... infrastructures centralisées. Donc, quels mécanismes seront mis en place pour garantir l'interopérabilité des systèmes existants avec les infrastructures qui seront centralisées au projet de loi?

Puis, sur le plan de la gouvernance des données, nous insistons sur l'importance de la traçabilité, ce qui motive nos commentaires à l'article 10.7, traçabilité pour que le... les clients puissent avoir accès à un journal, là, d'audit qui leur permettra de voir qui a accédé à leurs données ou même donner leur consentement dans le but de l'utilisation de leurs données personnelles ou d'authentification.

(Interruption)

Mme Martel (Nicole) :Pardon. Offrir aux citoyens une visibilité complète sur leurs données pour éviter des abus similaires à ceux qu'on observe dans les systèmes de cote de crédit, par exemple. Informer les citoyens par des notifications lorsque leurs données sont accédées.

Donc, en conclusion, selon notre compréhension, le projet de loi d'identité numérique vise exclusivement l'identité des citoyens. On s'interroge si l'identité numérique des entreprises est envisagée et, si oui, dans quel échéancier.

Pour la suite, je pense qu'on est prêts à répondre à vos questions. Ça fait un peu le tour de nos commentaires.

Le Président (M. Simard) : Alors, merci à vous, chère Mme. Et je cède la parole à M. le ministre.

M. Caire : Merci, M. le Président. D'entrée de jeu, bonjour à vous deux. Je vais répondre, Mme Martel, à la question que vous avez posée en fin de présentation. Oui, effectivement, il y aura une identité numérique corporative, bien sûr. C'est même... En fait, le Service québécois d'identité numérique est divisé en sept blocs. Le premier bloc était l'identité corporative, le deuxième bloc étant l'identité citoyenne. Pour des raisons, je pense, assez évidentes, on a quand même malgré tout commencé par l'identité citoyenne, mais on travaille au développement de l'identité corporative, parce que basée essentiellement sur l'identité citoyenne, parce que la corporation doit quand même s'incarner dans des personnes physiques, on s'entend. Donc, ça, c'est pour répondre à votre question.

Je vais revenir sur un élément de votre présentation...

M. Caire : ...où vous nous interrogez sur... Bien, quelles seront les mesures à mettre en place pour intégrer l'identité numérique dans la société civile? Et je voudrais vous entendre. Parce qu'à la base l'identité numérique avait... a pour but, évidemment, là, de privilégier l'identité par rapport aux interactions avec le gouvernement du Québec, sans obligation de la part du citoyen et donc sans obligation de la part du citoyen corporatif non plus. Donc, il y a une notion de volontariat dans l'adhésion à l'identité numérique nationale. Et donc, dans ce contexte-là, est-ce qu'il... est-ce que vous pensez qu'il est nécessaire, du fait qu'on n'imposera pas l'utilisation de l'identité numérique à une composante de la société civile, que ce soit une entreprise, que ce soit une corporation, que ce soit... bon. Dans quelle mesure vous vous dites que le gouvernement devrait prévoir l'aide au déploiement? C'est là où je ne suis pas sûr que je suis votre raisonnement.

Mme Martel (Nicole) :Par rapport aux entreprises ou par rapport aux... à des... peut-être offrir dans la collectivité, là...

M. Caire : Bien, dans la collectivité en général ou les entreprises en particulier, parce que l'AQT représente les entreprises en technologies de l'information. Tu sais, contrairement à la loi 25. Bon. La loi 25, on le sait, elle impose de respecter des règles, des normes, bon, et il y a un coût, pour les entreprises, de se conformer à la loi, on le sait. Mais, dans le cas de l'identité numérique, comme elle n'est pas imposée, techniquement il n'y a pas de coût pour les entreprises. Donc, dans quelle mesure vous pensez quand même que le gouvernement devrait aller dans cette direction-là?

Mme Martel (Nicole) :Je pense qu'on parlait plus des entreprises de notre réseau, dans le fond, qui sont déjà des fournisseurs des différents ministères et organismes, peut-être 120 quelques ministères et organismes, donc qui ont, eux autres mêmes, des solutions qui permettent probablement de transiger avec leurs clientèles. Donc, on s'interroge quand cesdits ministères, qui eux ont l'obligation d'adhérer au système d'authentification numérique, vont avoir besoin d'adapter leurs technologies existantes. Donc, dans quelle mesure ces ministères-là vont avoir les moyens de faire cette transformation-là puis est-ce qu'il est prévu d'offrir du support aux entreprises technologiques qui vont offrir, dans le fond, le service au ministère?

M. Caire : Je comprends mieux. Alors, la réponse à votre question, c'est oui. La réponse à votre question, c'est oui, effectivement, dans la mesure où le Service québécois d'identité numérique est obligatoire pour les organismes publics. Mais il faut comprendre aussi que, ce faisant... Parce que les citoyens ne le savent pas, mais le gouvernement du Québec utilise plus de 109 systèmes d'authentification différents. C'est... Oui, c'est ça, je vois ma collègue qui... oui. Puis moi aussi, j'ai eu la même réaction, chère collègue. Alors, il ne faut pas... Bien, il faut comprendre qu'il y a un coût, là. C'est plusieurs dizaines de millions, là, que ça coûte utiliser ça. Donc, effectivement, l'uniformisation va... Mais oui, la réponse à votre question, c'est oui, assez... assez... assez clairement.

D'ailleurs, vous parlez, tout à l'heure, de la contribution de la société civile. Et là j'ai envie de vous entendre là-dessus, puis notamment sur les ressources qui sont limitées, et ça on en est bien... on en est bien conscients. Mais, à l'inverse, je vous dirais, comment vous, vous voyez la participation de la société civile au déploiement de l'identité numérique? Et j'insiste par exemple sur un point. Parce que l'identité, ça reste, qu'elle soit numérique ou non, ça reste une mission régalienne de l'État. C'est à l'État de fournir aux citoyens une identité à travers les différents organismes, que ce soit le directeur de l'état civil... tout à l'heure on avait la RAMQ, la Société automobile du Québec en fait partie. Et ça, je pense que ça doit rester dans le giron du gouvernement. Mais dans quelle mesure vous pensez que la société civile peut contribuer au développement de cette identité numérique là?

Mme Martel (Nicole) :La société civile, la façon dont nous, on le voyait, ce serait peut-être plus des utilisateurs. Je regarde, par exemple, l'exemple en Alberta, leur identité numérique nationale est utilisée par une... je pense, c'est une soixantaine d'organismes publics et privés. Donc là... Bien, on s'interrogeait à savoir si c'était dans les plans. Puis le projet de loi ne l'exclut, là. Je pense qu'on pourrait l'offrir à des entreprises privées autres que de l'État. Donc, ce serait une entreprise privée, par exemple, qui dit : Bien, moi, je n'ai peut-être pas les capacités technologiques d'authentifier...

Mme Martel (Nicole) :...un client, un usager, donc j'utiliserais le système de l'État. Donc, je ne sais pas si c'était ça, le sens de la question.

M. Caire : Oui. C'était ça.

Mme Martel (Nicole) :Oui. Bien, puis on a... puis on a un précédent ici même au Canada, là. C'est ce qu'on a pu constater, là. Éventuellement, même les impôts fonciers, je pense, en Alberta, sont traités dans plusieurs municipalités via cette authentification, oui, oui.

• (17 h 10) •

M. Caire : Bien, en fait, il est... Nous sommes effectivement très ouverts à ce que la société civile, les entreprises privées utilisent l'identité numérique gouvernementale. Comme je le disais plus tôt dans ma présentation, on a une entente avec le gouvernement fédéral, qui doit maintenant être opérationnalisée, on comprend que ça va s'échelonner dans le temps, pour que les Québécois puissent utiliser le service québécois, le service d'authentification gouvernementale pour les prestations électroniques du gouvernement fédéral. Mais vous, est-ce que vous voyez les entreprises privées faire la même chose? C'est-à-dire, est-ce que vous voyez les entreprises privées qui pourraient dire : Bon, bien, moi, dans une prestation électronique de service qui nécessite d'identifier, d'authentifier mon client, je veux pouvoir utiliser le service de tarification gouvernementale?

M. Guetat (Mohamed) : Bien, si l'adhésion du public est majeure au niveau de l'identité citoyenne, bien là, c'est sûr, les entreprises ont tout intérêt à venir se coller à ce système-là d'authentification, vu qu'ils vont avoir l'assurance que l'authentification est faite selon les normes, avec toutes les normes de sécurité, et ainsi de suite. Donc là, tu sais, le meilleur modèle, c'est les banques, là. Si jamais l'adhésion devient à des taux et des pourcentages exceptionnels, bien, c'est sûr, probablement que des entreprises comme les banques, les grosses corporations vont se tourner vers ce service-là pour dire : Bon, bien, on a la source qui est là, certifiée par le gouvernement, ce serait l'une des meilleures sources pour aller authentifier les bonnes personnes. En tout cas, à mon avis, ça aurait du sens, là.

M. Caire : O.K. Donc, vous, vous dites : Il y aurait un intérêt?

M. Guetat (Mohamed) : Possiblement.

M. Caire : O.K. Mais dans quelle mesure? Et là je veux... je veux être bien clair, là, il ne serait pas question de l'imposer à personne. On s'entend. C'est vraiment un choix individuel au niveau des entreprises. Mais, ce que vous dites, c'est que, s'il y a un volume, il y a un intérêt. Donc, je vous dirais qu'actuellement on est rendus, là, sur le service d'authentification gouvernementale, on est rendus à plus de 2 millions de comptes, là, de niveau deux, les comptes de niveau un étant des comptes pas sécurisés, on est à 2 800 000, là. Donc, ça, est-ce que ça vous indique qu'il y a quand même un engouement qui pourrait faire en sorte que... Parce que, vous excusez mon expression, mais c'est le principe de la saucisse Hygrade, plus on en mange, plus elle est fraîche, plus elle est fraîche, plus on en mange, donc plus j'ai... non mais j'ai... plus j'ai de gens qui l'utilisent, plus je vois le nombre de comptes qui augmente, plus je vois le nombre de comptes qui augmente, plus vous me dites qu'il va y avoir de l'intérêt. C'est un peu ça?

Mme Martel (Nicole) :Les grandes entreprises comme les banques, c'est sûr qu'eux autres en font, de l'authentification. Il y a peut-être des entreprises plus modestes qui, eux, n'ont pas les services ou les ressources internes pour faire de l'authentification. Donc, peut-être que ce serait une couche d'entreprises privées qui pourraient être intéressées au service.

Puis, dans le fond, ce qu'on vient faire, avec ce projet de loi là, c'est éviter d'avoir une multiplication d'accès puis de sources ou de...voyons, de mots de passe pour s'authentifier. Ça fait que, si on peut encore maximiser ça vers d'autres ressources qui ne sont pas exclusivement gouvernementales, puis qu'il y a une bonne adhésion de la population, je pense qu'on pourrait avoir quelque chose qui pourrait fonctionner.

M. Caire : Il y a un... Il y a un élément, dans le projet de loi, sur lequel je voudrais vous entendre, puis je ne l'ai pas... je ne l'ai pas vu dans votre mémoire. Puis, je vous avoue, j'ai été un peu surpris. On amène toute la notion, au niveau des organismes publics, de déclaration obligatoire des incidents. Vous avez vu ça? O.K. Et il y a aussi la possibilité pour le gouvernement, par décret, d'identifier des secteurs stratégiques qui seraient tenus aux mêmes obligations. Vous voyez ça comment vous?

Mme Martel (Nicole) :Bien, d'ailleurs, on s'est posé la question. À un moment donné, il fallait se limiter dans nos commentaires, mais on s'est posé la question est-ce qu'il va y avoir une gradation de sévérité, justement, pour la déclaration des incidents. Est-ce que c'est prévu? Parce...

M. Caire : Oui.

Mme Martel (Nicole) :Oui. Bien, c'est ça. C'est... On s'imaginait.

M. Caire : Oui. C'est... La notion de préjudice grave est... parce qu'évidemment, là, si c'est un incident sans incidence, excusez la redondance, là, mais évidemment, il faut qu'il y ait un préjudice grave. Mais, j'aimerais ça, si vous voyiez ça d'un bon oeil.

Mme Martel (Nicole) :Absolument...

Mme Martel (Nicole) :Oui, absolument essentiel.

Une voix : Définitivement.

M. Caire : Parce que... Puis je vous... Je vous fais le commentaire parce que... A contrario, il y a des... des organismes, bien, des entreprises, évidemment, qui nous disent : Woups! Attends un peu. On ne veut pas que le gouvernement vienne fouiller dans nos affaires. Vous, ça ne vous inquiète pas?

Mme Martel (Nicole) :Bien, dans le fond, on sait que, là, vous allez imposer aux ministères et organismes... Notre compréhension, c'est que les ministères et organismes qui subiraient un incident de sécurité seraient dans l'obligation de le déclarer. Donc ça, pour nous...

M. Caire : Bien oui, pour les organismes publics, c'est obligatoire.

Mme Martel (Nicole) : Ah! pour les entreprises privées aussi, mais...

M. Caire : Pour... Pour les entreprises privées, ce serait ce qu'on voit ailleurs. Je vous dirais qu'on fait un peu ce qui... ce qu'on voit ailleurs. C'est des secteurs particuliers. En tout respect pour les dépanneurs, je ne vois pas d'intérêt à ce qu'il y ait une déclaration obligatoire lorsqu'un dépanneur est victime d'un incident. Par contre, on peut mettre en place un service pour les aider à s'en sortir. Mais je ne vois pas l'économie du Québec, par exemple, contrairement peut-être au secteur financier ou, bon, différents secteurs qui sont vraiment névralgiques. L'énergie, hein, on le sait à quel point c'est névralgique. Donc, c'est à cet effet-là que je voulais vous entendre, parce qu'évidemment probablement que plusieurs de vos entreprises travaillent dans ces différents secteurs là en termes de clientèle, et donc sont impliqués directement dans la cybersécurité de ces secteurs-là.

Mme Martel (Nicole) :Absolument. On n'est pas des législateurs comme... comme vous, mais il y a des dispositions dans la loi n° 25 qui obligent ça, aussi, des déclarations d'incident, selon nous.

M. Caire : Bien, c'est tout à fait qu'est-ce que la loi n° 25 fait. C'est lorsqu'il y a un incident préjudiciable au niveau de la protection des renseignements. Donc, il faut qu'il y a une fuite de données. Et la déclaration se fait à la Commission d'accès à l'information. Là, ici, on parle d'un incident majeur. Il n'y a pas nécessairement fuite de données, là. C'est... On va paralyser un secteur bancaire, on va paralyser le secteur de l'énergie. On va... Comme on a vu. Alors... Et là, il doit y avoir déclaration de l'incident au ministère de la Cybersécurité et du Numérique. Donc, je voulais avoir cette discussion-là avec vous parce que...

M. Guetat (Mohamed) : Moi, je pense, quand on va dans cette orientation-là, que les entreprises vont devoir faire ces déclarations-là face à des incidents, un, il faut les former, les supporter parce qu'il y a... Il y a tous genres d'entreprises qui font des solutions payées puis qui pourraient avoir recours à ce genre de service là. Il y en a qui sont des entreprises d'une certaine taille, qui sont matures et qui ont des «process», puis qu'appliquer une nouvelle norme de ce genre-là, ça ne représente pas un challenge. Il y en a, des petites PME, qui ont un software qui pourrait probablement faire appel au service d'authentification gouvernemental, puis à un moment donné, ils ne savent pas c'est quoi. Ils ne sont pas nécessairement aux normes. Ils le devraient, mais il faudrait leur offrir aussi le support et la formation nécessaire pour qu'ils puissent se mettre aux normes. D'ailleurs, un des points du mémoire, c'est de se donner les ressources nécessaires pour supporter ce genre d'entreprise là, si jamais on s'en va ouvrir cette utilisation à ce genre d'entreprise. On sait qu'un dépanneur qui va utiliser le service juste pour déterminer l'âge de la personne qui est en train d'acheter, mettons, de l'alcool, c'est peut-être très petit, puis on va faire des exceptions à la règle, mais il y en a certaines autres entreprises qu'on va exiger une certaine norme. Bien, il faut les informer. Ce qu'on a vu au niveau de la loi n° 25, lors de l'application, plusieurs entreprises, petites PME, tout dépendant des tailles... Quand on est dans la grande entreprise, ils ont les moyens de se payer des avocats pour leur donner toutes les déclinaisons de la loi et c'est quoi, qu'ils doivent se conformer, mais il y en a d'autres petites PME qui sont un peu perdues, puis il faut les prendre... Je ne dirais pas les prendre par la main, mais au moins les former un peu puis les accompagner pour qu'ils puissent réussir. Puis finalement, le projet d'identité nationale, c'est un projet commun pour toute la société. Puis c'est assez majeur puis assez important pour que... mettre tous les moyens nécessaires pour qu'il y ait une forte adhésion à ce projet-là. Parce que s'il y a quelqu'un qui peut, dans le fond, certifier l'identité d'un Québécois, c'est bien l'État, tu sais. Donc là, tu sais, il faut que tout pointe, là-dessus, là.

M. Caire : Mais... Mais c'est intéressant, ce que vous dites, là, puis on s'éloigne peut-être un peu de ma question initiale, mais si vous permettez, je... Il me reste combien de temps, M. le Président?

Le Président (M. Simard) : Une minute... En 50 secondes.

M. Caire : Oui. O.K. Bon. Parce que sur la... Sur la déclaration... Sur la déclaration... On aura l'occasion d'en rediscuter sur l'identité parce que ce que vous venez de dire là, c'est intéressant. Mais sur la déclaration obligatoire, je me permets d'insister parce que...

M. Caire : ...Personnellement, je pense que c'est important, si on veut avoir une cohésion, en termes de cybersécurité, au niveau du Québec, il faut... il faut qu'il y ait cette volonté-là de partager des informations sans être trop intrusifs, il faut être capables de... de travailler en collégialité, puis d'avoir une entité centrale, qui serait le MCN, à ce moment-là. Mais, pour ça, il faut être capables de fédérer l'ensemble de l'écosystème, des... qui sont dans des secteurs névralgiques, là, on s'entend. Et... et moi, ce que je voulais peut-être voir avec vous, c'est comment on réussit à...

Le Président (M. Simard) : Très bien.

M. Caire : On en reparlera une autre fois.

• (17 h 20) •

Le Président (M. Simard) : Formidable. Merci, cher collègue. Et je cède la parole à la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci. Merci à vous deux. N'hésitez pas à réagir, là, sur... sur le temps de l'opposition officielle, là, par rapport à ce que le ministre vient de dire, là.

Mme Martel (Nicole) :...on est... on est... on est tout à fait d'accord, puis c'est pour le... en tant que citoyens, aussi, qu'on vous le dit. Donc, les déclarations obligatoires, mais avec une gradation de sévérité, je pense, qui est... qui est à prévoir.

Mme Setlakwe : Merci. Moi, j'aimerais revenir sur les... les points que vous mettez de l'avant dans votre... dans votre mémoire, qui viennent du milieu, des membres que vous représentez. Là, on comprend que vous avez... vous représentez les... les entreprises québécoises qui ont une expertise technologique, évidemment, et qui pourraient être mises à profit, qui pourraient participer au déploiement de ce projet-là. Et puis donc vous avez... vous soulevez des... des enjeux pour lesquels... qui ont déjà été identifiés aujourd'hui, qu'on sait qu'ils sont importants. Par exemple, l'hébergement. Vous mentionnez qu'il faut gérer les données dans les règles de l'art, favoriser une décentralisation, privilégier l'hébergement local et assurer la résilience des centres de données à travers une redondance exemplaire. On sait que l'hébergement des données est un facteur important, là, qu'on... qu'on aura l'opportunité de discuter, mais j'aimerais vous entendre élaborer sur ces... ces points-là.

M. Guetat (Mohamed) : C'est sûr, en termes de gouvernance de données, tu sais, pour un service comme l'authentification de l'identité nationale, bien, avoir un service de redondance assez à l'épreuve, c'est... c'est de quoi d'essentiel, là. Tu sais, on ne pourrait pas se permettre, si tous les services publics sont connectés à ce service-là, qu'à un moment donné ça tombe, ou il n'y a pas une certaine résilience à ce niveau-là, puis que... assurer la continuité de ce service-là...

Mme Setlakwe : ...vous interrompre, mais c'est juste aussi pour M. et Mme Tout-le-monde qui nous écoutent, là. On ne sait pas... ce ne sont pas des concepts qui sont... on... on les comprend dans les grandes lignes, mais donc on entend parler d'une centralisation. Vous n'êtes pas contre le fait que ce soit... que la gouvernance et que le contrôle de tout ça soit centralisé auprès du MCN. Ce que vous dites, c'est qu'il faut s'assurer que, si jamais il y a un enjeu, que le système plante ou quoi que ce soit... Juste élaborer de façon un petit peu plus... vulgariser un peu.

M. Guetat (Mohamed) : Le fait que ce soit... la gouvernance est centralisée, ça ne veut pas dire que les données ne sont pas disponibles dans deux sites différents. Technologiquement parlant, il pourrait y avoir un site qui héberge les données ici à Québec, puis un autre site, mettons, à Montréal, puis ça ferait la redondance du service. Si le service coupe, mettons, à Québec, il y a le site de relève, qui est basé à Montréal, qui va reprendre le service. C'est sûr, c'est la même entité, c'est le MCN qui contrôle la gouvernance, qui chapeaute toute l'infrastructure en lien avec ça, mais c'est deux infrastructures qui sont distantes. S'il y a une catastrophe qui arriverait, peu importe, qui toucherait Québec, le site de Québec, bien là, il y a un site de relève. C'est un peu ça, la redondance de la donnée qu'on... qu'on dit, là.

Mme Setlakwe : Et puis... Mais l'hébergement doit être local. Donc, vous êtes opposés à un hébergement qui serait à l'extérieur du pays, à l'extérieur de la province?

M. Guetat (Mohamed) : Bien, idéalement, c'est sûr, ce serait un hébergement dans la province, puis, tu sais, pas à l'extérieur du pays. C'est quand même des données qui touchent les... les Québécois. Bien, on pense que ce serait une bonne chose que les données des Québécois soient au Québec.

Mme Setlakwe : Merci. Au niveau de... d'assurer un environnement compétitif... Là, en fait, on est ici dans... on touche, sur la première page de votre mémoire, aux... aux appels d'offres, aux... c'est ça, aux... aux processus qui vont mener à ce que vos membres soient impliqués dans le... le déploiement du... du nouveau système de la nouvelle identité nationale... numérique nationale. Et donc vous... vous parlez de... pour... favoriser une grande compétition, il faudrait attirer les meilleures propositions, sans privilégier uniquement le plus bas soumissionnaire. Juste élaborer un peu là-dessus. Ça touche au processus d'appel d'offres pour favoriser non pas forcément le... le plus bas soumissionnaire, mais il faudrait qu'on utilise des critères comme... comme quoi par exemple?

Mme Martel (Nicole) :Bien... baser sur l'expertise et la qualité. Puis je sais que, dans des... dans des projets de loi précédents, il y a eu des... des assouplissements aux appels d'offres, là, qui ont été... qui ont été rendus disponibles. Tu peux... je ne sais pas si tu veux élaborer là-dessus? Mais simplement que le plus bas...

Mme Martel (Nicole) :...ça fait longtemps que l'industrie des technologies décrie ce système d'appel d'offres.

M. Guetat (Mohamed) : Ça a déjà été vu sur certains appels d'offres de projets majeurs que le critère du plus bas soumissionnaire est pondéré quand même versus la qualité. Puis on pense que, dans le cadre d'un projet, si jamais il y a des appels d'offres publics dans le cadre de ce projet-là, la qualité puis l'expérience, puis l'expertise des joueurs qui vont être interpellés par ce projet-là devraient être mises à l'avant versus les prix. Donc, c'est un peu ça, le... le point.

Mme Setlakwe : Généralement, est-ce que vous croyez que... que les entreprises québécoises ont une part suffisante du marché ou est-ce que vous croyez que les contrats gouvernementaux qui sont octroyés le sont trop fréquemment ou en part trop importante au bénéfice des grandes sociétés, pour ne pas la nommer, Amazon, par exemple?

Mme Martel (Nicole) :Quand on parle d'hébergement, en effet, c'est probablement Amazon, je dois dire. 

M. Guetat (Mohamed) : C'est... c'est sûr, il y a plusieurs joueurs au niveau des joueurs de l'hébergement. Est-ce que j'ai tous les détails des contrats publics sont donnés en hébergement pour pouvoir vous donner une position claire là-dessus? Moi, de mon point de vue, je privilégie toujours de dire : Bon, bien, on pousse pour la PME québécoise, et c'est des fonds publics qui viennent alimenter la PME qu'elle crée des emplois ici au Québec et ainsi de suite. Mais tu sais, je ne pourrai pas vous... je n'ai pas tout le topo des...

Mme Setlakwe : Je comprends.

M. Guetat (Mohamed) : ...des coûts des contrats publics pour dire qu'il y a telle part qui s'en va à des entreprises étrangères puis à des entreprises québécoises. Moi, je suis une entreprise québécoise qui soumissionne sur des contrats publics puis je peux vous dire qu'on a notre place comme les autres. Puis tu sais, le processus est «fair», puis, tu sais, ce n'est pas quelqu'un qui est privilégié versus l'autre, là. Tu sais, c'est un processus de concurrence, puis on a notre place.

Mme Setlakwe : Non, on comprend bien la nuance. Merci. Est-ce que vous diriez qu'on a toute l'expertise ici au Québec?

Mme Martel (Nicole) :Oui. Dans le fond, le point... Ce qu'on veut retenir, ce qu'on veut que vous reteniez de ce point-là, c'est vraiment d'aller... avoir des standards de qualification qui sont extrêmement élevés basés sur la qualité et non pas simplement sur le prix. Puis ça, on a résumé notre pensée là-dessus.

Mme Setlakwe :  Par exemple des systèmes d'appel d'offres à deux enveloppes, est-ce que ça se voit dans le milieu?

Mme Martel (Nicole) : Non, ça, je ne le sais pas.

Mme Setlakwe : Préqualification, c'est seulement les entreprises qui se qualifient qui... qui voient leur deuxième enveloppe être ouverte.

M. Guetat (Mohamed) : Deux enveloppes, moi, je n'en ai pas vu. Il y a des processus de qualification qui qualifient un certain nombre de firmes puis, à partir de ce moment-là, ces firmes qualifiées sont en compétition sur le prix. Ça, ça existe.

Mme Setlakwe : Mais on dit peut-être la même chose.

M. Guetat (Mohamed) : Mais je n'ai pas entendu parler de processus comme ça. Cependant, le fait d'avoir le fait d'avoir l'expertise ici au Québec, il ne faut pas s'empêcher non plus de dire : Bon, bien, il faut réinventer quelque chose parce qu'on a l'expertise, puis il faut réinventer notre propre solution. S'il existe des solutions qui existent déjà sur le marché, qui sont éprouvées, il faut s'en inspirer et il faut peut-être les adopter aussi, là. Tu sais, il ne faut pas se fermer des portes. C'est un projet très important, puis il faut prendre la meilleure solution qui assure la meilleure sécurité, puis la meilleure solution qui est implantée, là.

Mme Setlakwe : Merci. Est-ce qu'il y a d'autres éléments du point de vue technologique que vous aimeriez mettre de l'avant en... bien que vous n'avez pas eu la chance de discuter jusqu'à maintenant?

Mme Martel (Nicole) :Mais l'aspect de la traçabilité, pour nous, c'est quelque chose qui est quand même assez important, de permettre aux citoyens d'avoir accès au journal d'audit ou au log, là, comme on dit, des accès à ses données personnelles, pour nous, ça, ça s'avère assez important. Il y a des technologies qui le permettent, d'autres peut-être pas. La possibilité aussi de modifier ou supprimer ses données, c'est-à-dire que, si quelqu'un décide qu'il ne fait plus confiance aux services, puis c'est un service qui est optionnel pour le citoyen puis il désire se soustraire du service d'authentification national, bien, qu'il puisse le faire aussi. Donc ça, il y a des technologies qui le permettent, d'autres pas. L'aspect d'être notifié si son authentification est utilisée. Donc, ça permet de savoir si c'est lui qu'il l'a fait ou pas, donc de pouvoir accepter l'authentification.

Mme Setlakwe : J'ai une dernière question avant de céder la parole à ma collègue qui en a comme... Il nous reste trois minutes. Ah! rapidement. Donc, sur la question... on s'entend, là, que la question de l'acceptabilité sociale est importante. Pour que ce soit un succès, il faut qu'il y ait... on vise...

Mme Setlakwe : ...la plus grande adhésion possible. Est-ce que ce... mais ce que je comprends de vos questions, jusqu'à maintenant, c'est que ce n'était pas clair dans votre esprit, quelle était la vision du gouvernement. On s'entend qu'on commence avec les services gouvernementaux et... mais qu'éventuellement ça pourrait effectivement se rendre à des entreprises privées, qui pourraient vouloir identifier des clients ou... par le biais de cette nouvelle identité numérique nationale. Mais est-ce que, pour le moment, vous êtes... vous pensez que la communication est adéquate ou, vraiment, votre conseil, c'est de travailler sur un plan de communication et de vraiment sensibiliser la population pour que le plus grand nombre adhère?

• (17 h 30) •

Mme Martel (Nicole) :Le commentaire sur les entreprises, il est à deux volets. D'abord, on se posait la question parce qu'en ce moment on utilise clicSEQUR, là, les entreprises utilisent clicSEQUR. Puis, quand on a parlé à des membres pour leur dire qu'on va se présentait ici... puis demander certaines informations... On sait que le système d'authentification pour les entreprises date de plusieurs années, ça fait que la question a été posée par plusieurs de nos membres : Alors, est-ce que ce système-là va être aussi revisité par le fait même? Parce que l'authentification des entreprises, c'est quand même assez... ça repose sur des anciennes technologies. Donc, ça, c'est un peu le commentaire qu'on avait, je pense, en fin de commentaire, par rapport à l'authentification des entreprises.

Puis, par rapport à l'authentification par des entreprises privées qui voudraient utiliser le système d'authentification nationale, bien, on l'a vu que, dans certaines économies, c'est ça qui était... qui était en cours. Donc, on se dit que c'est certainement une évolution naturelle s'il y a une bonne adhésion de la population. Ça leur évite d'avoir multiples facteurs d'authentification, puis ils pourraient utiliser le même système d'authentification qu'ils utilisent pour transiger avec l'État.

Mme Setlakwe : Merci.

Mme Caron : En ce qui concerne votre commentaire sur l'article 10.4 du projet de loi, pour consentir au citoyen le droit de retrait du consentement au traitement, dont vous avez parlé tout à l'heure, éducation, est-ce que vous souhaitez que ce soit écrit en toutes lettres dans le projet de loi? C'est ce que... Est-ce que c'est ce qu'on doit comprendre de ce commentaire-là?

Mme Martel (Nicole) :Oui. Oui. Pour nous, ce serait un complément d'information qui devrait faire partie du projet de loi pour s'assurer qu'on garde la ligne, éventuellement, quand le projet évoluera, là, mais qu'on garde la ligne, que le citoyen a plein contrôle sur ses données.

Mme Caron : Parfait. Puis, en 10.6, vous avez mis un point de vigilance parce qu'on dit, à l'alinéa 3, «tout autre renseignement que détermine le gouvernement». Alors, vous aviez des préoccupations par rapport à ce point-là.

Mme Martel (Nicole) :Bien, ça pourrait être de quel ordre... Je pense que ce qu'on souhaitait ici voir, c'était que le... c'était assez vague, donc ça ouvrait la porte à beaucoup, beaucoup de renseignements. Donc, ça pourrait être de quels types de renseignements, par exemple. Je pense que ça mériterait d'être précisé ou de donner un cadre ou les limites des renseignements qui pourraient être recueillis.

Le Président (M. Simard) : Alors, je cède la parole au député de Maurice-Richard.

M. Bouazzi : Merci, M. le Président. Merci beaucoup de votre exposé. Tout à l'heure, vous avez parlé de la volonté possible des PME d'utiliser un système d'authentification comme celui du gouvernement. Un des questionnements que j'aurais, c'est toujours l'idée de dire : Mais, pour les données privées, on préfère toujours en faire le... en partager le moins possible. Et moi, je comprends tout à fait qu'on puisse utiliser toutes sortes de systèmes d'authentification par rapport à une PME, mais quelque chose qui valide que la personne à qui on parle est bien la personne en face, c'est une info de plus, en général. Quand on veut que la personne se connecte, s'authentifie, c'est parce qu'on voudrait que, dans notre système, ce soit toujours la même qui accède aux services que moi, j'offre, mais je n'ai pas besoin de savoir que la personne qui me parle est bien celle qui me parle, à part un certain nombre de... je pense aux banques, avec tous les systèmes de «know your client», aux notaires, bon, il y a un certain nombre de choses, mais la plupart des PME, quand elles font affaire avec des personnes, elles n'ont pas besoin d'identifier.

Est-ce que... est-ce que... est-ce qu'on serait d'accord si... ça? Est-ce que vous avez des exemples où on dit : Bien là, il faut vraiment que la personne s'authentifie? Non, pas juste pour que je sache si c'est la même personne qui se logue, mais parce que je veux savoir que c'est bien M. Éric Caire qui s'est logué pour des raisons...

M. Guetat (Mohamed) : Bien, pour des exemples plus concrets, peut-être, les entreprises qui travaillent dans le domaine de la santé, où, tu sais, cette personne-là, mettons, a des données de laboratoire, ou qui irait consulter des données de laboratoire qui sont spécifiques à une personne... avoir accès à l'identité de la personne puis s'assurer que c'est vraiment cette personne-là qui est en train d'accéder à l'application, et non pas...

M. Guetat (Mohamed) : ...quelqu'un qui a juste le nom d'utilisateur et le mot de passe puis qui accède à la personne, ça devient hyperimportant à ce niveau-là. D'autres cas, probablement, existent. Ce qui me vient à l'esprit aujourd'hui, c'est les données de la santé, qui doivent être vraiment protégées, qui pourraient être un exemple le plus flagrant de cette utilisation-là, qui pourrait être intéressante dans ce cas-là.

M. Bouazzi : O.K. Vous avez parlé d'utiliser une technologie établie et en même temps de faire affaire aussi évidemment à de l'expertise qu'on a à l'interne. Ce matin, on a parlé à des spécialistes qui nous parlaient des chaînes de blocs. Est-ce que vous considérez que c'est une technologie établie?

M. Guetat (Mohamed) : C'est une des technologies, quand même, qui est très, très utilisée dans la certification des transactions, principalement, que je pense que ça pourrait être une bonne technologie. Je ne suis pas nécessairement un expert dans la technologie de chaînes de blocs. Elle a probablement ses avantages, elle a probablement quelques inconvénients, cette technologie-là. Mais je ne suis pas vraiment un expert en chaînes de blocs. Mais je sais qu'il y a plusieurs, plusieurs technologies d'authentification qui utilisent la chaîne de blocs à ce niveau-là.

M. Bouazzi : Dans les recommandations que vous avez, il y a des questions d'audit que vous mettez de l'avant, il y a aussi des questions de... d'accepter qu'on utilise les données ou d'avoir accès à qui a utilisé les données, donc il y a toute la «ledger», là, les... bref, les... l'audit, bon, des différents aspects. Justement, et peut-être qu'on ne voudra pas ouvrir trop la... l'idée du «blockchain», mais ça permet justement d'avoir un historique immuable et d'être sûr de savoir qui a accédé à quelles données, ou des choses comme ça. Est-ce que c'est... Est-ce que... Parce que les alternatives à ça, c'est beaucoup de cadenas, là, et essayer que personne ne modifie... Est-ce que c'est des choses auxquelles vous avez réfléchi ou...

M. Guetat (Mohamed) : C'est sûr que par rapport à, tu sais, la traçabilité des transactions, ainsi de suite, la chaîne de blocs est faite pour ça, là, tu sais, c'est une des forces de cette technologie-là. Le seul enjeu, c'est, tu sais, comme disait Mme Martel, là, si on modifie la donnée, puis il y a des dispositions de droit de l'oubli, si quelqu'un se dit : Bien, moi, je veux sortir de ce système-là puis supprimer tout ce que j'ai fait à ce niveau-là, bien...

Une voix : Quand c'est possible.

M. Guetat (Mohamed) : ...point de vue — c'est ça — le point de vue «blockchain», bien là, tu sais...

Une voix : ...

Le Président (M. Simard) : ...malheureusement, cher collègue, mais cela, donc, met fin à notre échange, que nous avons beaucoup apprécié. Merci pour votre contribution à nos travaux.

Et, sur ce, nous allons suspendre momentanément.

(Suspension de la séance à 17 h 37)

(Reprise à 17 h 41)

La Présidente (Mme Mallette) : Nous reprenons nos travaux. Je souhaite maintenant la bienvenue aux représentants de la Ligue des droits et libertés. Je vous... Je vous rappelle que vous disposez de 10 minutes pour votre exposé. Puis nous procéderons à la période d'échange avec les membres de la commission. Je vous invite donc à vous présenter et à débuter votre exposé.

(Visioconférence)

M. Peschard (Dominique) : Alors, bonsoir, M. le ministre et Mesdames et Messieurs les députés. Alors, merci pour cette invitation à comparaître devant la commission sur un sujet qui intéresse beaucoup la Ligue des droits et libertés. Permettez-moi de me présenter. Je suis Dominique Peschard. Je suis membre d'un comité de la Ligue des droits et libertés qui se préoccupe des questions de vie privée, surveillance et intelligence artificielle. Je suis accompagné de Mme Anne Pineau, qui appartient au même comité, et Mme Lynda Khelil, qui est responsable de dossiers à la Ligue des droits et libertés.

Alors, bon, vous avez reçu notre mémoire. Depuis des années, la ligue s'intéresse à la protection des renseignements personnels, élément essentiel à la... droit à la vie privée et du respect des droits humains. Et nous avons d'ailleurs soumis des mémoires sur la Loi concernant la protection des renseignements personnels, les renseignements de santé et les ressources informationnelles.

Nous regrettons que ce projet de loi intervienne à un stade si avancé du programme d'identité numérique. Peu de détails ont été divulgués sur le fonctionnement technique du système et son mode de gouvernance, et aucun débat public n'a permis de discuter des choix faits par le gouvernement et des besoins de la population. À cet égard, la démarche ne rencontre pas, selon nous, les prescriptions de transparence établies par les commissaires à la vie privée du pays dans l'établissement de l'identité numérique.

Si nous saluons l'adoption d'un encadrement légal pour l'identité numérique, celui proposé ici soulève plusieurs inquiétudes en matière de droit de vie privée et de droits humains.

Le projet de loi confie au ministre de la Cybersécurité et du Numérique la gestion centralisée de l'identité numérique. Le ministre agira comme source officielle des données numériques gouvernementales pour les besoins de l'identité numérique. Les données numériques gouvernementales comprennent le nom et les dates et lieux de naissance d'une personne physique ainsi que le nom de ses parents et, nous soulignons, tout autre renseignement que détermine le gouvernement.

Est aussi institué le registre de l'identité numérique, qui existe d'ailleurs déjà, c'est le registre d'attributs d'identité gouvernemental, et ses informations proviennent de la RAMQ. Le document ministériel présentant le projet précise ainsi que le ministère de la Cybersécurité et du Numérique a opté pour un changement massif des attributs d'identité détenus par la RAMQ. Bref, de très nombreux renseignements personnels seront inscrits au rang au registre de l'identité numérique. La résolution commune des commissaires à la vie privée sur l'identité numérique énonce pourtant que les systèmes d'identification numérique ne devraient pas créer de base de données centralisée. Un registre réunissant autant de renseignements personnels ne peut qu'attiser la convoitise des cybercriminels et favoriser des actes de piratage.

Se pose aussi la question de l'endroit où sont stockées les données de l'identité numérique. Le projet de loi n'indique rien à ce sujet. Le stockage hors frontières ou via des entreprises soumises au contrôle de gouvernements étrangers, notamment américains, peut compromettre la souveraineté numérique du Québec sur les données de ses citoyens, qu'on pense en particulier au Cloud Act des États-Unis...

M. Peschard (Dominique) : ...prévoit que le ministre ne peut utiliser les données du registre à des fins de profilage de personnes. L'interdiction est valable, mais trop restreinte. Elle concerne le ministre et ne vise que le profilage. Il y a bien d'autres façons d'utiliser les données, application de la loi, enquêtes policières, intelligence artificielle, recherche, etc. Pour la ligue, le système doit... d'identification numérique doit être dédié exclusivement à l'identification et l'authentification des personnes. La loi devrait interdire clairement toute autre utilisation, et ce, par quiconque. C'est du reste ce que recommandent les commissaires à la vie privée dans leur résolution commune sur l'identité numérique.

Enfin, la question de la biométrie. Le gouvernement s'attribue le pouvoir réglementaire de préciser les données numériques gouvernementales ayant des caractéristiques biométriques ou contenant des mesures biométriques qui peuvent être utilisées à des fins d'identification numérique. Le 25 avril 2024, lors de l'étude de crédits du ministère de la Cybersécurité et du Numérique, le ministre indiquait travailler déjà à la mise en place d'une infrastructure sur la biométrie pour l'identité numérique, et ce, avant tout débat public sur la question. L'usage de la biométrie semble se répandre aussi au sein du gouvernement. En 2020, la Sûreté du Québec a conclu un contrat avec la société Idemia. En 2022, la SAAQ annonçait adopter aussi cette technologie, prétendument pour faire le ménage de sa banque de photos. Dans un avis sur le projet de la SAAQ, la CAI concluait à la nécessité d'un débat public, vu le caractère unique et permanent des données biométriques et des risques de discrimination, et d'atteintes potentielles aux droits fondamentaux, et d'un danger de détournement de finalité.

Rappelons aussi que la résolution commune des commissaires à la vie privée sur l'identité numérique ne préconise pas le recours à la biométrie. Fonder un système d'identifiant gouvernemental sur l'utilisation de la biométrie mènerait à une banalisation insidieuse de cette technologie très invasive. L'encadrement législatif de cette technologie est insuffisant. La reconnaissance faciale peut conduire à des erreurs, particulièrement pour certains groupes. Un incident de confidentialité impliquant de telles données pourrait avoir des conséquences irréparables. Par ailleurs, une fois la banque constituée, les autorités pourraient être tentées de l'utiliser à d'autres fins.

Que l'utilisation de la biométrie demeure le choix des utilisateurs ne change pas notre position. Ce qui est volontaire un jour peut devenir obligatoire. D'ailleurs, le consentement n'autorise pas en soi le recours à la biométrie. Encore faut-il que son usage soit nécessaire, ce qui n'apparaît pas être le cas pour l'identité numérique. À tout le moins, le sujet nécessite le débat... un débat public franc et éclairé, où l'ensemble des projets seront mis sur la table et où citoyens et experts pourront se faire entendre. Sur ce, je cède la parole à ma collègue Anne Pineau. Merci.

Mme Pineau (Anne) : Merci. Sur la fracture numérique, nous avons des inquiétudes. Des solutions non numériques doivent subsister pour les personnes n'ayant pas l'intérêt, les connaissances ou l'équipement nécessaire pour des services en ligne, et l'alternative doit être réelle au plan de la proximité et de la célérité des services. Au niveau des... au plan des pouvoirs réglementaires, nous estimons que les pouvoirs sont trop exorbitants, pouvoir définir toute donnée numérique gouvernementale au gré du gouvernement, les fonctionnalités du registre, donc des pouvoirs réglementaires beaucoup trop larges.

Sur l'interopérabilité, nous regrettons qu'il n'y ait pas d'encadrement spécifique en ce qui concerne les règles qui devront régir l'interopérabilité des systèmes. Et, en ce qui... en ce qui touche le portefeuille numérique et la possibilité d'avoir, dans la collectivité, des interactions par attestation numérique à partir d'une application, la loi est pratiquement muette sur tous les aspects qui entoureraient cette utilisation-là. Le secteur privé, qui bénéficierait de ça, quelle serait sa contribution? Quel type de gouvernance il aurait pour ce système-là? Les entreprises devront-elles signer un contrat pour l'utilisation du portefeuille? Puis, pour le citoyen, qu'en sera-t-il du traçage de ses transactions, de la durée de conservation de celles-ci, de l'accès aux données, le droit au retrait du service, des responsabilités en cas d'usurpation d'identité ou de fraude? Bref, beaucoup, beaucoup de questions.

Et l'absence de débats, nous le regrettons énormément, parce qu'on ne sait pas trop comment se dessine ce projet-là. Et nous estimons qu'il faut un débat autour de ces questions-là. Donc, pour nous, il reste encore beaucoup trop d'inconnu dans le projet d'identité numérique. Nous réclamons...

Mme Pineau (Anne) : ...nous réclamons un véritable débat sur l'architecture de cet outil, son mode de fonctionnement, de gouvernance, son utilité et son financement. Merci.

• (17 h 50) •

La Présidente (Mme Mallette) : Il vous reste 1 min 30 s. Est-ce qu'il y a d'autres propos que vous vouliez rajouter?

Mme Pineau (Anne) : Ah! je ne pensais pas que j'avais encore du temps. Alors, je dirais simplement, la banque centralisée de renseignements personnels aux fins d'une identité numérique, le recours éventuel à la biométrie, le manque d'encadrement au plan de l'interopérabilité, autant d'éléments qui mettent à risque, selon nous, les données personnelles sensibles. Et par ailleurs, si... demeure optionnelle, rien ne nous garantit que des services traditionnels seront disponibles au choix des individus et dans des conditions de concurrence équitables avec les services en ligne. Voilà.

La Présidente (Mme Mallette) : Je vous remercie pour votre exposé. Nous allons maintenant commencer une période d'échange. M. le ministre, la parole est à vous.

M. Caire : Merci beaucoup, Mme la Présidente. Bien, bonjour à vous trois. Merci d'être là aujourd'hui. J'aurais envie de commencer peut-être par trouver un point commun. Est-ce que vous considérez que le fait d'identifier, d'authentifier quelqu'un qui veut accéder à une prestation électronique de services est un incontournable? Ce serait ma première question.

Mme Pineau (Anne) : Bien, je pense qu'effectivement on ne peut pas faire abstraction du fait que le monde a changé. Les services à distance existent de plus en plus, les personnes veulent y recourir, et il apparaît assez évident qu'il faut trouver une façon de s'assurer que les gens puissent le faire dans des conditions de sécurité. Donc, oui, ce n'est pas... ce n'est pas... ce n'est pas là le point, c'est comment on le fait.

M. Caire : Ce que je comprends, c'est quand vous dites avoir un débat public, ce n'est pas sur la pertinence d'être capable d'identifier et d'authentifier des gens avant de leur donner accès à une prestation électronique de services. Ce n'est pas là-dessus que... qu'est votre propos.

Mme Pineau (Anne) : Le propos sur les choix qui ont été faits à date et sur l'inconnu qui entoure les développements ultérieurs, et le fait aussi que la population n'a finalement pas été consultée sur les différents choix qui ont été faits.

M. Caire : Oui. Je vais me permettre pour ne pas qu'on parte dans tous les sen, quand vous dites que la population n'a pas été consultée sur les choix qui ont été faits, vous faites référence à quoi exactement? Les choix technologiques, les... C'est là-dessus que je voudrais savoir, là, est-ce que vous voulez un débat public sur le fait d'utiliser, par exemple, du logiciel libre ou sur le fait de ne pas utiliser, comme d'autres juridictions l'ont fait, des systèmes déjà existants. C'est... c'est... Je voudrais vraiment, là, qu'on puisse circonscrire exactement. Quand vous dites ça prend un débat public, ça prend un débat public sur quoi exactement?

Mme Pineau (Anne) : Bien, sur les tenants et aboutissants de ce système-là. Je vous donne un exemple. Vous avez fait le choix par exemple d'utiliser le fichier de la RAMQ et vous indiquez, dans un de vos documents, que vous avez fait le choix, par exemple, de télécharger massivement et immédiatement les données de ce fichier-là pour les fins du registre, étant entendu que pour beaucoup des personnes, ou en tout cas une partie des gens n'utiliseront... n'utilisent pas actuellement ce service d'authentification là, mais leurs données s'y trouvent, et qui peut-être ne l'utiliseront jamais. Donc, c'est quand même un choix qui a été fait de mobiliser toutes ces données-là dans le fichier. Et pour nous, par exemple, ça ne remplit pas la condition de données absolument nécessaires pour... parce qu'il y a des gens qui ne l'utiliseront jamais le système d'authentification, et leurs données sont pourtant là. Et donc, si on vient... Est-ce que... parce que je... on sait aussi que les renseignements de l'assurance maladie ne couvrent pas l'entièreté de la population. Éventuellement, on recourra à des données, par exemple, au niveau de la Société d'assurance automobile. Est-ce que, là encore, on fera le choix de télécharger massivement tous les permis de conduire? Et sans compter l'éventualité d'outils biométriques. Alors donc, c'est un peu ça qui... On le lit aujourd'hui dans le projet de loi, beaucoup des choses de ce projet de loi là sont le fait de décrets qui ont déjà été adoptés, et on a pérennisé...

Mme Pineau (Anne) : ...adopter et on vient pérenniser ça. Et on l'apprécierait que, pour de grands pans de ce qui peut s'en venir au niveau de l'identité numérique et peut-être plus le portefeuille... qu'on tienne un débat sur où on s'en va, comment ça... comment ça va être utilisé et comment ça peut servir.

M. Caire : Mais je souligne au passage que, vous avez raison, il y a des décrets qui ont été adoptés, mais qui ont été adoptés en vertu de lois qui ont été adoptées, qui elles-mêmes ont fait l'objet de débats dans l'espace public, notamment en commission parlementaire. Alors, quand on a adopté la loi no 95, il y a eu des travaux qui ont été faits là-dessus. Et, quand on a adopté la loi no 6, bien, la Loi sur le ministère de la Cybersécurité, ça a fait l'objet aussi de débats. Quand on a adopté la réforme de la Loi sur la protection des renseignements personnels, on a eu, même, je vous dirais, pendant presque un an de discussions. Donc, peut-être... peut-être que ce... Là, ce que je comprends, c'est ce n'est pas le genre de débat auquel vous faites référence puis au... ce à quoi vous vous attendiez.

Mais je vais revenir parce que, par rapport à la réponse que vous me donnez, je comprends que le fichier d'identité a aussi pour but d'éliminer tous les autres fichiers qui sont décimés un peu partout dans les bases de données du gouvernement et qui contiennent des renseignements personnels et qui, en termes de sécurité, posent un problème. J'écoutais, tout à l'heure, dans votre présentation, de dire : Bien, c'est appétissant pour les cyberattaquants. Vous avez tout à fait raison. Le problème, c'est qu'au lieu d'avoir un registre qui contient des renseignements sur l'identité, on en a des centaines. Et donc, au lieu d'avoir une chance d'aller chercher ces renseignements-là, on en a des centaines. Donc, en termes de sécurité et de protection... Puis ça, c'est sans compter les ressources humaines, matérielles et financières qu'il faut allouer à la protection de tous ces fichiers-là, qui seraient... qui sont très importants et qu'on n'a pas toujours.

Et donc je comprends ce que vous nous dites quand vous dites : Vous avez téléchargé le FIPA, et bon, puis évidemment, on a d'autres moyens de corroborer l'identité, mais il faut comprendre qu'à terme l'objectif, c'est d'éliminer tous ces fichiers-là où on tient des renseignements sur les citoyens et qui posent un problème de sécurité important et des risques de fuites de données, et donc préjudice pour les citoyens.

Donc, c'est un peu dans ce sens-là où j'avais dit : Bien, cette centralisation-là... Puis je comprends que le mot «centralisation», des fois, ça fait peur, mais voyons-le plutôt comme une élimination de la multiplicité des fichiers qui peuvent exister pour s'assurer, d'une part, d'avoir une meilleure capacité à protéger ces renseignements-là, et, d'autre part, pour s'assurer qu'il n'y a pas de double, qu'il n'y a pas d'erreur. Et on le voit, là, avec le Service d'authentification gouvernementale, parce que, là, on est obligé de comparer des fichiers différents, puis, quelque fois, un citoyen voit son nom orthographié d'une certaine façon dans une banque d'un organisme, d'une autre façon. Ça cause évidemment un préjudice au niveau de notre capacité à l'identifier. Donc, je pense qu'il y a plusieurs problèmes qui sont... qui sont en cause là-dedans et pour lesquels le projet de loi amène une solution, mais là, je comprends que, vous, ce n'est pas dans cette perspective-là que vous l'abordez.

Mme Pineau (Anne) : Bien, pour nous, un des éléments importants, et il semble que les experts le disent, une centralisation des données, c'est comme créer un joyau pour les tentatives de piratage, de rançongiciel, sans compter toutes les fuites qui peuvent provenir de l'interne à cause du non-respect de certaines mesures de sécurité ou par des malveillances. Donc, on crée un outil qui présente un attrait certainement important. Et une chose qui n'aide pas ici, c'est qu'à titre de source officielle des données, la loi, justement, no 95 prévoit que les règles de gouvernance qui entourent ces données-là, au départ, auraient dû faire l'objet d'une approbation par la Commission d'accès à l'information. Or, on a fait adopter le projet de loi no 38 pour prévoir, justement, qu'on substituait à l'obligation d'approbation une transmission à la commission des règles de gouvernance qui ont été définies, donc. Et la commission d'accès s'était objectée, estimant...

Mme Pineau (Anne) : ...estimant qu'une une approbation, une enquête a posteriori n'offrait absolument pas les mêmes avantages qu'une approbation. Donc, là aussi, on a un système qui peut soulever beaucoup d'inquiétude pour des renseignements très, très, très sensibles et qui risque d'augmenter, là, parce que je... Moi, ce qu'on comprend, c'est que vous n'arrêterez pas aux fichiers du FIPA.

• (18 heures) •

M. Caire : Bien. En fait, comme je l'ai dit, l'objectif... Puis c'est là-dessus, je pense, qu'il y a comme une incompréhension, en tout respect. Parce que vous semblez dire : Créer un fichier, un fichier central, c'est très alléchant, mais en créer des centaines, c'est à mon sens encore plus dangereux. Et c'est peut-être ça, je pense, dont on n'est pas conscient, c'est qu'actuellement il y a des centaines d'organismes qui ont l'ensemble de vos renseignements personnels. Et ça, je voudrais vous entendre là-dessus, parce que vous ne pensez pas qu'au contraire, c'est ça qui pose problème et qui peut peut-être amener des difficultés justement à assumer une protection pleine et entière des renseignements personnels des Québécois. Parce qu'on s'entend, là, les renseignements d'identité d'une personne, le gouvernement du Québec les détient déjà. Il n'y a pas de... Il n'y a pas de renseignements qu'on n'a pas déjà. Le problème, c'est qu'on les a déjà, mais qu'on les a déjà dans plusieurs centaines de banques de données, ce qui cause différents problèmes que l'unicité d'un fichier va régler à mon sens. Mais vous ne semblez pas être d'accord avec ça. Et c'est là-dessus que j'aimerais peut-être vous entendre. En quoi le fait de multiplier les fichiers d'identité est une bonne chose pour les Québécois, là?

M. Peschard (Dominique) : Bon, disons que nous ne sommes pas des experts en informatique ou en cybersécurité. Mais ce que nous déplorons, c'est qu'il n'y ait pas eu un débat où des experts auraient pu examiner la proposition du gouvernement et voir des alternatives à un fichier centralisé. Parce qu'apparemment, d'après ce qu'on nous a dit, il en existe. Or, c'est ça, le... ce qu'on reproche à la démarche, c'est qu'il y a des... On a parlé à des experts, que je ne nommerai pas, mais qui nous ont dit : Bien, on n'est pas capables d'évaluer parce qu'on n'a aucune donnée sur comment ce système-là va marcher en termes concrets, sur donc sur sa performance, sa sécurité, etc. Donc, c'est le manque... C'est qu'il y a eu une option qui a été prise, mais cette option-là n'a jamais été débattue ou a été soumise à un examen critique de la part d'une expertise indépendante.

Mme Khelil (Lynda) : Puis, si je peux me permettre d'ajouter, M. le ministre, vous parlez au début d'un débat public. On trouve important de réitérer aussi qu'une consultation en ligne via un questionnaire à remplir, là, on a vu qu'en octobre il y a eu la mise en ligne de l'État, le numérique et moi, une consultation par le ministère qui a été retirée quelques jours plus tard. Ça ne constitue pas, à notre sens, ça ne constitue absolument pas un débat public, transparent et éclairé de procéder par une consultation via un questionnaire. Donc, on demande... La transparence est le prérequis à un débat public et éclairé, puis de pouvoir justement avoir toutes les informations requises pour confronter les différents points de vue et que la population puisse se faire une idée.

Et en ce sens-là, qu'on parle, par exemple, de biométrie, c'est important aussi d'évaluer les effets sociaux des mesures qui sont proposées. Donc, ça peut sembler a priori alléchant d'avoir l'option de pouvoir utiliser la biométrie, ça facilite l'utilisation, on a un gain de temps, mais ensuite, si on introduit dans le débat les effets sociaux, la banalisation de cette technologie invasive, peut-être que, là, comme citoyens et citoyennes, on va réévaluer la... l'utilisation d'une telle technologie. Donc, les critères, c'est vraiment la transparence, un débat public éclairé, M. le ministre.

M. Caire : Sur la consultation, je vous donne entièrement raison. En fait, la consultation a été retirée parce que, pour des raisons logistiques puis de, je dirais, de... à quel moment ça a été mis en ligne, là, ce n'était pas pertinent de faire ça avant Noël, là. On veut justement avoir une participation. Et cette consultation-là sera reprise au printemps. Là-dessus, vous avez mon engagement, là. Il n'était pas du tout question de ne pas faire la consultation. Disons qu'il y a eu confusion sur le moment où on l'a mis en ligne. Puis moi, je pensais puis je pense encore qu'à ce moment-là, à la veille des fêtes, là, c'était... Pour moi, ça aurait été comme si on voulait le faire, mais sans le faire, là, vous voyez, là, à un moment où les Québécois regardent ailleurs puis au lieu d'être focussé là-dessus. Donc, c'est pour la raison... C'est la raison pour laquelle...

M. Caire : ...elle a été retirée, mais nous allons la reprendre.

Mme Khelil (Lynda) : ...si vous permettez, juste... Pardon. C'est que l'enjeu n'est pas le moment où la consultation en ligne a été... le moment, le choix du moment. L'enjeu, c'est que ce n'est pas un débat public, transparent, éclairé de se limiter à une consultation en ligne via un questionnaire. On a pris connaissance de la consultation et des questions. Ça ne peut pas suffire et vous satisfaire comme débat public, M. le ministre.

M. Caire : Bien, écoutez, là-dessus, on a des divergences d'opinions assez clairement de notre côté, mais je respecte tout à fait votre point de vue.

Mme Khelil (Lynda) : Ce qu'on veut dire, c'est que, pour consulter la population, il faut donner toute l'information pour que les réponses aux questions soient éclairées. Donc, c'est le message qu'on veut vous transmettre.

M. Caire : Je vous suis tout à fait, mais je persiste et signe, on a une divergence d'opinions. Moi, je pense qu'une consultation en ligne, des commissions parlementaires, des consultations particulières, ce que nous faisons depuis maintenant six ans, dire que ce n'est pas des débats éclairés, ce n'est pas des débats publics... Mais, comme je vous dis, encore une fois, je respecte... je respecte votre opinion, mais je ne la partage pas, mais pas du tout. Je pense qu'au contraire il y a eu plusieurs occasions de débattre de ces questions-là.

Mais maintenant je veux vous écouter sur... Parce que j'entends ce que vous me dites, mais, sur l'identité numérique, elle n'est pas obligatoire. Donc, c'est laissé au choix du citoyen d'utiliser ou non les... l'identité numérique. Donc, par rapport aux craintes que vous exprimez, bon, sur le... la vie privée, la traçabilité, etc., dans la mesure où ce n'est pas obligatoire, qu'est-ce qui vous fait craindre là-dedans? Je veux dire, si le citoyen ne veut pas s'en servir, il est tout à fait libre de ne pas le faire, là.

Mme Pineau (Anne) : Merci. D'abord, la question du volontariat, je veux dire, effectivement, c'est... c'est une bonne chose, mais encore faut... encore faut-il que le choix existe réellement. S'il devient de plus en plus difficile d'obtenir des services gouvernementaux autrement qu'en ligne, ça va être un choix qui va... qui sera théorique. Et les personnes les plus susceptibles d'avoir besoin, justement, des...

La Présidente (Mme Mallette) : En conclusion.

Mme Pineau (Anne) : ...des prestations, c'est les personnes qui ont des difficultés avec, éventuellement, le numérique.

La Présidente (Mme Mallette) : Merci. C'est tout le temps que nous avions. Merci, M. le ministre. Je cède maintenant la parole à la députée de Mont-Royal-Outremont.

Mme Setlakwe : Merci, Mme la Présidente. Merci à vous trois pour votre présentation. Merci pour le mémoire, toujours bien étoffé, bien réfléchi. Vous mettez beaucoup de travail, on l'apprécie. Votre point de vue est important, là, dans le cadre de nos travaux. On va forcément en tenir compte. Vous enrichissez notre réflexion, c'est certain.

J'ai... Je partage plusieurs des préoccupations. Par contre, je veux vraiment que les Québécois puissent bénéficier de services accessibles, conviviaux, faciles puis puissent bénéficier des... de tout le progrès technologique, je pense qu'on est rendus là, mais avec les bons... la bonne communication, en ne laissant personne de côté, en s'assurant d'avoir un système sécuritaire, en protégeant les renseignements personnels. Donc, il y a plusieurs enjeux importants. Donc, on fait... on ne fait que commencer à en parler. Soyez assurés que les points que vous mettez de l'avant ont été mis de l'avant par d'autres aussi.

Là, j'aimerais qu'on puisse élaborer sur certains des points, là,  revenir sur la question de la biométrie. Ce que j'entends, c'est que la porte n'est pas fermée. Et là vous êtes revenus sur tout l'historique, là, de... des déclarations du ministre et autres. Qu'est-ce qui vous inquiète et qu'est-ce qu'on peut faire, comme législateurs, pour mieux encadrer l'utilisation des données biométriques à ce stade-ci?

M. Peschard (Dominique) : Bon, merci pour la question. C'est une question qui nous préoccupe, la biométrie. Plus largement d'ailleurs que dans le... la question de l'identité numérique, c'est... sa prolifération en général pose... pose problème. Et notre point de vue, c'est que, bon, bien, de plus, il est possible de contourner ça aussi, maintenant, avec les nouveaux... l'intelligence artificielle, etc., de créer des faux... fausses identités, même d'usurper une identité biométrique. Donc, c'est... notre point de vue, c'est que les données nécessaires pour faire fonctionner un système devraient être les données minimums. Donc, si on veut utiliser la biométrie, il faut démontrer que c'est nécessaire, et ça fait partie des choses qui n'ont...

M. Peschard (Dominique) : ...pas été faites dans le cadre de... de ce projet-là, justement, parce que les paramètres de définition sont très... ne sont... ne sont pas précisés dans le projet, il n'y a pas eu de débat public.

• (18 h 10) •

Donc, on nous avance, on nous fait cheminer progressivement vers la biométrie en disant : Bon, bien, elle va être optionnelle. Mais on sait que ce qui est optionnel finit par devenir la méthode utilisée, obligatoire. Et il n'y a pas eu de démonstration que c'était nécessaire de passer par cette voie là, alors qu'à notre avis il y a des risques à l'utilisation de la... de la biométrie, en particulier la reconnaissance faciale, parce qu'on présume que c'est ça qui est la voie privilégiée comme... comme identification biométrique, dans un contexte comme celui-là.

Mme Setlakwe : Est-ce que... est-ce que la biométrie peut quand même apporter... est-ce que ça peut rimer avec meilleure sécurité, et ça ne peut... ça ne peut pas être vu comme étant, justement, une mesure tellement avancée qu'elle... qu'elle serait la meilleure mesure pour pouvoir identifier quelqu'un, ou, là, vous voyez que ça ouvre la porte à... à trop de dérapages?

M. Peschard (Dominique) : Bien, pour nous, à notre avis, ça, effectivement, ouvre la porte à des dérapages. Et ça fait partie... Quand on dit qu'il n'y a pas eu de... de débat adéquat c'est qu'il aurait fallu que les... ce qui est nécessaire pour une identité numérique fasse l'objet d'un débat, où des... des experts dans le... dans le domaine, indépendants du gouvernement, aient pu émettre des opinions et évaluer les possibilités, et qu'ensuite la population ait pu être informée et en débattre. C'est ça qu'on reproche, c'est qu'on avance vers une solution qui comporte des risques sans que des alternatives aient été examinées, et sans qu'il y ait eu un débat public où on aurait pu être éclairés par diverses opinions sur le sujet.

Mme Pineau (Anne) : Si je peux me permettre, j'ajouterais que... un des points, c'est qu'on nous dit que toute l'infrastructure va être déjà là. C'est comme si : c'est une question de temps, on va y arriver. Le ministre, lors de l'étude des crédits, a indiqué qu'il... ça va nous amener vers des niveaux de sécurité supérieurs, et on travaille en collaboration avec les autres provinces. Est-ce que ça va devenir un élément d'interopérabilité entre les systèmes?

Or, il y a... il y a toute l'opacité qui... qui entoure ce... ce projet-là. On met l'infrastructure, il y a la... la Société de l'assurance automobile qui développe des... des projets autour de la biométrie, à partir, ce qu'on comprend, des... des photos de... voyons... de permis de conduire. C'est très difficile d'avoir de l'information. La Commission d'accès à l'information a demandé un débat là-dessus, parce qu'il y a... c'est peut-être cinq millions de gabarits de... de photos qui pourraient être utilisés. Et... et on... on n'a pas... on n'a pas la limpidité et... et on ne met pas cartes sur table concernant ces projets-là, et ça, effectivement, ça nous préoccupe. Et on estime aussi que ce n'est pas une question qui est purement personnelle. Quand un outil comme ça est développé, c'est une question qui... qui concerne un... un enjeu de société.

Mme Setlakwe : J'ai ma collègue, ici, de La Pinière, qui a... qui a dû s'absenter quelques minutes, elle porte le dossier des aînés. Mais on n'a pas en tête simplement les aînés. On a en tête, aussi, toute la... le... le pan de la population qui n'a pas une littératie numérique adéquate pour pouvoir bénéficier, là, de... de tous les avantages que va apporter ce... ce nouveau régime d'identité numérique nationale. On voit, dans votre mémoire, à la lecture de... de vos... de vos propos, que vous... vous ayez... vous avez, évidemment, à l'esprit de ne pas laisser une partie de la population plus vulnérable de côté.

Est-ce que vous... J'aimerais vous entendre. Est-ce que vous... vous pourriez, s'il vous plaît, élaborer, là, sur... sur l'accompagnement, sur comment vous voyez le déploiement d'un tel système par rapport à toute cette... cette partie de la population, qui ne pourra, potentiellement, pas suivre? Et qu'est-ce qu'on doit faire pour justement, que ce soit inclusif?

Mme Khelil (Lynda) : Oui, merci pour la question. Donc, on parle ici de la... des fractures numériques, donc de pans de la population qui... qui... Donc, comme vous l'avez vu dans le mémoire, il y a l'INRS qui a identifié des facteurs de vulnérabilité numérique. Donc, on parle de l'âge, la situation géographique, le revenu, les compétences numériques, le niveau d'éducation, le fait de vivre seul et le statut d'immigration. Puis, pour l'instant, ça semble être un peu l'angle mort du projet d'identité numérique nationale...

Mme Khelil (Lynda) : ...gouvernement. C'est-à-dire qu'on n'a pas entendu de quelle manière le ministre, le gouvernement va s'assurer qu'il n'y ait pas d'exacerbation de ces exclusions numériques et des inégalités qui en découlent et quel appui ou quelles mesures vont être déployées justement par le gouvernement dans...

On sait aussi que vous avez reçu un avis très complet du Regroupement des groupes populaires en alphabétisation du Québec, donc, les personnes peu alphabétisées représentent 22 % des adultes de 16 à 65 ans, et qui vous ont soumis des préoccupations et des pistes d'action assez claires. Depuis 2023 d'ailleurs, le regroupement a déployé une campagne. Parce que la préoccupation des groupes en alphabétisation est très importante, donc elle a axé beaucoup d'énergie à déployer une campagne, Traversons l'écran pour un virage numérique humain. Donc, c'est pour ça qu'on parle aussi des effets sociaux de tel... de ce virage numérique gouvernemental et que ça dépasse une question purement individuelle. Donc, par exemple, que compte faire ou quelles garanties le gouvernement offre-t-il à maintenir des services de qualité en personne? Quand on sait qu'il y a des bureaux, par exemple de la SAAQ ou de la CNESST, qui ont réduit leurs heures ou qui ont fermé, donc ça va avoir des conséquences tangibles sur l'exercice des droits des personnes. Pour l'instant, on a... on n'a pas entendu M. le ministre nous présenter un plan sur un horizon de plusieurs années, là, de plusieurs dizaines d'années pour garantir que le virage numérique, à terme, ne va pas avoir des effets d'exacerber les inégalités sociales.

Mme Setlakwe : Merci. Est-ce qu'il y a d'autres éléments de votre mémoire que vous souhaiteriez aborder, là, comme ça, en commission, de façon... bien, verbalement? Parce qu'on peut évidemment se référer à votre mémoire, mais la chance qu'on a d'échanger avec vous, elle est... on l'a maintenant en commission. Donc, je vous laisse aborder d'autres éléments que vous n'avez pas eu la chance d'aborder depuis que... depuis qu'on a commencé votre présentation.

Mme Pineau (Anne) : Il y a deux éléments peut-être. La question du profilage, l'idée que le ministre pourrait utiliser l'identité, le système à des fins de profilage, on estime que ça ne va pas assez loin, qu'en fait il serait beaucoup plus simple de dire que «le système ne peut servir à aucune autre fonction que l'identification et l'authentification», étant entendu que d'abord le profilage, c'est un aspect qui peut être assez restreint et caractéristique d'une personne physique à des fins de prédictivité, or qu'il y a plein d'autres utilisations qui pourraient être possibles du registre ou du système d'identité. Et c'est l'ensemble de ces autres utilisations là, sauf à des fins d'identité et d'authentification, qu'il faut exclure. D'ailleurs, on a vu le problème que la question du profilage posait ce matin avec la Commission d'accès à l'information, à savoir est-ce que les données dérivées seraient des renseignements personnels, et donc couverts par la loi. Or, nous, on estime... et c'est d'ailleurs ce que les les commissaires à la vie privée du pays disaient, les renseignements personnels contenus dans un écosystème d'identités ne devraient être... pas être utilisés à d'autres fins. Alors, je pense que ce serait une meilleure... bien meilleure garantie de l'étanchéité de toute autre forme d'utilisation.

Mme Setlakwe : Et donc mais je crois que le libellé prévoit une interdiction de faire du profilage. Vous, vous souhaitez qu'elle soit... que le libellé soit plus précis? Il y a un élément qui, pour vous, n'est pas clair?

Mme Pineau (Anne) : On souhaite que... Ce qu'on dit, c'est que le profilage, c'est un des aspects qu'on veut voir bannis, effectivement. Mais il y a... en fait, toute autre utilisation du système doit être prohibée, et ça, que ce soit par le ministre ou par quiconque. Donc, et c'est ce que les commissaires à la vie privée disent, les renseignements personnels, dans un système comme ça, ne doivent pas servir à rien d'autre. Comme ça, on couvre la totalité des possibilités, que ce soit du profilage, que ce soit l'utilisation aux fins d'appliquer la loi, que ce soit l'utilisation à des fins d'enquête de police, peu importe, le système est dédié à une seule utilité, identification, authentification, et ne doit pas servir ou être l'occasion de l'utiliser pour d'autres choses. Mais pas seulement le profilage.

Mme Setlakwe : Merci. C'est très clair. Vous aviez un autre sujet, je pense, que vous souhaitiez aborder, là. Sur le profilage, vous avez été limpides, vraiment.

La Présidente (Mme Mallette) : En 20 secondes.

Mme Pineau (Anne) : 20 secondes. Bien, l'interopérabilité, la possibilité que des flux de données transfrontières interviennent, particulièrement lorsqu'on parle d'interopérabilité...

Mme Pineau (Anne) : ...avec des outres frontières. Il n'y a rien dans...

• (18 h 20) •

La Présidente (Mme Mallette) : Merci. Je dois maintenant céder la parole au député de Maurice-Richard.

M. Bouazzi : Merci, Mme la Présidente. Merci beaucoup, chers représentants des représentants de la Ligue, d'être avec nous. Moi, je ferais un peu de millage sur la question des données biométriques. Est-ce que vous avez des exemples de dérives, en fait, qu'il y a eu, qui... qui font en sorte qu'on sort justement d'un certain nombre de concepts démocratiques dans une société?

M. Peschard (Dominique) : Mais si on parle de l'usage de la biométrie en général, c'est clair qu'en particulier la reconnaissance faciale pose un grand problème. La multiplication de... D'ailleurs, la commission... la Commission d'accès à l'information a été... reçoit de plus en plus de cas d'entreprises et de situations où on a recours à la reconnaissance faciale et dans bien des cas où ce n'est pas justifié. Donc, ça, c'est un dossier qui nous préoccupe. C'est une question qui nous préoccupe, l'utilisation de la reconnaissance faciale, parce que c'est une méthode de surveillance qui peut devenir très généralisée et totalitaire, surtout quand elle est utilisée dans des lieux publics. Donc, c'est clairement pour nous un danger en termes de droits humains, on a l'exemple en France de l'utilisation de la reconnaissance faciale lors des Jeux olympiques dans l'espace public, par exemple. Donc, la possibilité de cette technologie-là est presque illimitée en termes de surveillance.

M. Bouazzi : Évidemment, on a aussi l'exemple de la Chine où il y a des surveillances avec des scores pour chaque citoyen, n'est-ce pas, qui sont faits en temps réel. Je voudrais que les gens qui nous écoutent soient sûrs de comprendre où est-ce qu'on s'en va, parce que les risques associés, c'est, en fait, la combinaison de technologies, l'intégration, les vidéos, la reconnaissance faciale, etc. Ça fait qu'on peut se retrouver... alors que, par exemple, il y a un projet qui veut mettre des caméras sur chacun des policiers, qui elles-mêmes sont connectées, pourrait se retrouver avec un autre gouvernement, je ne pense pas que c'est l'objectif de ce gouvernement-ci, se dire : Ah bien, tiens, j'ai sous la main des données biométriques dans cette base de données d'authentification et pouvoir savoir en temps réel toutes les personnes que je rencontre, qui elles sont exactement. Évidemment, le droit à l'anonymité disparaît totalement devant les forces de l'ordre. C'est le genre de dérive, en fait, qui pourrait être possible et auxquelles il va falloir, si on veut, imaginer et puis il va falloir les imaginer et les prévenir.

M. Peschard (Dominique) : Tout à fait. Je veux dire, je peux donner un exemple. On faisait de la surveillance à une des manifestations du G7 à Ottawa, et les policiers, très ostensiblement, photographiaient, en pleine face, tous les gens qui descendaient de l'autobus. Avec un système de reconnaissance faciale, il serait possible d'identifier ces personnes. Alors que si aucune infraction n'a été commise, il n'y a aucune... on a le droit à l'anonymat, et d'être dans la place publique, et de manifester sans être identifié ou fiché par la police. C'est un exemple. Alors...

M. Bouazzi : Donc, pour conclure, il faut faire la preuve qu'on en a bien besoin pour l'identification. Il faut aussi ne pas se limiter à interdire le profilage dans l'utilisation des données, mais il faut interdire toute utilisation des données pour autre chose que l'objectif. Et puis, par ailleurs, effectivement, il faut sécuriser tout ça, donner le droit au citoyen de valider l'utilisation, d'autoriser les études, l'utilisation de ce... de ce système.

Je vous remercie beaucoup. Votre mémoire est important, je pense. Et puis les questions de droit et de philosophie sont plus importantes même que les questions technologiques dans ce qu'on fait, ça fait qu'on va en tenir compte.

La Présidente (Mme Mallette) : Merci. Mais je vous remercie pour votre contribution aux travaux de la commission.

Je suspends les travaux quelques instants avant de permettre aux prochains groupes de prendre place. Merci.

(Suspension de la séance à 18 h 24)

(Reprise à 18 h 28 )

Le Président (M. Simard) : Alors, nous sommes de retour en ondes. Chers collègues, heureux de vous retrouver. Et nous en sommes déjà rendus à notre dernière présentation pour aujourd'hui et nous avons l'honneur de recevoir les représentants du Syndicat des professionnelles et professionnels du gouvernement du Québec, sous la gouverne de leur président, M. Bouverette. Alors, soyez les bienvenus, chers amis, parmi nous, et vous savez que vous disposez de 10 minutes pour votre présentation.

M. Bouvrette (Guillaume) : Tout à fait. Merci de nous recevoir, Mmes et MM. les présidents, députés et membres de la Commission des finances publiques, Mmes et MM. les membres du SPGQ, affectés à la bonne marche de cette commission et des travaux parlementaires en général.

Bonsoir, je suis Guillaume Bouvrette, président du SPGQ. J'ai la lourde tâche de vous divertir pour une dizaine de minutes à cette heure tardive. Je suis accompagné de M. Martin Trudel, troisième vice-président chez nous, mais également à la base martin est analyste technologies de l'information au sein du gouvernement, a oeuvré dans divers ministères. Je suis accompagné également de M. Marc Dean, à ma gauche, conseiller à la recherche, et de M. Jean-François Landry, conseiller politique.

Le SPGQ, comme vous le savez certainement, est le plus grand syndicat de personnel professionnel du Québec. On représente plus de 35 000 spécialistes oeuvrant au sein des différents ministères et organismes de l'État québécois, et notamment des professionnels au ministère de la Cybersécurité et du Numérique. Alors, ces experts, ils proviennent de divers domaines des technologies de l'information et des communications, les TIC comme je...

M. Bouvrette (Guillaume) : ...les TIQ, auxquels je référerai comme TI au cours de cette allocution pour que ce soit plus agréable à l'oreille. Ces personnes-là jouent, évidemment, un rôle crucial dans le déploiement des systèmes informatiques de l'État, et ce sont leurs préoccupations et solutions que nous vous soumettons aujourd'hui. Ils et elles ont à cœur les services publics, souhaitent que leur expertise soit mise à profit pour les citoyens et citoyennes du Québec. Sachez que le mémoire que l'on vous présente ce soir, c'est le fruit d'un travail d'un groupe de délégués de différentes spécialités en TI travaillant dans les ministères et organismes du gouvernement, dont le MCN. Alors, en plus d'exposer notre position sur le projet de loi no 82, on dresse un état des lieux assez complet des enjeux en TI au gouvernement, et, évidemment, en plus de répondre à vos questions, à la suite de cette allocution, on sera ouvert à poursuivre les échanges en d'autres lieux si les membres de cette commission souhaitaient obtenir plus d'informations. Le projet de loi no 82, vous le savez déjà, là, mais je le rappelle, il confie au ministère, au MCN de la responsabilité, de la gouvernance et de la gestion centralisée de l'identité numérique nationale, en plus de certains nouveaux pouvoirs.

• (18 h 30) •

Globalement, vous serez heureux d'apprendre que le SPGQ est favorable aux objectifs du projet de loi no 82, mais nous estimons important de sensibiliser les parlementaires aux facteurs clés de réussite qui posent un risque important pour le gouvernement s'ils ne sont pas abordés sérieusement.

Ils sont de trois ordres. Le premier, c'est la dépendance du gouvernement envers la sous-traitance en technologies de l'information, le deuxième, la nécessité de moderniser la classification des emplois des professionnels en TI et les conditions de travail de ceux-ci pour attirer et retenir les talents, et, finalement, l'importance d'embaucher des ressources internes pour combler les postes vacants et de renforcer et maintenir l'expertise à l'interne. Il s'agit pour nous d'incontournables qui doivent être au cœur de l'action gouvernementale pour s'assurer que le p.l. no 82 ne soit pas que des intentions, mais qu'il se réalise.

Alors, d'abord, sur la dépendance à la sous-traitance, on constate depuis plusieurs années que c'est un recours important, voire excessif à celle-ci, en TI, et que ça expose le gouvernement à des risques. On n'est évidemment pas les seuls à le dire. À plusieurs reprises, le Vérificateur général du Québec s'est inquiété de ce recours important là du gouvernement aux ressources externes, et particulièrement dans les fonctions stratégiques de TI. Ce recours fréquent là, il est parfois nécessaire pour combler les besoins parce qu'on n'arrive pas à combler les postes, mais il expose le gouvernement des risques liés à l'intégrité du processus de gestion contractuelle. Les dernières données disponibles sont pour 2022, elles démontrent une augmentation sensible du nombre de ressources externes dans les secteurs public et parapublic. Et c'est aussi ce que nos membres remarquent sur le terrain. Alors que le gouvernement a mis en place un gel d'embauche généralisé dans les derniers mois, on constate qu'il y a quand même toujours du budget pour des contrats en sous-traitance et, du même souffle, il y a des employés occasionnels en TI qu'on mettra pied, si ce n'est pas déjà fait, alors qu'on peine à combler des postes qui sont vacants dans plusieurs secteurs d'expertise. Ça, c'est important de le garder en tête et d'être cohérent dans nos actions.

Maintenant, on a sondé aussi nos membres, assez récemment, là, en 2023, sur la sous-traitance et les constats qu'on a faits, à ce moment-là, appuyés de données probantes, ils sont toujours d'actualité. D'abord, c'est que la sous-traitance, sans surprise, elle est coûteuse, c'est au minimum deux fois plus cher, que des étapes névralgiques devraient être gardées à l'interne pour diminuer les risques de conflit d'intérêts et que le transfert d'expertise est un enjeu. Quand on sous-traite, les travaux sont réalisés, mais l'expertise, elle ne demeure pas chez les gens qui restent. Évidemment, on comprend que les difficultés de recrutement ont souvent incité le gouvernement et continueront à le faire... incité le gouvernement, dis-je, vais faire appel à des consultants parce qu'on se retrouve devant un non-choix.

Nous sommes préoccupés par les répercussions financières et la capacité du gouvernement à réaliser ses objectifs en raison de sa dépendance aux firmes privées qui sont responsables de la création de systèmes informatiques. Évidemment, une des solutions qu'on propose, c'est le recours aux logiciels libres. L'interopérabilité des systèmes ainsi que la programmation par des ressources internes, bien, ça éviterait des situations problématiques. Le gouvernement se trouve dépendant, actuellement, de systèmes d'exploitation, notamment Microsoft, le rendant vulnérable à des pannes majeures qui affecteraient l'ensemble des activités gouvernementales. On craint que le projet d identité numérique nationale fasse trop de place au secteur privé et que... les données confiées dans le cadre de ce projet-là, on le rappelle, elles sont extrêmement sensibles. Le projet de loi no 82, il donne la possibilité au gouvernement de faire affaire avec des entreprises nationales, internationales pour le développement de l'identité numérique, et plusieurs risques sont à mentionner, notamment l'absence de connaissance des missions des ministères et organismes par les consultants, donc nos professionnels et serveurs... servants publics, hein,  c'est "civil servant" qui est utilisé, en anglais, bien, ces gens-là sont au service de... bien, ils ont à cœur la mission des organisations, des ministères dans lesquels les œuvres. C'est quelque chose qui ressort très fort chez nous.

Une autre difficulté, c'est...

M. Bouvrette (Guillaume) : ...de faire respecter la Charte de la langue française avec des firmes étrangères et évidemment d'assurer la sécurité des données qui sont sous-traitées.

Un des facteurs de réussite qu'on identifie, pour le p. l. n° 82, c'est de se concentrer, d'abord, sur des organismes publics qui gèrent beaucoup de données personnelles, mais qui ont, d'un autre côté, très peu de moyens en TI. On a, par exemple, les centres de services scolaires, là, dans notre mémoire, qui gèrent une masse d'informations et qui pourraient voir rapidement la valeur ajoutée de la contribution du ministère si on vient les appuyer de ce côté-là.

Maintenant, sur le deuxième volet, sur la modernisation de la classification des emplois en TI au gouvernement, je ne vous apprendrai rien en disant qu'on n'offre pas une rémunération compétitive par rapport au secteur privé. Alors, une mise à jour permettrait d'attirer et de retenir les talents nécessaires pour mener à bien les projets technologiques gouvernementaux. Cet écart-là, il est important entre le gouvernement du Québec, et les autres administrations publiques, et évidemment avec le secteur privé. Ça crée un cercle vicieux où on n'arrive pas à doter certaines catégories de postes. On est forcé d'avoir recours à la sous-traitance qui coûte plus cher, et on a moins d'enveloppes budgétaires qui pourraient servir à bonifier la rémunération des employés directement du gouvernement. Alors, il y a lieu de renverser cette tendance-là.

Si le gouvernement revoit sa classification, bien, ça l'amènerait à être plus concurrentiel, d'être en mesure d'embaucher de nouvelles ressources. Le nombre de postes vacants, je prends les données de 2022, encore une fois, là, il oscillait entre 7,8 % et 16,3 %, selon les secteurs en technologies de l'information. C'est marqué. Les équipes internes qualifiées maîtrisant la mission gouvernementale seraient la... un succès, assureraient le succès des nouvelles responsabilités dévolues au MCN dans le p. l. n° 82. Le gouvernement, on le croit, doit mettre les ressources humaines et financières nécessaires à la disposition du MCN pour assurer sa réussite et la cybersécurité du projet.

Maintenant, on est préoccupés également par l'ouverture qui est faite sur l'utilisation de données biométriques, et on le souligne avec plus de détails dans notre mémoire, et évidemment le risque que ça pose dans le cas d'une brèche de données. Nos données biométriques, on ne peut pas les modifier par la suite, comme on le fait avec un mot de passe. Elles sont uniques, elles nous appartiennent, et voilà. Les experts en TI, nos membres, là, qu'on a consultés, sont non seulement à même de conseiller le gouvernement dans l'élaboration du projet, mais devraient en être les maîtres d'œuvre.

En conclusion, ce qu'on soutient globalement, c'est que les objectifs du projet de loi, on y souscrit, mais on appelle à une mise en œuvre prudente et réfléchie. Le MCN, on le rappelle, est l'héritier d'une volonté gouvernementale de longue date, hein, de centraliser l'expertise en technologies de l'information et des communications, là. Mon collègue Martin a connu le Centre de services partagés, Infrastructures et technologies Québec, etc. Notre constat, c'est que les moyens financiers n'ont jamais été au rendez-vous pour assurer le succès. Alors, la capacité de réaliser, d'atteindre les objectifs du p. l. n° 82, pour le ministre, dépendra des moyens que le gouvernement osera y mettre.

L'actualité récente et les soubresauts de la géopolitique mondiale, notamment au sud de la frontière, nous appellent à une grande prudence face à la place prépondérante des entreprises du numérique et des géants de celle-ci. On vous soumet que les prestations électroniques de services devraient rester entièrement sur le territoire du Québec.

Finalement, je souligne l'importance assurée qu'on donne le choix aux citoyens d'accéder à nos services numériques. Les gens qui en ont le plus besoin sont souvent les plus vulnérables de la société, ont accès à ce filet social — il me reste 20 secondes, je conclus — et doivent pouvoir avoir accès à ceux-ci, et voilà. Donc, bien qu'on souligne que ce soit une réussite, nos trois recommandations demeurent à l'effet de réduire la dépendance à la sous-traitance, moderniser la classification des emplois et renforcer l'expertise interne. Je vous remercie de votre attention.

Le Président (M. Simard) : C'est moi qui vous remercie, M. Bouvrette, pour le respect intégral de votre temps. Alors, M. le ministre, à vous la parole.

M. Caire : Merci, M. le Président. Je vous avoue que vous m'embêtez sérieusement. Vous comprendrez que vous et moi n'aurons pas ici une discussion sur la classification des emplois, ce qui relève du Conseil du trésor, sur la question salariale qui relève du Conseil du trésor. Donc, je vais... je vais vous amener sur l'objet du projet de loi à proprement parler, et là-dessus, je comprends que je vais me sortir un peu du mémoire que vous nous avez déposé, mais parce qu'essentiellement, vous avez commencé en disant : Bien, nous sommes favorables au projet de loi no 82, et j'aimerais vous entendre pourquoi vous êtes favorables. Qu'est-ce.... qu'est-ce que vous voyez là-dedans avec lesquels vous êtes en accord et sur lesquels éventuellement on pourrait échanger?

M. Bouvrette (Guillaume) : Je vais passer la balle à mon collègue là-dessus, mais donc, M. le ministre, sur la classification, ce n'est pas ici qu'on l'aura...

M. Bouvrette (Guillaume) : ...Donc, M. le ministre, je comprends que, sur la classification, ce n'est pas ici qu'on l'aura. Pour la gouverne des membres de la commission, sachez que la classe d'emploi des analystes en informatique au sein du gouvernement du Québec est mélangée depuis très longtemps avec des analystes en procédés administratifs. Alors, il y a... C'est un petit peu des classes d'emploi fourre-tout qui causent des enjeux. Je comprends que ce n'est pas ici qu'on l'aura.

• (18 h 40) •

M. Caire : ...je ne qualifie pas votre revendication, là. Vous comprenez.

M. Bouvrette (Guillaume) : Tout à fait.

M. Caire : Ce n'était pas du tout, là... Je ne veux pas ni légitimer ni illégitimer votre revendication. Je dis simplement que ce n'est pas avec moi que vous allez pouvoir discuter de ça.

M. Bouvrette (Guillaume) : Voyez en nous, M. le ministre, des alliés pour vous donner les outils nécessaires à la réalisation des objectifs.

M. Caire : Merci.

M. Bouvrette (Guillaume) : Mais là, Martin, je te passe la parole.

M. Trudel (Martin) : Bien, en effet. Bien, on voit un avantage à avoir un nouveau système d'authentification, entre autres parce que, tu sais, on en a un qui existe présentement, là, qui est clair est qui est clicSÉQUR, là, qui est utilisé pour la... déjà pour certains organismes. C'est un système qu'on peut considérer comme désuet ou presque, là. Donc, ce nouveau système là va amener un nouveau système plus à jour et en même temps va faire en sorte qu'on va avoir un système plus uni. Donc... Puis en même temps, bien, on va être... Ce que j'en comprends du projet de loi, c'est qu'on va avoir un seul endroit où est-ce qu'on va avoir à s'authentifier pour avoir... accéder à toutes les données du gouvernement et non à différents sites selon les besoins qu'on a. Donc, c'est... Ça pourrait être un avantage qu'on verrait.

M. Caire : Vous avez abordé, M. Bouvrette, la question de la biométrie. Et je profite justement qu'on ait un analyste avec nous. Puis je comprends les craintes qui ont été exprimées, mais dans la classification des niveaux de confiance qu'un système d'authentification peut apporter, le système actuel, le service d'authentification gouvernemental nous amène à un niveau 2 sur une échelle de cinq. Et on sait maintenant que si on veut amener ça au niveau 3, donc avoir un très haut niveau de confiance, l'élément biométrique est un élément à inclure pour atteindre ce niveau-là. Et je pense à certains types de transactions, Revenu Québec notamment, qui pourraient requérir ce niveau-là. Donc, dans ce contexte-là, est-ce que l'utilisation de la biométrie pourrait se justifier? Et si oui, quelles seraient vos recommandations pour... Parce que je comprends les craintes par rapport à ça, mais quelles seraient vos recommandations pour qu'on puisse l'utiliser à ces fins-là, mais à ces seules fins là?

M. Trudel (Martin) : Bien, moi, tout ce que je peux voir, c'est que la biométrie, je comprends que ça peut être comme on a déjà avec nos appareils personnels, là, une option. Je pense que ça devrait rester une option. On pense que ça devrait rester une option. Une obligation, ça peut être difficile. Je ne sais pas si au niveau de la vie privée, ça peut être possible d'amener la biométrie comme une obligation, mais l'enjeu, surtout, c'est de protéger cette... ces données de biométrie là, s'assurer que ça soit hébergé de façon sécurisée dans des systèmes internes parce qu'une fois qu'on a perdu notre biométrie, bien, c'est... ce n'est plus récupérable. On ne peut plus... On ne peut pas modifier notre biométrie.

M. Caire : C'est sûr.

M. Bouvrette (Guillaume) : Et ces systèmes-là demeurent sous le contrôle de la législation québécoise.

M. Caire : Oui. Oui, oui. Bien, en fait, puis ça, je vais y revenir, là, mais sur la biométrie, bon, on s'entend qu'on a déjà ces banques de données là, la RAMQ, la SAAQ, évidemment, le permis, la photo qu'on met sur le permis de conduire, ça vient de quelque part, je veux dire. Donc, l'État a déjà constitué ces banques-là, dans le respect de la Loi concernant le cadre juridique des technologies de l'information. Donc, dans ce contexte-là, est-ce que vous ne pensez pas que c'est plutôt de nature à rassurer le citoyen de dire : Écoutez, depuis des décennies, on a ces banques d'information là, biométriques. On s'en sert pour la comparaison faciale qui est faite de façon mécanique, évidemment, parce que c'est un individu qui va regarder la personne qui détient le document et qui va comparer. On pourrait le faire de façon automatisée par, puis vous l'avez mentionné, par les appareils dont on est les utilisateurs, comme on va le faire avec Desjardins, par exemple, comme on va le faire avec d'autres services qui l'utilisent déjà.

Dans ce contexte-là, est-ce que, un, vous pensez que ça pourrait se justifier? Puis je veux vous rassurer, là, il n'est absolument pas question d'obliger ça, de rendre ça obligatoire. Ça, il n'en est pas question. Soyons bien clairs. Et d'ailleurs le projet de loi le dit clairement, l'identité numérique nationale, on ne pourra jamais forcer quelqu'un à se servir d'identité numérique nationale, que ce soit avec ou sans biométrie, là. Ça, je veux être bien clair là-dessus.

Donc, dans ce contexte-là, est ce que vous pensez que c'est plutôt rassurant de se dire : Bien, on le fait déjà. Il n'y a pas d'incident à déplorer à ce jour, je touche du bois...

M. Caire : ...mais... En fait, c'est ça, c'est de dire : Mais on le fait déjà, dans l'émission des cartes d'assurance maladie, dans l'émission des permis de conduire. Puis l'élément qu'on rajoute, c'est qu'au lieu de faire de façon mécanique le... ou que c'est un individu qui fait la comparaison faciale, on pourrait le faire par un système inclus dans un appareil cellulaire, par exemple.

M. Bouvrette (Guillaume) : Oui. Bien, évidemment, dans la mesure où vous nous dites qu'il n'y a pas d'obligation et qu'on assure la sécurité de ces données-là, c'est la préoccupation principale qu'on a, puis j'ai envie de vous dire qu'on est rassurés, M. le ministre.

M. Trudel (Martin) : La différence que je peux voir par rapport au mécanique, c'est... puis je ne sais pas si vous avez déjà expérimenté, là, on perd un permis de conduire ou quelque chose, on n'a pas les photos en banque, nécessairement, il faut reprendre une photo. Donc, on reprend la photo, on l'imprime, puis après ça, il n'y a pas de conservation de la photo. Donc, si on l'utilise de façon numérique, là, ça veut dire qu'il faut conserver des... les millions de photos des...

M. Caire : Là-dessus, vous me permettrez peut-être une petite correction, il y a conservation de la photo, là. La SAAQ a... conserve les banques de photos, puis ça, c'est important que les citoyens le sachent, là, parce que sinon ça va... justement, ça va... ça va amener cette perception-là que le gouvernement n'a pas ma photo. Le gouvernement a votre photo. Alors, que ce soit la RAMQ, que ce soit la SAAQ... Et d'ailleurs le projet de la SAAQ, c'était justement pour faire de la... du ménage dans sa banque de photos, là. Donc, ça, c'est important de le dire aux citoyens, là, pour ne pas qu'il y ait... qu'il y ait de confusion là-dessus.

Donc, je vous entends sur la question de la biométrie. Éventuellement aussi, l'idée c'est de créer un cadre légal pour l'utilisation... puis je suis très... très content d'avoir les professionnels en face de moi, parce que l'idée, c'est de développer des services numériques. Puis oui, j'entends ce que vous me dites sur le fait que nos professionnels doivent être au cœur. Et il me semble, en tout cas, c'est la volonté que j'ai, que c'est le cas, que nos gens à l'interne soient ceux qui soient les maîtres d'oeuvre. Sur le fait d'aller chercher un programmeur à l'externe, là, peut-être qu'on aura des discussions, vous et moi. Mais je comprends que l'expertise, le savoir et le savoir-faire doivent être internalisés. Là-dessus, on n'aura pas de grosses discussions, vous et moi, surtout dans une perspective où, si on veut une transformation numérique réussie, ça nous prend le savoir, le savoir-faire, mais ça nous prend aussi la mémoire institutionnelle, ça nous prend l'espèce de continuité. Et donc l'identité numérique, dans une perspective de transformation numérique, vous voyez ça comment?

Des voix : ...

M. Trudel (Martin) : Comment on voit la transformation numérique, vous voulez dire?

M. Caire : Non, l'identité numérique mais dans une perspective de transformation numérique. Donc, la prochaine étape, on a parlé du portefeuille d'identité numérique, on a parlé d'attestation, parce que, dans le document, dans le projet de loi, on parle des attestations d'identité, par exemple une attestation d'assurance maladie, une attestation de permis de conduire, qui nous permet... qui pourrait nous permettre d'avoir des services numériques plus étendus, des services numériques de bout en bout et donc une transformation numérique. Donc, c'est la... dans le fond, d'une transformation numérique de l'État. Vous, vous voyez ça comment?

M. Trudel (Martin) : Bien, dans le fond, nous autres, on n'est pas d'accord comme... on est d'accord dans... de la façon que c'est fait, au niveau de la transformation numérique.

M. Caire : Vous m'avez fait peur, là.

M. Trudel (Martin) : Hein? Non, non, c'est ça, on est d'accord de... qu'il y a de l'amélioration à faire pour la... pour la façon qu'on va s'authentifier avec nos systèmes, nos... pour accéder à nos données, etc., mais c'est... c'est souvent ce qu'on... c'est souvent la façon que c'est fait, là, qu'on peut plus... qui est à vérifier. Parce que, disons, tout le côté hébergement de ces données-là, de ces systèmes-là... Puis aujourd'hui, là, on a parlé, là, pour l'hébergement Amazon. À ce que j'en sais, le système québécois d'identité numérique est hébergé présentement sur un système AWS. Donc, est-ce que c'est des choses qu'on devrait repenser, de dire... Puis je pense que... il me semble qu'au départ c'était supposé être du développement interne, de l'hébergement interne, puis là il y a eu des décisions qui ont été changées... puis je pense qu'il fallait que ça aille plus rapide. Donc, ça aussi, c'est un enjeu. Est-ce qu'il faut... Est-ce qu'il faut prendre des raccourcis pour aller plus rapidement? Donc, c'est tout ça qu'il faut penser pour être certains que ces données-là soient le maximum protégées puis qu'on soit les gardiens de ces données-là, que ça ne soit pas... on ne laisse pas des compagnies privées, souvent américaines, devenir les gardiens de nos données.

M. Caire : ...puis je trouve ça intéressant, ce que vous dites. Puis je vais vous amener sur la question de la centralisation, parce que vous l'avez abordée. Mais oui, effectivement, j'entends ce que vous dites. Ceci étant dit, l'opérateur est quand même le gouvernement du Québec, et le propriétaire des systèmes est le gouvernement du Québec, mais je comprends que la technologie n'est pas québécoise, là, mais...

M. Caire : ...ça, c'est important, parce que ça empêche la délocalisation, là, comme... qui est une crainte que les citoyens ont de dire : Bon, bien, est-ce que le Cloud Act va faire en sorte que... Non, oubliez ça, là. Je comprends que... C'est comme les... On achète des serveurs, puis bon, bien, on n'en produit pas au Québec, en tout cas ou on en produit, mais bref, il va... il va arriver qu'on va acheter une technologie qui n'est pas québécoise, mais l'opérateur, c'est le gouvernement du Québec. Et le nuage québécois est opéré par et pour le gouvernement du Québec. Et il va rester au gouvernement du... bien, au Québec. Ça, là-dessus, je pense qu'il faut... qu'il faut être... aussi apporter cette précision-là.

• (18 h 50) •

Mais, sur la centralisation, puis je suis... je suis content de vous avoir, parce que, moi, je dis depuis début de la journée, puis on se dit : Oui, mais là, on va centraliser nos renseignements personnels, ça devient évidemment problématique au niveau de la sécurité, ça fait en sorte que, si on se fait hacker, le hackeur va... va... va vraiment... c'est le pot aux roses, là, c'est... c'est... c'est le Klondike. Mais la vérité, puis vous le savez mieux que moi, même, c'est des... bien, des bases de données qui contiennent l'ensemble de nos renseignements personnels, ça se surmultiplie au gouvernement du Québec. Donc, ce que le projet de loi cherche à faire, c'est de dire : Bien, on va éliminer cette pluralité de banques là parce que c'est autant de surfaces d'attaque, c'est autant d'opportunités pour des hackeurs de se dire : Bon, bien, ça n'a pas marché dans cette banque-là, je vais m'essayer avec l'autre, je vais m'essayer puis, à un moment donné, je vais finir par en trouver une où ça va... où ça va fonctionner. Vous voyez ça comment, en termes de sécurité, de se dire : Bien, on va rassembler ces renseignements personnels là à un seul endroit qui va devenir la source de tous les autres ministères qui vont devoir venir s'approvisionner à cette source-là, qui va être beaucoup plus facile à protéger, qui va éviter les doublons, qui va éviter évidemment les disparités d'informations sur un même individu dans les banques? Personnellement, je pense que c'est positif, mais j'aimerais vous entendre sur cette question-là.

M. Trudel (Martin) : Bien, rapidement, je pourrais dire que ça a l'avantage de réduire les possibilités de désuétude parce qu'il y en a beaucoup dans plusieurs différents systèmes dans différents ministères et organismes.

Je peux peut-être laisser la place à d'autres, là, si vous voulez. Non? Bien, c'est ça, je pense qu'il y a... il y a... on voit quand même l'avantage de ça, là, pour... au niveau de la centralisation. Mais, comme vous dites, le fait de centraliser, ça... c'est toutes les données qui y passent, là, donc il faut absolument que ce soit très bien sécurisé et très bien mis à jour régulièrement.

Le Président (M. Simard) : Très bien. M. le ministre.

M. Caire : Bien, en fait, non, c'est le fun, parce qu'il y a des gens qui nous écoutent. Puis on me confirme qu'effectivement le nuage gouvernemental va être sur un cloud privé gouvernemental à 100 %.

M. Trudel (Martin) : Interne?

M. Caire : Interne, tout à fait, donc...

Le Président (M. Simard) : On en profite pour saluer... On en profite pour saluer ceux qui nous écoutent.

Une voix : Oui. Bonjour.

M. Caire : Oui, pour la plupart, sont... sont... sont des membres de votre syndicat. Tout à fait. Vous m'avez déconcentré, là. J'étais parti sur un élan puis...

Le Président (M. Simard) : Vous parliez du nuage.

M. Caire : Oui oui, oui, du nuage gouvernemental de la transformation numérique. Où suis-je? Où vais-je? Parlez-moi, 30 secondes, là, pendant que je retrouve mes...

M. Trudel (Martin) : Bien, donc ça veut dire un nuage hébergé avec des technologies qui... est-ce que... qui seraient possiblement moins... moins contraignantes, là, où est-ce qu'on est...

M. Caire : Ah! c'est ça.

M. Trudel (Martin) : Oui?

M. Caire : Oui. Bien, en fait...

M. Trudel (Martin) : C'est parce que ce qu'on... Oui. Allez-y.

M. Caire : Vous avez probablement vu qu'on a procédé à un plan de catégorisation de nos... classification de nos données, qui est mis en application par décret, qui va faire en sorte qu'on va être effectivement obligés... dans notre programme de consolidation des centres de traitement de l'information, qui font qu'on envoie nos données en nuage, qui vont faire en sorte que les données, justement, là, c'était... c'était ça, mon point, c'est que les données qui sont sensibles, les données qui sont stratégiques devront être gardées dans le système infonuagique du gouvernement du Québec, justement, pour éviter... Notamment avec la pandémie, là, je vous dirais qu'on comprend encore plus à quel point c'est important pour un gouvernement de contrôler ses données stratégiques et ses données... ses données sensibles. Donc, vous, vous voyez ça comment, cet exercice-là? Parce que, je sais qu'il y a des réticences, on va se le dire, là, au niveau de nos ministères et organismes, là, d'aller vers ce programme-là. Est-ce que le fait d'avoir cette classification-là maintenant pourrait rassurer les professionnels, pourrait rassurer les... nos gens qui ont à aller de l'avant avec le programme de consolidation des centres de traitement d'information?

M. Trudel (Martin) : C'est... Bien, quand vous dites qu'il y a des réticences, c'est...

M. Trudel (Martin) : ...ça ressemble à quoi? C'est... qu'est-ce que peuvent être les raisons?

M. Caire : Bien là, je vais faire attention, là, parce que le député de Maurice... le député de Maurice-Richard m'écoute, là.

Des voix : ...

M. Caire : Bien, disons que... des réticences à se dire : Est-ce que, vraiment, on devrait garder les données sur nos sites à nous, dans nos ministères... là, si vous me passez l'expression, versus l'infonuagique, les avantages de l'infonuagique.

M. Trudel (Martin) : Bien, il y a des avantages dans les deux, mais c'est certain, justement, que, pour certains types de données, c'est préférable de garder ça à l'interne. Mais encore là, il faudrait essayer le plus possible d'éviter des technologies propriétaires, qui nous rendent... qui nous mettent en... "locked-in", là.

M. Caire : Dépendant.

M. Trudel (Martin) : Dépendant, là, puis je ne sais pas si vous avez entendu parler de...

M. Caire : Oui. Si j'en ai entendu parler? Voulez-vous qu'on s'en...

M. Trudel (Martin) : Avec des licences qui ont augmenté énormément. Alors, il faut trouver des alternatives, mais c'est...

Le Président (M. Simard) : Très bien. Merci, messieurs. On s'arrête ici, et je cède la parole à la députée de Mont-Royal-Outremont.

Mme Setlakwe : Merci, M. le Président. Merci à vous quatre et merci pour votre mémoire. Moi, je vais vous ramener vraiment aux facteurs clés de réussite que vous avez mis de l'avant dans votre mémoire. Je comprends, là, que le ministre vous répond que ce que vous soulevez ne relève pas de lui, relève de sa collègue au Conseil du trésor, mais, en tout cas, pour moi, c'est un projet important qui est mis de l'avant par le gouvernement. Il faut s'assurer que les conditions gagnantes soient réunies pour qu'on puisse le déployer de façon avantageuse et de façon à ce qu'on puisse susciter une adhésion maximale puis que les Québécois puissent en bénéficier pleinement, donc. Et vous, vous avez, directement ou par le biais de vos membres, un regard interne. Est-ce que vous estimez qu'avec les ressources actuelles, on puisse y arriver... les ressources internes actuelles, est-ce qu'on peut y arriver, à un déploiement à succès?

M. Bouvrette (Guillaume) : Il faut savoir qu'actuellement... actuellement... Je vous ai parlé de la sous-traitance, qui, au minimum, coûte deux fois plus cher partout, mais les données nous montrent que dans une grande partie des ministères et organismes gouvernementaux, à travers les années, c'est plus de la moitié des ressources en informatique qui sont des ressources externes. Et ça, ça crée des enjeux, des enjeux de dépendance à la sous-traitance, qu'on a soulevés. Et c'est le résultat du manque d'attractivité et de compétitivité de la rémunération des postes en TI. Alors, ce n'est pas pour rien qu'on l'a intégré de manière très importante dans notre mémoire, tant on va dépendre de la sous0traitance et qu'on ne réglera pas les enjeux d'attractivité, on ne réunit pas les conditions gagnantes pour que ces projets-là soient réalisés à l'interne, avec les avantages que ça a, en termes de coût financier, en termes de maintien et transfert d'expertise, en termes de contrôle des données. Voilà.

Mme Setlakwe : Parce que la sous-traitance, ça finit par coûter très cher, et peut-être que cet argent-là devrait être investi à l'interne, vers l'embauche de nouvelles personnes, la bonne expertise qu'on pourrait attirer et retenir au sein du ministère.

M. Bouvrette (Guillaume) : Oui, tout à fait. Bien, l'incohérence qu'on soulève, ce n'est pas nouveau, là, c'est un phénomène connu depuis longtemps. C'est que c'est comme si le budget de rémunération du personnel et le budget de sous-traitance, c'étaient deux choses complètement séparées, puis qu'il n'y avait aucun lien entre les deux, mais ce qu'on dit, c'est que ça coûte plus cher de sous-traiter. On a annoncé un gel d'embauche dans l'appareil public, et tous les secteurs sont touchés, là, pas juste au sein des ministères et organismes, mais on n'a pas vu de réduction des budgets de sous-traitance, de la dépendance à celle-ci, qui seraient pourtant en cohérence importante avec les orientations gouvernementales de réduction du déficit budgétaire.

Mme Setlakwe : Est-ce que vous pensez qu'on devrait freiner l'arrivée de ce projet-là tant qu'on n'a pas ldes ressources en interne ou vous n'iriez pas jusqu'à dire ça?

M. Bouvrette (Guillaume) : Je pense qu'on n'a pas les connaissances fines pour aller jusqu'à dire ça.

Mme Setlakwe : Mais ce que je comprends, c'est qu'actuellement on pallie avec les ressources externes, et ça coûte forcément plus cher.

M. Bouvrette (Guillaume) : Ça coûte plus cher. On pallie avec des ressources externes. Les taux de postes vacants, particulièrement en technologies de l'information, dans tous les secteurs d'expertise de TI, sont plus élevés qu'ailleurs et sont en augmentation.

Mme Setlakwe : Qu'est-ce qui fait que les jeunes cerveaux ou autres, les... ne viennent pas vers le ministère? Est-ce que c'est vraiment juste une question de rémunération ou est-ce qu'on n'utilise pas les bons critères? Est-ce qu'on se limite trop à des gens qui ont un certain diplôme? Elle est où, la problématique, selon vous?

M. Bouvrette (Guillaume) : Peut-être que mon collègue voudra compléter, vous aurez compris que je ne suis pas le spécialiste en TI, mais il y a un enjeu de rémunération important, peu importe de quelle manière on le compare ou qu'on tourne la question. La rémunération globale en technologies de l'information n'est pas compétitive au sein de la fonction publique québécoise. Maintenant, sur les autres critères, je ne sais pas si tu as un enjeu spécifique, là. Il y a des enjeux de formation, là aussi, là, en continu.

M. Trudel (Martin) : C'est souvent les... bien, maintenant, là, on a... on a mis... il y a un projet de loi qui... bien, il y a une loi qui est sortie...

M. Trudel (Martin) : ...entre autres, là, qui empêche les gens qui n'ont pas de baccalauréat de devenir analystes. Puis, déjà, les salaires d'analystes sont plus bas que ce qu'on peut retrouver au privé. Donc, les gens qui pourraient dire... qui pourraient commencer techniciens, dont moi j'ai fait partie, là, j'ai commencé comme technicien et je suis devenu analyste éventuellement, ça ne fonctionne plus. Donc, ils vont juste passer au privé. Ils vont... Ils vont devenir sous-traitants pour être capables d'avoir des salaires équivalents et même plus qu'analystes. Donc, ça peut être une des raisons, là, que c'est difficile de les attirer. Puis il faut dire aussi qu'en informatique, les gens sont beaucoup autodidactes, là. Ils n'ont pas nécessairement beaucoup de diplômes. Puis, même s'ils ont un diplôme, le diplôme devient désuet très rapidement. Donc, c'est comme si c'était un critère qui n'était pas nécessaire, là, pour les gens en informatique, là.

• (19 heures) •

Mme Setlakwe : Donc, vous diriez que le gouvernement se prive des meilleurs talents?

M. Trudel (Martin) : Bien oui. Bien, nécessairement, avec... en limitant à des diplômes...

M. Bouvrette (Guillaume) : Et, une des voies de passage qu'on voit puis qu'on identifie, c'est une réforme de la classification. C'est d'ailleurs un projet important, là, la stratégie de gestion des ressources humaines du Conseil du trésor. C'est un plan quinquennal 2003-2028. C'est une refonte complète de la classification des emplois qui date de Mathusalem, là. Alors, la classe d'emploi, actuellement, les analystes en informatique, il y a de tout qui se retrouve dans ça. Ça ne permet pas d'identifier les spécificités, de faire une réelle analyse du niveau de complexité de certains emplois par rapport à d'autres et de se doter d'échelles salariales en conséquence.

M. Trudel (Martin) : C'est un... C'est un... Dans le fond, c'est une classification pour l'instant qui est autant pour les postes administratifs qu'informatiques. Puis maintenant, il y a plein de postes en informatique, mais tout est regroupé dans un seul type de classification, qu'on appelle 108, là, comme analyste informatique et administratif. C'est... C'est... C'est... Puis on peut voir, dans différentes autres organisations, on divise, on a des analystes, mais on a aussi des conseillers en architecture informatique, des chargés de projets informatiques. Des postes en informatique, là, il peut y en avoir des dizaines et des dizaines.

Mme Setlakwe : O.K. Donc là, si je simplifie, on essaie de se mettre vraiment au goût du jour puis offrir le meilleur des technologies au citoyen. C'est une intention qui est louable, de la part du gouvernement, mais le gouvernement n'est pas équipé à l'interne du tout, là, pour mener ce projet-là à bien à l'interne?

M. Bouvrette (Guillaume) : Équipé en partie. Mais on identifie des lacunes puis une voie de passage, hein, parce qu'on a une convention collective en vigueur jusqu'en 2028. Bien, c'est de travailler une refonte complète de la classification des emplois de la fonction publique, ce qui permettrait, dans certains domaines où on identifie des lacunes, de se mettre à jour sur les conditions de rémunération.

Mme Setlakwe : Et c'est quoi, les domaines, là, qu'il faudrait traiter en priorité pour pouvoir mener à bien le projet de l'identité numérique nationale?

M. Bouvrette (Guillaume) : Vous voulez dire domaines précis à l'intérieur des technologies des l'information?

Mme Setlakwe : Mais qu'est-ce qu'il manque exactement comme expertise, de façon prioritaire, là, par rapport au projet de loi qu'on... qu'on... qu'on étudie aujourd'hui?

M. Trudel (Martin) : Il y a des membres qui nous l'ont dit, là, c'est les développeurs. C'est beaucoup des développeurs qu'on a besoin, là, des développeurs expérimentés, seniors, là. C'est... C'est des postes qui vont être... qui vont avoir beaucoup mieux quand... qui sont très bons, là, en allant au privé que rester à l'interne.

Mme Setlakwe : ...que là, on va perpétuer une problématique de dépendre de cette expertise à l'externe. On ne l'a pas à l'interne. Et ça coûte... ça coûte très cher. Et, dès qu'il y a des problématiques, il faut continuer de recourir à l'externe?

M. Trudel (Martin) : Exact. Puis on a... on recourt beaucoup à l'externe aussi parce qu'on utilise des progiciels qui nécessitent d'avoir besoin d'experts à l'externe. Si on parle de SAGIR, par exemple, là, on s'est basés sur des systèmes Oracle pour qu'on puisse développer à l'intérieur. Ça nous prend des spécialistes, des superspécialistes Oracle qui peuvent... écoutez, on a déjà vu des articles, là, à plus de 2 000 par jour, là. C'est... Ça, c'est dans le temps, là. Ça fait que ça doit être encore plus lourd que ça maintenant.

Mme Setlakwe : Merci. Bien, en tout cas, on va encourager le ministre à parler à ses collègues. Et je pense que ça pourrait l'aider aussi à livrer des projets avec tout le succès qu'on lui souhaite, vraiment. Merci beaucoup. Est-ce que j'ai encore un peu de temps, M. le Président?

Le Président (M. Simard) : Quatre minutes, chère collègue.

Mme Setlakwe : O.K. On a, un petit peu plus loin dans votre... dans votre mémoire, à la page huit, là, il y a une référence spécifique à... bien, encore une fois, à cette dépendance à des systèmes d'exploitation privés, pour ne pas nommer Microsoft, le rendant vulnérable à des pannes majeures qui affecterait l'ensemble des activités gouvernementales. J'aimerais vous entendre un petit peu plus en détail sur cet élément-là de votre mémoire, s'il vous plaît.

M. Trudel (Martin) : Bien, on le sait, on est... on est... on utilise presque tous, probablement qu'à l'Assemblée c'est la même chose, là, des systèmes basés sur Microsoftm on a tous sur nos postes de travail des systèmes d'exploitation Windows. Puis on a vu dernièrement que...

M. Trudel (Martin) : ...il y a eu une grosse faille par rapport à une mise à jour d'un système antivirus, qui a fait que plein d'ordinateurs, ils ont... qu'ils ont tombé, plein de serveurs, etc.

C'est quelque chose qui ne serait pas obligatoire, il y a des alternatives. On peut penser à des systèmes... On parlait de logiciels libres, là. Bien, il y a des logiciels libres qui sont des systèmes d'exploitation. Moi-même, j'ai déjà travaillé au Centre d'expertise en logiciel libre. C'était... c'était un centre d'expertise qui avait été construit, justement, pour amener ces alternatives-là. Il y a eu des exemples, à certains endroits, que... Je pense qu'entre autres le... le cégep de Rimouski, il me semble, là, qu'ils avaient déjà décidé de monter, là, des systèmes en... en Linux, puis à utiliser des... des suites Office, aussi, en... en logiciel libre. Ça nous... ça nous rend moins dépendants d'une seule compagnie.

Puis là, imaginez, Office 365... J'ai parlé tantôt d'un système de... d'hyperviseur, là, VM-mois, qui... c'est... là où... où on héberge plusieurs serveurs, mais Office 365, on l'utilise tous. Si Microsoft décidait de monter sa facture de... de fois 10, là, je ne sais pas, comme il veut... on devient... on est très dépendants... ce serait très difficile de... de s'en retirer maintenant. C'est... c'est un peu ça, là dans le fond, c'est qu'on... Puis c'est ça que nos membres nous ont dit aussi, c'est qu'on... on est dépendants, on devient dépendants des compagnies qui... en plus, américaines. Là, on dit... on... il y a des... là, on... on critique Amazon, mais ça pourrait être quelque chose qui arrive aussi avec Microsoft, là.

Mme Setlakwe : En effet. Est-ce que vous croyez qu'on a donc toute l'expertise au Québec? Évidemment, on... on la souhaite à l'interne, mais c'est encore pire si on ne bénéficie pas de l'expertise québécoise.

M. Trudel (Martin) : Bien, exactement, puis... Mais c'est sûr. Mais là c'est... c'est ça, c'est... là, c'est des logiciels qui sont américains, mais on pourrait avoir une expertise, on pourrait se monter une expertise. Puis il y a des compagnies de... il y a des entreprises qui se spécialisent aussi dans les... dans ces systèmes d'exploitation là, qui sont plus dits libres. Puis il y a aussi beaucoup d'exemples, là, en Europe, par rapport à ça.

Mme Setlakwe : Donc, on pourrait dire qu'on a le bras dans l'engrenage, pris solidement dans l'engrenage avec Microsoft.

M. Trudel (Martin) : Parce que... Bien, c'est un risque. Puis, même, juste les logiciels pour... pour faire nos impôts. On a aucun logiciel québécois pour faire nos propres impôts. C'est les logiciels qui... avec... qui viennent de compagnies américaines ou canadiennes, mais on n'a pas de logiciel québécois. Comment ça qu'on n'a... on ne peut même pas avoir des logiciels, pour faire nos propres impôts, qui ne sont pas conçus au Québec?

Mme Setlakwe : Merci. Si j'ai le temps pour une dernière question...

Le Président (M. Simard) : 30 secondes.

Mme Setlakwe : ...juste élaborer sur... Vous avez mentionné les centres de services scolaires, en particulier en éducation, qui constituent un bel exemple de... d'organismes publics qui gèrent beaucoup de données personnelles avec peu de moyens. J'aimerais ça vous entendre élaborer un peu plus là-dessus.

M. Bouvrette (Guillaume) : Ça permet peut-être juste de... de répondre à une préoccupation, je pense, que le ministre énonçait tout à l'heure, de... il peut y avoir de la réticence, puis de la réticence chez des plus gros organismes, qui ont des gros moyens en TI, qui gèrent déjà énormément de données personnelles, et c'est, pour nous, un moyen de... de concrétiser la valeur ajoutée de ce projet-là en offrant, dans un premier temps, les services de... de gestion de données à des... des organismes qui ont moins de moyens, mais qui, pourtant, gèrent des données qui sont extrêmement sensibles et à risque.

Le Président (M. Simard) : Merci beaucoup. Et je cède donc la parole à notre collègue de Maurice-Richard, qui dispose de quatre minutes.

M. Bouazzi : Merci beaucoup. Nous aussi, on va parler des questions de rémunération. D'ailleurs, j'informe tout de suite le ministre que nous allons déposer une demande pour que la ministre en charge de toute... du Conseil du trésor soit invitée à notre commission. J'espère qu'elle acceptera, dans un objectif de... de faire avancer tout ceci.

C'est un sujet qui... je connais plutôt bien, pour avoir participé à, vraiment, beaucoup de projets informatiques dans ma vie, et je voudrais que les gens qui nous écoutent comprennent. Je ne connais pas votre réalité, mais je suis prêt à parier sur ce que je vais dire. Bon, la première, c'est de dire... Bon, il y a des prestataires de services. En moyenne, est-ce qu'il y en a qui restent deux, trois, quatre ans? Est-ce que... est-ce que... est-ce qu'il y a des gens qui sont des prestataires de services vraiment longtemps chez vous?

M. Trudel (Martin) : Des presque permanents, oui, plus de 10 ans, 15 ans.

M. Bouvrette (Guillaume) : 20 ans, oui. On voit même, si vous permettez, des... des ressources externes qui sont là depuis tellement longtemps qu'elles apparaissent dans les organigrammes des ministères et organismes. Alors, quand on valide réellement, ces gens-là ne sont pas des employés au titre de la Loi sur la fonction publique.

M. Trudel (Martin) : Puis, on s'entend, on dit «prestations de services», mais ça ressemble énormément à des prestations de travail.

M. Bouazzi : Énormément. Je voulais juste... Oui, je vais parier sur plusieurs choses, je sens que je vais avoir raison plusieurs fois. Le... la... la deuxième, c'est... alors, peut-être que vous ne savez pas l'information, mais quel est le pourcentage de rémunération de plus qu'un prestataire de services reçoit? Est-ce que vous avez une idée, en moyenne? Un développeur, par exemple. En moyenne, combien...

M. Bouazzi : ...est payé un développeur permanent?

M. Bouvrette (Guillaume) : De manière générale, la sous-traitance coûte au moins deux fois plus cher, je l'ai dit et je le réitère. Mais ça peut être plus de multiples.

M. Trudel (Martin) : Ce que la personne reçoit, ça va dépendre du type de contrat.

M. Bouazzi : Ça, ce n'est pas ça qui nous intéresse. Ce que le ministère paie, c'est de l'ordre de 50, 60 voir 100 % plus cher pour la même ressource.

• (19 h 10) •

Une voix : C'est, au moins, 100 % plus cher, de manière générale.

M. Bouazzi : ...pour des ressources qui peuvent... au moment, mais qui peuvent aussi rester 10 ans de suite. Donc, on paie 100 % de plus pendant 10 ans de suite. Parce que je veux vraiment que les gens qui nous écoutent comprennent le non-sens. Et là on a parlé... vous avez parlé de gel des embauches, alors, je ne suis pas sûr d'avoir compris. Par rapport aux postes qui sont ouverts, ça veut dire que, même le 8 à 17 %, je ne me rappelle plus des chiffres qui sont ouverts actuellement, c'est-à-dire qu'on embauche plus ou on embauche encore?

M. Bouvrette (Guillaume) : Normalement, on n'embauche plus, puis... en tout cas. Ce n'est pas nouveau qu'on dénonce le recours excessif à la sous-traitance, c'est récurrent. Par contre, je veux préciser qu'il y a des moments pour l'expertise pointue où c'est nécessaire pour un surcroît de travail ponctuel. Mais, quand ça dure dans le temps, on se trouve à créer finalement une certaine fonction publique parallèle qui échappe peut-être au contrôle des parlementaires.

M. Trudel (Martin) : Tout dépendant aussi, ce qu'on veut, c'est essayer de récupérer le plus possible de l'expertise pointue puis l'amener à l'interne. Mais on dirait qu'à un moment donné on devient juste dépendant de ressources externes, puis c'est juste cette personne-là qui a l'expertise, puis on...

M. Bouazzi : 100 %.  Et je rajouterai qu'en moyenne 80 % du coût d'un projet, en fait, est sur la durée de vie du projet, donc, pas à la livraison, mais après, vous avez parlé de SAGIR, je crois, probablement qu'on a dépassé les 80 % depuis longtemps. Et évidemment on se retrouve dans une situation où on peut avoir l'inverse, c'est-à-dire tous les consultants qui partent au moment de la livraison et que, du coup, la maintenance soit terriblement difficile au lendemain. Est-ce que vous avez vécu ce genre de risque, en fait, associé au départ des gens?

Le Président (M. Simard) : Très succinctement, s'il vous plaît, mais plus longuement quand même. 

M. Trudel (Martin) : Bien, moi, ce que je peux dire, c'est que j'ai déjà vu ça, là, entre autres, pour SAGIR, justement. Avant, toute l'exploitation, l'infrastructure étaient gérées par une compagnie externe, je pense que c'était CGI. Puis, à un moment donné, on l'a laissé, puis on a repris ça à l'interne...

Le Président (M. Simard) : Très bien...

M. Trudel (Martin) : ...tout le côté relève, etc. Il a fallu refaire l'expertise à l'interne, oui.

Le Président (M. Simard) : Très bien. Merci beaucoup, messieurs. Ce fut fort intéressant, très instructif. À nouveau, merci pour votre précieuse présence.

Et, compte tenu de l'heure, nous allons ajourner nos travaux. Mais n'allez pas très loin parce qu'on se retrouve demain, demain avant-midi, quelque part après l'avis touchant les travaux des commissions. Au plaisir!

(Fin de la séance à 19 h 13)