Journal des débats (Hansard) of the Committee on Public Finance

(Onze heures vingt-neuf minutes)

Le Président (M. Simard) : Alors, chers amis, bienvenue à toutes et à tous. Je constate que nous avons un quorum. Comme vous le savez, la Commission des finances publiques est aujourd'hui réunie afin de poursuivre les consultations particulières et les auditions publiques sur le projet de loi n° 82, Loi concernant l'identité numérique nationale. M. le secrétaire, bonjour. Y a-t-il des remplacements?

Le Secrétaire : Merci, M. le Président. Mme... M. Beauchemin (Marguerite-Bourgeoys) est remplacé par Mme Caron (La Pinière); M. Morin (Acadie) est remplacé par Mme Setlakwe (Mont-Royal—Outremont); et Mme Zaga Mendez (Verdun) est remplacée par M. Bouazzi (Maurice-Richard).

• (11 h 30) •

Le Président (M. Simard) : Alors, bienvenue à nos nouveaux collègues. Donc, nous débutons nos échanges ce matin en ayant l'honneur de recevoir la Commission de l'éthique en science et en technologie. Alors, M., soyez... M. le Président, soyez le bienvenu parmi nous...

M. Bégin (Luc) : Merci beaucoup.

Le Président (M. Simard) : ...et peut-être d'abord l'amabilité de vous présenter.

M. Bégin (Luc) : Très bien. Merci beaucoup. Donc, je me nomme Luc Bégin, président de la Commission de l'éthique en science et en technologie. Pour éviter la confusion dans ma présentation, en parlant de «la commission», je dirai «la CEST», qui est l'acronyme donc de notre commission, pour qu'on ne puisse pas confondre avec la présente commission. Voilà.

Alors, d'abord, bien, je vous remercie énormément pour l'invitation à venir m'adresser à vous. La Commission de l'éthique en science et en technologie est un organisme du gouvernement du Québec qui est placé sous la responsabilité de la ministre de l'Économie, de l'Innovation et de l'Énergie...

M. Bégin (Luc) : ...elle est composée de 13 membres, dont un président, qui sont tous nommés par le gouvernement. La mission de la CEST est, pour l'essentiel, de conseiller la ministre et le gouvernement sur toute question relative aux enjeux éthiques liés à la science et la technologie, et de susciter la réflexion sur ces enjeux éthiques. On comprendra donc que c'est sous l'angle de l'éthique que nous avons abordé le présent projet de loi.

Je tiens à préciser tout d'abord que nos commentaires ont été préparés par le secrétariat de la CEST et par son président, donc, moi-même, et qu'ils n'ont pas fait l'objet d'une résolution lors d'une réunion officielle de ses membres. Je mentionne, d'entrée de jeu, que la CEST accueille favorablement la volonté d'assurer la sécurité des renseignements personnels détenus par le gouvernement, de simplifier les démarches d'authentification pour les citoyennes et citoyens et de favoriser l'efficience et l'efficacité des services gouvernementaux. Elle souligne toutefois certains enjeux qui sont liés à la forme actuelle du projet de loi et à sa mise en œuvre, qui pourraient éventuellement avoir un impact négatif sur la relation de confiance entre les citoyennes et citoyens et les instances gouvernementales.

La commission identifie essentiellement cinq catégories d'enjeux que je vais résumer brièvement et qui se voient davantage élaborées dans le mémoire que nous avons déposé. Je dirai que, dans plusieurs cas, nos commentaires et questions sont formulés en raison d'une absence ou d'une insuffisance de précision et d'information sur des sujets qui nous apparaissent pourtant sensibles au plan éthique et qui, encore une fois, pourraient avoir un impact sur la confiance du public envers la gestion et les usages de l'identité numérique.

Tout d'abord, des enjeux de transparence et de démocratie. On constate que sur de nombreuses questions relatives, notamment, à la mise en œuvre du registre, une grande discrétion est laissée au ministre qui serait appelé à déterminer ces éléments manquants par voie de règlement. C'est le cas pour la détermination des renseignements à apparaître au registre, pour les fonctionnalités du registre, pour les modalités de tenue du registre, les normes de qualité, de protection des données et les caractéristiques biométriques utilisables, les règles relatives à l'identification et authentification des personnes et, de façon plus large, toutes autres mesures jugées nécessaires à l'application du chapitre de la loi qui est visée. Évidemment, cela assure de la souplesse, ce qui peut être tout à fait bienvenu, mais ça écarte, en même temps, d'éventuels examens futurs, transparents et élargis qui seraient susceptibles de rassurer la population sur certains choix faits, ne serait-ce que parce que cela permettrait de rendre publiques les raisons des choix qui paraîtraient, dès lors, forcément moins arbitraires. Surtout, de tels examens permettraient de diminuer les risques de spéculation ou de désinformation sur les usages à venir du registre.

Le fait d'avoir écarté l'exigence d'approbation des règles de gouvernance des renseignements personnels du MCN par la Commission d'accès à l'information ajoute, à notre avis, à cette difficulté. On se prive en effet d'un mécanisme de prévention apte, en certaines occasions, à éteindre des risques de mésinformation et de désinformation. Le projet de loi ne permet pas non plus de savoir quel type de modèle de gestion des données est priorisé et les informations qu'on peut trouver sur le Service québécois d'identité numérique sont peu nombreuses quant aux choix qui sont faits et, encore moins, quant à leur justification.

Deuxième point, la question de l'interdiction du profilage. On accueille favorablement l'inclusion d'une interdiction claire du profilage des personnes, mais, à notre avis, cette définition devrait être plus large que strictement individuelle, le profilage pouvant aussi avoir une dimension sociale. On s'en explique dans le mémoire.

Troisième point, les attestations numériques et la traçabilité des transactions. Il est question, dans le projet de loi, des interactions, dans la collectivité, qui seront permises par l'identité numérique. Or, s'il est prévu qu'un organisme public ne pourra pas exiger le recours à l'identité numérique pour offrir des services à la population, qu'en sera-t-il du privé? Aucune balise ou précision n'est indiquée. Pourtant, l'obligation ou même de forts incitatifs à l'effet de s'identifier par le biais de l'identité numérique pour avoir accès à certains services privés, par exemple, des services bancaires, pourraient exercer une pression indue sur...

M. Bégin (Luc) : ...pour les usagers et les usagères et mener dans un contexte de fracture numérique à certaines iniquités. Qu'en sera-t-il par ailleurs, de la durée de conservation des données et de la traçabilité des transactions effectuées à l'aide d'une attestation numérique? Cela pose également des enjeux de protection de la vie privée. Nous considérons également que, compte tenu de la nature sensible des données et de la nécessité de préserver la confiance de la population, il serait important qu'il y ait un engagement à ce que le système québécois d'identité numérique ne permette pas de faire le suivi des activités des personnes à travers l'archivage de leurs transactions.

Quatrième point l'autonomie des organismes publics et la souveraineté numérique. Ce point est le suivant concernent plus spécifiquement des enjeux éthiques relatifs à la mise en œuvre du projet de loi. Nous rappelons tout d'abord l'importance d'assurer l'autonomie maximale des organismes publics par rapport au secteur privé dans le domaine des technologies de l'information. Au-delà de l'efficacité et de la qualité des services offerts, il en va de l'imputabilité des organismes publics et de la nécessité de diminuer, autant que faire se peut, la dépendance et la vulnérabilité qui l'accompagnent vis-à-vis des entreprises privées. Il s'agit d'un dossier particulièrement sensible en raison de la nature des informations qui seront colligées.

La question de la souveraineté numérique nous apparaît également cruciale. Où seront hébergées les données et par quelles entreprises? Dans le contexte actuel, la population pourra-t-elle avoir tout à fait confiance en la sécurité de leurs données si les contrats de services d'infonuagique qui sont octroyés à des entreprises qui sont assujetties à des lois étrangères?

Cinquième et dernier point, la littératie numérique et l'accès aux services gouvernementaux. Comme cela a déjà été mentionné, il est prévu qu'un organisme public ne pourra pas exiger le recours à l'identité numérique. Cette disposition est essentielle en raison du fait que certains facteurs comme la fracture numérique ou une faible connaissance des enjeux liés aux données font qu'il est difficile d'attendre de chaque personne qu'elle soit en mesure d'avoir recours par elle-même aux attestations numériques gouvernementales. Le gouvernement devra néanmoins s'assurer que l'interdiction d'exiger le recours à l'identité numérique pour l'obtention de services publics soit bel et bien respectée, que des mécanismes à cet effet soient mis en place et que la disponibilité d'attestations numériques ne conduise pas certains ministères ou organismes à diminuer ou délaisser des solutions alternatives. Il en va là aussi d'une question d'équité et d'égal accès aux prestations de l'État.

En conclusion, je rappelle que la CEST accueille favorablement la volonté d'assurer la sécurité des renseignements personnels détenus par le gouvernement et la volonté de simplification des démarches d'authentification par les citoyennes et citoyens. Nous soumettons néanmoins, en tout respect, que le projet de loi actuel est perfectible et qu'il vaut d'être revu en certains endroits, à la lumière particulièrement de ce qui pourrait contribuer à mieux assurer la confiance de la population tout en contribuant à garantir l'atteinte de ces objectifs. Merci.

Le Président (M. Simard) : Alors, merci à vous, M. Bégin. Et je cède maintenant la parole à M. le ministre.

• (11 h 40) •

M. Caire : Merci, M. le Président. Merci, M. Bégin. Merci pour votre contribution. D'entrée de jeu, je voudrais revenir sur un élément que vous avez abordé, qui est... En fait, puis vous l'avez... Je pense que vous l'avez bien campé, là, cette espèce de recherche qu'on a entre l'encadrement législatif, notamment au niveau du registre d'identité, et le pouvoir réglementaire. Vous semblez dire que le pouvoir réglementaire est trop... est trop large. Puis, évidemment, quand on a rédigé le projet de loi, on s'est posé la question. Mais en même temps, on est dans un domaine, les technologies de l'information, et vous le savez, vous le savez comme moi, qui bouge tellement vite. Où est-ce que vous traceriez la ligne entre la nécessaire souplesse que le gouvernement doit avoir pour s'adapter rapidement aux changements technologiques et l'encadrement législatif qui amènerait selon vous des garanties et donc qui amènerait aussi une augmentation de la confiance des citoyens envers le service d'identité...

M. Caire : ...numérique national.

M. Bégin (Luc) : Très bien. C'est évidemment... Merci beaucoup, M. le ministre. C'est évidemment une ligne qui est délicate à tracer clairement. On comprend très bien que les évolutions technologiques peuvent être importantes. Ce qui, dans le libellé actuel du projet de loi, fait... nous fait quand même nous poser beaucoup de questions. Bon, il y a plusieurs, quand même beaucoup d'éléments qui sont prévus à être définis par voie de règlement. Et, lorsqu'on place ça sous l'angle de la confiance de la population, le risque, le risque, pour nous, c'est qu'on donne prise, on donne prise à de la mésinformation, de la désinformation également, parce qu'il sera toujours loisible pour des gens et des groupes de dire : Ah! Bon, c'est déterminé de façon arbitraire, c'est déterminé de telle sorte que, finalement... Et qu'est-ce qu'il y a derrière ça? Clairement, je ne suis pas à dire que je n'endosse cette position, en aucune façon, hein, puis que ce soit bien clair. Sauf que, pour nous, dans la perspective qu'on met de l'avant, on doit, avec un projet de loi comme celui-là, se blinder autant que possible. Ça ne pourra jamais être parfait, mais se blinder autant que possible contre ces risques, finalement, de prise que pourraient avoir des individus et des groupes pour remettre en cause la légitimité et le bien-fondé des décisions qui sont prises.

M. Caire : Je comprends, puis c'est intéressant, ce que vous dites, parce qu'on parle de désinformation. Puis, écoutez, là, j'ai entendu que ce projet-là visait à centraliser toutes les données dans un fichier, ce qui est inexact, puis donc ce que vous dites, ça fait écho, parce qu'on le perçoit déjà, là, mais, en même temps... Puis, sur la base de la confiance, ne pensez-vous pas que le gouvernement doit justement avoir cette capacité-là à évoluer rapidement? Parce que la confiance, c'est basé sur plusieurs choses. Premièrement, bon, la sécurité, évidemment, il faut que le citoyen ait le sentiment qu'il est en sécurité quand il transige dans l'univers numérique, mais aussi la capacité du gouvernement à s'adapter. Alors, souvent, on reproche au gouvernement d'utiliser des technologies qui sont du passé, qui sont désuètes, qui tiennent avec la broche puis de l'espoir, là, si je peux me permettre. Donc, je me permets, M. Bégin, de reposer ma question dans ce contexte-là : À quel moment on va trop loin? Puis est-ce que ce que vous dites, ce ne serait peut-être pas mieux contré par une meilleure information que par une loi qui est plus rigide, par exemple? Je ne sais pas, je pose la question.

M. Bégin (Luc) : Oui. Bon, c'est sûr que l'information est fondamentale. Vouloir s'en remettre aussi à de l'information a posteriori, uniquement aux mécanismes d'information, une fois les décisions prises, c'est quand même un peu limité comme impact. Bon, je dirai, au point de départ, en ce moment, un citoyen qui souhaite s'informer sur les choix qui ont été faits jusqu'à maintenant pour le service québécois d'identité numérique, quelqu'un voulant s'informer des choix et encore plus voulant s'informer des raisons des choix qui ont été faits, aurait énormément de difficultés à trouver ces informations. Or, un des bons mécanismes, justement, pour la désescalade de cette... de ces risques de désinformation, et autres, c'est qu'il y ait des explications. Non seulement les choix sont présentés, mais les raisons de ces choix sont mises de l'avant également. Et ça, c'est quelque chose qui me semble absolument essentiel, qui, pour l'instant du moins, est difficile à repérer. Et difficile... c'est difficile d'y avoir accès.

Et j'ajouterais aussi également, lorsqu'on parle des mécanismes, lorsqu'on regarde un peu ce qu'il en est, là où tracer la ligne, certainement vis-à-vis certaines... certaines questions qui sont prévues comme étant par règlement maintenant, notamment la détermination des renseignements à apparaître. On voit dans le projet de loi une série de renseignements à apparaître, mais avec la possibilité d'en ajouter. S'il y en a qui sont ajoutés, ça peut quand même devenir drôlement important de pouvoir en débattre publiquement, ou encore que le mécanisme qui existait et qui a été... qui a été enlevé, c'est-à-dire que ça doive être... que les règles de gouvernance doivent être approuvées par la Commission d'accès à l'information, pour nous, c'était justement un mécanisme qui faisait en sorte, puisque c'est un organisme indépendant et spécialisé... v'est un mécanisme qui faisait en sorte aussi d'ajouter...

M. Bégin (Luc) : ...à la confiance éventuelle de la population.

M. Caire : Oui. Mais j'aimerais ça... Puis, sur le retrait de l'approbation de la Commission d'accès à l'information, on a quand même des bons... des bons débats là-dessus, là. Je vous dirais qu'entre la théorie du projet de loi puis l'expérience qu'on en a vécu, là, c'étaient... c'étaient deux univers parallèles. Puis, ceci étant dit, la commission a quand même encore beaucoup de pouvoirs : pouvoir de surveillance, pouvoir de contrainte, pouvoir d'injonction, etc.

Mais je veux revenir sur communiquer l'information, parce qu'hier on a discuté avec la Ligue des droits et libertés, puis eux disent : Écoutez, là, il n'y a pas eu suffisamment de débats publics qui ont été tenus sur ça, mais moi, je répondais à ça : Écoutez, on a eu la loi 95 qui a amené quand même des débats, des consultations particulières, on a eu la loi 25 qui a amené des débats, des consultations particulières, on a eu la création du ministère, même chose. Aujourd'hui et à toutes les fois, ces groupes-là sont... sont invités.

Selon vous... parce que c'est toujours facile dire : Ça prend un débat public, mais comment le fait-on, ce débat public là? Comment on fait pour permettre à la population de participer? Comment on se... on se permet à nous-mêmes d'informer la population, mais sans par ailleurs qu'on s'embarque dans des discussions qui vont nous prendre des années avant d'aller de l'avant avec quoi que ce soit? Vous comprenez ce que je veux dire? Alors, il ne faut pas aller trop vite, mais il faut avancer un jour. Ça fait que comment on concilie tout ça?

M. Bégin (Luc) : Il est certain que les commissions parlementaires sont un lieu, je dirais, privilégié du débat public. On sait en même temps, malheureusement, que c'est loin d'être la majorité de la population qui s'intéresse aux travaux des commissions parlementaires. Et je pourrais même dire qu'en milieu universitaire la majorité des étudiants en ignorent l'existence. Alors, même si c'est un véhicule privilégié de ce débat, très clairement, parce qu'on y accueille des spécialistes et les... bon, les gens des différents partis peuvent échanger sereinement sur ces questions, on ne peut pas considérer que ce soit suffisant.

Est-ce qu'il faut, par ailleurs, lancer de grandes consultations publiques? Je comprends bien qu'il vient un temps où il faut agir très... très certainement, d'où l'importance, me semble-t-il, d'insister énormément sur au moins des instruments de communication et non uniquement a posteriori, mais des instruments de communication sur : Nous en sommes à cette étape, nous regardons ces alternatives, nous faisons ceci en ce moment, de sorte d'animer un peu ou au moins préparer peut-être davantage la population à ce que ça représentera.

Notamment, quand je vois, par exemple, dans la... ce qu'on constate aussi, bon, par voie de règlement, la question des caractéristiques biométriques utilisables, ce n'est pas quelque chose qui risque de passer comme lettre à la poste, hein, pour l'ensemble des gens une fois qu'ils verront qu'on va procéder de cette façon. C'est peut-être préférable de préparer le terrain et de préparer le terrain en montrant bien les avantages, par exemple, et les inconvénients des différentes approches. Donc, c'est peut-être davantage de ce côté-là ou de cette manière, il peut y en avoir d'autres, évidemment, mais pas uniquement a posteriori, une fois les décisions prises et que le... excusez l'expression anglaise, le package est déjà prêt.

M. Caire : Je vais vous amener sur un autre sujet, parce que, là, mon temps file.

Le Président (M. Simard) : Et un collègue aurait souhaité intervenir également.

M. Caire : Oh!

Le Président (M. Simard) : Le député d'Orford.

M. Bélanger : ...

M. Caire : Non, non, non. Vas-y, vas-y, vas-y.

Le Président (M. Simard) : Je vous en prie, cher collègue.

M. Bélanger : ...de temps, M. le Président?

Le Président (M. Simard) : Six minutes 30.

M. Bélanger : Six minutes. Peut-être, je ne prendrai pas les six minutes, mais moi, je... Merci, M. Bégin, pour votre présentation. Moi, j'étais curieux un peu, vous parliez de souveraineté numérique, puis là je serais tenté de m'imaginer des données, uniquement au niveau des données, mais les... on sait que les données... les données circulent, qu'elles circulent, parfois elles peuvent être stockées dans un... dans un centre de données qui peut être situé au Québec ou ailleurs dans le monde, mais, pour s'y rendre, ces données-là parcourent des infrastructures de connectivité qui se retrouvent à l'échelle planétaire, et puis la propriété de ces infrastructures-là, la propriété de ces centres de données là, quel type de données, je voudrais comprendre un petit peu mieux ce que vous entendez par souveraineté numérique. Est-ce que ça a trait uniquement aux données ou ça inclut les infrastructures? Et que suggérez-vous?

• (11 h 50) •

M. Bégin (Luc) : Il y a là-dedans des questions, vous comprendez, qui sont...

M. Bégin (Luc) : ...techniques pour lesquelles je ne serais pas  le plus qualifié pour en parler. Mais lorsqu'on parle de la souveraineté numérique, essentiellement, c'est quelles sont effectivement les entreprises qui sont propriétaires, par exemple, des centres de données ou des, donc, des infrastructures et de la circulation, ou qui ont un accès ou pourraient avoir un accès aux données en question. On sait à l'heure actuelle, par exemple, que, parmi les entreprises qui ont le plus de contrats gouvernementaux en matière d'infranuagique de ce type et de centres de données, c'est Microsoft et c'est la division d'Amazon aussi, AWS. Microsoft beaucoup plus, mais AWS est quand même très présente et pour le gouvernement provincial et pour le gouvernement fédéral. On parle de deux entreprises états-uniennes. Bien sûr, il y a des lois, il y a des contrats, il y a des ententes qui ont été réglées entre les pays, notamment, le CLOUD Act en 2018 - je ne suis pas un juriste spécialiste - mais, bon, qui vient régler les relations.

Je mentionne quand même que, dans des situations de contexte... dans des contextes de tensions éventuelles entre des États, il est excessivement difficile de prévoir ce qui peut être fait. Lorsque... Et si nos données, qui sont clairement ce qu'il y a de plus sensible, sont logées et sont sous... donc, un accès à des entreprises qui ne sont pas des entreprises nationales.

M. Bélanger : Vous suggérez toutes les données ou certains types de données? Je ne sais pas, par exemple, s'il y a des données sensibles puis il y a un groupe de chercheurs qui décident de développer une application en intelligence artificielle en utilisant ces données-là, peut-être qu'elles pourraient être stockées dans un endroit à proximité d'où sont les chercheurs, et, à ce moment-là, avoir un contrôle absolu sur ces données-là, qu'elles ne vont pas transiter dans, je ne sais pas, dans un réseau de fibre mondiale. Mais il y a des données qui sont parfois, peut-être, difficilement utilisables parce qu'elles peuvent être... elles peuvent avoir une clé de sécurité ou codée, puis, comme vous avez dit, il y a le Cloud Act.

Je m'interroge parce que, comme ce réseau d'infrastructures là est planétaire, pour arriver puis s'imaginer développer un réseau plus souverain, on parle de milliards et de milliards en termes d'investissements. Ça fait que je voudrais mieux comprendre, là, la recommandation ou l'interrogation que vous avez au niveau de cette souveraineté-là, numérique.

M. Bégin (Luc) : L'interrogation, je peux difficilement aller plus loin que là où je suis allé, là, en ce moment, parce qu'il y a des éléments techniques que je ne contrôle pas suffisamment, je m'en excuse, mais, sinon, au moins de porter à l'attention que c'est une question qui peut être une question qui mérite une attention. Et à voir maintenant jusqu'où, quel type de... comment les infrastructures sont impliquées et à quel point, je comprends bien, mais je pense qu'il y a quand même là une question légitime, dans le contexte actuel, particulièrement.

Le Président (M. Simard) : Très bien. Mme la députée de Fabre.

M. Caire : Moi, je vais y aller, M. le Président.

Le Président (M. Simard) : M. le ministre, je vous en prie.

M. Caire : Parce vous avez parlé de profilage et vous nous dites : La définition est trop large. Est-ce que vous ne pensez pas, au contraire, que c'est un avantage? Parce que, si on arrive avec des définitions précises, il n'y a pas un risque, justement, qu'on en échappe, des formes de profilage, parce qu'elles ne seront pas dans le descriptif de la loi et donc ne seront pas couvertes par la loi? Donc, avoir une définition qui est très large, ça inclut toute forme de profilage. Je m'interrogeais un peu, là, sur ce commentaire-là, honnêtement.

M. Bégin (Luc) : Je devrais revenir au libellé exact du projet de loi, mais on parle bien de profilage des personnes, ce qui, pour moi, n'est pas la définition la plus large qu'on pourrait envisager. C'est-à-dire, on pourrait interdire toute forme de profilage de quelque nature que ce soit, et là, à ce moment-là, me semble-t-il, nous aurions une définition... une définition plus large qui permettrait d'interdire aussi des formes de... ce qui s'appelle parfois de profilage social, où on peut recourir à des ensembles de données anonymisées, et donc ce n'est pas du profilage des personnes, mais recourir à un assemblage de données anonymisées qui seraient tirées...

M. Bégin (Luc) : ...du registre pour établir, par exemple, un profil par quartier, par région et ainsi de suite. Et là peuvent s'opérer des formes de profilage pour des fins, par exemple, de politique de sécurité publique ou autre. Simplement...

M. Caire : Si je peux me permettre, M. le Président, là, je veux être bien... Vous excluez, j'imagine, de ce commentaire-là, la recherche.

M. Bégin (Luc) : La recherche, c'est autre chose. Je pense qu'il faudrait regarder ça attentivement.

M. Caire : O.K. La réponse est oui.

M. Bégin (Luc) : Oui.

Le Président (M. Simard) : O.K. Très bien. Alors, nous pourrons poursuivre. Et je cède la parole à la députée de Mont-Royal—Outremont qui dispose de neuf... à peu près 10 minutes

Mme Setlakwe : Merci. Ah! C'est 10?

Le Président (M. Simard) : À peu près.

Mme Setlakwe : Merci, M. le Président. Merci beaucoup, M. Bégin, pour votre mémoire, pour votre présentation, mais j'aimerais qu'on la boucle sur la question du profilage, s'il vous plaît. On comprend très bien, là, le... Vous comprenez, notre exercice, nous, c'est de s'assurer de mieux protéger, et d'avoir une définition qui soit adéquate. Mais juste peut-être finir votre idée sur la question de... de l'utilisation, oui, de l'utilisation de données qui sont anonymisées pour des fins d'établir des genres de profils par quartier qui pourraient peut-être est utiles pour des fins de recherche. En tout cas, juste peut-être finir votre... votre énoncé à ce sujet-là, s'il vous plaît.

M. Bégin (Luc) : Ici, pour des fins de recherche, c'est peut-être utile, mais on ne l'a pas regardé sous cet angle-là, alors, dans le cadre de l'analyse du projet de loi. Donc, je préfère ne pas m'avancer sur ce volet. Par contre, établir ce type de... d'ensembles de données anonymisées de manière, par exemple, à optimiser des politiques de sécurité publique, c'est... ça peut être autre chose. Ça veut dire que ça nous permet ou que ça permet, par exemple, des identifications de groupes de telle sorte que ça peut... pourrait mener à des risques de stigmatisation. Je pense qu'il faut faire très attention avec ce que l'on se permet de faire avec ce type de données, non seulement au plan des individus, mais aussi au plan des groupes, nonobstant la question de la recherche.

Et la question de la recherche elle-même a besoin d'être balisée, là. Très clairement, ça ne peut pas non plus être n'importe quoi. Je pense que c'est absolument essentiel et ça vient avec ces questions-là. Ça vient avec aussi la question de la traçabilité des transactions. On n'a pas vraiment d'information à l'heure actuelle sur cette question. Quelle sera la durée de conservation des données? Des données que, par exemple, des citoyens vont retirer, celles qui ont été retirées ou modifiées, est-ce qu'elles demeurent dans le registre et est-ce qu'elle demeure un certain temps? Combien de temps? Quel type aussi de traçabilité des transactions sera faite à l'aide de l'attestation numérique? On considère qu'il ne devrait pas en être fait. Mais vous voyez, il y a plusieurs de ces questions qui sont quand même des questions importantes, qui ne sont pas précisées dans le projet de loi et qui, forcément, lorsque viendra le moment de mettre en œuvre, hein, l'identité numérique, ce sont des questions qui vont surgir et qui vont surgir rapidement.

Mme Setlakwe : Merci. Puis là je vous ramène à une question peut-être d'ordre plus général, puisqu'on est allé dans le détail et votre mémoire, plusieurs enjeux qui sont extrêmement pertinents, qui vont enrichir notre réflexion et nos discussions durant l'étude détaillée. Mais moi, puis je ne veux pas vous mettre des mots dans la bouche, mais moi, je vous entends puis je vous lis, vous n'êtes pas contre, vous n'êtes pas contre le projet, vous n'êtes pas contre l'idée d'une identité numérique nationale.

M. Bégin (Luc) : Pas du tout, au contraire.

Mme Setlakwe : Vous soulevez des enjeux. Est-ce que... Quel est l'angle mort principal? Puis, à vous entendre, il semblerait que ce n'est pas tant dans le projet de loi, dans le libellé, mais c'est plutôt dans la, je vais y aller de façon générale, dans la communication, dans la façon dont on communique avec la population, avant, pendant, après. Et vous avez même parlé de prévention. Est-ce que je vous... Est-ce que je vous interprète bien? Est-ce que c'est là qu'il faut mettre beaucoup d'énergie pour assurer une adhésion maximale?

• (12 heures) •

M. Bégin (Luc) : Vous m'interprétez bien. Tout d'abord, on est parfaitement en accord avec l'idée de mettre en place l'identité numérique nationale, très clairement. Mais oui, on parle de prévention et on en parle... On a beaucoup regardé sous l'angle de la confiance de la population, sous l'angle des risques qu'il peut y avoir au fait de procéder, pour certaines questions très sensibles, par règlement plutôt qu'autrement, sur les risques que ça représente que la population se...

M. Bégin (Luc) : ...où, finalement, face à quelque chose qui est déterminé, mais pour lequel les justifications n'ont pas été clairement présentées et énoncées. Ce n'est pas juste d'informer. L'information est absolument essentielle, mais c'est davantage que d'informer des choix, c'est d'informer préalablement aussi des étapes, par exemple. Où en sommes-nous? Vers quoi allons-nous et pourquoi nous retenons ces options plutôt que telles autres? Si on retient... bon, si on retient des caractéristiques biométriques, il y a beaucoup de questions autour de ça qui doivent être regardées très, très, très sérieusement et qui ont besoin, à ce moment-là aussi... pour lesquelles la population va avoir besoin d'être rassurée. Le fait qu'on centralise les données, il y a des raisons à ça, ça doit être expliqué. Je comprends que c'est expliqué en commission parlementaire. C'est essentiel, mais ça doit l'être davantage que ça.

Mme Setlakwe : Merci. Est-ce que vous diriez qu'on a déjà... Parce que, là, on est en train de... Il y a un projet de loi qui a été déposé depuis déjà deux mois, je dirais, puis qu'il y a toute une réflexion en amont de la part du gouvernement. Mais moi, je n'ai pas entendu, concurremment au dépôt du projet de loi, une présentation du ministre, du gouvernement à la population. Est-ce qu'il y a déjà, selon vous, un retard, puis qu'il faudrait rattraper pour justement assurer une adhésion maximale, puis une... puis bâtir la confiance et l'acceptabilité sociale de la part de la population?

M. Bégin (Luc) : Bon, vous comprendrez que je ne suis pas un spécialiste en communication. Donc, quelle est la meilleure stratégie à utiliser? Bien, il m'apparaît assez clair qu'on a tout intérêt, le gouvernement a tout intérêt à ce que la population soit progressivement et assez rapidement mise dans le coup de ce qui s'en vient, parce que c'est quelque chose s'habituer à ça, mais aussi, encore une fois, pour bloquer les risques de désinformation autour de ça, on doit préparer le terrain.

Mme Setlakwe : Je vous entends, vous êtes... vous êtes très clair. Merci. Et j'en ai peut-être une dernière avant de céder la parole à ma collègue. On a eu hier, en commission parlementaire, des gens qui sont venus nous parler de... du recours à la sous-traitance, du fait qu'à l'interne il y a un manque d'expertise au sein du ministère, au sein du gouvernement. C'est un enjeu dont on parle, dont on entend parler depuis longtemps. Est-ce que... vous l'abordez, là, dans votre... dans votre mémoire. Quel est votre niveau d'inquiétude par rapport à... par rapport à ça?

M. Bégin (Luc) : Niveau d'inquiétude. Mon premier, d'abord, c'est : Peut-on savoir où sera l'implication du secteur... du secteur privé? Est-ce que c'est dans le développement du système, dans la maintenance du système, dans les opérations du système? Il y a des enjeux qui sont différents de part et d'autre. Et, bon, très clairement pour moi, la question de... cette question d'être le plus possible... Évidemment, on comprend bien qu'il y a des... il y a des contraintes, mais qu'il y ait la plus grande autonomie possible des organismes publics par rapport au secteur privé, dans ce domaine, ça nous apparait assez essentiel en termes de garantie de la protection des données, en termes de vulnérabilité aussi, ne serait-ce que par rapport aux coûts que ça peut représenter, parce que la dépendance fait en sorte aussi qu'on arrive mal ensuite à contrôler les coûts qui suivra une fois le train mis en marche. Une fois que le besoin est établi et que le service est établi, on risque de perdre un peu de contrôle de ce côté-là. Donc, plus il y a d'autonomie des organismes publics, me semble-t-il, mieux c'est, et plus c'est rassurant.

Mme Setlakwe : Merci.

Mme Caron : Merci. Alors, en page deux de votre mémoire, vous faites référence au... à un besoin de précision dans les articles... à l'article six du projet de loi, là où on dit : «Tout autre renseignement que détermine le gouvernement, toute autre fonctionnalité déterminée par règlement du ministre.» Est-ce que vous, vous avez des éléments à nous proposer pour préciser ces libellés-là, ou est-ce que vous... vous supprimeriez complètement le «tout autre renseignement ou toute autre fonctionnalité», dans le projet de loi?

M. Bégin (Luc) : J'aurais tendance à recommander, effectivement, de supprimer ce «tout autre renseignement et toute autre fonctionnalité».

Mme Caron : D'accord, merci. Je vais revenir rapidement sur la question du profilage. Vous... on devrait dire que toute forme...

Mme Caron : ...forme de profilage de quelque nature que ce soit est interdite. Et vous proposez aussi d'interdire non seulement au ministre... c'est-à-dire de... oui, c'est ça, non seulement au ministre, mais au gouvernement de faire toute forme de profilage. Est-ce que vous iriez jusqu'à parler non seulement des personnes physiques, mais aussi des personnes morales dans le... pour interdire le profilage?

M. Bégin (Luc) : Lorsqu'on parle de profilage ici, c'est dans le contexte, donc, de ce projet de loi qui concerne l'identité numérique. Donc, ce sont uniquement autour de... c'est uniquement autour de la question de ces données que nous avons abordé la question du profilage.

Mme Caron : D'accord. Merci. Ensuite, hier, des groupes nous ont parlé de... on a tous été surpris, de... d'identité numérique pour des objets connectés, alors, dans l'Internet des objets. Ça nous a tous fait réagir parce que, là, on parle d'une ampleur encore plus... plus grande, étant donné la quantité d'objets connectés qu'on peut avoir même dans nos maisons et puis... Est-ce que... Est-ce que c'est... c'est quelque chose qui vous a... que vous avez envisagé ou si, comme nous... je vous surprends, comme nous on l'a été hier, en parlant de... d'identité numérique aux objets connectés?

M. Bégin (Luc) : Bon, clairement, nous n'avons pas eu de réflexion sur une possible identité numérique des objets connectés, donc je préfère m'abstenir.

Mme Caron : D'accord. Et la question de la littératie numérique et de l'accès aux services gouvernementaux, que vous avez soulevée à la fin du mémoire, c'est aussi une question qui me... qui m'interpelle beaucoup. Dans les... Et vous mettez bien, là, en lumière la fracture numérique. Est-ce que vous avez des propositions plus précises sur des solutions alternatives ou des façons de s'assurer que les solutions alternatives... c'est-à-dire que les services puissent quand même être offerts à toutes les personnes qui sont, par exemple, analphabètes fonctionnelles, qui ont des handicaps physiques qui ne leur permettent pas de... d'utiliser l'informatique, de celles qui n'ont pas les moyens d'utiliser l'informatique ou qui doivent même passer par des organismes communautaires pour réussir à avoir certains services, par exemple au Tribunal administratif du logement, est-ce que vous aviez des propositions à ce niveau-là?

M. Bégin (Luc) : Bien, en fait, non. On est demeurés au niveau un peu plus général de cette équité à maintenir et de l'égal accès aux prestations de l'État. Les exemples que vous donnez sont des exemples, justement, de mécanismes ou de dispositifs qu'on met en place pour soutenir, pour aider certains groupes, certains individus...

Le Président (M. Simard) : Très bien.

M. Bégin (Luc) : ...disposant moins de cette littératie numérique.

Le Président (M. Simard) : Très bien. Merci beaucoup.

M. Bégin (Luc) : C'est le genre, justement, de ce qui doit être préservé...

Le Président (M. Simard) : Merci, M. Bégin. Alors, cher collègue de Maurice-Richard, vous disposez de quatre minutes huit secondes.

M. Bouazzi : Merci, M. le Président. Merci beaucoup, M. Bégin, d'être parmi nous. Bien, je vais faire un peu de millage sur la question d'élargir la définition du profilage. Vous dites que le profilage ne devrait pas se... la définition qui est prise dans le projet de loi ne devrait pas s'arrêter aux personnes pour pouvoir ratisser plus large. Hier, on a reçu... Et puis... Et puis je veux faire un lien avec votre premier paragraphe dans votre... votre première section dans votre mémoire sur la question de la confiance et des... la transparence des enjeux démocratiques. Hier, on a reçu la ligue qui disait : Bien, en fait, il faudrait juste utiliser les données pour une seule raison, c'est répondre à la question de l'identité numérique. Et, à ce moment-là, ça réglerait non seulement les questions de profilage large, pas large et puis d'autres... d'autres dérives qu'on pourrait imaginer, qui ne sont pas du profilage. Est-ce que vous pensez qu'une telle proposition viendrait justement répondre aux deux premiers points, la question de la transparence, la démocratie et la question du profilage?

• (12 h 10) •

M. Bégin (Luc) : Il faudrait que je voie plus clairement la proposition, là, qui a été faite, là, que je la... je prenne le temps d'y penser davantage. Ce qui nous apparaît assez certain, c'est que l'utilisation des données du registre devrait être limitée à des fins qui sont clairement énoncées, clairement précisées au point de départ, sans laisser d'ouverture à des fonctionnalités différentes ou... sinon à pouvoir en débattre et à pouvoir présenter les justifications à l'appui. Ça, pour moi...

M. Bégin (Luc) : ...ça m'apparaît un élément de précaution. Un élément de précaution, dans le contexte, je pense que c'est important.

Puis la question... Bien, oui, la question du profilage, moi, je... Je suis tout à fait en accord par exemple avec la... la proposition de la Commission d'accès à l'information à cet effet qu'on doit interdire tout simplement d'effectuer du profilage, tout, mais de manière large, sans se limiter à «profilage des personnes», parce que «profilage des personnes» laisse une ouverture à autre chose, et c'est, semble-t-il, ces types d'ouverture qu'on doit refermer.

M. Bouazzi : O.K. J'irais... Sur votre dernier point, sur la question de la littératie numérique, vous apportez un point très important qui consiste à dire que dans le public, si on dit qu'on va... qu'utiliser l'identité numérique n'est pas obligatoire, que les ministères doivent continuer à offrir des services, etc., vous dites : Mais il ne faut pas non plus prendre ça comme excuse pour, en fin de compte, diminuer les services et, de facto... ou rendre l'identité... Mais ce n'est pas... Là, je rephrase, là, ce n'est pas ça que vous dites exactement, mais... Ou rendre, du coup, l'identité obligatoire, parce qu'en fait ça serait la meilleure façon d'avoir les services. Et vous apportez un deuxième point, que vous êtes le premier à apporter, c'est de dire : Mais, si le privé utilise la... l'identité numérique, qu'est-ce qui oblige le privé à offrir des services aux personnes, justement, qui ne font pas appel à cette identité numérique là?

M. Bégin (Luc) : Bon. Écoutez, sur cette question-là, c'est vraiment une interrogation que nous avons ici à l'effet que : Est-ce que le privé sera aussi, d'une manière ou d'une autre, limité quant aux... à ses... aux exigences de recourir à l'identité numérique pour obtenir certains services? Mais je pense vraiment particulièrement aux services bancaires, mais pas uniquement. On peut penser assurances, on peut penser à d'autres grands groupes qui peuvent, hein, à la limite, se passer, hein, de certaines clientèles.

M. Bouazzi : Exact.

Le Président (M. Simard) : Très bien.

M. Bégin (Luc) : Voilà.

Le Président (M. Simard) : Voilà. Merci beaucoup. Alors, chers collègues, cela met fin à cette première présentation. M. Bégin, un énorme merci pour votre précieuse présence parmi nous ce matin.

Alors, nous allons, compte tenu de l'heure, suspendre nos travaux momentanément.

(Suspension de la séance à 12 h 13)

(Reprise à 12 h 18)

Le Président (M. Simard) : Alors, chers collègues, nous sommes en mesure de reprendre nos travaux et nous sommes en présence de M. Waterhouse, expert en cybersécurité. M., soyez le bienvenu, mais, avant de vous concéder la parole, il me faut obtenir de votre part, chers collègues, un consentement afin de pouvoir poursuivre nos travaux au-delà de l'heure initialement prévue.

Des voix : Consentement.

Le Président (M. Simard) : J'ai ce consentement, unanime, d'ailleurs. Merci. M. Waterhouse, vous êtes vraiment un habitué, là, vous savez que vous disposez de 10 minutes, et nous sommes à votre écoute.

M. Waterhouse (Steve) : M. le Président, merci. Membres du comité, merci de me recevoir. Le projet de loi n° 82, comme vous le savez, précisera certains aspects du projet d'identité numérique pour les citoyens du Québec. C'est dans un esprit d'interopérabilité qu'il est nécessaire que soit considérée une approche universelle, tant dans l'offre de services en matière de cybersécurité qu'envers les ministères et organismes, mais aussi envers l'identité numérique.

L'Estonie en est un cas qui représente bien cette approche recherchée. Pays balte d'une population comparable à la ville de Montréal, a débuté l'aventure dans sa transformation numérique vers 1994, soit au début de leur indépendance de l'U.R.S.S., et ont mis des cartes à puce pour l'ensemble de la population en circulation en 2002, ouvrant la possibilité à la signature numérique et le vote en ligne. Au cours des années suivantes, par l'évolution des technologies, ce pays n'a cessé constamment d'améliorer son service pour se trouver aujourd'hui avec la réputation de la société qui a la meilleure pratique d'identité numérique, où ses citoyens sont en mesure de voter et effectuer des transactions bancaires, valider des mariages et des divorces et des transactions immobilières.

En 2014, le cadre de travail IDAS a été sanctionné en Europe afin de donner une base nécessaire de cette interopérabilité recherchée en Europe. Maintenant, en 2024, la version deux de ce cadre de travail, IDAS 2.0, facilitera l'usage de l'identité numérique en Europe, tant dans ses... dans les entreprises privées, qu'avec les interactions des services gouvernementaux et autres services publics.

• (12 h 20) •  

Cette merveilleuse aventure me rappelle les premières années d'implantation de la carte à puce au sein du ministère de la Défense nationale au début des années 2000, qui avait pour but premier de chiffrer les courriers électroniques échangés jusqu'à un niveau protégé B, authentification lors de la... connectivité, pardon, à distance RPV ou VPN, signature numérique à valeur légale de documents échangés, pour nommer ceux-ci. Ces systèmes d'infrastructure à clé publique, ou en anglais qu'on appelle PKI, sont toujours en fonction au sein du ministère de la Défense.

Au Canada, le travail de préparation s'est fait depuis plus de 10 ans au gouvernement fédéral, mais aussi dans l'environnement privé, notamment par le Conseil canadien de l'identification et de l'authentification numérique, le CCIAN, ou en anglais qu'on appelle le DIACC, et a mis en œuvre... la mise en œuvre du cadre de confiance...

M. Waterhouse (Steve) : ...confiance pancanadien, que j'en ai cité un exemple, en annexe B, mis en confiance les parties prenantes de notre société rendant possible qu'un identifiant du Québec sera reconnu à courte échéance ailleurs dans le pays et dans l'avenir rapproché avec les commerçants majeurs, ce qu'en Europe a été mis en place il y a maintenant 15 ans.

Le Singapour... donner un autre exemple, depuis l'adoption d'une identité numérique nationale en 2003, facilite maintenant l'usage de son identité numérique à plus de 700 commerçants et services gouvernementaux dans ce pays.

Nous sommes très en retard sur l'implantation de ce moyen, mais comment rattraper le temps perdu, alors que... Quant au Canada, il y a... il y aura mise en commun, pardon, de ce genre de projet collectif parmi 10 provinces et trois territoires, alors que l'Union européenne compte 27 pays ou gouvernances... est réalité fonctionnelle, donc confirme à nouveau que nous sommes un petit peu en retard dans le programme.

Tout comme la majorité des concitoyens, je ne veux pas d'un usage dystopique de l'identité numérique ici, au Québec. Ces préoccupations sont les mêmes partout autour du monde, alors que les abus d'accès à l'information ont été dénombrés à multiples reprises. Puis on en lit, des nouvelles malheureuses comme ça, à chaque semaine dans mon domaine. Comme l'étude en 2023 de Comparitech, des 35 pays qui ont opté pour l'usage de l'identité numérique sur des téléphones dits intelligents, six seulement ne collectent pas des données à l'insu des citoyens. Et, s'il n'y a pas de démonstration ou de validation franche présentée aux citoyens, l'adoption de ces moyens numériques, aussi prometteurs qu'ils soient, seront voués à l'échec. Un survol de ces préoccupations courantes est rapporté à l'annexe A. Je crois que l'utilité dans... Je crois, je dis bien, en l'utilité de l'identité numérique, principalement dans la prévention de la fraude par l'identité, aidant les victimes de fuites d'identité, ce qui inclut pas mal tout le monde dans la population ici, au Québec, d'ailleurs, on le sait pourquoi. Mais, pour y arriver, le travail de gagner confiance des citoyens demeure à mon sens l'enjeu numéro un avant d'aller plus loin.

Merci à nouveau de cette opportunité d'échanger, et je suis prêt à répondre à vos questions.

Le Président (M. Simard) : Très bien. Merci, M. Waterhouse. Et je cède la parole au ministre.

M. Caire : Merci, M. le Président. Je vais partager ce temps de parole avec ma collègue de Fabre et mon collègue d'Orford, mais je vais commencer.

M. Waterhouse, vous nous parlez, là, vous venez d'en parler, là, du Conseil canadien de l'identification et de l'authentification, qui est une organisation avec laquelle on collabore comme... comme vous le savez. Maintenant, j'attire votre attention sur le fait que d'adopter le... un cadre canadien pose problème. Je vous donne un exemple très simple. Vous n'êtes pas sans savoir que le Québec veut rendre disponible un portefeuille d'identité numérique. Nous avons choisi de développer notre propre outil sur la base de logiciels libres, au nom de la transparence et justement du fait qu'on... les citoyens doivent avoir confiance et doivent pouvoir savoir ce qu'on fait avec les renseignements, les attestations qui y seront incluses. Je prends l'exemple de l'Alberta. L'Alberta a fait le choix d'aller du côté de Apple. C'est un...

Alors, comment on pourrait réconcilier ces choix-là, qui sont diamétralement opposés? Vous comprendrez que moi, je n'ai rien contre Apple, ceci étant dit, mais, je veux dire, c'est une technologie fermée. On ne sait pas ce qui se passe là-dedans. C'est du code compilé. On ne peut pas savoir justement comment la... les informations qu'on va... qu'on va inclure dans ce portefeuille-là sont gérées par l'entreprise. On entend quelquefois qu'il y a collecte d'information qui se fait par... alors que ce que nous... le produit qu'on offre, on ne veut pas ça. On veut que les citoyens puissent savoir exactement ce qui se passe. Donc, comment, à l'intérieur d'un cadre canadien, on pourrait réconcilier des visions aussi diamétralement opposées de comment on va gérer les services numériques envers nos citoyens?

M. Waterhouse (Steve) : M. le ministre, premièrement, je suis bien d'accord avec votre approche de dire : Travailler le logiciel libre va à long terme sauver beaucoup de dollars et assurer quand même une continuité, puisqu'un logiciel libre fait en sorte qu'il n'y aura pas de licence, de droit d'auteur et surtout d'appropriation par une compagnie spécialisée, que, si elle ferme ou elle est transférée... Puis j'entendais hier l'exemple avec VMWare, bien, c'est exactement ça. C'est devenu Broadcom. Broadcom ont décidé, eux autres, de faire autrement avec les prix de leurs produits, et c'est rendu un produit quasi inabordable.

De cette approche, ce que l'Alberta a fait, par contre, par contre, ils l'ont fait depuis 2014 et ils ont... ils sont en avance vraiment sur la façon de l'amener, l'utilisation de l'identité numérique avec le citoyen dans la consommation des services publics, ce qui donne l'avantage que le citoyen rapidement a travaillé. Maintenant, est-ce qu'ils peuvent faire un chemin inverse et aller vers le logiciel libre demain, délaisser l'architecture actuelle? Possiblement, mais avec un certain coût, et ça va prendre, évidemment, du temps, une rééducation de ceux et celles qui se sont habitués avec qu'est-ce qu'il y a...

M. Waterhouse (Steve) : ...alors, ce n'est pas méchant de le faire, le cheminement avec le logiciel libre, mais c'est juste qu'à un moment donné il faut décider... on emboite le pas, puis, comme on dit en bon jargon, on embraye en deuxième pour que ça avance plus vite, parce que sinon le retard va se poursuivre puisqu'on attend toujours la meilleure des façons de faire. Il faut tout simplement juste mettre de l'avant une vitesse plus grande pour donner un produit version 1.0, pour ne pas dire version alpha, beta par la suite, et après coup, bien, on va pouvoir évoluer avec quelque chose de mieux.

M. Caire : Puis je veux aller dans le même sens, un peu, sur l'interopérabilité, parce que vous en faites une recommandation, puis soit... ceci étant dit, je suis tout à fait d'accord. Et vous n'êtes pas sans savoir qu'on a signé une entente avec la Colombie-Britannique sur l'interopérabilité de nos systèmes d'identité numérique respective. Vous y étiez même à ce moment-là. Vous avez été un témoin privilégié de ça. Ceci étant dit, je vais prendre, par exemple, le cas de l'Ontario. L'Ontario a décidé de se retirer de ces projets d'identité numérique pour des raisons qui appartiennent au gouvernement de l'Ontario. Donc, dans ce contexte-là, viser une interopérabilité pancanadienne, est-ce que ça ne devient pas un peu, justement, dystopique?

M. Waterhouse (Steve) : Pas de la façon que je vois l'évolution du cadre de confiance pancanadien qui... Ils ont tous fait le travail de fond présentement, ils les ont faits... à ce moment-là, ils ont rattaché, puis je le décris bien à l'annexe B, comment est-ce qu'ils ont, à ce moment-là... ce cadre de confiance est en... mis en mesure de parler avec toutes les parties prenantes qui sont intéressées avec cette façon de faire de l'identité numérique partout au pays, qui... Encore là, on peut appeler ça, excusez... l'épine dorsale, ou «back bone», en anglais qu'on l'appelle, pour être en mesure d'aller s'y greffer.

Ça fait que, si on ne fait juste le regarder comme étant un beau projet social, «fine», c'est un projet social qui a bien terminé, mais c'est au-delà de tout ça, parce qu'ils le font, le travail de fond, qui permet au Québec, après ça, d'aller dire : Aie! On va se connecter avec vous, on va se rallier avec vous, puis après ça, on va faire à ce moment-là... la portabilité, on va la faciliter. Eux la facilitent, par contre, à travers le pays, pour qu'encore une fois l'identité d'un Québécois d'ici, bien, à travers le pays, soit reconnue ailleurs. Ça fait que je ne crois pas que ça devient dystopique de dire que ce consortium-là, qu'avec un paquet... les gens participent en termes de certification de toutes... de compagnies qui font certainement, eux-mêmes, le travail d'identification et d'authentification. Ça fait qu'on a beaucoup de... vérificateurs à l'œuvre. On fait le travail de fond pour être en mesure de certifier que ces compagnies-là ne sont pas justement avec un troisième agenda, et, par la suite, il y aura d'autres suivis qui seront faits. Mais c'est... Moi, comme ça, ça me rassure que ce n'est pas un projet à la dystopique.

M. Caire : Je vais céder la parole à ma collègue de Fabre, M. le Président. 

Le Président (M. Simard) : Mme la députée de Fabre.

Mme Abou-Khalil : Merci, M. le Président. Bonjour, chers collègues. Très contente de pouvoir échanger avec vous, M. Waterhouse. Moi, j'ai une question par rapport à un échange qu'on a eu hier par rapport au blockchain. On a discuté avec un groupe qui voulait qu'on se penche vers ça, mais les informations sensibles, nos données personnelles, nos données médicales ne doivent pas être stockées directement sur un blockchain pour plusieurs raisons de sécurité, etc. On va jaser, vous allez me corriger, vous êtes le spécialiste en tout ça.

Alors, la première raison, pourquoi ce n'est pas bien de stocker nos données sur le blockchain, nos données sensibles, pour l'immutabilité. On ne peut pas changer les données qui sont stockées dans le blockchain, apparemment, ni changer... qui causerait un problème avec le GDPR. Et évidemment, aussi, on ne peut pas changer les données qui sont là. Alors, toutes les erreurs qui ont été commises vont rester là pour très longtemps. Peut-être, vous allez me dire qu'au lieu de stocker les données sensibles, on pourra stocker un «hash», qui est une empreinte numérique, pour ceux qui ne connaissent pas c'est quoi, de nos données sensibles dans le blockchain. Alors, cela pourra garantir l'intégrité et l'authenticité de nos données. Selon vous, votre opinion là-dessus, c'est quoi?

• (12 h 30) •

M. Waterhouse (Steve) : Mais, pour nous, le blockchain, nous, ce qu'on dit, on «store» de l'information...

Mme Abou-Khalil : Oui, le stockage.

M. Waterhouse (Steve) : ...comment vous y accéder, vous?

Mme Abou-Khalil : Non. Moi, je vous demande, est-ce que c'est vrai que les données qui sont stockées dans le blockchain...

M. Waterhouse (Steve) : Bien, je ne connais pas d'entrepôts de... par blockchain. Ce n'est pas un entreposage de données, c'est un mécanisme qui garantit l'intégrité de l'information qui est confiée à un système, quel qu'il soit, que ce soit l'infonuagique gouvernemental, Amazon, peu importe lequel. Donc, quand on veut confier une information... et, nommément, sûrement, vous pensez, en parlant de ça, au portefeuille numérique de monnaies virtuelles, bien, ces monnaies virtuelles là, la seule façon qui garantit la confidentialité, bien, c'est la manière cachée d'aller... de créer un compte puis de l'entretenir. La blockchain va assurer l'intégrité des transactions financières décentralisées partout sur l'Internet et tous les autres environnements. Alors, quand je reprends votre vision de dire : Est-ce qu'on peut intégrer un blockchain dans de la...

M. Waterhouse (Steve) : ...de l'information. La réponse, c'est oui, on garantit son intégrité. Processus électoral en seriat, pour moi, une première, place où qu'on pourrait s'en servir. Fantastique! Données médicales, c'est certain, on ne veut pas changer trois pilules pour 30, ce ne serait peut-être pas bien vu pour le patient. Alors, ça, c'est des mécanismes qui vont garantir que ces valeurs-là ne seront pas modifiées. Et, s'ils le sont, bien, il y a une chaîne qu'on va voir, donc, d'audit, avec lequel on peut déterminer qui qui l'a fait de qui qui ne l'a pas fait. Ça, pour moi, ça parle.

Maintenant, pour être en mesure de dire : Est-ce qu'on doit s'en servir ou pas?, ça repose sur une évaluation du risque, une évaluation... le processus complet d'évaluation des menaces et des risques. Et de comprendre : c'est-tu utile à faire, ce travail-là, envers cette donnée-là. Donc, des données de localisation de terrain, est-ce que c'est nécessaire d'appliquer le blockchain ou pas? Je ne crois pas, mais avec les deux exemples que j'ai donnés précédemment, ça a sa place.

Mme Abou-Khalil : D'accord, mais on est d'accord qu'on ne peut pas faire du stockage là-dessus. J'ai une autre question. Est-ce que je peux aller de l'avant où je passe la parole?

Le Président (M. Simard) : Absolument. Absolument, Mme.

Mme Abou-Khalil : Moi, j'ai juste aussi une autre question de curiosité, j'aimerais avoir votre opinion. Hier, aussi on a eu un groupe qui nous parlait d'Internet of things, puis on sait très bien le travail colossal que ça peut engendrer éventuellement si jamais on va de l'avant avec ça, ça fait que... On sait très bien que chaque appareil a une identité, le yoyo ID, qui peut se rattacher à un certificat et que ces certificats peuvent être stockés et avoir... obtenir accès comme identité. Alors, selon vous... Mais on est plusieurs à avoir «Internet of things devices», ça peut être la montre, ça peut être le cellulaire, ça peut être l'ordinateur, etc. Alors, d'après vous, est-ce que c'est une bonne idée d'aller vers ça ou pas?

M. Waterhouse (Steve) : Ça dépend comment vous voulez investir en termes de quantité de personnes et d'argent pour en faire la gestion par la suite.

Mme Abou-Khalil : ...on parle de la même chose, alors ça prend un travail colossal.

M. Waterhouse (Steve) : Oui, mais, par contre, ce que je dois être un peu en désaccord avec mes collègues, hier, de l'IMC2, c'est... On ne peut pas acheter un appareil qui va avoir de façon innée un certificat à l'intérieur de cet appareil-là qu'on dit IoT, Internet des objets, et que, ces appareils-là, on peut demander aux fabricants : Pourriez-vous nous en intégrez quelques-uns? Parfait. Ils l'intègrent demain matin, parce qu'ils sont gentils, on le reçoit ici, mettons, dans l'organisation. Maintenant, comment est-ce que je gère à l'intérieur de l'organisation pour m'assurer que c'est un appareil qui est autorisé? Il existe d'autres techniques actuellement. Puis on n'a pas besoin d'avoir une infrastructure à clé publique, parce que ça prend ça en arrière pour être en mesure de gérer ces certificats, pour être capable des émettre, de rencontrer : Les obligations, elles sont-tu encore valides?, de les révoquer, si nécessaire. Par la suite, si, exemple, on dit qu'un certificat n'est plus bon, mettons, exemple, la carte à puce d'un téléphone cellulaire, carte SIM, c'en est un certificat électronique, donc, qui est capable de révoquer le certificat d'une carte SIM? Bien, la compagnie de téléphonie cellulaire. Ils en font, la gestion, pour nous.

Alors, on... Est-ce qu'on veut créer un système parallèle pour recréer un autre certificat par-dessus ça alors qu'ils utilisent déjà un premier? C'est là qu'il faut étudier la question puis comprendre tous les identifiants à l'œuvre. Puis les premières méthodes que je vous parle, en réseau, bien, il est facile de juste prendre l'identité MAC, donc l'identité de 48 bits d'un appareil électronique quel qu'il soit, ou bien son adresse de sa carte réseau, que ce soit une carte réseau wifi ou Bluetooth qui est utilisé ou même NFC. Alors, ça, c'est des... d'autres moyens, d'autres identifiants qu'on peut gérer actuellement qui... qui prend beaucoup moins de ressources que de créer une infrastructure à clé publique complète.

Mme Abou-Khalil : Parfait. Merci beaucoup.

Le Président (M. Simard) : M. le député d'Orford, il vous reste cinq minutes 15 secondes.

M. Bélanger : Merci, M. le Président. M. Waterhouse, c'est toujours intéressant de vous suivre. Vous parliez de l'Estonie, mais l'Estonie ont eu, évidemment, la malchance ou la chance de pouvoir mettre en place une identité numérique ou... et des infrastructures à partir d'une feuille blanche. Depuis une décennie, je les suis. C'est vraiment intéressant. Même, moi-même, je peux avoir une identité numérique, je peux créer une entreprise à distance. C'est vraiment... c'est vraiment intéressant. Mais je suis quand même curieux au niveau des infrastructures requises pour, justement, ces données-là avec le réseau actuel qu'on a, un réseau de fibre mondial, avec de plus en plus des données qui vont circuler pas uniquement sur une infrastructure terrestre, mais sur une infrastructure satellitaire. J'aimerais avoir votre opinion. Puis, peut-être, qu'est-ce qu'on fait au niveau de données plus sensibles qui peuvent être, elles, mieux contrôlées à proximité de... qu'on fasse de l'intelligence artificielle ou d'autres choses, à proximité des chercheurs qui vont l'utiliser et les autres données? Moi, ça m'inquiète un peu à ce niveau-là, je vous dirais, là, avec ce qui se passe dans le sud... dans le sud du Canada. Qu'est-ce qu'on devrait faire au niveau de... au niveau d'approches et stratégies en termes d'infrastructures pour le stockage mais aussi pour la circulation de ces données-là?

M. Waterhouse (Steve) : Premièrement, vos préoccupations au sud sont quoi? Parce que vous en avez une multitude, de données, déjà, qui sont déjà au sud, puis vous en...

M. Waterhouse (Steve) : ...doutez même pas. Ça fait que, déjà là, la préoccupation, elle est peut-être adressée déjà, mais je vais y répondre en détail.

Premièrement, il y a trois états à une donnée : en transit, en repos et en traitement. Où est-ce qu'on va être capables d'appliquer une sécurité à toute épreuve? Bien, certainement, dans le... dans le transport, vous le faites à tous les jours, ce qu'on appelle le protocole SSL/TLS. Vous consultez une page Web, c'est sécurisé. Et, au niveau de la sécurité de l'information, le gouvernement fédéral, qui est l'autorité technique au pays, le CST, bien, ils ont réputé que SSL/TLS, comme protocole de sécurité de transport, est égal à du chiffrement du matériel protégé B. Dans l'évaluation de préjudice sur de l'information, dont le cadre a été adopté le 26 décembre dernier, auquel j'ai contribué, j'ai été bien fier de ça, pour amener une compatibilité fédérale-provinciale facile, bien, quand qu'on arrive, on dit qu'on a de l'information plus sensible : Ah oui? Quelle est votre... votre mesure de préjudice, si vous avez une information plus sensible, versus un autre contexte? Bien là, ça dépend, parce que vous devez utiliser d'autres moyens pour être en mesure de ne pas exposer l'information qui est plus sensible que votre cadre normal. Et, si c'est le cas, bien, procurez-vous les matériaux nécessaires pour le faire.

Donc, on revient avec votre approche de l'identité, qui est transposée à travers le monde. Présentement, si on prend encore cet exemple-là de classification d'information jusqu'à un niveau protégé B, c'est un préjudice... c'est une information qui peut causer un préjudice grave à un individu ou à une organisation, si jamais elle est dévoilée à une personne qui n'en a pas rapport. Donc présentement, l'identité répond à ce critère-là, SSL/TLS, pour le transport, ça marche, c'est accepté, commercialement parlant, pour tout le monde sur la planète. Ça va bien. C'est adressé. Satellitaire, même affaire. Autrement dit, chiffrement, à la base, va être transmis, va être retransmis par satellite, peu importe sa destination.

Jusqu'à présent, on vit notre Internet, on vit notre information, on la consomme à... sur une base quotidienne de cette manière, et c'est correct jusqu'à présent. Maintenant, demain matin, post-quantique approche et méthode mathématique, d'être capables de décoder rapidement en temps réel ces mécanismes-là, ce n'est pas loin que ça s'en vient. Donc, il faut penser post-quantique, comment on va protéger l'information.

Il y a déjà quatre méthodes, trois signatures numériques, une méthode de chiffrement, S Kyber, pour le nommer, qui est en fonction. Et vous donner un exemple, Chrome, le produit Chrome, de l'environnement Google, bien, ils l'ont intégré, eux, ça fait maintenant un an et quelques mois, pour être en mesure que ce soit capable de chiffrer l'information, de la même façon, je vous dis, que vous consultez une page Web, actuellement. Mais, l'affaire, c'est qu'il n'y a aucun site Web qui a intégré les librairies pour être capable d'activer ce chiffrement-là.

Donc la technologie, commercialement, elle est disponible. Et ça va être la prochaine étape, à sécuriser cette information-là une coche supérieure à qu'est-ce qu'on a déjà, pour rencontrer les craintes qu'une interception peut à ce moment-là servir à d'autres fins. Mais, jusqu'à présent, si on voudrait grimper le chiffrement supérieur, bien, il faudrait le faire à travers des moyens de tunnels virtuels, les VPN, en sorte, où le chiffrement est encore supérieur dans l'échange d'information.

M. Bélanger : Bien, je voyais, peut-être... c'est au niveau de la redondance parce que... pas nécessairement un niveau de sécurité supérieur. Mais, en termes de redondance, c'est des liens physiques. Dans certains cas, c'est des liens physiques, dans certains cas, c'est des liens sans fil, mais, si on parle d'une fibre transocéanique, ou ça, et qu'un pays techniquement pourrait décider de stopper, là, au niveau d'une circulation de données, qu'elle soit codée, chiffrée, sécurisée, etc., elle ne circulera plus. Et je ne sais pas moi, si on a des véhicules intelligents qui circulent, des trains, des choses, des objets qui utilisent des données, bien...

Des voix : ...

M. Bélanger : Je vais le laisser répondre.

Le Président (M. Simard) : En conclusion.

M. Waterhouse (Steve) : De votre réponse, ça s'appelle d'avoir des processus décentralisés. Donc, en cas de panne, puis j'en ai vécu une, cette semaine, avec les grands vents, panne électrique dans ma région, la tour à cellulaire tombe.

Le Président (M. Simard) : Très bien.

M. Waterhouse (Steve) : Et, quand il y a une pannée électrique, présentement, le compteur part...

Le Président (M. Simard) : Malheureusement... laisser tomber, pour l'instant, on laisse la parole à la députée de Mont-Royal-Outremont.

Mme Setlakwe : Merci, M. le Président. La députée de Mont-Royal-Outremont va laisser M. Waterhouse compléter sa réponse.

Le Président (M. Simard) : O.K., vous pouvez la remonter, maintenant.

• (12 h 40) •

M. Waterhouse (Steve) : Mme la députée, je serai bref. Donc, s'il y a une panne électrique, maintenant, la téléphonie moderne fait en sorte que, dans le poteau il y a un amplificateur, puis la batterie dure 6 heures. Alors, mon compteur est reparti, mais quand l'électricité... après ça... me servir du cellulaire, qui est, légalement, supposé être mon back-up, autrement dit, mon moyen de communication alternatif, il n'était plus là. Puis la compagnie de téléphonie cellulaire, il a fallu que je les appelle pour les avertir : Aïe! Ta tour est tombée. Ils ne savaient même pas eux-mêmes, ils ne l'avaient même pas déclaré, nulle part.

Donc, on a un gros problème que les télécommunicateurs ne sont pas tout à fait au fait, des fois, comment ça se passe? Mais, si on a une approche décentralisée, qui n'a aucune dépendance vers des services centraux, en cas de panne, ça va fonctionner pareil. C'est comme ça, présentement, les voitures automatiques, autoguidées, vont se développer, et, si on développe une identité numérique, il faudra qu'elles soient autonomes si jamais il n'y a pas de communications centralisées. Mais, à un moment donné, il faut qu'il y ait une synchronisation pour garantir que l'authenticité de l'identité est toujours là.

Le Président (M. Simard) : Alors, chère collègue.

Mme Setlakwe : Merci. Merci pour votre mémoire. Merci pour votre présence, votre présentation. Il est clair, là, de vos propos, de votre sommaire exécutif dans votre mémoire que vous...

Mme Setlakwe : ..ou vous êtes... vous êtes en accord et en fait, vous souhaitez ardemment qu'on rattrape le temps perdu, qu'on rattrape le retard puis que le Québec et le Canada se mettent... se mettent à jour et puissent se comparer favorablement avec d'autres juridictions qui sont déjà rendues beaucoup plus loin que nous. Je vous interprète bien?

M. Waterhouse (Steve) : Vous m'interprétez bien, puis c'est quasiment rendu une question justement de sécurité économique, là.

Mme Setlakwe : O.K. Puis je comprends. Oui, juste élaborer un petit peu là-dessus, la question de la sécurité économique.

M. Waterhouse (Steve) : Bien, si vous prenez l'Europe et si l'Europe devient pleinement fonctionnelle, comme ça l'est présentement dans l'échange de services, et ça devient qu'il demande et exige une validation d'une identité numérique pour être capable d'échanger, puis là, vous, comme touriste, vous apparaissez en Europe, bien, vous allez devoir peut-être passer par une ligne à part, vous faire faire une identité temporaire de visiteur, alors que le reste des citoyens, eux, se sert de l'identité numérique. Je le vois dans cet extrême-là. Je ne crois pas qu'ils commencent à dire : Les touristes, allez vous faire faire une carte temporaire, ça va être un embourbement administratif épouvantable.

Mme Setlakwe : Merci. Votre mémoire fait état de quand même une liste d'enjeux dont on doit tenir compte pour que ça fonctionne bien, pour qu'on puisse gagner... c'est surtout l'enjeu numéro, gagner la confiance du public, l'adhésion, etc., mais j'ai une question avant d'aller plus loin dans chacun des enjeux que vous avez mis de l'avant, est-ce que vous diriez qu'avec l'état actuel, là, de nos infrastructures, l'expertise qu'on a à l'interne, le recours à la sous-traitance, etc., notre culture numérique, nos lois de protection des données, est-ce qu'actuellement on a les conditions gagnantes? Est-ce qu'elles sont réunies pour que ce projet-là fonctionne?

M. Waterhouse (Steve) : Je vous dirais que les conditions gagnantes ne sont pas toutes rassemblées, parce que tout le monde a une vision différente du but à atteindre et c'est ça qui ralentit les travaux. C'est ça qui ralentit l'ardeur de bien des intervenants là-dedans. Puis tant que tout le monde va tirer son épingle du jeu, juste pour être capable de satisfaire son agenda personnel, sans que ce soit un personnel, personnel, bien, ça n'ira pas nulle part. Ce que je crois, c'est la façon qu'on peut témoigner qu'il y a eu des retards, contrairement à d'autres provinces, d'autres juridictions qui eux ont dit : Parfait, on y va «all in» et on avance. Et ça, ça veut dire d'arrêter de regarder juste dans l'immédiat, dans la bulle... il faut faire affaire, à un moment donné, avec des intervenants extérieurs, qu'ils ont l'expertise, qu'ils l'ont appliquée ailleurs. Et si ce n'est, comme récemment, bien, d'aller voir des pays étrangers, de les inviter ici, puis de faire une collaboration puis de dire : Donne-moi donc les leçons apprises, là, pour ne pas qu'on se plante nous autres aussi plus... et qu'on réalise plus vite ce projet-là.

Ça, là, ça vaut cher, de cette interopérabilité-là. Ça ne veut pas dire faire le tour du monde, là, mais ça veut dire de parler avec ces gens-là. Puis ils en ont écrit de la documentation, je ne vous l'apprends pas, c'est sur Internet. J'en ai mis quelques exemples dans le mémoire, mais ça... c'est là qu'il faut arrêter de dire : On va être capable de tout faire, mais il faut le faire... il faut avancer plus vite pour que, justement, ça ne s'embourbe pas. Puis, à un moment donné, ça va tomber dans l'oubliette.

Mme Setlakwe : Et quel est... Merci. Quel est... selon vous, quels conseils, là, vous... avez-vous à nous donner pour qu'on puisse gagner la confiance de la population? Parce que, si la population n'embarque pas, ça ne fonctionnera pas.

M. Waterhouse (Steve) : Bien, c'est premièrement d'en parler. M. et Mme Tout-le-Monde, je me fais poser des questions fréquemment quand je rencontre les gens sur la rue, là. Oui, des fois, ça m'arrive de sortir, d'aller me promener sur la rue, puis les gens, des fois ils m'en parlent. Il dit : Qu'est-ce que t'en penses ou qu'est-ce que c'est? Je ne comprends pas. Puis moi, je ne me servirais pas de ça, parce que je ne comprends rien. Bien, c'est justement, ce n'est pas expliqué. Ici, on est des initiés, on est capable d'en lire, on travaille le projet, mais la personne moyenne ne sait pas, parce qu'il n'y a personne qui leur parle. La Commission d'accès à l'information, c'est la semaine la protection des données personnelles, ils ont fait trois publications ces médias sociaux. Ils «failent» à leur le job. Autrement dit «failer», ça veut dire qu'ils manquent à leur travail, à leur devoir d'informer la population sur la protection du renseignement personnel.

Le commissaire de... le Commissariat à la protection de la vie privée du Canada, même affaire. Ils utilisent des moyens gratuits pour faire de l'information à la population qui ne sont même pas abonnés à ces médiums-là. Donc, il faudrait investir une couple de dollars et aller faire soit des émissions documentaires, participer à des émissions populaires, que ce soit Tout le monde en parle, ou les autres, puis d'apporter le sujet «front en center», comme on dit en anglais, donc en avant plan, puis dire : Messieurs dames, voici le gouvernement, où il s'en va. Voici comment ça va vous avantager la vie. Puis on a besoin de votre collaboration. Il faut les amener dans le projet, parce que sinon ils vont juste être peinards puis ils vont dire : Ce n'est pas à l'heure, ça, là, tu m'as dit que c'était fait dans trois mois, ce n'est pas encore arrivé, puis qu'il n'y a pas de mise à jour qui est faite, bien, ils vont dire : Vous nous dites encore une histoire, c'est un bateau, puis le bateau est en train de prendre... virer dans le bord, là

Mme Setlakwe : Donc, clairement, le gouvernement a un rôle à jouer très important, là.

M. Waterhouse (Steve) : Tous les députés, tous les élus ont un rôle à jouer, parce que ça va même jusqu'à l'élu dans son comté. Quand est-ce qu'il va faire un dialogue populaire puis de dire : Messieurs dames, je vais vous informer, moi, comme député, c'est quoi ce projet de société là? Personne ne la fait à... n'importe où, fédération ou provinciale.

Mme Setlakwe : Merci. Revenons à votre... à votre mémoire. Donc, l'enjeu numéro un... Bien, pas numéro un, mais le premier enjeu qui est énoncé, c'est au niveau de l'infrastructure. Ça nous prend des réseaux robustes, capables de gérer une forte demande, etc., protéger les données. Dans l'élément B, vous dites : Ils doivent également s'assurer que les cartes d'identité numériques fonctionnent avec les outils existants afin que les utilisateurs puissent...

Mme Setlakwe : ...passer aux solutions numériques. Les systèmes existants peuvent compliquer les choses. Est-ce que vous pouvez élaborer un peu sur cet élément-là?

M. Waterhouse (Steve) : Bien là, on parle, on peut parler vraiment de mettre le mot désuétude en travers de tout ça. On peut parler que, comme l'Estonie a vécu une panne technologique avec ses cartes à puce en 2017 par une vulnérabilité des chiffrements sur les cartes à puce, et ils ont été capables à distance envers des... Ça, ça représentait un bug envers 17 millions de cartes distribuées en Europe. Puis à distance, bien, ils ont été capables de régler 90 % de ces cartes-là en changement de chiffrement et en faisant des mises à jour à distance. Fantastique. Bien ça, il faut l'anticiper lorsqu'on dit qu'on veut développer et mettre une application d'identité numérique. Là, on parlait de mettre une identité sur un téléphone intelligent, c'est parfait, mais quand on dit l'acceptation sociale, il y a environ 20 % de la population qui n'ont pas, et n'auront pas, et ne voudront pas un téléphone intelligent gérer leur identité numérique, alors, c'est quoi l'alternative? On reste avec les vieilles cartes traditionnelles? Bien là, à ce moment-là, on s'expose à dire : Bien, c'est correct, mais pourquoi qu'on va dans l'identité numérique? On va garder les vieilles cartes, puis ça marche, puis on n'a pas besoin de dépenser plus d'argent.

Alors, s'il faut aller dans l'identité numérique, il faut avoir un plan. Si on a un plan de dire : Aïe, on va signer des autorisations, on va signer des documents, voter avec ça, éventuellement, bien, O.K. Mais là, il faut le faire. Puis il faut dire... Puis c'est là mon plan de dire, expliquer à la population, ultimement, ça va servir à quoi. Là, les gens vont embarquer. Mais après ça, technologiquement parlant, il faut juste prendre... faire un choix. On parlait de logiciel libre tout à l'heure. Il faut faire un choix que dans l'avenir, puis en informatique, on sait un peu que dans 10 ans, c'est très loin. Mais il faut garantir que dans 10 ans, c'est un projet de long terme, que ça va fonctionner encore.

C'est pour ça que je vous faisais l'exemple de l'identité numérique, l'infrastructure... publique à la défense nationale que ça a été mis en place en 1999, puis on est en 2024, puis c'est toujours la même infrastructure qui fonctionne très bien. Ça fait que c'est quoi qui a fonctionné? C'est la vision de dire la carte à puce, le moyen physique à utiliser, bien, lui est encore fiable. Ça marche. Donc, il faut aller cibler qu'est-ce qui va dire... qui va aider à long terme.

Mme Setlakwe : Avez-vous une... Merci. Avez-vous une idée, là, dans l'état actuel des choses et votre expérience, combien de temps ça va prendre à déployer ce projet-là?

M. Waterhouse (Steve) : Aucune idée. Les dés... On peut lancer les dés comme c'est là. On va avoir quelque chose qui va nous être projeté. Cependant, les travaux se poursuivent. C'est l'information qu'on peut se dire, que ça fonctionne avec, mais je ne sais pas l'état actuel, contrairement à ce que j'ai su dans le passé.

Mme Setlakwe : Merci. Parlez-nous un peu de cybersécurité. Évidemment, c'est... c'est critique, c'est crucial et c'est le deuxième point, là, dans les enjeux qui sont mentionnés. On dirait que j'entends aussi dans vos propos, il ne faut pas... il ne faut pas... il ne faut pas se faire peur, il ne faut pas avoir peur de cette technologie-là. Mais est-ce que vous pensez que... qu'on est prêts, qu'on est capables de déployer ça, puis de se protéger? Parce que, oui, ça va devenir une cible de... une cible d'attaque importante.

M. Waterhouse (Steve) : Il manque de littératie numérique partout. Quand on dit partout, un jeune qui commence à l'école, on lui impose souvent d'utiliser un moyen électronique pour apprendre. Ce moyen-là électronique, par la force des choses, un enseignant plus brillant des fois que d'autres, ou forcé d'apprendre les fins de semaine c'est quoi son rôle de technologue à travers de tout ça... Les enseignants, ils ont quand même beaucoup de charges d'enseignement. Puis là il faut leur amener ça par-dessus : Explique aux jeunes comment utiliser l'outil. C'est-tu à l'école de le faire? Ma réponse, c'est oui, mais il faudrait former les... les professeurs, donc les enseignants à ce qu'ils aient cette connaissance-là et qu'ils puissent l'enseigner à leur tour.

Maintenant, plus loin, si on regarde dans les 20, 30 dernières années, quand on arrive sur le marché du travail, c'est marqué : Exigence, connaître la suite Microsoft Office, juste pour donner cet exemple-là. Qui sait comment bien utiliser la suite Office? Quelqu'un va aller cliquer : ouvrir l'application. Oui, il est capable de l'ouvrir. Mais j'ai déjà vu des statistiques qui me disent environ 10 % à 15 % des gens se servent de ces suites bureautiques parce que personne ne fait un cours avancé pour être capable de prendre toutes les fonctionnalités. Ça fait qu'on s'en sert que du minimum. On pourrait prendre au pire Notetab dans Windows, et ça serait le minimum pour faire du traitement de texte parce qu'on n'a pas besoin des autres fonctionnalités dans Word, parce qu'on peut faire quelque chose de très grand.

Cependant, si on revient à l'identité numérique, plus qu'on éduque les gens à comprendre c'est quoi un appareil électronique, c'est quoi l'Internet des objets, c'est quoi l'Internet, parce qu'encore en 2025, si je parle de mot de passe, de mot de passe fort, mot de passe faible... «password», ce n'est pas bon à utiliser, 1-2-3-4-5-6-7-8, ce n'est plus bon à utiliser. Je parle encore de ces éléments-là sur une base régulière. Et c'est ça, je parle de la littératie numérique qui est absente, que les gens ne voient pas l'utilité de changer ces vieilles habitudes là.

• (12 h 50) •

Mme Setlakwe : Merci. La culture numérique, la question de la fracture numérique, je pense que ma collègue va l'aborder, mais j'en aurais une dernière. Vous avez aussi mentionné, puis c'est une évidence, là, la robustesse, la qualité des lois sur la protection des données. C'est au centre de nos préoccupations. Quelle est votre appréciation, là, du régime québécois en la matière?

M. Waterhouse (Steve) : Le régime? Lequel régime québécois?

Mme Setlakwe : De protection des données. Parce que vous dites, bon, évidemment, ça prend une législation qui est robuste.

M. Waterhouse (Steve) : Oui.

Mme Setlakwe : Ça nous prend... Vous parlez de règles...

Mme Setlakwe : ...en matière de confidentialité qui protège les droits des personnes, rend les identifiants numériques plus fiables. À mon sens, la loi québécoise est quand même robuste. Est-ce que vous avez des commentaires, des... vous souhaitez élaborer?

M. Waterhouse (Steve) : Bien, elle va être robuste tant et aussi longtemps que les gestionnaires ou les gens qui sont impliqués dans sa protection font les bonnes évaluations de préjudice envers... cette information-là. Parce que c'est une chose de créer un document, puis de le libeller puis dire : Ah! ça, c'est de l'information qui est très sensible, il faut faire attention... O.K., il faut faire attention comment? Quand vous laissez sur un «drive» qui est commercialement disponible, que vous ne savez pas trop qui qui y a accès et, après ça, comment vous le transmettez... Donc il y a toute cette évaluation-là de préjudice à faire, à mettre en place. Le... de classification de l'information vient aider à faire cet exercice-là pour, après ça, avoir les bons outils pour être en mesure de transmettre cette information.

Alors, ça, c'est un travail qui n'est pas évident, qui est à... relaté dans le projet de loi no 95 un petit peu, mais qui fait en sorte qu'il faut que les gens, les professionnels à la gestion, et la documentation, et surtout la classification d'information y travaillent pour donner quelque chose qui va être beaucoup plus fort.

Le Président (M. Simard) : Malheureusement, il vous reste seulement 10 secondes, chère collègue.

Mme Caron : Bon. Bien, je ne peux pas poser une question et avoir une réponse en 10 secondes. Je vais vous remercier pour vos...

M. Waterhouse (Steve) : Je peux dire oui ou non.

Le Président (M. Simard) : Très bien. Cher collègue de Maurice-Richard.

M. Bouazzi : Merci, M. le Président. Désolé de m'être absenté. Figurez-vous que j'ai réussi à avoir un rendez-vous chez le médecin. C'est une victoire de la journée. Oui, absolument. Je les prends où elles arrivent, ces victoires, n'est-ce pas?

Et je suis très content que vous soyez là pour échanger. Les questions de sécurité ont été souvent abordées depuis le... enfin, depuis hier, en fait, et toute l'idée de dire : Bien, si on centralise toutes les données à un endroit, bien, ça devient un endroit qui va être attaqué de facto par toutes sortes de cyberattaquants qui... étant donné que les données, là, ont de la valeur. C'est quoi, les erreurs que vous, vous avez vues dans l'industrie, qu'il ne faudrait pas qu'on fasse, là?

M. Waterhouse (Steve) : Bien, pour avoir une mauvaise conception... De dire qu'un endroit va être une cible, c'est une fausse croyance, ça, c'est une légende urbaine, parce que les tactiques que prennent les pirates pour être en mesure de faire l'évaluation où est le maillon faible dans une chaîne de sécurité, bien, c'est des constantes vérifications, des... qui sont appliquées 24 heures, 365 jours par année, et qui vont aller déceler un protocole ou une vulnérabilité dans une place. Et que vous dites : On décentralise l'information, on la met en six localités, comme ça on ne se fera jamais avoir... Bien, les six localités peuvent être vérifiées en même temps. Et, si une de ces six-là... Puis je vous montre, je vous donne un exemple très réaliste : la semaine dernière, cinq fabricants internationaux de cybersécurité, les produits avaient des failles très importantes, et, très rapidement, il fallait qu'elles soient corrigées pour empêcher qu'il y ait un accès non autorisé à l'intérieur des organisations qui avaient ces produits-là. Puis je parle de grands manufacturiers.

Alors, si vous dites qu'on fait une variation puis on met toutes sortes de manufacturiers, bien, présentement, tout le monde travaille avec ce problème-là. Il faut qu'ils aient une meilleure approche de prévention et appliquer la meilleure pratique. Encore là, je reviens à dire d'appliquer l'évaluation de... risque, connaître les menaces et surtout circonscrire les vulnérabilités le plus rapidement possible. Parce que, bien souvent, dans les organisations complexes, les grandes organisations comme le gouvernement, ce n'est pas rare de voir que, des fois, ça peut prendre un cycle de plusieurs mois à appliquer un correctif sur des vulnérabilités. Donc, il faut réduire ce cycle-là et. À ce moment-là, la méthode de travail va aussi influencer sur la rapidité.

M. Bouazzi : ...vous dites, c'est : Mettons à jour, soyons conscients des bons protocoles de sécurité, mais le fait qu'on centralise toutes les données dans un... toutes ces données-là, qui sont, évidemment, des données personnelles avant tout, là, n'est pas le plus gros problème. Le plus gros problème, c'est de sécuriser autour.

M. Waterhouse (Steve) : Et aussi, j'aurais rajouté à votre affirmation : Il faut être en mesure aussi d'anticiper. Et ça, c'est une valeur qui... je trouve, sur le marché, très rare que... il n'y a pas d'anticipation de la menace ou de dire : On a appliqué, on a... ils ont pris le formulaire, ils ont dit : On a tout fait, on est conforme selon la recette qui nous a été prescrite. C'est faux de travailler comme ça. Il faut aller au-delà de ce papier-là et dire qu'est-ce que là... comment l'ennemi fonctionne. Puis je pense dans cette façon-là. Oui, avec un certain «mindset» militaire, c'est un défaut que j'ai, mais c'est de cette façon-là que, présentement, sur Internet, le combat a lieu. Et on est dans une guerre de l'information, si vous ne le savez pas, et, de cette manière, bien, il faut adopter des tactiques similaires à ce que l'attaquant va faire, dont il faut anticiper comment l'attaquant va réagir ou anticiper... comment venir nous importuner.

M. Bouazzi : Est-ce que vous pensez que le ministère doit se doter de plus de ressources spécialisées en sécurité pour pouvoir tout simplement mener à bien un tel projet en fonction de...

M. Waterhouse (Steve) : Le ministère, comme tout organisme privé ou public, doit avoir, oui, les meilleures personnes pour intervenir dans ce domaine spécialisé, mais...

M. Waterhouse (Steve) : ...surtout pas être gêné de faire appel à l'extérieur, aller chercher la collaboration, tout comme en mai 2021, qu'il a été signé un protocole de réciprocité entre le CST et le MCN pour être en mesure de faciliter cet échange d'informations là, mais il faut que soit reconduite cette entente-là pour faciliter et dire aux dirigeants, les nouveaux qui sont en place : Aïe! il faut s'en parler, il faut se donner de l'information. Il ne faut pas qu'il y ait de barrière politique par rapport à ça, parce que sinon, c'est certain qu'on passe à travers un manque d'opportunités de savoir qu'est-ce qui se passe.

Le Président (M. Simard) : Alors, voilà qui met un terme à cette présentation. M. Waterhouse, ce fut à nouveau très captivant. Merci pour votre présence parmi nous ce matin.

Alors, sur ce, nous allons suspendre nos travaux, et nous le... nous nous donnons rendez-vous à 15 heures.

(Suspension de la séance à 12 h 57)

(Reprise à 15 h 04)

Le Président (M. Simard) : Alors, chers amis, nous sommes de retour afin de poursuivre nos travaux. Comme vous le savez, la Commission des finances publiques est réunie afin de procéder aux consultations particulières et aux auditions publiques concernant le projet de loi n° 82, loi portant sur l'identité numérique nationale.

Nous poursuivons donc nos consultations cet après-midi et nous avons l'honneur de recevoir le Pr Sébastien Gambs, qui est titulaire de la Chaire de recherche du Canada... d'une chaire de recherche du Canada de l'UQAM. Alors, M., soyez le bienvenu parmi nous.

M. Gambs (Sébastien) : Merci, merci beaucoup pour l'invitation.

Le Président (M. Simard) : Et vous disposez de 10 minutes, afin de faire votre présentation.

M. Gambs (Sébastien) : Parfait. Donc, pour me présenter rapidement, en plus d'être dans une chaire du Canada, juste pour vous mentionner que je suis professeur à l'UQAM, je travaille principalement en protection de la vie privée, cybersécurité et je suis aussi membre du pôle de cybersécurité de la l'Obvia, donc j'avais contribué au mémoire que vous avez reçu hier, mais je n'ai pas... Je n'ai pas écrit un deuxième mémoire, mais je vais revenir sur certains des éléments qui étaient abordés dans ce mémoire-là. En particulier, je vais mentionner d'abord que je suis tout à fait favorable à la mise en place d'une identité numérique. En particulier, les avantages principaux que je vois en termes de sécurité, c'est la réduction des fraudes à l'identité et la facilité d'accès aux services gouvernementaux. Par contre, étant un chercheur en vie privée, je pense qu'il y a plusieurs enjeux importants à prendre en compte pour réussir cette identité numérique, en particulier les renseignements personnels, la protection des renseignements personnels. Et je vais revenir sur ces éléments-là dans mon allocution.

D'abord, une des choses qui est importante, c'est qu'on parle d'identité numérique, en fait, c'est un terme qui est très large, et qu'on veut l'implémenter... En particulier, avec une de mes étudiantes, on a étudié les architectures et les technologies qui existent pour la mettre en place, et il y en a certaines qui peuvent servir à créer un service de... un système de surveillance généralisée et il y en a d'autres qui sont beaucoup plus...

M. Gambs (Sébastien) : ...de la vie privée. Donc, je dirais le diable est dans les détails. En particulier, il y a certaines architectures qui demandent, à chaque fois que j'utilise mon identité numérique, qu'une trace laissée dans un registre central, alors qu'il y a d'autres architectures, je pense que ça a peut être été évoqué dans d'autres allocutions, qu'on appelle autosouveraines, où là j'ai un contrôle beaucoup plus fin sur mon identité numérique, sur l'information que je choisis de révéler et aussi sur les données d'usage générées. Donc, il faut vraiment regarder qu'est-ce qui va être proposé dans les détails techniques sur la forme d'architecture et le contrôle des citoyens.

Il y a aussi des technologies matures qui pourraient être mises en place comme des accréditations anonymes. Je pense que ça avait été mentionné par la Commission d'accès à l'information. Donc essentiellement quand, dans le projet de loi, on parle d'attestation numérique gouvernementale, il existe plein de manières de l'implémenter. Certaines manières permettraient de, par exemple, prouver une propriété liée à son identité, comme par exemple si je vais à la SAQ et que je dois prouver que j'ai plus de 18 ans, je pourrais simplement prouver cette information sans avoir besoin de révéler toutes mes informations d'identité, comme mon nom, prénom, mon âge ou d'autres informations.

Donc, c'est ça la transparence, et là aussi, je pense que c'est revenu, c'est vraiment l'ingrédient clé, en particulier pour permettre à des experts en cybersécurité et en vie privée d'aller regarder, dans les protocoles et dans l'architecture qui est proposée, quels sont les risques sous-jacents. Il y a des études récentes en 2023 qui montrent, par exemple, que pour le protocole OAuth, qui est utilisé dans certains systèmes d'identité numériques dans le monde, bien, il y a même des façons, dont la manière dont on configure. Dans certains cas, il va collecter plus de données qui sont nécessaires.

Donc, je dirais que pour être capable de faire un audit de vraiment sur le risque de vie privée, il faudrait vraiment avoir un détail des protocoles et de l'architecture qui est envisagée à la fois pour permettre... Je pense qu'on est plusieurs chercheurs au Québec et on serait très content de faire une rétroaction des... des suggestions sur les risques qu'on voit en termes de vie privée et sécurité, mais aussi pour faire l'exercice de l'analyse des facteurs d'impact sur la vie privée qui est... je pense, va être nécessaire pour un... un projet de cette envergure et pouvoir ensuite analyser les enjeux dans cette analyse-là et éventuellement la rendre publique pour renforcer la confiance des citoyens. Vraiment, le détail des informations qui vont être échangées entre les différents acteurs est vraiment une information clé.

Et il y a des provinces comme, par exemple, la Colombie-Britannique, qui a été une des pionnières en identité numérique où un des reproches qui a été fait, c'est que la solution d'identité numérique a été imposée par le haut, sans débat public. Et en fait, à l'heure actuelle, elle est très peu utilisée en Colombie-Britannique. En particulier, un rapport a bien étudié cet aspect-là. C'était surtout parce qu'il n'y a pas eu de débat public et de transparence. Donc, même si la solution existe depuis un moment, il y a très peu d'utilisations par le public. Donc, à l'heure actuelle, par exemple, je n'ai pas trouvé vraiment de détails techniques sur l'architecture des protocoles. Je serais très content si jamais vous me pointez vers ce type d'information.

Un autre enjeu qui est important, c'est les données qui vont être collectées et utilisées par le système, mais aussi générées. Les données d'usage, par exemple, sont très importantes. Donc, par exemple, si à chaque fois que je vais utiliser mon identité numérique qu'une trace laissée avec l'action que j'ai faite, bien, on peut imaginer que ces données-là puissent être utilisées, peut-être dans le futur, contre les citoyens. Donc, même si à l'heure actuelle on a des garde-fous, on peut imaginer qu'au fur et à mesure des changements de gouvernement, une fois que cette information à large échelle est collectée et centralisée, il y a des risques.

Il suffit de prendre exemple aux États-Unis où, par exemple, suite à l'interdiction de l'avortement dans certains États, on se retrouve à des situations où la police demande à avoir accès à des données qui ont été collectées par différents acteurs. Donc, s'il y avait des systèmes d'identité numérique dans ces États-là, la police essayerait de voir, par exemple, est-ce que quelqu'un est sorti de l'État pour se faire avorter illégalement, ou on peut imaginer, avec Trump qui vient d'arriver, que si une personne va suivre un traitement hormonal, ça peut aussi, on est devant prouver son identité lorsqu'elle va dans un centre hospitalier. Il y a des enjeux à ce niveau-là.

• (15 h 10) •

Donc, je pense que ce qui est important, c'est de vraiment délimiter les finalités envisagées avec l'identité numérique et les données nécessaires qui vont servir à servir cette finalité, et aussi de minimiser, donc éviter de centraliser ces données-là. Donc je note que le projet de loi actuel interdit le profilage. Mais ce terme parfois peut être compris de manière restreinte. C'est, par exemple, est-ce que d'autres utilisations, comme l'intégration dans un système d'intelligence artificielle ou éventuellement la monétisation de ces données-là va être quelque chose qui va être interdit? Je pense que ce serait intéressant de le mentionner vraiment clairement dans le projet ou, en tout cas... de vraiment clarifier les finalités.

L'enjeu des données biométriques est aussi très important. C'est des données qui sont très sensibles liées à une personne. Donc, est-ce qu'on envisage d'utiliser des données biométriques dans l'identité numérique? Quelles sont les données qui vont être utilisées? Est-ce que ça va être, par exemple, de la reconnaissance faciale? Est-ce que ça va être d'autres types de données? Je pense qu'un débat public sur l'usage de ces données est important. Et enfin, au niveau de l'utilisateur, une étape importante pour la transparence, c'est est-ce qu'on va lui permettre d'avoir une interface qui lui très facilement de savoir quelles données ont été collectées donc quel usage. Donc, est-ce que je peux aller, en tant que citoyen, voir sur un profil quand j'ai été utiliser mon identité numérique dans tel contexte...

M. Gambs (Sébastien) : ...dans tel contexte, voilà les données qui ont été enregistrées. La trace que je l'ai utilisé, bien, cette donnée-là va être gardée 90 jours, ou est-ce qu'elle est gardée à vie? Et est-ce que je peux éventuellement demander à rectifier des informations qui sont non critiques? Donc, évidemment, je ne vais pas changer mon âge ou ma date de naissance, mais, si jamais une information a été collectée dans un cadre, est-ce que je peux demander à l'effacer si elle est non nécessaire? Et enfin, sur le stockage, je note qu'il y a une démarche qui est vraiment faite d'essayer de garder la souveraineté sur les données, ce qui est vraiment important. Donc, est-ce que vraiment ça va être clair que les infrastructures américaines, comme AWS ou Microsoft, qui sont soumis au Cloud Act, ne seront pas utilisées et que ce sera plutôt des infrastructures qui seront dans... localement au Québec puis au Canada? Donc, on sait que la législation en place pourrait s'appliquer beaucoup plus facilement. Donc, je pense que de vraiment expliciter ça, ou peut-être que c'est déjà... encore plus le clarifier, ce serait important. Et aussi quel va être le rôle des compagnies privées? Est-ce qu'elles vont servir à développer les solutions techniques d'identité numérique? Est-ce qu'elles vont être responsables pour le stockage? Quel va être leur rôle et responsabilité par rapport à la sécurisation de ces données? Je pense que ce serait aussi des points à clarifier. Voilà, c'étaient les points principaux que je voulais soulever.

Le Président (M. Simard) : Bien. Merci beaucoup, cher professeur. M. le ministre, à vous la parole, et vous disposez d'environ 16 minutes.

M. Caire : Oui, merci, M. le Président. Bien, écoutez, je comprends que, plutôt que de vous poser des questions, je vais répondre aux vôtres. Vous avez beaucoup, Pr Gambs, beaucoup de bonnes questions. Ça va me faire plaisir d'apporter les précisions aux questionnements que vous soulevez. D'abord, sur les choix technologiques... Puis je trouve ça intéressant que vous nous référiez à la Colombie-Britannique, parce que le Québec est... a signé une entente d'interopérabilité avec la Colombie-Britannique. Et, en fait, ce qui est demandé dans cette entente-là, c'est deux choses, d'une part, d'utiliser des protocoles qui sont effectivement interopérables dans les identités et de déployer sur le territoire un réseau de registres distribués, la fameuse chaîne de blocs dont on a parlé abondamment ici.

Parce que l'identité numérique québécoise est basée et sera basée, d'une part, sur des technologies ouvertes, donc développées avec du logiciel libre. Donc, je pense que ça, ça répond peut-être à une première interrogation que vous aviez, professeur Gambs, à savoir que le logiciel libre permet justement d'avoir accès au code source et de voir le fonctionnement interne du système, là, même s'il y a des garde-fous qui doivent être préservés pour des raisons évidentes. Et la chaîne de blocs qui assure une traçabilité de l'information, comme on nous le soulignait ici, qui fait en sorte que cette... ces informations-là ne peuvent pas être altérées. Donc, ça, c'est l'autre élément.

Et il faut comprendre que, quand on utilise l'identité numérique, on reçoit une confirmation, mais on ne reçoit pas d'information, à savoir si moi, je cherche à m'identifier, m'authentifier, je suis Éric Caire, je fournis les informations nécessaires, et le tiers de confiance va valider que ces informations-là sont correctes, sans qu'il y ait de transmission d'informations. Donc, pour en revenir à ce que vous parliez, si, d'aventure, par exemple, l'entreprise privée voulait utiliser l'identité numérique, elle recevrait confirmation que l'individu qui se présente et qui démontre son identité sur son... sur son appareil, bien, que cette... que cette identité-là, elle est valide. Après ça, bien, restera évidemment à s'assurer de l'identité par les personnes qui en font la requête.

Sur... Mais là, je vais peut-être vous en poser une, question, parce que vous amenez la question de la biométrie. Puis je sais que c'est un sujet qui est sensible. Et j'ai dit : Et il y aura consultation publique, mais vous, comme spécialiste de la vie privée, et... Puis je vais contextualiser ma question, parce que vous avez dit : L'identité numérique nationale est une bonne chose pour éviter les fraudes, mais, pour éviter les fraudes, plus on va dans des niveaux de confiance élevés dans l'identité numérique, plus on est capable d'éviter la fraude ou l'usurpation d'identité. Et la biométrie est identifiée comme un des moyens d'aller vers des niveaux plus élevés de confiance.

Vous, comme spécialiste, où est-ce que vous tracez la ligne entre l'utilisation de la biométrie, dans une perspective d'une identification et d'une authentification quasi sans faille, parce qu'on comprend que le risque zéro n'existe pas, et les dangers de dérives pour la vie privée? Parce qu'on le fait, grâce à notre carte d'assurance maladie, on le fait avec notre permis de conduire par ce qu'on pourrait appeler de la comparaison faciale. Est-ce qu'il y a une possibilité de faire...

M. Caire : ...faire la même chose de façon électronique, donc sur nos appareils, mais en ne franchissant pas cette ligne-là où on pourrait en arriver à une atteinte à la vie privée, selon vous?

M. Gambs (Sébastien) : La meilleure façon d'utiliser la biométrie respectueuse de la vie privée, ce serait d'avoir un stockage qui est vraiment sur l'appareil de la personne, de son... par exemple, de ses données biométriques, et d'éviter d'utiliser un système centralisé.

Donc, pour donner un exemple, à l'heure actuelle, si vous avez un iPhone, on peut utiliser la reconnaissance de visage pour déverrouiller l'iPhone, mais Apple maintient ne pas avoir de base centralisée. Donc, essentiellement, quand on va configurer son téléphone, on va enregistrer son visage dans le téléphone, il va être stocké localement, et, quand on va vouloir le déverrouiller, on peut combiner, par exemple, un code ou simplement la reconnaissance faciale. Et, dans les systèmes d'identité, par exemple, souvent dans les passeports, il y a certains pays qui ont fait le choix d'éviter de... quand une personne va demander un passeport, de ne pas avoir une base centralisée où on a le visage de la personne, mais de l'enregistrer dans la puce sécurisée de son passeport. Quand la personne passe la frontière, elle montre ses documents d'identité, qui sont à la fois des informations signées, mais il y a aussi une validation qui est faite localement : est-ce que la photo qu'on vient de prendre maintenant matche la photo qui est dans le passeport?

Donc, si on devait utiliser la biométrie et si on voulait essayer vraiment d'utiliser les meilleures pratiques en termes de vie privée, ce qu'il faudrait éviter, c'est une base centralisée, mais plutôt aller vers une solution où les gens auraient, dans un appareil de confiance, juste leur... biométrique.

M. Caire : C'est un peu... si je ne me trompe pas, Pr Gambs, c'est un peu ce que Desjardins fait, par exemple, parce que moi, je sais que j'utilise la reconnaissance faciale pour accéder à mes informations bancaires. Et donc vous, ce que vous dites, c'est : Il n'y a pas de stockage central, c'est sur l'appareil. Puis là j'imagine qu'on utilise le système d'Apple dans ce cas-ci, mais, si je voulais m'émanciper de ça, je ferais comment? Parce qu'admettons que je ne veux pas... Puis ça, ça répond peut-être à une de vos questions : Quel sera le rôle de l'entreprise privée? Comme vous le savez, le Québec a fait le choix de développer ses propres outils, justement parce qu'on n'a aucune idée de... compte tenu d'une technologie propriétaire comme, par exemple, le portefeuille numérique d'Apple ou son système de reconnaissance faciale, la vérité, c'est que je n'ai pas la possibilité de voir comment fonctionne... comment ça fonctionne à l'interne et qu'est-ce qui est fait avec. Et vous dites : Apple affirme ne pas faire de stockage de données biométriques. On fait un acte de foi, parce que la vérité c'est qu'avec le fonctionnement de l'appareil, on ne sait pas si, effectivement, c'est le cas, mais bon... j'imagine qu'une compagnie comme Apple ne prendrait pas le risque de mentir sur quelque chose comme ça, mais, bref. Donc, nous, le choix qu'on fait, c'est de développer nos outils, justement par souci de transparence puis par souci de s'assurer que l'identité numérique qui... l'identité tout court, qui est une mission régalienne de l'État, reste à l'État. Si je veux m'émanciper de cette technologie-là, comment je le... comment je procède?

M. Gambs (Sébastien) : Donc, juste pour mentionner je donnais l'exemple d'Apple, mais je ne conseille pas du tout d'aller vers Apple, mais, essentiellement, l'idée qu'ils ont implémentée, on pourrait l'implémenter dans une solution «open source» ou qui serait développée par l'État québécois. Donc, l'idée de garder localement la donnée biométrique, c'est une idée qu'Apple met en avant mais qui pourrait être reprise par n'importe quel gouvernement qui voudrait développer sa propre solution d'identité...

M. Caire : ...par le gouvernement et utilisable sur, évidemment, des appareils dont on n'est pas les... O.K., je comprends. Je comprends. Là, vous avez... puis ça, c'est peut-être un élément sur lequel on n'a pas insisté beaucoup, mais c'est que ça m'apparaît être important, vous dites que vous êtes favorable à l'identité numérique nationale parce que ça permet d'éviter la fraude. J'aimerais ça, vous entendre un peu plus là-dessus, parce qu'on a fait beaucoup, puis c'est correct, là, on a fait beaucoup état des différents dangers potentiels que pouvait représenter l'identité numérique nationale, puis, comme je vous dis, c'est tout à fait correct de se poser ces questions-là, mais on parle rarement des avantages d'aller dans cette direction-là. Et je pense que vous amenez... puis avec l'expertise que vous avez, vous amenez un point qui est essentiel au niveau de la fraude... En quoi, selon vous, une identité numérique nationale pourrait nous aider à prévenir la fraude?

• (15 h 20) •

M. Gambs (Sébastien) : Quand je disais fraude, j'avais en tête surtout l'usurpation d'identité. Donc, ce qui pour moi est clair, c'est que la promesse... les deux promesses principales, c'est que, déjà, on a un plus haut niveau de confiance dans la validation d'identité. Donc, dans le cas où les données circulent suite à une fuite de données, par exemple, le fait d'avoir une identité numérique nationale, je pense qu'en termes de sécurité ça permet d'avoir plus confiance, quand quelqu'un s'authentifie, que c'est bien la bonne personne, donc d'éviter que... même si, suite à une fuite de données, le renseignement existe dans la nature, ça devient plus difficile pour un attaquant, grâce à l'identité numérique, de se faire passer pour moi auprès d'acteurs privés et publics...

M. Gambs (Sébastien) : ...et publics, et la deuxième promesse, bien, ce serait d'éviter d'avoir une... un compte et un log-in différent pour chacun de ces acteurs-là, donc éventuellement la facilité d'utilisation. Donc, je pense que le... Les deux grands avantages que je vois à une identité numérique, c'est de pouvoir renforcer la confiance qu'on a quand on valide l'authenticité ou l'identité d'une personne et aussi pouvoir faciliter, peut-être pour les citoyens, le fait de pouvoir accéder à un grand nombre de services en ligne, par exemple.

M. Caire : Vous avez parlé tout à l'heure de la traçabilité au niveau de l'identité numérique. Puis je comprends que la crainte que vous soulevez, c'est dans un processus transactionnel qui nécessite que je m'identifie, que je m'authentifie. Ce que vous souhaitez, c'est qu'on ne puisse pas dire : Une fois que j'ai fait ce processus-là et que j'utilise une prestation électronique de services, personne ne devrait pouvoir savoir à quel... à quel processus électronique ou à quel... voyons, service électronique j'ai accédé.

M. Gambs (Sébastien) : Oui, je peux vous donner un exemple concret, si...

M. Caire : Oui, oui, c'est... justement, c'est là-dessus que je voulais aller, parce que... Parce que je pense qu'il y a une traçabilité qui est souhaitable et je pense qu'il y a une traçabilité qui est non souhaitable. Ça fait que j'aimerais peut-être avoir cette discussion-là avec vous.

M. Gambs (Sébastien) : Donc, il y a des protocoles qui sont utilisés dans... comme hôte pour faire l'identité numérique, qui peuvent permettre aussi de collecter de l'information. Donc, par exemple, la question : Est-ce que, quand je vais m'authentifier à la SAQ, on va juste valider que j'ai plus de 18 ans ou est-ce qu'il y a une trace que Sébastien Gambs qu'on a vu... Et il y a même parfois l'information qui peut être montée, où la SAQ pourrait dire à un registre centralisé : Bien, voilà, il a acheté une bouteille d'alcool fort. Donc, imaginez un cas où, dans 10 ans, on se dit : Il y a un déficit au niveau... On n'est pas capables de payer le système de santé au Québec. On a généré ce registre centralisé où on a collecté des actions assez fines de tout ce que fait une personne avec son identité numérique, puis les gens qui vont souvent acheter des alcools forts, peut-être qu'eux devraient... on pense qu'on devrait payer un... faire un nouvel impôt, oui, devrait payer un peu plus. Ou imaginez une dérive à la Donald Trump, où, dans 20 ans, on a quelqu'un qui dit : Les gens qui sont dans telle catégorie ou qui suivent tel type de traitement hormonal, bien, je pense qu'ils devraient... il y a plus... Il n'y a plus que deux genres, ou il y a plus de choses. Donc, on... si on a commencé à centraliser beaucoup de données... Et c'est pour ça, je disais, il y a... En fonction de comment on implémente, on peut limiter les flux de données échangées, mais il y a des... il y a certains systèmes où il y a vraiment des données très fines qui sont remontées du fournisseur de services vers le fournisseur d'identité, on dirait : On a vu Sébastien Gambs à telle date à la SAQ, il a acheté tel alcool. Donc, la question, c'est vraiment : Est-ce qu'on est capables de caractériser tous les flux de données et d'analyser tous ces flux-là aussi?

M. Caire : Qui nous amène vers un profilage, effectivement, qui n'est pas souhaitable. Je disais d'entrée de jeu, il y a une traçabilité qui n'est pas souhaitable, puis je pense que vous donnez un bon exemple. Par contre, si l'identité numérique... puis on avait cette discussion-là, je pense que c'est avec les gens d'IMC2 qui parlaient de l'identification, de l'authentification et de l'autorisation. Donc, les accès, on comprend qu'une fois que je me suis identifié j'arrive avec un certain profil, ce profil-là peut me donner accès à un certain nombre de choses. Et c'est là où je parle peut-être d'une traçabilité qui est... qui est intéressante parce qu'à l'inverse, si quelqu'un accède, que ce soit mon dossier médical, mon dossier scolaire, mon dossier fiscal, comme citoyen, puis je voudrais vous entendre là-dessus... Est-ce que vous ne pensez pas que moi, je devrais pouvoir le savoir, justement dans la perspective...

M. Gambs (Sébastien) : Oui, bien... Oui, je vous rejoins. C'est ce que je disais tout à l'heure, à la fin de mon intervention, quand je parlais d'accéder aux profils des données collectées par l'identité numérique, je pensais aussi à, éventuellement, qui a accédé à ces données-là. Donc, les questions sont aussi parfois posées pour le dossier médical. Est-ce qu'en tant que citoyen j'ai le droit d'avoir non seulement toutes les données qui me concernent mais qui a accédé? Et effectivement, pour l'identité numérique, la question se pose aussi : Est-ce qu'on va permettre à un citoyen, très facilement, de dire : O.K., voilà les données qui ont été collectées par chacun de vos usages puis voilà les acteurs qui ont demandé à accéder à ces données et pourquoi?

M. Caire : ...qu'on fasse une distinction dans la traçabilité. Parce que je comprends que, dans le cas où on fait du profilage, la traçabilité où que ça nous amène vers un profilage, la traçabilité peut ne pas être souhaitable, mais, dans le cas où ça nous amène vers une meilleure connaissance de qui a accédé à quoi et pour faire quoi... parce qu'il faut quand même... Et là on tombe dans le droit du citoyen à savoir qui a consulté ses renseignements personnels, mais je pense qu'on va aussi dans la protection de ces fameux renseignements là, parce qu'au-delà du citoyen je pense à un conseil disciplinaire, je pense à un ordre professionnel qui pourrait éventuellement dire : Bien, écoutez, là, vous avez accédé aux données médicales de M., Mme Untel, vous n'êtes pas son médecin ou son... ou... bref, vous n'êtes pas dans le processus de soins, expliquez-nous ce que vous faisiez là? Donc...

M. Caire : ...dans ce contexte-là, est-ce qu'on peut croire que ce serait une bonne idée justement de garder une trace?

M. Gambs (Sébastien) : Dans ce contexte-là... Oui, dans ce contexte-là, je n'ai pas d'enjeu. Dans le sens où ce n'est pas les données personnelles des citoyens qui vont être collectées plus ou... Au contraire, c'est essayer d'assurer une forme d'imputabilité ou... sur l'usage ou... qui sont faits de ces données-là. Donc, moi, dans ce cas-là, ça me va très bien.

M. Caire : Vous avez parlé de la mise en œuvre de l'identité numérique nationale qui pourrait comporter des risques, notamment sur l'utilisation des données citoyens et citoyennes sans... ou imprévue ou sans leur consentement. Et là, vous contextualisez ça dans une période de crise ou d'urgence échappant au contrôle démocratique. J'aimerais ça que vous nous expliquiez ce que vous voulez dire par là, parce que je ne suis pas sûr que j'ai bien compris, là.

M. Gambs (Sébastien) : Oui. Bien, l'exemple, c'est même dès qu'on commence à collecter beaucoup de données, donc supposons qu'on soit dans une société démocratique où on dit : On collecte beaucoup de données, mais ne vous inquiétez pas, ces données-là ne seront pas utilisées au-deçà de sa finalité, en fait, on a toujours un risque, s'il y a un changement de gouvernement et que ces données existent, soient centralisées, de changer la finalité. Donc, souvent, en vie privée, un des principes de base, c'est la minimisation de données. Donc, c'est de se dire : Pour une finalité particulière, quelles sont vraiment les données nécessaires et ne collecter que ces données-là, éviter de centraliser des informations non nécessaires, qui, s'il y a une fuite de données ou un changement de gouvernement, pourraient abolir les garde-fous ou, dans le cas de la fuite de données, amener un plus gros impact sur la vie privée des gens. Donc, c'est... c'est un peu dans cette optique-là, de garder la minimisation de données en tête pour essayer de limiter les risques de ce type-là.

M. Caire : Le projet de loi amène une obligation, pour les ministères et organismes, d'utiliser les sources officielles de données. Parce que, bon... Puis on a eu l'occasion, Pr Gambs, je ne sais pas si vous vous en souvenez, de discuter de ça, je pense, je ne me souviens plus si c'était au projet de loi n° 95 ou au projet de loi n° 38, parce que ce n'est pas la première fois qu'on a... que j'ai le plaisir d'échanger avec vous, puis j'avais expliqué, justement. L'idée n'était pas de centraliser, mais bien d'épurer nos différentes banques de données puis s'assurer qu'on va les rassembler selon des profils très particuliers justement pour en favoriser l'utilisation, mais surtout la confidentialité, l'intégrité et l'accès.

Le Président (M. Simard) : En conclusion.

M. Caire : Ah oui? De combien?

Le Président (M. Simard) : Cinq secondes environ.

M. Caire : Ah! Bon. Bien, merci beaucoup, Pr Gambs. J'aurai peut-être une prochaine fois l'occasion de vous poser ma question.

Le Président (M. Simard) : Merci.

M. Gambs (Sébastien) : Merci.

Le Président (M. Simard) : Alors, professeur, bien sûr, ne partez pas. Nous continuons. Je cède maintenant la parole...

M. Gambs (Sébastien) : Oui, oui, je reste là...

Le Président (M. Simard) : ...à la députée de Mont-Royal-Outremont et, par... Oh! Pardon, à la députée de La Pinière. Désolé, chère collègue.

Mme Caron : Merci, M. le Président. Alors, merci beaucoup pour votre présentation.

Ma première question. Sur la question de l'acceptabilité de la solution ou de la solution imposée, dans le cas de la Colombie-Britannique, qui fait en sorte qu'il y a très peu d'utilisateurs, donc dans le cas, disons, du choix de la solution puis aussi en matière d'utilisation de la biométrie, vous avez indiqué que, dans les deux cas, ça prendrait des consultations publiques, que ce serait souhaitable. Quel type de consultation publique on pourrait faire pour atteindre cet objectif-là?

M. Gambs (Sébastien) : Je pense que ce qui serait important, comme je disais, c'est de... ça pourrait être de plusieurs... Une, ça pourrait être les détails techniques des architectures et des protocoles qui soient donnés suffisamment en avance, je dirais, à avoir un délai, par exemple, de six mois pour avoir des experts en sécurité et vie privée qui donnent leur avis. Après, il y aura aussi, j'imagine, des consultations auprès de la population en termes de... donc des spécialistes en acceptabilité sociale qui pourraient vraiment essayer de... ce qui n'est pas mon cas, étant informaticien, mais des gens qui ont l'habitude d'essayer de vraiment consulter à large échelle la population en formulant vraiment les questions liées à l'acceptabilité sociale, la confiance, j'imagine, aussi. Et j'ai vu les allocutions qu'il y a eues de plusieurs groupes précédemment. Il y en a beaucoup qui ont dit que le projet de loi était arrivé très vite et qu'il n'y a pas eu de temps de se préparer et de temps de discussion. Donc, j'imagine qu'il y aurait... il pourrait y avoir aussi d'autres forums. Donc, je ne suis pas forcément familier avec. Mais, pour le côté technique, je pense que vraiment une publication des spécifications détaillées et un... je dirais, de six mois, par exemple, pour laisser vraiment aux experts en sécurité à faire des retours au gouvernement, ce serait l'idéal pour... ne serait-ce que pour contribuer à améliorer la sécurité du futur système.

• (15 h 30) •

Mme Caron : Donc il y a une consultation plus technique auprès d'experts, si je comprends bien, puis une plutôt publique... plutôt grand public. Puis est-ce...

M. Gambs (Sébastien) : Oui, c'est... Oui.

Mme Caron : Est-ce qu'une feuille de route sur les objectifs, sur ce que le gouvernement veut...

Mme Caron : ...fassent l'utilisation des données pour que les gens comprennent bien où on s'en va, est-ce que c'est quelque chose qui serait souhaitable?

M. Gambs (Sébastien) : Ça me semble... oui, ça me semble être important, ne serait-ce que pour que les gens voient dans quel contexte ces consultations sont faites, et quel est le but ou les jalons imaginés dans les prochaines années.

Mme Caron : D'accord. Vous avez aussi touché à la question de la prévention de la fraude et équivalent à... à éviter l'usurpation d'identité. Je vais vous amener un... une interrogation sur ce point de vue là. Par exemple, on sait que, d'ici six ans, donc peut-être même avant que tout ce système soit déployé, 25 % de la population au Québec va être âgée de 65 ans et plus. On comprend que les 65 ans et plus, dans six ans, risquent d'être assez habiles, quand même, avec le numérique, mais les personnes de 75, 80, 85 ne le seront peut-être pas, ne le sont pas maintenant, ne le seront peut-être pas à ce moment-là. Avec l'authentification dans l'appareil local... puis je comprends le bien-fondé de le faire là, plutôt que dans un autre système... souvent, les personnes âgées vont demander à leurs enfants, même, à leurs petits-enfants de les aider, tu sais, même pour prendre un rendez-vous sur Clic Santé, là, à l'heure actuelle.

Alors, on sait que la... la majorité, malheureusement, des cas de maltraitance financière auprès des aînés, c'est causé par les enfants des personnes, et là comment on fait... Tu sais, si on utilise le biométrique, on peut prendre... tu sais, on met l'appareil devant le visage de la personne, puis c'est fait, on a... Alors, est-ce... le but de ma question, c'est : Est-ce qu'il y a des façons de contrer ça que vous avez vues ailleurs ou que vous pouvez nous proposer?

M. Gambs (Sébastien) : Je pense que ce qui est important, et ça rejoint beaucoup l'accessibilité, c'est qu'à mon avis ça doit être vraiment quelque chose qui reste optionnel. Il devrait y avoir des façons pour les gens de pouvoir continuer à aller physiquement utiliser ou faire les mêmes services par d'autres choses. Donc, bon, il y a eu des interventions liées à la littératie numérique. Donc, je pense que c'est vraiment important, même en termes de l'appropriation de la population, de permettre toujours d'avoir le choix entre utiliser cette technique et avoir des façons plus traditionnelles. Donc, ça ne répond, malheureusement, pas à la question, qui est : Si jamais la biométrie est utilisée, qu'est-ce qu'on pourrait faire? Mais si on permet au moins à ces personnes-là de dire : Moi, je veux continuer à... à pouvoir aller physiquement dans les endroits où vous pouvez faire ces actions-là, et de leur permettre de pouvoir accéder à ces services d'une autre manière, j'imagine que ça pourrait, au moins... au moins, contrer ça, en partie.

Mais c'est clair que, si quelqu'un est maltraité, et que quelqu'un force à utiliser le... l'identité numérique, est maltraité par un proche, et ne sort pas de chez lui, n'a pas... enfin, je ne sais pas, est séquestré à la maison, je... je n'ai pas de solution magique pour cette... pour cette question-là, malheureusement.

Mme Caron : Et la dernière question, avant de laisser la parole à ma collègue : Est-ce que la traçabilité peut être à sens unique? Pourquoi je pose la question? C'est qu'il y a de la traçabilité indésirable, comme vous avez décrite, c'est-à-dire celle qui laisse des traces un peu partout et qui pourrait faire remonter de l'information, et où un organisme ou un futur gouvernement malintentionné pourrait utiliser contre les citoyens. Puis il y a la traçabilité qui me semble souhaitable, c'est-à-dire que le citoyen puisse savoir qui a accédé à ses… à ses données. Alors, est-ce qu'il y a une manière technique de faire ça à sens unique, juste pour la traçabilité souhaitable et non l'autre?

M. Gambs (Sébastien) : Oui, on peut… on pourrait très bien, en reconfigurant le système, avoir juste le type… de minimiser l'information qu'on collecte du citoyen, mais maximiser l'information auquel il a accès sur l'usage de ses données.

Mme Caron : D'accord, merci bien.

Le Président (M. Simard) : Alors, chère collègue, il vous reste six minutes 30 secondes.

Mme Setlakwe : Merci. Merci, Pr Gambs, pour votre contribution. On a bien apprécié d'ailleurs la présentation de vos collègues, cosignataire du mémoire. On en a pris connaissance. Vous soulevez tous les bons enjeux, et ça contribue à enrichir notre réflexion, sans aucun doute. Il y en a plusieurs, de ces conseils-là, qui traitent de la pièce législative en tant que telle. Il y en a qui traitent aussi de toute la communication auprès de la population. Il y en a d'autres que… je dirais, qui concernent aussi tout ce qui va se faire … oui, bien, pas dans… qu'on ne peut pas prévoir dans la pièce législative, mais que le gouvernement va mettre de l'avant, soit à l'interne ou à l'externe, en termes de conception de l'architecture, le déploiement, les opérations, etc. Quelle est la lacune principale? Si on revient à la pièce législative en tant que telle, est-ce qu'il y a des lacunes principales que vous souhaiteriez mettre de l'avant?

M. Gambs (Sébastien) : Peut-être la… Il y avait la question de… vraiment des données utilisées, mais, donc, j'imagine, là, il y avait un… il y avait une formulation qui était «tout autre renseignement». Quand je vois ce type de formulation là, je ne suis pas juriste, mais…

M. Gambs (Sébastien) : ...pour moi, ça, ce n'est pas très précis, ça peut vouloir dire qu'on peut vouloir intégrer beaucoup plus de données. Donc... peut-être plus précis sur les données qui vont être utilisées dans le système, peut-être élargir la définition qui est faite de «profilage» à toute finalité qui n'est pas prévue dans le texte et légitime, pour éviter l'intégration dans des systèmes d'IA sans contrôle ou la monétisation. Peut-être ajouter aussi la mention du contrôle des utilisateurs et la transparence, donc ce qu'on disait tout à l'heure sur la traçabilité souhaitable et à sens unique. Est-ce qu'on pourrait mettre en avant dans le texte qu'il y aura une... un mécanisme qui sera mis en place pour que le citoyen puisse consulter tous les accès qui sont faits à ses données et tous les usages? Voilà... Ça serait...

Mme Setlakwe : Merci. Vous êtes... Vous êtes très clair et très, très spécifique. On en prend note.

La question du profilage, bien, ça a déjà été mentionné. Aujourd'hui, vous avez eu un échange avec le ministre. Est-ce qu'il y a des choses que vous aimeriez ajouter? Moi, j'avais noté hier, quand vos collègues cosignataires sont passés, qu'au niveau, là, du croisement entre différentes banques de données, c'était quelque chose sur lequel vous, vous aviez... vous vous étiez penché. Est-ce que vous avez d'autres choses à ajouter à ce sujet-là? Parce qu'on comprend que c'est... c'est très délicat, c'est très, très important qu'on soit tous sensibles à cette situation-là puis qu'on... Quand on va avoir nos discussions détaillées lors de l'étude article par article, il va falloir qu'on resserre, je pense, le texte de loi.

M. Gambs (Sébastien) : Oui. Donc, là, il y a plusieurs pays qui ont fait des bases de données centralisées en mettant les données de plusieurs ministères, et il y a eu plusieurs cas de fuite de données, en Israël ou dans d'autres pays. Donc, je pense qu'il faut faire attention à... se poser la question : Dans le registre centralisé qui va être créé, est-ce... quelles sont les données qu'on va y mettre et quelles sont les données qui sont non nécessaires pour l'identité numérique? Donc, j'aurais tendance à... Ça va devenir forcément une cible. Donc, même si on met beaucoup de ressources pour le sécuriser, ça va devenir une cible en soi. Donc, je suis conscient que, si les données sont dans plusieurs silos, bien, chaque silo peut aussi être pris pour cible. Mais, souvent, plus on commence à mettre de choses en commun, plus les attaquants seraient peut-être prêts à mettre les ressources. Donc, je dirais... peut-être réfléchir à quelles sont vraiment les données nécessaires pour assembler dans cette base de données centrale. Est-ce que c'est les données de tous les ministères ou les données qui ne sont que nécessaires pour le service d'identité numérique? Je pense que c'est peut-être un point que je regarderais en tête.

Mme Setlakwe : Merci. Vous avez... Vous êtes... Vous avez pris connaissance, là, ou vous avez suivi ce qui s'est... ce qui a été mis de l'avant en Colombie-Britannique. On s'en sert comme précédent ici, au Canada, en plus de tout ce qui s'est fait à l'international. On note que l'adhésion a été décevante, ce que je... Est-ce que vous avez des... vous avez tiré des constats? Quels conseils vous pouvez nous donner à la lumière de l'expérience vécue en Colombie-Britannique?

M. Gambs (Sébastien) : En fait, je pense que la... l'aspect transparence et le manque d'adhésion... Parce que les protocoles n'ont pas été détaillés en avance, la solution est comme tombée sans débat public. C'est quelque chose qui est revenu dans plusieurs rapports qui ont étudié la solution de Colombie-Britannique. Donc, je pense que c'est vraiment la question de la transparence, de l'étude des protocoles par des experts en sécurité et du débat public qui reste... Et je note qu'il y a beaucoup de... J'ai essayé de suivre pas mal des allocutions qui ont été faites, cet enjeu de transparence et débat public est revenu sous plusieurs formes. Je pense que c'est vraiment le... la chose, la... l'enjeu principal.

• (15 h 40) •

Mme Setlakwe : Merci. Écoutez, ce que je retiens, puis je ne veux pas... je veux bien vous interpréter, mais, quand on... au fil des discussions qu'on a avec les différents experts, il semblerait qu'il y ait un consensus qu'il faille aller de l'avant. Il y a des préoccupations, il y a des risques, il y a des défis. Mais vous n'êtes pas en train de nous dire de ne pas aller de l'avant avec un tel projet?

M. Gambs (Sébastien) : Non.

Mme Setlakwe : Pas du tout, là, si je vous comprends bien.

M. Gambs (Sébastien) : Non, non, ça... Du moment aussi... C'est ça, j'ai... Étant spécialiste en sécurité, je n'ai pas... Je suis revenu dans la question de votre collègue. Mais je pense que la question de l'accessibilité pour les gens qui... d'avoir le fait que ça soit optionnel et d'avoir d'autres moyens d'y accéder est aussi central. Mais, si on on assure qu'il n'y ait pas des centres services qui disparaissent et que ça ne devienne pas... il ne faille pas faire 100 kilomètres pour accéder aux services, donc que ça reste raisonnable de pouvoir y accéder par d'autres manières optionnelles, ça ne me... Je ne suis pas du tout contre l'identité numérique, au contraire, je pense qu'il faut aller de l'avant, mais il faut vraiment le faire de la bonne manière.

Mme Setlakwe : Au niveau de la propriété même de la donnée...

Le Président (M. Simard) : Alors, en conclusion, s'il vous plaît...

M. Gambs (Sébastien) : ...la propriété de la donnée citoyenne vous voulez dire ou...

Mme Setlakwe : Quels devraient être les principes qui devraient nous... nous régir en termes de propriété et aussi d'hébergement. Mais je pense qu'on va manquer de... on va manquer de temps.

M. Gambs (Sébastien) : C'est ça, le stockage, je pense que ça devrait vraiment être fait localement.

Le Président (M. Simard) : Nous allons... nous allons malheureusement rester sans principes pour l'instant, mais peut-être que votre explication pourrait se poursuivre à travers la question que vous formulera le député de Maurice-Richard. Cher collègue, vous disposez de 4 min 8 s.

M. Bouazzi : Merci beaucoup. Merci beaucoup, professeur, pour vos explications. Je vais peut-être répéter un peu ce que vous avez dit pour être sûr que j'ai compris. Vous avez parlé en fait de tous les écueils, tu sais, de sécurité qu'on peut tomber. Vous avez même dit que, même en respectant par exemple le protocole OAuth, on pouvait le configurer de manière à ce qu'il ramasse trop de données. La question de la quantité de données que ça ramasse semble centrale aussi dans votre réflexion et que, de toute façon, devant un projet de loi comme ça, évidemment, on ne peut pas juger de ce qui... de ce qui va arriver plus tard d'un point de vue technique, de design, d'architecture ou même de configuration de «token», là, parce que, là, vous êtes loin quand même dans les détails. Ça fait qu'une des solutions serait de dire, bien, il y a des genres de check-points, ou en tout cas il y a des validations de tiers ou d'audit qui permettent d'avoir une réponse avant même d'en arriver à mettre des choses en production pour s'assurer qu'il y ait de la transparence. Et je vous vois hocher la tête, si vous pouvez me donner une réponse très courte parce j'ai une autre question après.

M. Gambs (Sébastien) : Oui, oui, je peux... Oui, en particulier le principe de vie privée par... dès la conception, là, qui est mis en avant aussi dans la législation au Québec est vraiment important, donc de ne pas déployer un système et de se poser la question après, de vraiment intégrer les enjeux de vie privée dès le départ. Ça, je parlais de, par exemple, d'évaluation des facteurs à la vie privée. Ça fait partie des choses qui sont centrales avant que le service soit déployé.

M. Bouazzi : Est-ce que vous seriez d'accord pour dire que ce système-là, pour toutes sortes de bonnes raisons, les questions de vie privée, la question de surface d'attaque, etc., ne devraient garder les données que... que celles dont il a besoin pour fonctionner pour l'identité, et ces données-là ne devraient être utilisées qu'à ces fins?

M. Gambs (Sébastien) : Oui. Bien, je... c'est ce que je voulais dire tout à l'heure quand je parlais de minimisation de données. Il y a aussi la question de combien de temps ces données sont gardées qui est important parce que...

M. Bouazzi : Vous avez parlé des systèmes d'infonuagique, de «cloud». Donc, vous avez nommé AWS d'Amazon et... et de... Je ne sais plus si vous les avez nommés. Je pense que vous l'avez fait.

M. Gambs (Sébastien) : Oui, oui, je les ai nommés.

M. Bouazzi : Microsoft, oui, bon, et et Azure de Microsoft. Dans les solutions... Donc, imaginons, là, qu'on est... et puis, etc. Mais est-ce que... est-ce que pour les... Les tiers partis qui offrent des solutions de gestion d'identité, qui eux aussi... Bon, je comprends que ce n'est plus une question de stockage de données, mais c'est quand même des logiciels qui sont développés pour probablement tous, là, à l'étranger. Est-ce que vous êtes en train de... Est-ce que vous préconisez que, pour des raisons de sécurité, on devrait développer... s'appuyer sur du open source et développer nos propres affaires dont nous serions propriétaires ou... ou pour des questions d'économie, des questions aussi d'expertise, on devrait... on pourrait être ouverts à des solutions déjà développées et qu'on configurerait?

M. Gambs (Sébastien) : Moi je dirais plutôt vers l'open source, sur des protocoles qui sont... où il y a une communauté forte qui contribue à améliorer le logiciel, qui sont... Donc, j'irais plutôt vers cette solution-là.

M. Bouazzi : Évidemment, le...

M. Gambs (Sébastien) : Ça facilite l'audit de sécurité, hein? C'est juste pour rajouter, c'est plus facile pour un expert en sécurité d'aller voir ce qu'il y a... vraiment ce qui se passe au niveau des données échangées.

M. Bouazzi : C'est sûr. Mais l'argument... Moi, je veux bien être d'accord avec vous, mais l'argument qui consiste à dire pour des questions de maintenance, on préfère qu'il y ait des mises à jour continues qui se font dans un code qu'on est... donc qu'on n'a pas codé nous-mêmes, mais dans du open source, on serait responsable de tout ça, là.

Le Président (M. Simard) : En conclusion.

M. Gambs (Sébastien) : Bien, il y a les communautés open source qui font des mises à jour dès qu'il y a un problème de sécurité. Il y a certaines communautés où c'est vraiment quasiment aussi vite que si c'était un... du code propriétaire. Donc, c'est sûr que... donc, je ne pense pas que ce soit un enjeu du fait d'aller vers l'open source, vers ça, mais...

M. Bouazzi : Parfait! Merci vraiment beaucoup pour votre présentation.

Le Président (M. Simard) : Alors, à mon tour professeur de vous remercier pour votre présence parmi nous cet après-midi. Ce fut fort instructif. Alors, sur ce, nous allons suspendre momentanément nos travaux afin de faire place à nos prochains invités.

(Suspension de la séance à 15 h 46 )

(Reprise à 15 h 48)

Le Président (M. Simard) : ...nous sommes en mesure de poursuivre nos travaux et nous sommes maintenant en présence de représentants du Vérificateur général du Québec. Mme Leclerc, Mme Roy, M. Fortin, soyez les bienvenus. Vous êtes des habitués de nos travaux, vous savez que vous disposez de 10 minutes afin de faire votre présentation.

Mme Leclerc (Guylaine) : Alors, M. le Président, M. le ministre de la Cybersécurité et du Numérique, mesdames et Messieurs les membres de la commission, pour l'occasion, je suis accompagnée de Mme Christine Roy, sous Vérificatrice générale, de M. Alain Fortin, Vérificateur général adjoint. Je vous remercie de m'offrir l'occasion de faire des commentaires et répondre à vos questions sur le projet de loi n° 82 visant notamment à confier au ministère de la Cybersécurité et du Numérique la responsabilité de la gouvernance et de la gestion centralisée de l'identité numérique nationale.

Pour commencer, j'aimerais souligner l'importance de certains éléments couverts par le projet de loi. Par exemple, il y a l'implantation de l'identité numérique nationale qui vise à simplifier les échanges entre les citoyens et l'État. Il y a aussi la désignation d'organismes responsables de la cohérence et de la qualité des données.

Nos commentaires se basent sur les travaux d'audit que nous avons effectués au fil des ans ainsi que sur nos connaissances en tant qu'auditeur législatif. J'invite le MCN à consulter et considérer les résultats de certains de mes travaux que je mentionnerai durant mon allocution. À cet égard, j'aimerais attirer l'attention de trois principaux enjeux.

Nous traiterons, dans un premier temps, de la cybersécurité et de la protection des renseignements personnels, dans un second temps, nous traiterons de l'accessibilité et de la qualité des services aux citoyens et enfin, dans un troisième bloc... sera relatif à la gestion de projet.

• (15 h 50) •

Tout d'abord, traitons de la cybersécurité et de la protection des renseignements personnels. Tout le monde sait que la cybersécurité et la protection des renseignements personnels sont cruciales. Les données doivent être protégées. Malheureusement, j'ai constaté à plusieurs reprises des lacunes à ce sujet dans différentes entités.

En novembre 2023, dans mon rapport d'audit portant sur la protection des renseignements personnels numériques des usagers du réseau de la santé et des services sociaux, j'ai constaté que des améliorations étaient nécessaires pour réduire les risques d'atteinte à la confidentialité de ces renseignements. Parmi les points à améliorer, j'ai noté la gestion des accès aux informations personnelles, la gestion des risques et des incidents liés à la confidentialité ainsi que les actions de sensibilisation et de formation du personnel concerné

En novembre 2021, dans une étude sur la cybersécurité auprès de trois entités, j'ai mentionné que des améliorations étaient nécessaires, notamment pour les accès...

Mme Leclerc (Guylaine) : ...pour les accès, les coupe-feux, les alertes de sécurité automatisées et les tests d'intrusion.

En outre, en juin 2020, dans un rapport sur la gestion des identités et des accès informatiques, j'ai recommandé d'améliorer les contrôles et les mesures de sécurité pour le personnel ayant des accès privilégiés, de réviser périodiquement les accès informatiques de l'ensemble du personnel et de renforcer la surveillance pour les instances de gouvernance. Par conséquent, il sera primordial que le MCN prenne les mesures nécessaires pour s'assurer de la confidentialité des informations détenues, autant pour les informations détenues par le MCN que celles détenues par les organismes. Par ailleurs, pour protéger ces informations, il sera également important que les échanges de données entre organismes soient bien encadrés. Seules les données nécessaires devront être partagées avec les organismes qui en auront vraiment besoin, tout en s'assurant de la protection de ces données.

Le projet de loi vise à améliorer et à faciliter l'accès des services pour les citoyens. Par le passé, j'ai mené quelques audits sur la qualité des services aux citoyens, lors desquels j'ai constaté des lacunes. En novembre 2023, dans mon rapport sur Services Québec, qui s'est penché sur l'accessibilité et la qualité des services aux citoyens, j'ai constaté que Services Québec n'était pas devenu un guichet multiservices d'envergure pour simplifier l'accès aux services gouvernementaux pour les citoyens. De même, dans mon rapport d'octobre 2020 sur le Réseau national intégré de radiocommunication, RENIR, j'ai constaté que la qualité des services offerts aux utilisateurs du réseau n'avait pas atteint le niveau désiré. Il serait important que le MCN réussisse à simplifier, à faciliter et à améliorer l'accès pour les citoyens aux services gouvernementaux, comme il est espéré avec le p.l. n° 82. Pour cela, l'adhésion des organismes sera nécessaire. Par ailleurs, il est prévu de ne pas pénaliser ceux qui ne veulent pas ou ne peuvent pas avoir accès à un identifiant numérique national. Il sera important de s'assurer que ce sera, effectivement, le cas, et que ceux-ci pourront accéder facilement et efficacement à tous les services gouvernementaux.

Également, le traitement des incidents informatiques, comme le vol d'identité ou l'indisponibilité d'accès au registre en cas de panne, devrait être efficace et rapide. L'article 11 du projet de loi n° 82 mentionne qu'un organisme qui est victime d'un incident de sécurité doit en informer le ministre. Le MCN devra mettre en place des contrôles pertinents et efficaces pour garantir que les organismes respectent cette obligation. Dans mon rapport de novembre 2023 sur la protection des renseignements personnels numériques des usagers du réseau de la santé et des services sociaux, j'ai constaté que le MSSS et les établissements audités manquent de rigueur dans la gestion des risques et des incidents liés à la confidentialité des renseignements personnels numériques.

Finalement, avant la mise en service du nouveau système d'identification, il sera primordial de s'assurer qu'il est facile à utiliser pour les citoyens, qu'il fonctionne adéquatement et que la sécurité est efficace. Le projet de loi n° 82 confie au ministre de la Cybersécurité et du Numérique la responsabilité de la gouvernance et de la gestion centralisée de l'identité numérique nationale. De plus, il mentionne que le ministre coordonne les actions des organismes publics pour les infrastructures de télécommunication, dans l'objectif d'assurer une gouvernance intégrée de ces infrastructures à l'échelle gouvernementale. Pour commencer, il faut définir les besoins.

Dans mon rapport d'octobre 2020 sur le RENIR, le Réseau national intégré de radiocommunication, j'ai remarqué que les utilisateurs ont été peu consultés pour son développement. Cela a créé un écart entre les besoins et les services obtenus. Le RENIR n'était pas devenu le réseau national de radiocommunication qu'il devait être comme prévu au début du projet. L'objectif de créer le RENIR pour permettre une plus grande interopérabilité des communications lors de situations d'urgence n'était donc pas atteint. Le MCN devra consulter les utilisateurs, c'est-à-dire les citoyens et les organismes gouvernementaux, pour s'assurer de répondre à leurs besoins. Une bonne planification est également essentielle afin de limiter les retards et les déplacements... les dépassements de budget.

Dans mon rapport de juin 2021 sur les projets en technologie de l'information des universités, j'ai constaté que les deux universités auditées avaient dépassé leurs budgets et accumulé plusieurs années de retard. C'était surtout en raison de problèmes dans la planification des projets. Cela a mené les universités à sous-estimer la complexité et le coût de leurs projets. En plus, le processus utilisé pour sélectionner un fournisseur n'était pas adéquat, ce qui a fait en sorte qu'elles se sont associées à des firmes dont les services ne répondaient pas à leurs besoins...

Mme Leclerc (Guylaine) : ...de plus, le MCN doit s'assurer d'avoir les ressources humaines compétentes pour réaliser ce projet.

Enfin, le processus contractuel pour ce projet ne doit pas rendre le ministère dépendant d'un seul fournisseur. En mai 2023, dans mon rapport sur l'octroi de contrats de gré à gré en vertu du décret d'urgence sanitaire, j'ai signalé que certains contrats ont entraîné un risque de dépendance envers un fournisseur. J'ai aussi mentionné ce risque de dépendance dans deux autres rapports, celui sur le RENIR en 2020 et un autre en 2016 sur le système électronique d'appel d'offres SEAO.

Pour conclure, il s'agit d'un projet intéressant qui vise notamment à simplifier les échanges entre les citoyens et l'État. Cependant, pour obtenir l'acceptabilité sociale ainsi que la confiance des citoyens et leur adhésion, le MCN devra mettre en place une gouvernance efficace en garantissant la sécurité des données, en offrant un service accessible et de qualité ainsi qu'en s'assurant que les données soient exactes. En outre, de nombreuses modalités doivent être fixées par règlement. Nous invitons le gouvernement à faire preuve de prudence lors de l'élaboration de ces règlements pour s'assurer de l'atteinte des objectifs du projet de loi n° 82, tout en permettant que la nouvelle réglementation soit mise en place dans un délai raisonnable.

Je vous remercie de votre attention. Et c'est avec plaisir que je répondrai à vos questions.

Le Président (M. Simard) : Alors, c'est nous qui vous remercions, Mme la Vérificatrice. Je cède maintenant la parole au ministre qui dispose d'environ 16 minutes.

M. Caire : Merci, M. le Président. Bonjour, Mme Leclerc. Je pense, la dernière fois que j'ai eu la chance d'échanger avec vous en commission parlementaire, j'étais membre de la CAP. Vous comprendrez que ça nous ramène à une semaine ou deux à peu près. Donc, merci. Bienvenue à ceux qui vous accompagnent.

Beaucoup de choses. Je ne reprendrai pas tout ce que vous avez amené, puis notamment parce que RENIR, vous comprendrez qu'en cinq ans, il y a quand même deux ou trois petites choses qui ont changé, là. Mais vous avez amené des éléments qui sont très intéressants, notamment sur la... puis ce que vous aviez soulevé dans un rapport, il n'y a pas si longtemps, sur la gestion des accès. Et je comprends que vous voyez, dans le déploiement d'une identité numérique nationale, une opportunité d'avoir un meilleur contrôle de qui accède à quoi. J'aimerais ça peut-être vous entendre, parce qu'on vient d'avoir une discussion très intéressante avec le professeur Gambs sur... de l'UQAM sur la traçabilité. Vous, comme Vérificatrice générale, admettons que vous faites un audit dans un organisme XY, vous vous attendez à avoir quoi comme information sur la gestion des accès?

Mme Leclerc (Guylaine) : Ah, au niveau de la gestion des accès, ce que je vais m'attendre, c'est que les accès soient contrôlés, je vous dirais dans un premier temps.

M. Caire : ...ce que vous entendez par «contrôler», s'il vous plaît?

Mme Leclerc (Guylaine) : Ah! je m'attends à ce que les accès ne soient donnés qu'aux personnes pour lesquelles c'est pertinent qu'elles aient accès, que s'il y a... que le contrôle de les personnes pour lesquelles c'est pertinent, bon, ce soit aussi sécurisé, par exemple, que les mots de passe, O.K.., si c'est les mots de passe, qu'ils soient suffisamment robustes.

M. Caire : On évite bonjour1. D'accord.

Mme Leclerc (Guylaine) : Absolument. Et que si... que les accès soient donnés aussi à des personnes dont le gestionnaire ou le supérieur est autorisé. Ce qu'on a vu dans le passé, c'est qu'il y avait des accès qui étaient donnés sans que le supérieur soit nécessairement au courant. On a aussi donné...

• (16 heures) •

M. Caire : Puis c'est important ce que vous dites, Mme Leclerc. Je m'excuse de vous interrompre. Donc, vous, dans le processus numérisé, vous vous attendez à ce qu'on ait besoin de l'autorisation du gestionnaire pour donner des accès à un membre de son personnel. Donc, qu'il y ait une démarche et une trace qui dit : Bien, je coche telle case et là je te donne accès, sans quoi tu n'auras pas accès. C'est... C'est de ça dont on parle? Ou de quelle forme ça va prendre?

Mme Leclerc (Guylaine) : Bien, premièrement, ça. Deuxièmement, s'il y a un écart entre ce qui se doit d'être fait et que ce ne soit pas fait, je vais m'attendre à ce qu'il y ait une journalisation. Je vais m'attendre, comme auditeur, à ce que quelqu'un regarde la journalisation et que... Dans certains endroits, on a vu qu'il y avait de la journalisation, mais que ce n'était pas regardé. Lorsqu'on parle des fournisseurs, j'ai vu qu'on a donné des accès génériques à des fournisseurs...

M. Caire : ...pour la compréhension de tous, ce que vous entendez par des accès génériques.

Mme Leclerc (Guylaine) : Un accès générique, c'est un accès pour lequel on ne peut pas identifier la traçabilité.

M. Caire : On ne sait pas qui exactement.

Mme Leclerc (Guylaine) : On ne sait pas qui. Par exemple, si c'est le ministre Caire qui a accès, bien, je vais m'attendre à avoir une authentification que, ah, le ministre Caire a été... a fait tel geste.

M. Caire : ...un membre du personnel du MCN, quel qu'il soit.

Mme Leclerc (Guylaine) : Alors que... Puis c'est nécessaire d'avoir des accès génériques parce que... pour différentes raisons. Mais on a... on a vu que, dans certains cas, il y avait un laxisme dans... lorsqu'on a octroyé des accès de nature générique.

M. Caire : Je m'excuse de vous interrompre. Est-ce que c'est un laxisme ou il y avait peut-être une volonté de garder une espèce de flou existentiel, selon vous?

Mme Leclerc (Guylaine) : Je ne peux pas vous dire pourquoi, mais je peux vous dire que, par exemple, lorsqu'on donne à un fournisseur un accès générique, bien, pour nous, ça peut être un manquement grave, et c'est ce qu'on a constaté dans certains établissements de la santé. Alors, c'est... c'est... Les accès, c'est un des éléments, mais je vous dirais que, dans un projet majeur comme l'identification numérique, ça part de la gestion du projet, premièrement, s'assurer qu'on a des échéanciers. Dans ce cas-ci, j'imagine que vous connaissez les échéanciers, mais je ne suis pas en mesure de les connaître. Il sera important d'avoir adéquatement des échéanciers. Il sera important d'avoir adéquatement établi des budgets, d'avoir adéquatement sélectionné les fournisseurs qui vont répondre à nos besoins. Ce qu'on a vu lorsqu'on a fait la vérification de certaines universités, c'est que les appels d'offres ne permettaient pas d'avoir des fournisseurs qui pouvaient répondre aux besoins, ce qui fait que, dans certains cas, il a fallu couper, arrêter les contrats, dans d'autres cas, bien, on s'est ramassé dans un marasme financier. Et alors, ça, c'est la gestion de projet, je vous dirais, qui est... puis c'est notre... c'est le départ. Puis vous sembliez...

M. Caire : Non, mais c'est parce que... Je veux revenir sur le... quand vous parlez de sélectionner un fournisseur. Dans le fond, ce que vous dites, c'est qu'un fournisseur qui nous vend une certaine expertise, mais quand on arrive sur le terrain... on n'est pas au niveau de ce qui avait été... de ce qui avait été anticipé ou de ce qui avait été proposé. Donc, est-ce que c'est le fournisseur, à ce moment-là, qui a peut-être vendu quelque chose qu'il n'avait pas ou c'est le donneur d'ouvrage qui n'a pas bien fait ses devoirs?

Mme Leclerc (Guylaine) : Deux situations. Je vous dirais que ce qu'on a constaté, c'est que, lorsqu'on a fait l'appel d'offres, on n'avait pas identifié adéquatement nos besoins, ce qui fait que le... on... des fois, il y a des écarts vraiment majeurs entre le fournisseur A et le fournisseur B, mais, compte tenu que, dans l'appel d'offres, ils ne répondaient pas, n'identifiaient pas suffisamment nos besoins, on arrivait avec des... on n'avait pas le choix de prendre le fournisseur A, pour lequel il y avait un écart majeur de prix, sans se poser la question : Mais pourquoi j'ai un écart aussi important?

Le Président (M. Simard) : M. le député d'Orford, il vous reste neuf minutes.

M. Bélanger : Merci, M. le Président. Vous n'êtes pas la première à mentionner la question d'acceptabilité sociale. Puis, avant de faire de la politique, j'ai pensé 20 ans dans l'intégration de technologies, puis tout ça, puis j'ai... et la gestion du changement est un élément clé du succès. Et puis la question que j'avais pour vous, c'est quels sont vos modèles de systèmes qui ont été un succès. Quels sont les mécanismes, que ce soit des groupes de discussion ou ça, que vous suggérez, qui devraient être mis en place? Parce que c'est... je vais vous conter, c'est un peu une blague, mais, toutes les fois que j'appelais ma mère, qui a 90 ans, elle ne me répondait jamais, puis elle me rappelait quelques secondes après. À un moment donné, je me suis rendu chez elle, je lui dis : Explique-moi qu'est-ce que tu fais quand ton téléphone sonne? Mais elle regarde son téléphone mais elle ne faisait pas le «swipe». Mais c'est... Ça paraît... ça paraît simple, mais c'est... c'est exactement ça qui arrive. La technologie évolue rapidement...

M. Bélanger : ...rapidement. Et ces systèmes-là sont bâtis par des des gens qui sont en technologie, qui n'ont pas le même... pas... mais c'est des gens très intelligents, mais qu'ils ont une façon de pensée. Ils conçoivent et souvent on va rapidement à la livraison du projet et puis il n'a pas été bien assimilé. Ça fait que moi, j'étais quand même curieux parce que vous en vérifiez beaucoup, et j'aimerais... j'aimerais savoir quels sont vos modèles, vos modèles de succès, quels sont les suggestions que vous auriez à nous faire pour assurer que ce projet-là va être un... va être un succès.

Mme Leclerc (Guylaine) : Je dirais que vous avez eu l'opportunité d'entendre plusieurs chercheurs, alors pour ce qui est des modèles, je vais laisser les chercheurs répondre. Mais ce qu'on... Un des dossiers sur lequel on a travaillé, c'est RENIR. Puis effectivement ça fait quelques années, ça fait cinq ans. Mais c'est quand même un modèle où on a vu qu'il n'y avait pas ou peu d'acceptabilité à ce moment-là. Alors, on a mis en place un système de télécommunication qui avait des lacunes mais aussi qui n'était pas accepté. Et cet élément-là est important, de s'assurer que savoir répondre aux besoins et, oui, répondre aux besoins des citoyens. Et, en commission parlementaire, on a entendu beaucoup de personnes venir parler de l'importance que les citoyens soient informés. Mais il faut aussi s'assurer de l'adhésion des entités, les entités qui vont fournir de l'information. Et le projet de loi a des grandes... c'est un cadre, hein? Après ça, c'est la réglementation qui va... qui va faire foi. Mais, dans certains cas, ça va être extrêmement important d'avoir l'information qui soit fournie par les entités.

Je vous donne un exemple. L'aide juridique, tu sais, quelqu'un qui veut avoir de l'aide juridique, bien, il faut que l'entité ou la commission de l'aide juridique en tout cas va aller demander le rapport d'impôt. L'information est disponible au Québec. Donc, l'admissibilité de la personne, par exemple, pour les logements sociaux aussi, même chose. Par contre, je comprends très, très bien qu'on doit s'assurer que le partage de données soit fait de façon sécuritaire, mais il faut avoir l'adhésion aussi des entités.

Alors, je vous dirais qu'un des éléments majeurs, là, de succès, c'est d'avoir l'adhésion des entités et s'assurer que... bien, que le système va répondre aux besoins. Et il faut les entendre et les citoyens et les entités pour que ça... qu'on puisse bien répondre à l'objectif du projet de loi.

M. Bélanger : Merci.

Le Président (M. Simard) : M. le ministre.

M. Caire : Oui. Bien, je vais faire du pouce, Mme Leclerc, là. Vous m'avez ouvert une porte extraordinaire. Parce qu'on a un débat depuis... depuis longtemps sur la traçabilité, le profilage, l'échange d'informations puis... Et là, vous venez nous donner un exemple... je dirais un contre-exemple. Parce qu'on est... on est tous d'accord, on ne veut pas de profilage, on est tous d'accord, on ne veut pas que l'État puisse surveiller nos moindres faits et gestes. Et là vous nous ramenez, je dirais, exactement le contraire, à savoir : Oui, mais il y a un côté positif à ça, à savoir que peut-être qu'un citoyen, pour avoir droit à un programme, pour avoir droit à une aide du gouvernement, bien, j'ai besoin de valider son niveau de revenu, j'ai besoin de valider son âge, j'ai besoin de valider un certain nombre de choses. On trace la ligne où, Mme Leclerc, entre le fait de s'échanger de l'information, et ça, ça sert le citoyen, et s'échanger de l'information? Et là, on entre dans une zone où on ne veut pas aller. Comment on trace la... Comment le législateur peut tracer cette ligne-là, selon vous, selon votre expérience?

• (16 h 10) •

Mme Leclerc (Guylaine) : Premièrement, c'est aux parlementaires de...

M. Caire : Mais aidez-nous.

Mme Leclerc (Guylaine) : ...de faire ce choix-là. D'autre part, moi, je ne suis pas en mesure de décider en... Ce sont vous les législateurs, alors c'est à vous de faire le choix où on trace la ligne. Mais, ce qui est essentiel pour ne pas devenir un inquisitoire, je vous dirais, c'est...

Mme Leclerc (Guylaine) : ...s'assurer que les contrôles sont adéquats et que la sécurité de la protection des renseignements est préservée, et on a identifié, au cours des dernières années, plusieurs lacunes. Et ce que nous disons : C'est essentiel de s'assurer que les multiples recommandations qu'on a faites, ce soit au niveau de l'accès, que ce soit au niveau de la gouvernance, que ce soit fait de façon adéquate. Alors, la ligne, elle est à tracer par le gouvernement, je vous dirais, mais, quelle que soit la ligne qui sera choisie par le législateur ou par les parlementaires, quelle que soit la ligne qui sera décidée, il se devra... il se doit d'y avoir des procédures de contrôle qui fassent en sorte qu'on protège les renseignements du citoyen.

M. Caire : Mais ma... Puis vous avez tout à fait raison, je veux dire, c'est au législateur à tracer cette ligne-là, mais vous, vous pouvez nous aider. Mon point était plus à l'effet que... puis vous en avez vu beaucoup, dans votre carrière, là, à différents audits, proscrire de façon, je dirais aveugle... Dans le fond, je comprends que vous nous invitez quand même à une certaine réflexion. Tout à l'heure, on disait : Bien, la traçabilité, oui, il y a des côtés positifs, l'échange d'informations, il y a des côtés positifs. Donc, quelquefois, on a tendance, je dirais, à mettre des cadenas en se disant : On ne veut tellement pas que telle chose arrive, qu'on oublie que, ce faisant, on empêche aussi des bonnes choses d'arriver. C'est un peu ça, mon point.

Je ne sais pas combien de temps il me reste, M....

Le Président (M. Simard) : 1min 15s.

M. Caire : Je ne peux pas m'empêcher de revenir sur ce que vous avez dit sur la déclaration d'incident obligatoire. Effectivement, c'est une mesure qu'on met en place. Vous avez dit : Ça va être important qu'il y ait des contrôles. Donc, je pense que, déjà, d'avoir cette obligation-là au niveau de la loi, c'est une mesure, une première mesure, mais qu'est-ce que vous entendez par des contrôles? Parce que, dans le fond, ce que ça sous-entend, c'est que même s'il y a une obligation légale de le faire, ce n'est pas suffisant, il faut qu'on s'assure que ce soit fait. Et comment on fait ça, bon? Je veux dire, on ne peut pas mettre un membre du MCN derrière chaque bureau. Comment on peut faire ça pour être efficace et s'assurer que cette disposition-là, elle est respectée?

Mme Leclerc (Guylaine) : M. le ministre, c'est le rôle du ministère. S'il met en place une... s'il exige d'avoir une déclaration, c'est à lui à mettre en... c'est au ministère à mettre en place les procédures pour s'assurer qu'elles sont respectées. Alors, ce que je vous dirais, c'est : Il faut... le ministère devra s'assurer qu'il met en place les procédures. On a déjà identifié...

Le Président (M. Simard) : Très bien. Merci, Mme la vérificatrice. Je vois que vous savez compter, notamment compter le temps. Alors, je cède maintenant la parole à la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci, M. le Président. Bien, moi, j'aimerais qu'on entende la suite, s'il vous plaît. Et merci, merci d'être là, Mme Leclerc. Et donc on vous voulez continuer parce que je pense que c'est très important qu'on entende ça.

Mme Leclerc (Guylaine) : D'ailleurs, ce qu'on avait identifié, lorsqu'on a fait l'audit d'établissements de santé, c'est qu'on se devait de déclarer les incidents, mais il y a des incidents qui n'ont pas été déclarés. Il y a des incidents pour lesquels on... Lorsqu'il y a un incident, il doit y avoir un plan d'action, il n'y avait pas de plan d'action qui était fait. Donc, oui, c'est important de le mentionner dans un projet de loi, mais ça devient l'application, par la suite, qui devient un enjeu. Et de tout ce que nous mentionnons, bien, c'est d'être prudent relativement à l'application de ce... lorsqu'on va... premièrement, lorsqu'on... Parce qu'il y a beaucoup d'éléments dans le projet de loi qui vont être établis par règlement, donc, il faudra s'assurer que les règlements, bien, suivent adéquatement, là, la... qu'ils permettent suffisamment de contrôle et de traçabilité.

Mme Setlakwe : Merci. Merci pour votre mémoire, votre présentation, là. On comprend qu'avec vous l'échange est un peu différent. On a eu énormément d'experts en technologies de l'information, cybersécurité, etc., mais votre présence est très importante, vous et votre équipe, parce que vous avez une vue d'ensemble de ce qui a été fait dans des domaines similaires, connexes, certaines lacunes à certains endroits. Puis là, quand on veut avancer... Puis nous, à l'opposition officielle, on ne se mettra pas dans le chemin du progrès, on veut aussi que les Québécois, on l'a dit d'emblée dans nos remarques...

Mme Setlakwe : ...préliminaires, on veut que les Québécois aient accès ou transigent, de façon simple et efficace, avec des moyens technologiques accessibles au plus grand nombre possible, aux services avec... aux services gouvernementaux. Mais il faut s'assurer qu'on a bien informé la population, il faut s'assurer qu'on a l'expertise ou en tout cas, qu'on ait bien défini le besoin, et je trouve ça intéressant la façon dont vous l'amenez, puis qu'on ait donc, une feuille de route et une planification adéquates.

J'arrive avec mes questions. Puis j'aime comment vous déclinez, là, les enjeux principaux que vous, vous identifiez. Puis vous... vous nous ramenez aussi dans des audits passés, puis je ne veux pas les répéter, là, ils sont bien mentionnés dans votre présentation, vous les avez mentionnés. Mais suite à ces rapports d'audits, et aux lacunes qui ont été identifiées, puis aux recommandations qui ont été faites, est-ce que vous êtes satisfaite des... des suivis, de la réponse? Est-ce que... Là où je veux en venir aussi, c'est : Est-ce que les correctifs ont été apportés de façon que vous jugez satisfaisante? Et donc est-ce qu'on est prêts, est-ce que le MCN est prêt à mettre de l'avant ce projet-là?

Mme Leclerc (Guylaine) : Il y a... bon, il y a... les lacunes qu'on a identifiées, on émet des recommandations, on... Suite aux recommandations, l'entité va faire un... un plan de... de correctifs, qu'il va déposer à la Commission de l'administration publique. Ce plan, nous allons le revisiter 18 mois après. Donc, pour ceux qui sont de 2023, on n'a pas revisité encore les... nos recommandations. Dans d'autres situations, comme, par exemple, des établissements de santé ou les universités, bien, les... les correctifs sont apportés, mais ça ne veut pas dire qu'un autre établissement de la santé, bien le correctif... ne l'a pas nécessairement apporté, là, O.K.? Alors, c'est... c'est là où il y a un... Je... je trouve le projet de loi... je pense que tout le monde est d'accord que le projet de loi, c'est... ça va apporter quelque chose de... de positif au... au Québec.

D'autre part, il faut s'assurer qu'il y a une gouvernance forte. Et, lorsqu'on parle de gouvernance... Comme, la Régie de l'assurance maladie du Québec, il y a un conseil d'administration, donc la... la direction se doit de faire rapport sur un projet, ou sur le déroulement d'un projet, ou la planification d'un projet à l'instance de gouvernance. Puis je me suis posé la question : Au ministère de la... au MCN, c'est où va... comment on va faire la reddition de comptes du déroulement du projet, de la planification, à l'origine, du budget, de l'échéancier, du... de s'assurer que les fournisseurs... on n'ait pas une dépendance par rapport à un fournisseur unique? On l'a vu dans trois situations, où le gouvernement avait une dépendance face à... aux fournisseurs de technologie de l'information. On l'a vu dans le SEAO, on l'a vu lorsqu'est arrivée, là, la... la crise sanitaire, là. Donc, on a à aider ou, en fait, mettre à jour un système, puis, après ça, bien, les établissements se doivent de continuer avec... avec ce système-là. On l'a vu dans RENIR.

Alors, ça va être important qu'il y ait une bonne reddition de comptes sur une panoplie d'éléments dont on a parlé dans nos rapports passés, qui soient cybersécurité, accessibilité des services, comme on l'a dit, dans Service Québec. Services Québec, ça se devait d'être un guichet unique, ça aussi, mais ça n'a jamais rempli le rôle pour lequel il a été créé. Puis, après ça, bien, il y a la gestion de projet.

Donc, c'est trois grands volets : cybersécurité, accessibilité, qualité des services et gestion de projet. Bien, il faut s'assurer qu'il y ait une bonne reddition de comptes, mais ma... une de mes préoccupations, c'est où va être la reddition de comptes relativement à l'application de ce projet de loi là lorsqu'il va être opérationnel.

• (16 h 20) •

Mme Setlakwe : On va s'assurer d'en parler...

Une voix : ...

Mme Setlakwe : On va certainement s'occuper de poser des questions et d'avoir des engagements précis sur tous ces volets-là. Merci.

Vous parlez de dépendance à des fournisseurs externes, mais il va y en avoir. On a entendu...

Mme Setlakwe : …on a eu des discussions hier et c'est connu que le MCN, notamment, fait énormément affaire avec des firmes externes. Il y a un recours important à la sous-traitante. L'expertise à l'interne n'est pas au rendez-vous tant qu'on le souhaiterait. On en a discuté amplement hier avec des syndicats, des professionnels qui s'inquiètent qu'il n'y a pas les bonnes personnes à l'interne, qu'on n'ait pas cette expertise à l'interne, que ça… Et éventuellement, qu'est-ce que ça va engendrer pour les citoyens? Mais les coûts vont augmenter. Puis donc de ne pas garder cette expertise à l'interne, c'est… bien, ce n'est pas avantageux, évidemment. Puis là, vous venez de le mentionner que, dans le passé, il y a eu des situations où on avait une dépendance accrue, démesurée à des fournisseurs externes, mais on... Mais j'ai l'impression qu'on continue dans la même direction. Qu'est-ce que ça suscite comme inquiétudes chez vous?

Mme Leclerc (Guylaine) : Bien, le processus, les lacunes qu'on a identifiés dans nos rapports, c'est que, par exemple, on va en appel d'offres pour un premier projet et… ou on donne un contrat, un premier projet, le… une entité externe développe le projet. Elle a été payée pour développer ce projet-là. On donne ce… à cette entité-là, quatre ou cinq ans de mandat, mais, par la suite, bien, on a une dépendance, parce que, pour défaire… Ne pensons qu'à SEAO, O.K.? Pour défaire ce qui a été fait dans le passé, bien, il faut qu'une autre entité vienne recréer quelque chose qui a été fait par la première entité. On l'a vu dans trois situations, dans le domaine de la santé, SEAO dans… donc, où on… où l'entité avait une dépendance face à un premier fournisseur qui a pu développer son projet, mais, après ça, bien, on est dépendant et… bien, on est dépendant des prix qui va augmenter parce que c'est le seul fournisseur qui peut continuer ce qui a déjà débuté. Donc là, il est là, la… ce qu'on dit, c'est : Soyez prudents, assurez-vous d'avoir accès au développement et s'assurer que vous ne serez pas pris avec un seul fournisseur jusqu'à jusqu'à… jusqu'à tant que vous décidiez de débourser des sommes très importantes pour pouvoir le changer.

Mme Setlakwe : Merci. C'est compris. Vous avez soulevé d'autres… d'autres éléments, là, dans votre mémoire, mais… de façon plus générale, mais ce n'est pas général, parce que je m'accroche à quelque chose dans votre mémoire, mais vous parlez de la mise en service, puis de différentes étapes qui doivent être considérées, mises de l'avant avant de le déployer. Ça, ça me fait penser à SAAQclic, puis je sais que vous êtes encore à étudier ce qui s'est… ce qui n'a pas fonctionné, disons-le comme ça, et… Mais quelles leçons, déjà d'avance, là, devons-nous tirer de cette situation-là pour ne pas les reproduire dans ce projet-ci d'identité numérique nationale? Quelques choses qui sont déjà mises de l'avant, là, je ne veux pas… vous avez quand même… vous êtes déjà prononcé ou pas du tout là-dessus. Est-ce qu'il y a déjà des choses que vous savez qu'on doit prendre en compte, de façon générale?

Mme Leclerc (Guylaine) : Ce dont j'ai parlé dans mon rapport, dans mon… dans mon allocution, mais ce sont tous des éléments qui sont à prendre en compte, au niveau de la protection des renseignements personnels, de la cybersécurité, des différentes lacunes qu'on a identifiées, révocation tardive des droits d'accès, configuration de mot de passe, comme on a parlé tout à l'heure, des protections déficientes, des fuites de données, par exemple. Alors, c'est une… il y a une série d'éléments dont j'ai parlé de mes rapports passés, qui se… dont on souhaite que le ministère tienne compte dans l'application, lorsqu'il va mettre en place le projet de loi. Donc, je pense qu'il y a suffisamment de matériel avec mes rapports passés sans que je parle de mes rapports futurs.

Mme Setlakwe : Évidemment, oui, je comprends. C'est qu'on parle quand même de gestion de projet dans votre… dans le troisième élément de votre mémoire, là, la bonne planification, à s'assurer d'avoir les ressources humaines compétentes pour réaliser le projet, ça me fait quand même penser au déploiement de d'autres projets. Mais, si on n'a pas les ressources… Puis hier, on avait cette discussion-là, les ressources humaines, les ressources financières, c'est bien beau d'échanger avec le ministre qui est bien intentionné, dans son…

Mme Setlakwe : ...dans son objectif de simplifier l'accès aux services pour les citoyens puis de mettre de l'avant le projet d'identité numérique, mais si tout le reste ne suit pas, tu sais, si... Je me colle à votre... à votre mémoire, là. Ce n'est pas juste la pièce législative prise isolément, c'est l'ensemble de la démarche et des ressources.

Le Président (M. Simard) : En conclusion.

Mme Leclerc (Guylaine) : Effectivement, il faut s'assurer que le ministère ait les compétences. Et je vais vous donner un exemple qui n'est pas dans le rapport qui est le F.-A.-Gauthier. Ce n'est pas un dossier informatique, mais c'est un dossier, c'est un... c'est un projet d'envergure, et on n'avait pas les ressources pour le faire...

Le Président (M. Simard) : Très bien.

Mme Leclerc (Guylaine) : ...pour réaliser ce type de mandat là. Ça fait que...

Le Président (M. Simard) : Malheureusement, je dois à nouveau vous interrompre pour mieux poursuivre en laissant la parole au député de Maurice-Richard. Je vous laisse finir votre idée.

M. Bouazzi : Bien, je vous laisse finir votre idée.

Mme Leclerc (Guylaine) : Bien... Alors, c'est ça. Alors, c'est essentiel que le ministère s'assure d'avoir les ressources compétentes pour s'il décide... Je ne sais pas dans quelle mesure qu'il veut faire le projet par lui-même, le donner en sous-traitance, le... On ne le sait pas, hein? On est encore dans un projet de loi. Mais ce que je veux dire au ministère, c'est une gestion de projet qui est majeure, et de l'expérience qu'on a vue avec le... lorsqu'on a mis en place le F.-A.-Gauthier, là, le traversier, là, à Matane... mais la société des transports du Québec n'avait pas les ressources nécessaires pour pouvoir mener à bien un tel projet, même si on allait en sous-traitance. Une gestion de projet majeur. Donc, même si on fait le choix d'aller en sous-traitance, bien, il faut être en mesure de superviser adéquatement la sous-traitance. Et on a vu dans le passé qu'il y avait certaines lacunes. Et je vous le dis encore, ça va être important que les organes de gouvernance s'assurent que le projet soit mené à bien selon les échéanciers, selon les budgets et selon les besoins des utilisateurs et des entités qui vont collaborer.

M. Bouazzi : Merci beaucoup. C'est un risque qui a été mis de l'avant par vraiment beaucoup de groupes, là, l'expertise et puis le manque d'expertise, les postes ouvertes et puis même les gels d'embauche en ce moment. Une des questions que j'ai pour vous. On a entendu, à plusieurs reprises, des intervenants nous dire qu'il fallait plus de transparence pour les citoyens. On a entendu des spécialistes qui nous disaient : Bien, nous, on voudrait faire un audit ou, en tout cas, une évaluation de l'architecture, du design, etc., pour s'assurer... aussi pour la transparence des gens, mais aussi pour s'assurer que la sécurité est là. Est-ce que vous avez des pistes de solution à nous offrir pour dire, bien, qu'est-ce qu'on pourrait faire avant d'en arriver à la livraison, étant donné votre expertise en question d'audit, pour justement assurer plus de transparence et aussi une plus grande robustesse d'un point de vue sécurité?

Mme Leclerc (Guylaine) : Mais ce serait important que les instances de gouvernance... Je reviens encore à ça, hein? Les instances de gouvernance, c'est ce qui gouverne, hein, une entité.

M. Bouazzi : Mais lesquelles? Parce que, tout à l'heure, vous avez parlé du fait qu'on n'avait pas de conseil d'administration par exemple. Donc, est-ce que... est-ce qu'il y en que vous entrevoyez qui pourrait jouer un rôle particulier, différent de ce qu'elles font... un peu plus de ce qu'elles font maintenant, ou alors il faudrait qu'on en invente une dans ce projet de loi là, ce qui serait tout à fait raisonnable, hein? Moi, je ne pense pas, mais est-ce... où est-ce que vous vous... seriez?

• (16 h 30) •

Mme Leclerc (Guylaine) : Mais je... La question est excellente, je me la suis posée, parce qu'on arrive... bon. On a... Au ministère, bien, on a le sous-ministre, bon, qui... mais, on sait qu'ici les sous-ministres, bien, ça circule, hein, le... ensuite on a le... on a le ministre. Puis, un petit peu de côté, on a le comité de vérification, mais qui n'a pas d'autorité. Ce n'est pas un conseil d'administration, donc c'est... Et c'est un dossier qui est majeur, qui est majeur au niveau de la sécurité des renseignements personnels, qui est majeur au niveau des services à la clientèle et qui est majeur au niveau de la gestion du projet. Donc, moi aussi, je m'interroge sur qui va être... s'assurer que la sécurité des citoyens est faite convenablement, que la... ça répond aux besoins, mais... et je ne l'ai pas, la réponse.

Le Président (M. Simard) : En conclusion.

M. Bouazzi : Et que la gouvernance et puis la séparation des tâches soient respectées, pour que ça fasse du sens, évidemment. Merci beaucoup. Il reste trois secondes. Ça fait que je vous remercie de nouveau.

Mme Leclerc (Guylaine) : Ça m'a fait plaisir...

Le Président (M. Simard) : ...alors, Mmes Roy et Leclerc, M. Fortin, à nouveau, merci beaucoup pour votre présence parmi nous cet après 12 h. Ça va et je remarque que vous avez beaucoup aimé la Commission des finances publiques, et, je crois, beaucoup plus que la Commission de l'administration publique, n'est-ce pas?

Alors, nous suspendons nos travaux.

(Suspension de la séance à 16 h 31)

(Reprise à 16 h 35)

La Présidente (Mme Mallette) : Je souhaite maintenant la bienvenue aux représentants du Syndicat de la fonction publique et parapublique du Québec. Je vous rappelle que vous disposez de 10 minutes pour votre exposé, puis nous procéderons à la période d'échange avec les membres de la commission. Je vous invite donc à vous présenter et à commencer votre exposé.

M. Daigle (Christian) :Merci, Mme la Présidente. Je m'appelle Christian Daigle, je suis président général du Syndicat de la fonction publique et parapublique du Québec, accompagné, à ma gauche, de M. Pierre-Alexandre Caron, conseiller politique au bureau de la présidence générale, ainsi qu'à ma droite, M. Isaïe Dubois-Sénéchal qui est conseiller à la recherche au SFPQ.

Mme la Présidente, M. le ministre, Mmes et MM. les députés, le Syndicat de la fonction publique et parapublique du Québec est un syndicat indépendant qui regroupe environ 44 000 membres répartis dans 40 accréditations québécoises, dont près de 33 000 travaillent dans la fonction publique du Québec. La mission du SFPQ à l'égard de tous ses membres consiste à défendre leurs conditions de travail et à défendre les intérêts économiques, politiques et sociaux nécessaires à l'amélioration de leurs conditions de vie. Cette mission s'élargit également à l'ensemble de la société québécoise, puisque le SFPQ soutient un projet de société axé sur la démocratie, le partage, l'équité et la solidarité.

En novembre dernier, nous apprenions le...

M. Daigle (Christian) :...dépôt du projet de loi n° 82 portant sur l'identité numérique nationale. Ce projet n'est pas nouveau. Il s'inscrit dans une démarche amorcée depuis quelques années avec le Service québécois d'identité numérique.

Avant d'entrer dans le vif du sujet, je tiens à clarifier un point, le SFPQ est intéressé à toute innovation permettant d'améliorer les services à la population ainsi que les conditions de travail de ses membres. Néanmoins, dans le présent projet de loi, nous avons pu observer un ensemble de failles, tant dans l'encadrement que dans le projet lui-même qui nous qui ne nous rend pas particulièrement optimistes quant aux conséquences de la mise en place de l'identité numérique nationale.

Mon intervention, tout comme les mémoires que nous avons soumis, ne portera pas sur le bien-fondé d'une entité numérique nationale. Nous considérons que cette question, tout comme un ensemble d'autres éléments liés au virage numérique gouvernemental, doit être abordée lors de consultations publiques ouvertes et non dans le cadre restreint de consultations parlementaires. Je concentrerai donc mon intervention sur les conditions nécessaires à l'implantation d'une identité numérique nationale si tel est le souhait de la population.

Considérant le nombre de recommandations que nous avons soumises dans notre mémoire, je me... je me limiterai à certaines d'entre elles dans cet exposé. Je vais donc vous parler de protection des données, de centralisation par le numérique, de sous-traitance et de transparence gouvernementale. Nous laisserons de côté les risques de dérive algorithmique évoqués dans les mémoires que nous avons soumis, à propos desquels nous avons déjà alerté l'ensemble des partis politiques ici présents dans le passé.

Le projet de loi pose des risques bien réels sur les données personnelles des Québécoises et Québécois. Le cadre législatif actuel n'imposant plus la nécessité d'une approbation de la Commission d'accès à l'information à ce qui a trait aux règles de gouvernance des renseignements personnels donne une grande latitude au ministère. Cette latitude nous permet de douter de l'application des meilleures pratiques en ce qui a trait à l'anonymisation effective des données et la qualité de leur gouvernance. Plutôt que de permettre un meilleur encadrement de l'action ministérielle en matière de données numériques et de renseignements personnels, ce projet de loi donne plus de latitude au ministre, ce qui doit soulever des inquiétudes.

Également, le projet de loi ne respecte pas le principe de minimisation reconnu par le ministère lui-même comme étant essentiel à toute initiative en matière de collecte de renseignements personnels. En plus du nom de la date de naissance, du lieu de naissance et du nom des parents, les données numériques gouvernementales peuvent représenter tout autre renseignement que détermine le gouvernement. Ainsi, le projet de loi ouvre également la porte à la collecte de données biométriques, et ce, malgré les avertissements répétés d'un ensemble d'institutions nationales canadiennes et internationales.

Aussi, le projet de loi prévoit la création d'un registre centralisé, contrevenant ainsi à une résolution pancanadienne signée par tous les ombudsmen et les commissaires à la vie privée, incluant le nôtre. Le risque d'utilisation du registre pour, et je cite l'article 10.7 du projet de loi : «Toute autre fonctionnalité déterminée par le... par règlement du ministre» ouvre ainsi la voie à des dérapages multiples. Somme toute, il est prévu que le gouvernement puisse unilatéralement, sans mécanisme de contrôle suffisant, déterminer les modalités reliées au registre de l'identité numérique, les données qui le composent et les normes de qualité de celles-ci. Dès cette première analyse, force est de constater que, tel qu'il est rédigé, le projet de loi est un risque de chèque en blanc au gouvernement et encore plus spécifiquement au ministre en place en matière d'utilisation des données des Québécoises et Québécois. Nous recommandons donc entre autres :

Que le projet de loi utilise un langage plus restrictif par rapport aux données qui composent l'identité numérique et ses usages, entre autres en déterminant ses usages exclusifs;

Que le projet de loi inclue une disposition imposant au ministre l'aval de la CAI en ce qui a trait à sa politique de gestion des données et ses mesures de protection;

Que le projet de loi ne comporte pas de dispositions permettant la collecte de données biométriques sur la base d'un décret;

Que le projet de loi établisse plus clairement les pratiques interdites en lien avec les données récoltées;

Que le projet de loi inclut des dispositions assurant que les données numériques gouvernementales ne puissent transiter ni être hébergées hors du Québec.

• (16 h 40) •

Quant à la centralisation des services. En ce qui a trait à la prestation des services publics, le projet de loi no 82 pave la voie à une centralisation de ceux-ci. Via son souhait de créer un portefeuille numérique propulsé par l'identité numérique nationale, le gouvernement aspire à centraliser l'accès aux services en ligne. LINN est donc une étape nécessaire pour la mise en place de ce guichet multiservice numérique.

Bien que l'accessibilité accrue aux services soit souhaitable, nous identifions trois risques majeurs liés à cette centralisation numérique. Premièrement, le risque de la boucle austéritaire. Historiquement, la centralisation s'accompagne de coupes budgétaires. Nous l'avons vu avec tous les virages numériques liés à la centralisation des services aux citoyens, que ce soit la CNSST, MESS, MIFI, etc. L'accessibilité diminue, la centralisation permet au gouvernement de prétendre à la légitimité de coupes et on recommence le cycle...

M. Daigle (Christian) : ...MIFI, etc. L'accessibilité diminue, la centralisation permet aux gouvernements de prétendre à la légitimité de coupes, et on recommence le cycle, alors que la population perd des services et vit les impacts d'une fracture numérique grandissante.

Deuxièmement, nous identifions le risque de la priorisation des services numériques. Si le projet de loi prévoit qu'on ne peut imposer l'identité numérique pour avoir accès aux services, il est toutefois à prévoir que les services qui la requièrent soient survalorisés et de voir apparaître une iniquité entre les modes de prestation de services.

Le projet de loi est très clair en la matière : il prévoit que le gouvernement puisse imposer des objectifs d'utilisation des services numériques. L'expérience dans les ministères et organismes qui disposent déjà de ces objectifs est catastrophique. Nos membres et nos alliés communautaires font part d'une croissance des non-recours aux droits, d'une diminution de l'accessibilité et d'une diminution de la qualité de l'accompagnement. Par ailleurs, aucune disposition légale n'existe en ce moment afin de protéger la population d'une imposition de mode d'accès exclusivement numérique pour les services publics.

Enfin, l'effet conjoint de la boucle austéritaire et de la priorisation des services numériques soulève l'enjeu de l'inefficacité des services. Le principe du portefeuille des services numériques supporté par l'identité nationale ne prend pas en compte le principe d'accompagnement qui est au cœur du travail quotidien des milliers de fonctionnaires, dont nous représentons la majorité de ceux-ci. Certains services nécessitent une intervention humaine pour un traitement adéquat. La transition que permet l'identité numérique pose les risques de nuire à la compréhension des droits des citoyens et d'augmenter les erreurs administratives.

Par conséquent, nous recommandons entre autres que : le projet de loi clarifie que l'identité numérique ne sera pas obligatoire afin de faire usage des services numériques gouvernementaux; que le projet de loi modifie le cinquième paragraphe de l'article 1 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement en éliminant le mot «entièrement» de l'expression «services publics entièrement numériques»; que le projet de loi intègre le principe de l'équité entre les modes d'accès aux services publics, ce qui pourrait être fait à l'article 6; que le principe d'imposition d'objectifs à ce qui a trait à l'utilisation des services numériques ou du recours à l'identité numérique soit éliminé du projet de loi.

Quant à la sous-traitance, le SFPQ comprend mal que le ministre dépose ce projet de loi alors que le gouvernement mène des politiques d'austérité et que certains projets de son ministère tardent à voir le jour en raison du manque de personnel. En effet, il importe que l'ensemble des ressources informationnelles supportent la mise en place de l'INN, soit des ressources internes au gouvernement. Il en va de l'intégrité, de la sécurité et de la pérennité de ce projet. En effet, comment croire que les données numériques de la population québécoise seront à sécurité si elles sont stockées, traitées ou gérées, même partiellement, par l'entreprise privée?

Dans un contexte où une proportion substantielle des postes en informatique au gouvernement ne sont toujours pas pourvus, on a du mal à voir comment le gouvernement réduira le recours à la sous-traitance pour assurer que l'identité numérique ne se fasse pas à grands frais et au détriment de la souveraineté de l'administration publique sur ses propres affaires.

En la matière, nous recommandons entre autres : qu'avant de se doter d'outils législatifs... qu'avant de se doter des outils législatifs nécessaires à la mise en place de l'identité numérique le gouvernement doit réinvestir massivement en informatique afin de mettre fin à la sous-traitance qui prévaut, particulièrement au MCN; que le projet de loi inclue des dispositions assurant que l'infrastructure infonuagique stockant les données numériques gouvernementales soit détenue et gérée par le gouvernement du Québec sans recours à la sous-traitance.

En conclusion, j'ai insisté au début de mon allocution sur le principe de transparence. Comme une multitude d'autres organisations, nous déplorons les lacunes persistantes en matière de transparence gouvernementale, particulièrement dans le projet de loi aux ressources informationnelles. Le fiasco de SAAQclic et les difficultés d'accès à l'information en sont des exemples préoccupants. Avec le projet de loi à l'étude, le gouvernement cherche à obtenir de nouveaux pouvoirs réglementaires sur la gestion des données numériques sans démontrer d'engagement concret envers une transparence accrue. La CAI a pourtant recommandé à plusieurs reprises au...

La Présidente (Mme Mallette) : Je vous remercie pour... c'est tout le temps qu'on avait. Donc, par équité pour les autres groupes, je vous remercie pour votre exposé, nous allons maintenant commencer la période d'échange. M. le ministre, la parole est à vous.

M. Caire : Merci, Mme la Présidente. M. Daigle, bonjour à vous. Bonjour à ceux qui vous accompagnent. Écoutez, vous comprendrez qu'on a, vous et moi, un certain nombre de points de désaccord. Je ne vous surprends pas en disant ça. Et peut être qu'il y a des éléments de votre mémoire qui relèvent peut-être plus, là, de votre rôle de syndicat, puis je... Sans présumer de la légitimité ou non de ces revendications-là, je vais vous laisser discuter avec le Conseil du trésor, mais vous amenez un élément qui, pour moi, est...

M. Caire : ...est essentiel, en disant : Bien, écoutez, le débat, ce n'est pas sur la pertinence de l'identité numérique, alors qu'au contraire moi, je pense que c'est le point... de toute cette discussion-là. S'il n'y a pas de pertinence à l'identité numérique, bien, pourquoi on fait une identité numérique?

Et je vais vous poser la même question que j'ai posée à des groupes qui sont venus nous rencontrer hier : Est-ce que vous jugez que d'offrir des prestations électroniques de services aux citoyens, c'est une bonne chose, c'est même une chose essentielle?

M. Daigle (Christian) :Oui, effectivement, c'est ce que nous disons dès le départ. Nous sommes d'accord avec l'utilisation de l'identité numérique afin d'ouvrir encore plus la possibilité d'accéder aux services publics québécois, de pouvoir avoir une prestation. Toutefois, de mettre en place un projet de loi sans faire des consultations ouvertes et publiques sur le sujet, sur l'identité numérique nationale, c'est là où est-ce qu'on dit qu'on devrait avoir cette consultation-là ouverte.

M. Caire : Je comprends.

M. Daigle (Christian) :Sur, maintenant, la mise en place de l'identité numérique, c'est là que nous avons des problèmes avec le projet de loi tel qu'il est déposé, non pas sur la nature même, mais...

M. Caire : ...allons-y par étape...

M. Daigle (Christian) :Oui, allez-y.

M. Caire : ...parce que vous êtes d'accord pour qu'on offre des prestations électroniques de services aux citoyens.

M. Daigle (Christian) :Tout à fait.

M. Caire : Êtes-vous d'accord qu'il faut... avant de donner une prestation électronique de services, il faut identifier de façon hautement sécuritaire à qui on donne cette prestation électronique là? C'est incontournable. Il ne peut pas y avoir de prestation électronique de services sans identification de l'individu qui va la consommer. Est-ce qu'on est d'accord là-dessus?

M. Daigle (Christian) :Jusqu'à un certain point, oui, parce que, lorsqu'on va avec les... avec le biométrique, on s'en va plus loin un petit peu, à ce moment-là.

M. Caire : Mon point... Je ne suis pas... Vous allez plus loin que moi. Si on s'entend pour dire que d'identifier le citoyen avant de lui donner une prestation électronique de services... si on s'entend là-dessus, on s'entend qu'il faut une identité numérique, c'est incontournable.

M. Daigle (Christian) :Sur cet aspect-là, oui, il n'y a pas de problème. C'est ce qu'on a indiqué également aussi à partir des éléments déjà identifiés.

M. Caire : Alors, quel débat public peut-on faire sur le fait d'une chose qui est totalement incontournable? Je veux dire, je ne ferai pas... Je veux dire... Puis, comprenez-moi, là, je comprends le débat public sur certains aspects. Est-ce qu'on utilise la biométrie? Je me suis engagé à faire un débat public. Il y aura débat public. Je peux comprendre ça. Mais là ce que vous nous dites, c'est même sur la base même de créer une identité numérique nationale que ça prendrait un débat public, mais vous et moi, on s'entend que c'est incontournable. On n'a pas le choix de faire ça.

M. Daigle (Christian) :Bien, à partir du moment où ce qu'avec l'identité numérique nationale on utilise également l'intelligence artificielle et qu'on n'a pas encore légiféré sur quoi que ce soit là-dessus, qu'on n'a pas encore mis les balises pour gérer l'intelligence artificielle et l'utilisation de celle-ci, autant au niveau gouvernemental qu'au niveau du privé, je pense qu'on fait fausse route. On se doit en premier d'aller vers ce créneau-là et de légiférer et d'encadrer correctement l'utilisation de l'intelligence artificielle à travers l'ensemble des services qu'on donne à la population. Et, à partir de là, on sera en mesure de pouvoir aller plus loin avec l'identité numérique nationale, parce qu'un ne va pas sans l'autre.

Et, pour compléter, je vais laisser mon collègue compléter sur cet aspect-là.

M. Caire : C'est parce que vous prenez pour acquis que l'intelligence artificielle va faire partie intégrante de l'identité numérique nationale. Pas nécessairement, d'une part.

D'autre part, j'ai signé un arrêté ministériel sur les 10 mesures prescrites à respecter pour tout projet d'intelligence artificielle. Donc... Puis on tient un registre de toutes les initiatives en intelligence artificielle, en préparation, présentes ou achevées au gouvernement du Québec. Cette information-là est publique. Donc, de ce côté-là, je pense quand même qu'on a fait des choses.

Mais je veux revenir sur l'identité numérique parce que je comprends que vos a priori sont sur la forme et pas sur le fond. Sur le fond, on s'entend vous et moi, il faut une identité numérique nationale. On a besoin de ça. Donc, sur la forme, on peut avoir des désaccords, des discussions, et nous en aurons, mais est-ce qu'au moins on s'entend, sur le fond, que ça prend une identité numérique nationale et que ça, ce n'est pas... ce n'est pas sujet à débat, c'est un incontournable.

• (16 h 50) •

M. Daigle (Christian) :...du moment où ce qu'on veut offrir une plus vaste gamme de services en ligne à la population... Parce que, présentement, il n'y a pas d'identité numérique nationale, puis on a de très bons services, même s'il y a des coupures qui s'effectuent présentement à travers différents ministères, même si on perd des services en région dans d'autres ministères. Par contre, si on veut élargir la gamme de services, je n'ai aucun problème de ce côté-là, mais je vais laisser mon collègue poursuivre.

M. Dubois-Sénéchal (Isaïe-Nicolas) : Bien, si je peux me permettre, en fait, la grande question qui est associée à l'identité numérique nationale, là, sur le bien-fondé d'un principe d'identification, bien entendu, le SFPQ ne s'est jamais prononcé contre ça. La question, c'est qu'à travers l'identité numérique nationale il y a un carré de sable sur ce qu'on peut, ce qu'on ne peut pas faire avec ces données-là, sur qu'est-ce que ça représente en matière d'équité d'accès, sur... Quand on dit «ce qu'on peut, ce qu'on ne peut pas faire», ça intègre des principes d'intelligence artificielle, et le SFPQ a par ailleurs...

M. Dubois-Sénéchal (Isaïe-Nicolas) : ...communiquer avec votre ministère par rapport à l'arrêté ministériel que vous avez signé suggérant un grand nombre de recommandations en fait pour améliorer ces principes-là qui ne sont pas toujours respectés dans leur entièreté et qui, par ailleurs, nécessitent un encadrement supplémentaire. Donc, ce n'est pas tant sur le bien-fondé, parce que là-dessus, bien entendu, l'identité numérique nationale, le principe d'identification pour un service, naturellement, il est là, il est là en ligne, c'est utile au niveau technique. La question est celle de l'encadrement de cette identité-là dans laquelle il apparaît que le projet de loi, bien, il a certaines failles.

M. Caire : Bien, c'est parce que je vais vous amener sur... C'est parce qu'il y a deux éléments, puis je pense qu'on les confond, puis je comprends un peu où vous voulez... où vous voulez aller. Alors, il y a effectivement l'identité numérique nationale dans le projet de loi qui nécessite un certain nombre de caractéristiques qui vont nous permettre d'identifier de façon unique quelqu'un qui va se connecter à une prestation électronique de services. Mais il y a aussi la notion de source officielle de données, puis ça, M. Daigle, je vous ramène à peut-être quelque chose que vous avez même dans le mémoire, puis sincèrement vous n'êtes pas le seul, là, à nous dire ça, une grande centralisation des données d'identité. Et moi, j'ai eu l'occasion de dire, en commission parlementaire, on ne procède pas à une centralisation des données d'identité, on procède à une épuration du trop grand nombre de registres d'identité qu'il y a à travers les ministères et organismes parce qu'actuellement on comprend qu'un ministère qui veut... ou un organisme qui veut donner une prestation de services, qu'elle soit physique ou qu'elle soit prestation électronique de services, doit identifier l'individu, on s'entend, et ce faisant, collecte des renseignements personnels et les conserve dans sa base de données. Ce qui fait qu'on a... au fil du temps, on a sur multiplié les bases de données qui contiennent des renseignements personnels, ce qui augmente la surface d'attaque, ce qui augmente le risque de doublons, ce qui augmente le risque d'avoir une désynchronisation entre les renseignements sur un même individu. Et donc l'idée, c'est de les épurer pour que chaque ministère et organisme puisse se référer à une seule source, et ce qui permet, un, aux citoyens d'avoir un meilleur contrôle sur ses renseignements personnels grâce à l'identité numérique.

Donc, c'est... c'est cette... je dirais, là, c'est cette proximité-là des deux principes qui font en sorte que peut-être qu'effectivement on a l'impression qu'on collecte trop de renseignements personnels pour la simple identification, mais il faut aussi voir ce registre-là comme une source officielle pour l'ensemble des ministères et organismes qui vont s'y référer pour être capables d'identifier le citoyen sans avoir eux-mêmes à conserver ces... ces renseignements-là.

Je ne sais pas si l'explication est plus claire, si la façon dont je l'explique, c'est clair, mais je comprends que ça donne l'impression qu'on centralise tout, mais ce n'est pas le cas, là, dans les faits.

M. Daigle (Christian) :On comprend très bien ce que vous indiquez, et puis tant mieux si ça ne fait qu'un seul registre. La difficulté, c'est que les ministères présentement n'ont pas les registres de la même manière avec les mêmes identifications.

M. Caire : C'est vrai.

M. Daigle (Christian) : Et ils n'ont que les indications nécessaires aux besoins de leur ministère, et ils ne collectent pas plus de données. Ce qui amène la possibilité pour vous, par contre, à travers ce projet de loi là, de collecter plus d'informations, parce qu'il n'y a pas de balise qui vient régir un petit peu cette collecte-là d'information. Donc, c'est là où est-ce qu'on en est. Si on dit... puis on pouvait restreindre en ajustant au projet de loi ou en restreignant, comme on l'a fait dans nos recommandations, cette collecte-là de données, bien, ça permettrait d'éviter d'avoir des dérapages peut-être à un moment donné ou d'avoir... d'aller trop loin à travers cette collecte-là, à travers l'ensemble des ministères pour lesquels vous allez vouloir... ou organismes, vous allez vouloir collecter cette information-là, ce qui est tout à fait légitime en soi.

M. Caire : Bien, je... je trouve ça intéressant comme discussion, je vous avoue. Vous avez raison, sauf que les besoins des ministères sont différents. Donc, dépendamment de la loi constitutive, il y a des renseignements qui vont être nécessaires. Par exemple, l'Agence du revenu va avoir des besoins d'identification que le ministère du Tourisme n'aura pas, on s'entend. Sauf que le ministère... le MCN devenant la source officielle de données, lui se doit d'avoir les renseignements qui vont lui permettre de fournir et l'Agence du revenu, et le Tourisme et l'Environnement. Donc, c'est pour ça qu'on parle de «tout autre renseignement». L'idée n'est pas de collecter des renseignements dont on n'a pas besoin. L'idée, c'est de collecter des renseignements dont nos ministères et organismes auront besoin éventuellement.

Je ne sais pas si c'est dans cette... mais sur la base du contrôle, puis là je vous suis, là-dessus, je vous suis. Sur la base du contrôle, écoutez, on a... on a la Commission d'accès à l'information, puis peut-être que c'est sur cette base-là que nous aurons des discussions, puis je sais que vous avez dit que le fait d'enlever l'obligation de faire approuver les règles de gouvernance, vous n'étiez pas d'accord. Mais en tout cas, on a eu le débat en commission parlementaire, puis les parlementaires en sont arrivés à une conclusion. Mais il n'en demeure pas moins que l'obligation pour chaque source de données d'avoir des règles de gouvernance précises qui, si elles ne font pas l'approbation de la Commission d'accès à l'information, doivent quand même être transmises à la Commission, et la Commission garde l'ensemble de ses pouvoirs de surveillance, de ses pouvoirs d'injonction aussi. Donc, à la limite, si la Commission d'accès à l'information dit : Ça, vous n'avez pas à garder ça; par injonction, elle peut nous obliger...

M. Caire : ...d'accès à l'information dit : Non, ça, vous n'avez pas d'affaire à garder ça, par injonction, elle peut nous obliger à éliminer l'information ou suspendre l'utilisation de la source officielle de la donnée. Donc, ça, ce n'est pas de nature à vous rassurer?

M. Daigle (Christian) :Non, parce que la collecte va déjà avoir été effectuée. Si on avait cette validation-là au préalable, on éviterait de collecter cette information-là, et d'avoir, après ça, à la supprimer ou d'avoir... ou d'attendre un avis de la CAI pour pouvoir le faire. Donc, on pense que ce serait mieux d'avoir la Commission d'accès à l'information au préalable et de s'assurer de la conformité de tout ça, mais je vais laisser mon collègue également ajouter un petit peu sur le point.

M. Dubois-Sénéchal (Isaïe-Nicolas) : Oui. Tout à fait. En fait, il y a deux principes, à travers ça. C'est que, quand le projet de loi arrive, là, dans sa modification, là, du chapitre I.1, là... je regarde l'article 6 et tout ce qui vient, là, 10.2, 10.3, 10.4, il apparaît... la Commission d'accès à l'information, là, n'apparaît pas sur les normes de gouvernance de ce registre de données là. On s'entend, les normes de gouvernance, il y a quelque chose d'important à travers ça pour la CAI. Ça nous apparaît important que la CAI intervienne.

Puis je veux juste revenir sur l'élément de la centralisation, parce qu'on... Puis je pense qu'on est capable de s'entendre sur le principe qu'il y existe une plus grande surface d'attaque, comme vous mentionniez. L'élément ici qui choque, au niveau de la centralisation, c'est que l'identité numérique nationale, c'est l'ouverture d'une porte vers la centralisation de services. C'est-à-dire qu'à partir du moment où on a un registre centralisé, on s'entend sur le fait que des données associées à l'identité numérique nationale sont centralisées, on peut centraliser certains services, ce qui représente un enjeu, quant à nous, au niveau de la qualité de l'accompagnement qui peut être fait dans les services. Parce que, quand on fait affaire avec l'Agence du revenu, il faut un accompagnement pour comprendre certains éléments de services publics. Quand on fait affaire avec le MESS, on a besoin d'éléments supplémentaires pour comprendre le service qui nous est donné. Les fonctionnaires que l'on défend offrent une forme d'accompagnement. Nous, ce qu'on dit, ce n'est pas forcément que l'identité numérique nationale, elle fait une centralisation à outrance de la donnée, mais elle permet une centralisation à outrance du service, en tant que tel.

M. Caire : Bien, si peux me permettre, puis là je pense que, là-dessus, on a un point de désaccord, dans le sens où... Là, on a une source de données, évidemment, sur des données, des renseignements d'identification, mais, éventuellement, on voudrait mettre de l'avant en santé et en éducation, parce que c'est le même principe, on ne veut pas que nos renseignements de santé soient disséminés partout, à travers plein de banques de données, puis que ça amène une difficulté à protéger l'ensemble de ces banques-là puis ça amène une difficulté à avoir... Donc, éventuellement, c'est un peu le modèle qu'on veut reproduire dans différents secteurs. Ceci étant dit, sur le fait que ça favorise la centralisation, je pense que ça favorise le partage de renseignements, mais je pense que la raison d'être d'un organisme ou d'un ministère va demeurer. Je veux dire, l'idée, c'est justement qu'au niveau des ressources informationnelles, nos ministères et organismes soient équipés pour se concentrer sur leur mission. L'idée, ce n'est pas de dire : Bien, je vais rapatrier ta mission chez moi.

Ceci étant dit, par exemple, vous parliez de l'Agence du revenu, bien, l'Agence du revenu va continuer à donner les services qui sont les siens, mais avec une gestion... Parce que l'idée, c'est d'avoir une gestion de la donnée qui est différente, qui est plus efficace, qui est plus sécuritaire et qui permet le fameux, bon... la confidentialité, l'accessibilité, la disponibilité. On dit «accès», en anglais, mais «disponibilité», en français. Donc, c'est plus... Et d'avoir des services communs, parce que vous n'êtes pas sans savoir que le gouvernement du Québec, c'est 109 systèmes d'authentification différents pour le citoyen, c'est une maison de fous, là. Donc, l'idée d'en avoir un, c'est de simplifier les services puis dire, bon, bien, le MCN va s'en occuper parce que c'est un service commun, mais l'identification d'un citoyen va demeurer nécessaire quand même, qu'il utilise une prestation électronique de services à l'Agence du revenu, au ministère de la Santé, au ministère de l'Éducation.      Donc, c'est pour ça que je ne suis pas d'accord quand vous dites : Ça favorise la centralisation des services, parce que l'expertise, le savoir-faire, dans un service particulier, lui, il demeure au ministère ou à l'organisme.

• (17 heures) •

M. Daigle (Christian) :Je comprends ce que vous nous indiquez, sauf qu'à toutes les fois où est-ce qu'on a vu des développements informatiques, puis je vais prendre le Tribunal administratif du logement, je vais prendre de la CNESST, à toutes les fois, on a perdu des services à la population, a perdu des points de service en région, également, aussi, où est-ce qu'il y a des bureaux qui ont fermé, où est-ce qu'on réfère les gens sur Internet pour aller chercher de l'information. Et, à ce moment-là, on y perd mais... bien que le ministère ou l'organisme demeure en contrôle, bien, on perd, à ce moment-là, cet accès-là qu'on a à des gens, et qui nous permettaient également aussi de pouvoir avoir une meilleure compréhension. Parce que, quand on prend la loi sur la santé et sécurité au travail, c'est une loi qui est très vaste, il y a beaucoup de domaines, là-dedans, et...

M. Daigle (Christian) :...les gens peuvent s'y perdre facilement.

M. Caire : Je m'excuse, M. Daigle, c'est parce qu'il me reste peu de temps puis je voulais attirer votre attention quand même sur deux mesures qui m'apparaissent très importantes, puis vous en avez mentionné une, M. Daigle.       Premièrement, l'utilisation de l'identité numérique, donc des prestations électroniques de service, ne sera jamais obligatoire. Mais il y a un article, je pense, qui passe sous le radar, qui est l'obligation du ministère de la Cybersécurité à faire affaire avec le ministère de l'Emploi et de la Solidarité sociale, justement pour s'assurer que les services au guichet demeureront accessibles aux citoyens. Alors, on le met dans la loi, là. Ça, je ne sais pas, ça, ce n'est pas de nature à vous rassurer?

M. Daigle (Christian) :Bien, c'est bien pour ce ministère-là, mais à partir du moment où est-ce qu'on donne des cibles, qu'on peut donner des cibles à d'autres ministères pour des prestations de services au niveau informatique, on vient un petit peu encadrer le fait qu'on va peut-être demander ces cibles-là et au détriment des services qui pourraient se donner en direct aux gens. Donc, il faudrait limiter...

La Présidente (Mme Mallette) : En terminant.

M. Caire : C'est pour ça que je voulais...

La Présidente (Mme Mallette) : Je suis désolée.

M. Caire : ...

La Présidente (Mme Mallette) : Bien oui, on est plate comme ça. Merci, M. le ministre.

M. Caire : Merci, Mme la Présidente.

La Présidente (Mme Mallette) : Maintenant, je vais céder la parole à la députée de Mont-Royal—Outremont.

Mme Setlakwe : Merci, Mme la Présidente, merci à vous tous. Je vous laisser compléter votre réponse.

M. Daigle (Christian) :J'ai perdu le fil, mais je pense que mon collègue sait où est-ce que je m'en allais.

M. Dubois-Sénéchal (Isaïe-Nicolas) : Si je peux me permettre, en fait, c'est qu'il y a un principe qui n'est pas forcément directement lié à l'identité numérique nationale, mais qui, à travers... puis on voit le point cible poindre dans le projet de loi, mais pas être suffisamment encadré, qui est celui de l'équité d'accès entre les modes de prestation de services. Et, oui, il y a quelque chose qui impose, en fait, de consulter le MESS, là, ou l'essence du MESS qui permet de vérifier sur ces services là. Mais on pense à la CNESST, on pense au TAL, on pense à d'autres services qui peuvent être offerts, il y a un élément à ce moment-ci dans la mesure où il n'y a pas d'encadrement qui permet d'imposer l'équité entre les modes d'accès aux services, c'est-à-dire que, bien, par Internet, ça peut aller vite, mais il faut avoir une capacité d'accès par les lignes téléphoniques, une capacité d'accès en personne. On sait qu'à la CNESST, on ne peut plus se présenter dans les bureaux sans avoir de rendez-vous qui nous sont imposés en ce moment. On sait qu'au TAL, il faut avoir un rendez-vous pour l'avoir. On sait qu'il y a des directives au MESS, d'inviter les gens le plus possible à utiliser les services numériques et, à travers ça, bien, on dégarnit un peu nos services en personne.

Donc, le principe de l'équité d'accès entre les modes de services, ça apparaît extrêmement important, et ça, ce n'est pas assez présent dans le projet de loi.

Mme Setlakwe : Merci. Tu sais, votre mémoire et vos propos sont très importants pour nous, là, pour enrichir notre réflexion. Je dois dire que vous mettez de l'avant énormément de préoccupations puis de recommandations et vous allez même aussi loin que de dire que, dans l'état actuel des choses, le projet de loi ne devrait pas être adopté.

M. Daigle (Christian) :Effectivement, on pense qu'il y a trop de modifications nécessaires au projet de loi, qu'on devrait le revoir sur plusieurs aspects pour s'assurer qu'on va dans la bonne direction. Parce que, comme on le dit au début puis comme je le répétais à M. le ministre, on n'est pas contre l'identité numérique nationale, mais il faut bien l'encadrer parce qu'on met le doigt dans un engrenage qui peut être beaucoup plus difficile à ressortir par la suite.

Mme Setlakwe : C'est compris. Vous avez probablement suivi les travaux de la commission jusqu'à maintenant et vous avez, comme nous, constaté que ce sont les mêmes enjeux et les mêmes préoccupations qui reviennent, mais il n'en demeure pas moins qu'il y a un retard qui a été... qui s'est installé au Québec par rapport à d'autres juridictions. Et on entend de la part d'autres groupes, d'autres experts : Allez-y, procédez avec les mises en garde suivantes. Mais vous, vous êtes ferme, là, c'est : Attendez, on n'est pas prêt. Non seulement vous parlez de consultation, mais vous parlez de... je ne veux pas répéter tout ce qui a été dit puis tout ce qui est dans votre mémoire, mais c'est vraiment le fait que le gouvernement n'est pas prêt, puis ce n'est pas juste dans... ce que j'entends, c'est que ce n'est pas juste l'encadrement sur les différents enjeux de centralisation, de protection de la donnée, etc., c'est aussi les... Vous vous inquiétez des ressources puis de la dépendance à la sous-traitance.

Donc, honnêtement, je vais arriver à une question, là, quel est... J'essaie de mettre de l'ordre... pas que ce n'est pas ordonné, votre mémoire, mais quelles sont les lacunes principales? Quels sont les éléments principaux sur lesquels vous conseiller... vous nous conseiller, nous, les parlementaires et le gouvernement, sur lesquels il faut insister, mettre de l'ordre et régler avant de procéder?

M. Daigle (Christian) :Bien, principalement, si M. le ministre disait qu'il reprenait toutes nos recommandations puis qu'il allait les faire siennes puis qui allait les mettre dans le projet de loi, on serait beaucoup mieux, on pourrait être prêt à dire qu'on serait d'accord de l'adopter tout de suite, là.

Mme Setlakwe : Enfin, ce que vous dites, c'est que vos recommandations ne sont pas uniquement sur le libellé, là.

M. Daigle (Christian) :Non, non, non, pas du tout. Sur le fond également aussi, on a fait mention tantôt de la Commission d'accès à l'information qui était nécessaire d'avoir comme chien de garde, entre guillemets, de pouvoir y aller au préalable envers elle également, de regarder également tout ce qu'on a... On a parlé tantôt de législation sur l'intelligence artificielle, où est-ce qu'on avait de la difficulté à bien saisir et bien...

M. Daigle (Christian) :...encadrer ça à travers l'ensemble du territoire québécois, là aussi on a accusé... on accuse un certain retard, je crois, avec certaines... certaines autres... autres pays. Je pense qu'on se doit de regarder à travers ce projet de loi là, parce que, oui, il faut mettre en place une identité numérique, mais il faut s'assurer que la prestation de services, comme mon collègue le disait tantôt, puisse être encore disponible sur l'ensemble du territoire québécois, ce qui n'est plus le cas présentement. On morcelle le travail, on morcelle les prestations de services qui sont offertes aux citoyens et que nos gens rendent jour après jour. On parle également de la parcellisation du taylorisme du travail qui s'effectue parce que maintenant on a l'identité numérique puis on a l'ordinateur qui vient faire une partie du travail aussi. Donc, pour nous, c'est important qu'on regarde à travers ce projet de loi là tous les aspects ou les angles morts qu'on a, parce qu'à certains moments c'est des décrets qui vont venir pouvoir préciser des choses, et on pense qu'il y a trop de flou à travers le projet de loi présentement.

Mme Setlakwe : Merci. Est-ce que vous pouvez élaborer un peu plus sur... là, c'est les points 17 et 18 que j'ai... sur lesquels j'aimerais qu'on mette l'emphase, là, les... bien, les réinvestissements qui sont nécessaires de la part du gouvernement? On a... On a évidemment... On étudie un projet de loi qui est présenté par le ministre de la Cybersécurité et du Numérique, mais ce projet de loi là, comme tous les autres, s'inscrit dans l'action gouvernementale globale, générale. Et qu'est-ce que vous constatez, là, en termes de lacunes au niveau des.... de nos capacités en informatique? Qu'est-ce que... Il va falloir que... Dans le fond, là, où je veux en venir, c'est que le ministre va devoir avoir l'aval et le soutien de ses collègues pour que ça fonctionne, tout ça, là, puis au niveau des ressources, puis au niveau des investissements. J'aimerais que vous élaboriez un peu plus.

M. Daigle (Christian) :Bien, présentement, le ministère de la Cybersécurité et du Numérique manque déjà d'effectifs. On sait qu'il y a des postes de disponibles, qu'ils ont de la difficulté, des fois, à livrer certains projets qui sont déjà en cours. Il faudrait donc avoir la possibilité de combler tous ces postes-là, de pouvoir aller chercher ça et de pouvoir s'occuper au moins de finaliser ces projets-là.

Je vais y aller plus sur le numéro 18, justement, de pouvoir avoir l'infrastructure nécessaire, de garder ça à l'interne et ne pas aller vers une infonuagique externe ou de ne pas donner place à la sous-traitance à travers ça. Tantôt, M. le ministre l'a bien dit, on va essayer de ramasser tout ce qui se fait à travers les banques de données des différents ministères pour n'en faire qu'une seule, mais il faut qu'elle soit protégée et qu'elle soit interne au gouvernement. On ne peut pas laisser ça, cette banque d'informations là qui va être gigantesque, à travers un sous-traitant ou qu'elle soit dilapidée à travers différentes possibilités puis qu'elle soit attaquable d'un côté ou d'un autre. Donc, il faut qu'elle soit centralisée, peut-être, au niveau du gouvernement du Québec, comme M. le ministre veut le faire, mais il faut qu'elle soit protégée à l'interne seulement.

Sur le point numéro 17, je vais laisser mon collègue plus y aller sur cet aspect-là.

M. Dubois-Sénéchal (Isaïe-Nicolas) : Bien, juste pour continuer également, le numéro 18, c'est un enjeu d'imputabilité gouvernementale également que d'être en mesure, là, de gérer entièrement à l'interne les infrastructures infonuagiques associées. Donc, à partir du moment où il y a un bogue, il ne faut pas qu'on soit en mesure de dire : Ah! c'est le sous-traitant. Ah! c'est... Il y a un enjeu d'imputabilité gouvernementale fort à ce moment-ci qui nous apparaît également comme étant un point sous-jacent, là, de la recommandation 18. Voilà.

Puis, par rapport à 17, bien, il s'agit... il s'agit d'un enjeu de sous-traitance majeur. Je vous invite à ce sujet-là à aller lire, peut-être, là, nos collègues du Syndicat des professionnels du gouvernement du Québec ont pondu un très beau rapport il y a de cela deux ans, j'ai envie de dire, peut-être deux, trois ans, sur la sous-traitance en informatique au gouvernement du Québec. Et c'est l'un des endroits, ça et au ministère des Transports, où la sous-traitance prévaut plus, plus, plus, là, et c'est un enjeu majeur.

Mme Setlakwe : Merci. Et, sur la question de notre propre souveraineté, là, et d'assurer que les... nos données ne transitent pas ni ne soient hébergées hors du Québec, évidemment on suit tous l'actualité, quels conseils avez-vous à nous donner à cet égard-là?

• (17 h 10) •

M. Daigle (Christian) :Bien, c'est... c'est certain que, même... mis à part l'actualité, même avant ça, avec les autres projets de loi américains qui ont été pris, les autres... le Patriot Act, et ainsi de suite, il faut qu'on puisse garder à notre niveau et au Québec ces stockages de données là. Il ne faut pas qu'elles soient accessibles à qui que ce soit à l'externe, parce qu'après, de par la souveraineté des autres pays, selon les compagnies qui font affaire là-bas, ils vont pouvoir avoir accès à ces données-là. Et, comme M. le ministre le disait tantôt, ça va être des données qui peuvent être... regrouper plusieurs ministères et organismes et qui vont, à ce moment-là, être très sensibles également là-dessus.

Mme Setlakwe : Merci. Est-ce qu'il y a d'autres éléments sur lesquels vous souhaiteriez élaborer...

M. Daigle (Christian) : Oui. Je vais...

Mme Setlakwe : ...qui n'ont pas été mentionnés jusqu'à maintenant?

M. Daigle (Christian) :Je vais laisser mon collègue y aller un petit peu plus, là...

M. Dubois-Sénéchal (Isaïe-Nicolas) : Oui, c'est ça, considérant la réutilisation de ces données-là, là, et que le ministère soit en mesure de déterminer, là, les modalités associées à l'utilisation de ces données-là, quelque chose que l'on craint et qui était inscrit dans le mémoire, c'est la réutilisation des données à des fins qui nous apparaissent potentiellement problématiques. C'est pour ça que, quand on parlait d'encadrement nécessaire...

M. Dubois-Sénéchal (Isaïe-Nicolas) : ...au préalable, on considérait qu'avoir des lois qui vont régir l'utilisation des données, entre autres dans le cadre de l'intelligence artificielle, pourrait s'avérer très pertinentes. Je prends, par exemple, des lois qui encadreraient le recours à certains systèmes d'aide à la décision, la recommandation 16, je... En fait, des lois qui régiraient l'utilisation de l'intelligence artificielle par le gouvernement du Québec, c'est comme assez important, dans la mesure où est-ce qu'on centralise des données, qu'on est capable d'avoir de la décision automatisée, à ce moment-là, et que, là, on arrive dans une pente glissante, que d'autres pays ont vécue par le passé et où il y a eu des erreurs majeures, en Australie, aux Pays-Bas, au Royaume-Uni, en Ontario, avec des prestations d'aide sociale. C'est un enjeu, c'est un enjeu qu'on voit depuis 10 ans et c'est un enjeu pour lequel il y a très peu d'encadrement au Québec en ce moment.

Mme Setlakwe : Mme la Présidente, je pense que ma collègue de   La Pinière aimerait prendre le relais.

Mme Caron : Merci. Alors, merci pour votre présentation. Si j'essaie de résumer, et vous me corrigerez si j'ai mal compris, à l'heure actuelle, si on adoptait le projet de loi, la semaine prochaine, là, dans... évidemment, ce n'est pas comme ça que ça va arriver, mais si on adoptait le projet de loi la semaine prochaine et que le gouvernement voulait aller de l'avant, ce que je comprends, c'est qu'il n'y a pas les ressources à l'interne, au ministère de la Cybersécurité et du Numérique, et qu'il faudrait nécessairement se tourner vers l'externe ou bien procéder à des embauches assez importantes pour, à la fois, terminer les projets qui sont en cours et pour pouvoir mener à bien celui-ci.

M. Daigle (Christian) :Bien, effectivement, il faudrait détourner des effectifs qui sont déjà sur d'autres projets, qui sont déjà en cours présentement, pour pouvoir les amener vers ce projet-là, à ce moment-là. Donc, c'est... Il y a un manque d'effectifs, au MCN, à différents niveaux. et à travers les projets qui sont déjà en cours, ils ont recours à la sous-traitance, déjà, à certains niveaux. Donc, il va y avoir de la difficulté à pouvoir mettre ça en place, sans embauche ou en poursuivant tous les projets qui sont déjà en cours aussi, selon nous.

Mme Caron : D'accord. Tout à l'heure, vous avez peut-être vu la présentation de la Vérificatrice générale, qui disait... qui faisait... qui évoquait des rapports d'audits qu'elle a faits sur d'autres projets, lesquels, évidemment, sont suivis de recommandations et, ensuite, les plans de correctifs qui sont soumis par les ministères et organismes audités. Alors, elle nous incitait à avoir des... à inclure dans le projet de loi, finalement, des balises pour s'assurer qu'il y ait les contrôles, qu'il y ait des limites, qu'il y ait des contrôles, que les contrôles soient effectivement appliqués. Un peu comme... si je peux faire une analogie avec un arrêt au coin d'une rue, puis tout le monde passe, puis il n'y a jamais de policier qui donne une contravention, c'est un petit peu... c'est un petit peu ça. C'est peut-être simpliste, comme analogie, mais c'est un peu ce que ça veut dire. Il y a des contrôles, peut-être, qui existent mais qui ne sont pas appliqués. Est-ce que c'est quelque chose que vous remarquez aussi et...

La Présidente (Mme Mallette) : En 30 secondes?

Mme Caron : ...est-ce qu'il y a des recommandations pour éviter ça?

M. Daigle (Christian) :Je vais laisser le 30 secondes à mon collègue, il va peut-être réussir à y aller plus rapidement.

M. Dubois-Sénéchal (Isaïe-Nicolas) : Ça va être difficile. À ce moment-ci, je vous inviterai à consulter les recommandations 3, 6 et 7, concernant les pouvoirs à la CAI qu'on pense qui devraient être octroyés pour s'assurer que le ministère soit bien balisé, bien encadré, et que les mécanismes de... ne soient pas que de surveillance mais également des mécanismes de veto, en fait, de codécision, de codétermination.

La Présidente (Mme Mallette) : Merci. Merci, Mme la députée de La Pinière. Je vais céder maintenant la parole au député de Maurice-Richard.

M. Bouazzi : Merci, Mme la Présidente. D'abord, je me permets une remarque éditoriale. Ça fait plusieurs fois qu'on entend M. le ministre dire qu'il va centraliser les données dans une base de données et qu'elles ne seront pas requises dans d'autres systèmes. Moi, je veux bien mettre mon poste en jeu que l'adresse, le nom, le prénom, le courriel, le téléphone, etc., vont être éparpillés dans tous les systèmes ailleurs et que ce sera un système de plus, et donc, effectivement, la surface ne se rapetisse pas. Surtout que, si c'est vraiment ça qui va arriver et que ce système ne marche plus, ça voudrait dire que tous les systèmes qui auraient besoin du nom, du prénom, de l'adresse, du téléphone ne fonctionneraient plus, à travers tout le Québec, ce qui serait une sacrée mauvaise nouvelle. Fermons la parenthèse.

Vous parlez, dans votre mémoire, du risque des dérives algorithmiques et puis, plus largement, vous parlez aussi beaucoup des services d'accompagnement et du risque associé au tout numérique qui se fait de manière organique. Est-ce que vous pouvez développer un peu?

M. Daigle (Christian) :Oui. Je vais prendre un exemple plus précis, peut-être, pour illustrer la chose. Au ministère de l'Emploi et Solidarité sociale, lorsqu'on fait l'accompagnement des gens qui sont prestataires d'aide sociale... je suis, moi-même, un agent d'aide socioéconomique, donc, au départ du dossier, la personne, elle est reçue, et un agent a été identifié, initialement, pour...

M. Daigle (Christian) :...du début jusqu'à la fin, jusqu'à... qu'elle puisse l'accompagner pour ressortir... qu'elle puisse redevenir un actif à la société plutôt qu'un dépendant des prestations de l'État. Et, à ce moment-là, à travers le temps et dans les dernières années surtout, on a vu qu'il s'est créé un changement. Tout d'abord, on a créé les centres de services à la clientèle où est-ce qu'on est allé, à ce moment-là, dire : Bien, les gens vont tous appeler à cet endroit-là pour avoir de l'information, alors que c'est l'agent, au départ, qui avait l'information pertinente. Donc, la personne se retrouvait à parler, à répéter son dossier fois après fois, parce que, si elle avait oublié quelque chose, bien, elle dit : Je vais aller le chercher, je vais vous rappeler, elle tombait sur un autre agent, elle devait répéter son histoire. Donc, on allonge le traitement d'un dossier, alors que l'agent initial, au départ, est capable de traiter le dossier.

Maintenant, ce qu'on fait, c'est qu'on morcelle le travail encore plus. Donc, des agents s'occupent juste de l'attribution, d'autres de l'analyse, d'autres, après ça, de d'autres portions du dossier également. Donc, en morcelant de même, on vient donner la parole ou la possibilité d'aller vers l'intelligence artificielle pour, après ça, donner une partie du service et les... vont devenir de moins en moins importants dans le dossier. Donc, cet aspect-là qui peut se faire également à la CNESST, qui peut se faire au TAL, qui peut se faire à plusieurs endroits, ce morcellement-là du travail amène une difficulté, pour le citoyen, à avoir une prestation de services du début jusqu'à la fin par un employé de l'État et qui va permettre également aussi d'avoir une bonne compréhension du dossier, de son dossier, des possibilités qu'il a et des possibilités de droit qu'il peut aller chercher aussi.

M. Bouazzi : En même temps, c'est un problème, vous êtes les premiers à le mettre de l'avant dans cette commission-là. Il y a d'autres problèmes qu'on aurait pu voir. L'idée est juste de tout simplement, une fois qu'on automatise, on numérise, bien, on offre moins de services à côté pour des raisons de rationalisation qui font que, surtout dans des régions, qui font qu'il y a des services qui ne sont plus accessibles du tout à proximité. Est-ce que si on se dit qu'il y a quand même des choses qui vont être numérisées, accélérées, automatisées, et que si c'est si c'est une occasion pour se dire justement, on va pouvoir enfin dégager du temps de qualité de nos fonctionnaires pour pouvoir faire un accompagnement complet partout où il sera nécessaire, est-ce que ça serait une approche, si on veut, respectueuse des services de l'État, d'un côté, la numérisation, de l'autre côté, en fait, tout ce qu'on va dégager plutôt de couper, couper, couper, le transformer en services humains et de qualité?

M. Daigle (Christian) :Bien sûr, et, si c'était ça, je serais le premier à être à côté du premier ministre, lors de l'annonce qui se ferait devant les journalistes, ça me ferait plaisir. Malheureusement, ce qu'on voit à travers le temps, puis ce n'est pas juste au niveau de la CAQ, mais au niveau des autres partis qui ont pu y avoir... dans le passé, lorsqu'on amène cette possibilité-là de sauver du temps, c'est qu'on rationalise, après ça, les effectifs. C'est ça, la difficulté qui se passe à ce moment-là. Donc...

La Présidente (Mme Mallette) : Je vous remercie. C'est malheureusement tout le temps qu'on avait. Donc, merci beaucoup pour la contribution aux travaux de la commission.

Je vais suspendre les travaux quelques instants afin de permettre aux prochains témoins de prendre place.

(Suspension de la séance à 17 h 19)

(Reprise à 17 h 24)

Le Président (M. Simard) : Bien, chers collègues, nous terminons donc cette période de consultation. Et, comme vous le vous connaissez le dicton, les derniers ne seront pas les moins intéressants, hein, c'est à peu près ça?

Une voix : ...

Le Président (M. Simard) : Oui, bon, enfin, c'est... Nous avons la chance de recevoir et l'honneur de recevoir, ce soir, des représentants du groupe Micrologic. Alors, Mme, messieurs, soyez les bienvenus. Auriez- vous, d'abord, l'amabilité de vous présenter?

Mme Jean (Natacha) : Bonsoir. Natacha Jean, directrice des affaires publiques, positionnement stratégique chez Mircrologic. 

Le Président (M. Simard) : Bienvenue.

M. Garneau (Stéphane) : Stéphane Garneau, président et propriétaire de Micrologic. Bonjour, tout le monde.

M. Gagnon (Guy) : Guy Gagnon, vice-président exécutif chez Micrologic.

Le Président (M. Simard) : Alors, nous vous écoutons, et vous disposez de 10 minutes.

M. Garneau (Stéphane) : Je pars le chrono. C'est parti! M. le Président, M. le ministre, Mmes et MM. les députés, bonjour. Mon nom est Stéphane Garneau, je suis président, comme je le disais tout à l'heure, de Micrologic et fabricant du plus important cloud souverain au Québec et au Canada. Merci de nous recevoir aujourd'hui pour vous faire part de nos recommandations concernant le projet de loi n° 82. On apprécie grandement cette occasion unique de présenter nos propositions.

Avant de commencer, permettez-moi de vous présenter brièvement notre entreprise. Depuis 40 ans, on accompagne des centaines d'entreprises et d'organismes publics dans leur transformation numérique. Notre expertise, développée ici même au Québec, nous a permis de générer, ces dernières années, plus de 1,3 milliard de revenus et d'employer plus de 350 experts chevronnés. Des centaines de millions en investissement, de notre part, nous ont permis de nous positionner au niveau mondial. Nous sommes un fournisseur infonuagique retenu par le gouvernement pour les données sensibles, au même titre que les géants. En d'autres termes, nous sommes des experts en cloud, mondialement reconnus. Et, oui, il existe bel et bien une alternative infonuagique 100 % québécoise. Nous avons des mandats et des contrats avec plusieurs ministères, des sociétés, des banques, des grandes...

M. Garneau (Stéphane) : ...qui nous confient leurs données sensibles et hautement sensibles. Un moment critique pour la souveraineté numérique est à nos portes. Le projet de loi n° 82 arrive à un moment critique. Ces dernières années, le gouvernement du Québec a entrepris un virage technologique majeur où la quantité de données sensibles, notamment en santé et dans l'ensemble de l'appareil public, se multiplient de façon exponentielle. Et pourtant, l'actualité récente nous démontre que notre dépendance aux géants américains perdure. S'ils installent des serveurs ici au Québec et au Canada, ils ne peuvent garantir que la donnée restera sur notre territoire avec nos lois, nos règles et qu'elle générera des investissements conséquents en recherche et en développement. Cette question soulève une question fondamentale : Sommes-nous à l'aise de confier l'identité numérique des Québécoises et des Québécois à des entreprises étrangères soumises à des juridictions étrangères? Dans le contexte géopolitique actuel, marqué par des menaces protectionnistes et des représailles économiques du président Trump, cette question prend une dimension encore plus cruciale. Cette question n'est pas simplement technologique, elle est sociétale, elle est politique, elle est morale et surtout elle nous inquiète au plus haut point.

Prenons un exemple concret un fournisseur américain peut bien promettre de conserver les données stratégiques du gouvernement québécois à l'intérieur du Canada, mais pas selon nos lois et pas selon nos règles. Contrairement à la croyance populaire, la localisation des serveurs n'est pas une garantie de souveraineté. Même hébergées en sol québécois, nos données sont contrôlées par des entreprises américaines, des entreprises soumises aux lois de leur pays, là où se trouvent leurs sièges sociaux et leur principal marché.

Face à ces enjeux, nous proposons quatre recommandations essentielles que vous pouvez retrouver dans notre mémoire. La première recommandation, inscrire la souveraineté numérique dans la loi. Nous recommandons d'introduire, dans la loi, le concept de souveraineté numérique. Concrètement, ça signifie que les données les plus sensibles de l'État québécois doivent être régies par nos lois, hébergées sur notre territoire et soumises à un contrôle d'accès sous autorité de l'État. Ailleurs dans le monde, l'Union européenne, l'Australie, la Suède, ce principe existe déjà. En France, un ministre est même responsable spécifiquement, le ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique. Le Canada et le Québec sont en retard sur cette question. Pourtant, notre proximité et le contexte géopolitique avec les États-Unis devraient nous forcer à réagir encore plus vite. Nous devons nous inspirer des Européens, rattraper ce retard et devenir leaders.

La deuxième recommandation, garantir que les informations stratégiques restent sous nos lois. Nous recommandons d'introduire une disposition dans la loi, celle-ci assurerait que les informations stratégiques du gouvernement, dont l'identité numérique nationale, soient exclusivement confiées à des entreprises soumises aux lois québécoises ou canadiennes. Il n'y a rien de plus stratégique que notre identité. Nous ne pouvons accepter que ces données soient conservées dans des serveurs contrôlés par des autorités obéissant à d'autres lois que les nôtres. Les multiples exemples récents des divergences réglementaires avec les GAFAM nous prouvent l'urgence d'agir.

• (17 h 30) •

La troisième recommandation, imposer un seuil minimum de contrats locaux pour contrer notre hyper dépendance aux technologies étrangères, nous proposons d'imposer aux ministères et organismes un seuil minimum de contrats avec des entreprises québécoises qui peuvent assurer des garanties. Sans seuil minimum, il est impossible de contrer des réflexes bien ancrés dans l'administration publique. Les solutions des géants américains sont répandues, connues et attirantes à court terme pour les gestionnaires du secteur public. On comprend tout ça, mais c'est sur le moyen et le long terme et surtout sur le portrait final global que l'État québécois et la société y perdent. Les seuils minimums forceraient une réflexion interne perpétuelle sur la manière d'exploiter à bon escient la force des fournisseurs québécois, notamment en matière de souveraineté numérique. Aujourd'hui, le questionnement de plusieurs organismes : Pourquoi je ferais affaire avec une entreprise québécoise alors que j'ai accès au cloud américain, aux géants? Nous prônons que le questionnement soit plutôt pourquoi utiliser un cloud étranger si le service est disponible ici au Québec? Cette mesure s'inscrit dans l'esprit de la loi n° 12 sur l'achat local et responsable. Depuis l'entrée en vigueur du courtier infonuagique, les... les contrats conclus dépassent le milliard de dollars. Ces investissements devraient pourtant profiter à notre économie locale. Pour que cette recommandation prenne tout son sens, il importe à nos yeux que le MCN ait l'occasion d'orienter les organismes vers une répartition favorable. Le MCN doit être...

M. Garneau (Stéphane) : ...et l'occasion d'orienter les organismes vers une répartition favorable. Le MCN doit être doté d'un réel pouvoir afin d'influencer et d'orienter les choix pour éviter que le tableau final repose sur des fournisseurs dominants, américains, de surcroît. Selon notre expérience, les acteurs de MCN sont très sensibles à cette question et très conscients de ce que nous évoquons, mais il est primordial de leur permettre de détenir plus de pouvoirs d'action. Lorsque nous entrevoyons le portrait global qui se dessine.

Quatrième recommandation, créer un espace de dialogue structuré entre le secteur public et les entreprises spécialisées. Nous proposons la création d'un espace de discussion structuré entre le secteur public et les entreprises québécoises. À l'image de la TechNation mise en place par le fédéral, cet espace permettrait de mieux comprendre les besoins et d'offrir des solutions concrètes. Les entreprises québécoises veulent partager leur expertise. Nous sommes des passionnés. Nous aimerions échanger avec vos équipes dans un cadre neutre, axé sur le partage du contenu percutant. Les géants sont actuellement positionnés aux tables de décision stratégique de plusieurs organisations publiques. Ils influencent, alors, des choix technologiques, qui n'est pas à l'avantage du Québec et qui menace notre dépendance et une liberté de choix sur le long terme.

En conclusion, l'identité numérique québécoise nous apparaît comme une bonne voie à prendre, nécessaire même. Elle représente une occasion unique de bien faire les choses, que les données des Québécois restent leur propriété, qu'elles restent sur notre territoire sous le contrôle de nos lois et sans possibilité d'influence extérieure. M. le Président, M. le ministre, Mmes et MM. les députés, ne laissons pas notre identité numérique nous échapper. Profitons de cette opportunité pour être des leaders, stimuler l'intelligence collective dans l'un des domaines les plus stratégiques de notre écosystème. Je vous remercie infiniment de votre attention.

Le Président (M. Simard) : Merci à vous, M. Garneau. Je cède maintenant la parole au ministre qui dispose, pour ce faire, de 16 min 30 s.

M. Caire : Que je partagerai avec mes collègues, M. le Président.

Le Président (M. Simard) : Très volontiers.

M. Caire : M. Garneau, merci. Écoutez, bien, je ne vous surprendrai pas beaucoup en vous disant que ce que vous venez de dire trouve écho, je pense, avec tous les parlementaires. Ceci étant dit, il y a quand même une réalité avec laquelle on doit composer à travers ce que vous venez de dire, qui sont nos accords internationaux Canada, États-Unis, Mexique, qui sont, quand même, en vigueur, qu'on doit respecter, qui font en sorte que, par exemple, on ne pourrait pas interdire à une entreprise américaine de soumissionner sur un appel d'offres. On ne peut pas interdire le déplacement des données des États-Unis vers le Canada ou du Canada vers les États-Unis. C'est interdit par l'accord. Même si on disait : Ça doit rester au Québec, on ne peut pas... On ne respecterait pas cet accord-là, article 21 de l'Accord Canada-États-Unis-Mexique, si ma mémoire est bonne. Je vous dis de mémoire, M. le député, mais... parce qu'on a déjà eu cette discussion-là. Ce qui fait que le Québec a fait le choix d'opérer son propre service d'infonuagique pour y déposer les données sensibles et... parce qu'il y a une classification des données qui se fait au gouvernement du Québec. Les données sensibles, données stratégiques seront dans le cloud québécois qui... ce n'est pas interdit par aucun accord et qui nous permet d'aller vers ça.

Vous dites, puis je veux vous entendre là-dessus : Il faut aller vers le principe de cloud souverain. J'imagine que, dans ce principe-là, vous incluez l'entreprise privée, par exemple, la vôtre. Mais dans quelle mesure peut-on s'assurer que le cloud va rester souverain? Par exemple, qu'est-ce qui empêcherait Micrologic d'accepter une offre d'achat d'une entreprise chinoise, d'une entreprise américaine ou d'une entreprise autre? Alors, est-ce que, dans le fond, l'idée du cloud souverain, la seule idée qui tienne du cloud souverain, c'est que l'État ait son propre cloud?

M. Garneau (Stéphane) : C'est une bonne question. Qu'est-ce qui empêcherait Micrologic d'être vendue à des Chinois? Rien, mais, à ce moment-là, qu'est-ce qui empêcherait le gouvernement de reprendre possession de ces données-là et les rediriger vers un cloud souverain? Autrement dit, la législation pourrait faire en sorte que le gouvernement s'assure tout le temps, en permanence, d'avoir la pleine maîtrise de ses données. Et si jamais il se passe quelque chose avec le fournisseur, si jamais le fournisseur, il fait une faute, ou si jamais le fournisseur est vendu à des entreprises étrangères, il reste l'option au gouvernement de reprendre le contrôle. Puis c'est pour ça qu'on dit toujours : Le fournisseur ne doit pas donner des technologies qui sont propriétaires.

Il faut que ça soit des technologies ouvertes, des technologies transportables, des technologies qu'on peut envoyer chez un ou chez l'autre, chez le Canadien ou chez l'Américain, justement, au cas où est-ce que quelque chose arrive, que le gouvernement, sans tout reprogrammer, sans mettre des millions et des millions, puisse dire : Bien, à partir de... dans six mois, toutes nos données vont être sorties de ce fournisseur-là pour telle raison, et on les déplace chez un autre fournisseur...

M. Caire : ...c'est... c'est majeur, puis je me permettre une petite dernière avant de passer la parole à mon collègue D'Orford. Mais c'est majeur ce que vous venez dire là, parce qu'effectivement à la question suivante, c'est dire : Oui, fort bien, mais une fois que j'ai signé un contrat avec une entreprise X, que mes systèmes... parce qu'on parle de données, mais ce n'est pas juste des données, il peut y avoir des applications, il peut y avoir des services, etc.

M. Garneau (Stéphane) :  Oui.

M. Caire : Donc, et que tout ça, et là je peux bien dire, je reprends mes billes, mais le dire c'est une chose, le faire, ça en est une autre, sans rupture de service, bien sûr. Donc, ce que vous dites, ce n'est pas seulement que, dans un contrat, il faudrait qu'il soit spécifié que l'entreprise ne peut pas être vendue sous peine de voir le contrat être annulé.

M. Garneau (Stéphane) : Mais en fait, la loi, qu'on propose...

M. Caire : Parce qu'honnêtement on parle, mais je ne sais pas, puis peut-être que Me Setlakwe pourra nous guider là-dessus parce que je ne sais même pas si on pourrait faire ça.

M. Garneau (Stéphane) : Mais c'est justement dans le contexte où est-ce...

M. Caire : Mais c'est qu'en plus, dans nos exigences, il y aurait une exigence de portabilité au niveau des technologies.

M. Garneau (Stéphane) :  Bien, c'est un peu ça.

M. Caire : Ce qui veut dire que, dans le fond, toutes les technologies dites «propriétaires», Microsoft et compagnie, pour ne pas les nommer, seraient exclues d'emblée. Or, est-ce qu'au niveau de la concurrence, est-ce qu'on n'introduit pas---puis là c'est une plainte à l'AMP--- est-ce qu'on n'introduit pas une condition qui discrimine des entreprises et qui élimine la concurrence? Ça fait que je veux dire, c'est que je ne suis pas sûr que notre... notre contexte... Tu sais, c'est parce que... puis c'est important, puis... puis j'aime la discussion, mais en même temps, il faut que les gens comprennent qu'on travaille dans un cadre qui fait en sorte que oui, on peut se dire : Ah! bien, ce n'est pas compliqué, tu as juste à dire j'annule le contrat puis je reprends mes billes. Bien, c'est parce que ça ne marche pas de même.

Puis, la portabilité, je comprends ce que vous me dites, mais si je mets ça dans un appel d'offres, qu'est-ce qui me dit que justement ces entreprises-là ne feront pas des plaintes à l'AMP? Puis l'AMP va dire, effectivement, l'appel d'offres est tendancieux, j'annule l'appel d'offres. Comprenez-vous? Ce n'est pas... ce n'est pas si simple que ça.

M. Garneau (Stéphane) : En fait, ma compréhension par rapport à ce que vous pouvez ou ne pouvez pas, je n'embarque pas là. Par contre, de mon côté à moi, ce que je comprends, c'est que, si le gouvernement met, dans son projet de loi no 82, le fait que les données sensibles des Québécois doivent rester sur notre territoire selon nos lois et règlements, et s'il y a un changement chez le fournisseur chez qui on a fait confiance majeur, autrement dit, s'il y a un changement sur le fournisseur, mais le gouvernement reste propriétaire de sa donnée, puis il reste de par cette loi-là, de par cette obligation-là réglementaire, même pas obligé de le passer dans un appel d'offres, si vous voulez mon avis, mais c'est obligatoire, autrement dit, que s'il y a données nominatives des Québécois sont... sont stockées, il faut que ce soit un fournisseur. Et d'autant plus, il ne faut pas être prisonnier d'un fournisseur, ça fait qu'il faut que le gouvernement puisse à tout moment être capable de dire, ça ne fait plus avec lui, on change. Voilà.

M. Caire : Mais j'aime bien... j'aime bien ce que vous dites, mais j'en reviens à ce que... ce que je disais initialement est-ce que finalement, quitte à acheter une technologie, que ce soit celle MicroLogic, parce que vous êtes propriétaire de vos propres services, de votre propre technologique, acheter une technologie AWS, Azure que le gouvernement soit le propriétaire et l'opérateur de son cloud, est-ce que ce n'est pas la seule façon d'atteindre cette... cette souveraineté-là?

M. Garneau (Stéphane) : Bien, est-ce que MicroLogic est propriétaire de ses propres technologies et est-ce qu'elles sont exclusives à Microcologic, c'est là où est-ce que le gouvernement ne devrait pas aller.

M. Caire : O.K.

M. Garneau (Stéphane) : Autrement dit, quand le gouvernement déplace des charges, il faut que ce soient des charges qui soient en contrôle du gouvernement avec des technologies qui sont maîtrisées par le gouvernement et qu'on peut travailler à plusieurs fournisseurs. À partir du moment où est-ce que c'est un seul fournisseur qui peut exécuter certaines technologies, c'est là que le gouvernement se met dans le trouble. Natacha.

• (17 h 40) •

Mme Jean (Natacha) : Si vous me permettez, M. le ministre, je compléterais sur les exemples de pays qui ont énoncé mon président, la Suède, la Suisse, l'Australie, l'Union européenne. Ça s'est quand même fait naturellement, assez d'emblée, avec une grande mobilisation, là, autant des entreprises qui étaient en place parce que ce n'est pas l'entièreté des données. Ici, on parle aussi de données vraiment névralgiques, stratégiques, sensibles, alors ça laisse la place à encore... ça ne détruit pas toutes les ententes commerciales puis les principes. Ça laisse quand même assez de place à la concurrence puis à d'autres acteurs. Donc, c'est vraiment spécifiquement pour des données...

M. Caire : Sensibles.

Mme Jean (Natacha) : ...des enjeux profondément. Puis on pense que justement, au niveau de l'identité numérique nationale, c'est un exemple type, mais ça n'empêcherait pas, évidemment, de faire affaire avec d'autres compagnies pour d'autres volets puis d'autres données.

M. Caire : De données moins sensibles.

Mme Jean (Natacha) : C'est ça. On peut bien répartir quand même.

M. Caire : Là, j'ai dit que je vous en posais une petite dernière, mais une dernière, dernière.

M. Garneau (Stéphane) : Vous répondrez, vous répondrez.

M. Caire : Tu sais, il y avait... il y avait une annexe, il y avait une annexe à ma petite dernière. Parce que vous avez parlé du courtier en infonuagique, le principe du courtier, c'est on se qualifie, et une fois qualifié, les ministères et organismes font affaire avec qui ils veulent bien.

M. Garneau (Stéphane) : Oui.

M. Caire : Le projet de loi vise à étendre la portée du courtier en infonuagique qui deviendrait le courtier en ressources informationnelles, d'autres services s'y ajoutent...

M. Caire : ...courtier en ressources informationnelles, d'autres services s'y ajoutent. Est-ce que vous voyez là peut-être un élément qui pourrait permettre d'avoir plus de souplesse par rapport au contexte que je viens de d'élaborer, de mentionner, plus de souplesse pour, justement, aller vers des entreprises ou aller... bon, vous comprenez ce que je veux dire, là.

M. Garneau (Stéphane) : On a une expérience, là, ça fait cinq ans qu'on vit avec la phase un du courtier, je vais l'appeler comme ça. Alors, si on regarde les résultats de la répartition des charges, c'est ça qui nous fait dire qu'il faudrait avoir une législation gouvernementale qui contrôle mieux où on place nos billes.

M. Caire : Une législation ou une orientation?

M. Garneau (Stéphane) : Je... Honnêtement, ce n'est pas de mon côté de la table, là, que je peux savoir ça.

M. Caire : Non, mais je vous explique, parce que la législation, comme je vous dis, risque d'être contestée. Le courtier en infonuagique, bon, le principe du courtier en infonuagique, on est d'accord, x nombre de fournisseurs de services se qualifient selon les normes qui sont prises là-dessus, on a eu des discussions, jadis, naguère, il y a longtemps, mais se qualifient selon les normes prescrites. Mais une fois qualifiés, rien n'empêche un ministère, un organisme de donner le contrat à une des entreprises qui s'est qualifiée sans repasser par un processus ou respecter le plus bas soumissionnaire conforme ou, etc. C'est comme ça qu'il fonctionne, le courtier.

Le Président (M. Simard) : Alors, il reste moins de sept minutes à votre groupe parlementaire, M. le ministre.

M. Caire : D'accord. Après, je passe la parole au député...

M. Gagnon (Guy) : Vous posez la question : Est-ce que ce serait mieux une législation ou une orientation? Nous, ce qu'on voit, dans le marché... au niveau des orientations gouvernementales, on le sent, que la volonté est là d'utiliser des services, les bons principes, finalement, d'infonuagique. C'est dans l'application puis dans l'opération où, là, c'est plus difficile, parce que les gens ont... En fait, chaque décision va être justifiée d'une façon ou d'une autre, mais il n'y a pas de... il n'y a pas de poignée pour pour orienter un petit peu plus ou pour amener ce niveau de contrôle là puis cette application-là.

M. Caire : Je comprends.C'est reçu, cinq sur cinq.

Le Président (M. Simard) : M. le député d'Orford.

M. Bélanger : Merci, M. le Président. M. Garneau. Moi, je vais essayer de vous aider... de vous aider. Votre chiffre d'affaires, c'est 1 milliard point...

M. Garneau (Stéphane) : Non, on a généré 1,3 milliard dans les deux dernières années.

M. Bélanger : O.K., puis combien... la main-d'oeuvre, c'est une centaine?

M. Garneau (Stéphane) : 350.

M. Bélanger : 350.

M. Garneau (Stéphane) : 350 experts en infonuagique.

M. Bélanger : Bon. Les centres de données, là, pour... je ne veux pas m'avancer, mais, mettons, pour Hydro-Québec, ce n'est pas des blocs d'énergie qui sont potentiellement intéressants, en termes de rentabilité. Pourquoi? Ou est-ce qu'il y a une disposition de blocs d'énergie suffisante pour être capable d'assurer votre expansion? Puis là je vais aller au niveau... au niveau mondial. Vous avez vu Stargate, l'intelligence artificielle, des centres de données, une croissance... c'est à peu près 10 % de l'énergie électrique mondiale, le Web, les... Et puis, aux États-Unis, si je ne me trompe pas trop, là, ça vient de... 80 %, d'énergie fossile.

M. Garneau (Stéphane) : Oui.

M. Bélanger : Au Québec, bien, on est plus que 80 % d'énergie hydroélectrique. Donc, pour le stockage, c'est de l'énergie verte, puis il n'y a pas de principe de «green data» qui pourrait être... qui pourrait avoir une certaine valeur. Ça fait que j'aimerais ça, vous entendre sur quels sont les freins, de votre côté, en termes d'infrastructures, en termes de blocs d'énergie, en termes de localisation? Moi j'aimerais, mettons, développer des centres de données en région, est-ce qu'il y a des liens de transport de gros au niveau de la fibre qui sont... Est-ce qu'on devrait les mettre... des barrages? Est-ce que ça va créer des emplois payants? Parce que, si je me fais dire : Gilles, les centres de données, ce n'est pas payant, ça ne crée pas de jobs... Bien, peut-être que ça ne crée pas de jobs, mais peut-être qu'avec les taux que vous payez d'électricité, peut-être que ça donnerait une bonne profitabilité. Ça fait que je veux vous entendre là-dessus.

M. Garneau (Stéphane) : Bien, on sait que le Québec est choyé, en termes de climat, est choyé en termes d'électricité et d'énergie verte. Nous, de notre côté... vous m'avez posé la question directement, nous, de notre côté, on a suffisamment de capacité électrique, et pour le traitement de l'intelligence artificielle écoresponsable, et pour le traitement de la donnée gouvernementale.

Il faut savoir qu'on a fait un plan de 150 millions de financement, il y a deux ans, et c'était essentiellement pour nous préparer à recevoir une vague, parce que nous, on part à la conquête du pays pour officialiser le cloud souverain pancanadien. Donc, il fallait qu'on réserve nos blocs d'électricité, il fallait qu'on réserve notre espace, il fallait aussi qu'on embauche nos experts. Ça se fait sur plusieurs années d'avance. Ça fait que, demain matin, si je voulais partir un cloud parce que c'est une bonne idée, il faudrait que j'attende quelques années avant d'être prêt.

M. Bélanger : Est-ce que les GAFAM valorisent... bien, peut-être pas pour les prochaines quatre années, là, mais valorisent le «green data», là, que ce soit traité avec une énergie propre, versus de l'énergie fossile?

M. Garneau (Stéphane) : Les GAFAM sont mélangés. Autrement dit, il faut qu'ils achètent des crédits carbone...

M. Garneau (Stéphane) : …il faut qu'il y ait de l'énergie fossile et, une fois de temps en temps, leurs données sont au Québec, alors que, du côté de nous, c'est un cloud 100 % vert. Alors, c'est avantageux pour le Québec de travailler avec des partenaires qui ont leurs centres de données ici, au Québec, essentiellement.

Et deuxièmement, par rapport à l'emploi, l'emploi n'est pas juste dans la consommation immédiate, l'emploi est dans l'innovation aussi. Chaque contrat qu'on envoie à un fournisseur d'ici ça crée des… Chaque dollar qui arrive ici, ça crée des emplois ici et ça crée de l'innovation ici. Et c'est là, à ce moment-là, qu'on va exporter et qu'on va exporter avec de l'énergie verte nos solutions. Un peu partout à travers le monde, actuellement, on se fait regarder parce qu'on est un des premiers centres de traitement écoresponsables pour l'intelligence artificielle. Alors, toutes les entreprises qui sont embarqués dans une initiative ESG nous regardent en ce moment. Donc, c'est la preuve que si des entreprises ici profitent de notre énergie, profitent de notre climat et profitent de notre inventivité pour faire des centres de données qui sont écoresponsables, bien, plutôt que de donner ces avantages-là aux firmes américaines, bien, c'est le Québec qui en profite.

M. Bélanger : Êtes-vous capable d'avoir… puis votre collègue va vouloir… je vais vous laisser parler, mais êtes-vous… Est-ce que vous êtes capables d'avoir accès à ces données-là qui… Est-ce que les liens de communication sont suffisants pour être capables de recevoir ces données-là?

M. Garneau (Stéphane) : Je vais laisser répondre mon collègue.

M. Bélanger : …la redondance est suffisante et…

M. Gagnon (Guy) : Oui. Bien, moi, j'aimerais revenir sur votre point d'avant. Les centres de données sont un élément essentiel, même si on pense que, la bâtisse et l'opération de la bâtisse, vous vous faites dire que ça n'apporte pas d'emploi. Ça nous permet à nous d'installer des… d'installer des infrastructures, d'avoir des équipes de développement, équipes de recherche, des équipes de… pour développer l'utilisation des services. Ça fait que nous, on utilise finalement l'infrastructure physique du centre de données pour amener une valeur par-dessus. Ça fait qu'il y a… il y a des effets collatéraux d'avoir des centres de données au Canada, même si, à première vue, ça peut sembler faible, là, il y a ces avantages-là.

M. Garneau (Stéphane) : Mais, quand je visite nos centres de données puis que je vois que 75 % de l'espace, c'est des firmes américaines et que le Québec ne profite pas des retombées monétaires de tout ce qui se passe dans ces serveurs-là, c'est là que la problématique est. Puis, autrement dit, ce qui se passe à l'intérieur de ces serveurs-là, c'est-tu au bénéfice du Québec? C'est-tu au bénéfice des entreprises de l'extérieur qui font affaire avec nous ici? C'est là où est-ce qu'on pourrait s'améliorer.

M. Bélanger : M. le Président, il me reste combien de minutes?

Le Président (M. Simard) : 1 min 10 s.

M. Bélanger : 1 min 10 s. Bon. Parfois, je dirais que je peux… c'est des questions plantées, là, mais il y a quand même un peu de pédagogie à faire à ce niveau-là, parce que c'est… on a souvent tendance à transformer l'énergie en emplois créés. Puis aujourd'hui l'énergie, on… ça peut être profitable, de l'énergie. On pourrait… on pourrait avoir, je vous donne un exemple, un barrage avec des centres de données, puis un peu de… du «cloud computing» un petit peu à côté, avec des… une couple d'ingénieurs qui font de la programmation, avec des algorithmes. Et puis la profitabilité de la vente de l'énergie serait intéressante et les emplois créés. Ça fait que je trouve qu'il y a une lacune à ce niveau-là. Pourquoi dans les filières… dans les filières économiques puis les blocs énergétiques, pourquoi ce marché-là n'a pas été plus… la promotion n'est pas faite?

M. Garneau (Stéphane) : Je ne pourrais pas dire, honnêtement. Ce que je peux dire, c'est que la promotion de l'achat local souverain, qui crée de l'emploi, lui, on l'a fait beaucoup.

Le Président (M. Simard) : Malheureusement, M. Garneau, le bloc imparti à la partie gouvernementale est complété. Et je cède maintenant la parole à la députée de La Pinière qui dispose de 12 minutes 23 secondes.

• (17 h 50) •

Mme Caron : Merci beaucoup. Alors, merci pour votre présentation. La première question que j'aurais à vous poser concerne votre recommandation numéro quatre. Vous parlez de mettre en place un espace de discussion pour mieux comprendre les projets, les modifications législatives. Est-ce que c'est quelque chose que vous proposez, vous recommandez de faire en amont de l'étude et de l'adoption du projet de loi, ou c'est quelque chose qui viendrait après?

M. Garneau (Stéphane) : De façon continue, en fait. C'est que, là, aujourd'hui, on voit que, quand un fournisseur, exemple, américain est installé chez un organisme, les recommandations viennent de lui, essentiellement, et c'est petit à petit de cette façon-là qu'on devient dépendant puis qu'on fait des choix technologiques qui ne sont pas au bénéfice de tous les Québécois. Donc, nous, on le voit, là, c'est notre réalité. On a de la misère à accéder à notre propre appareil gouvernemental, alors que les géants de l'autre bord de la porte, qui sont… qui sont contactés par les ministères et organismes, ont tous accès à toute cette information-là. Ça fait que, là, on se dit : Il faudrait sortir tout ça et de créer une commission officielle et un espace, dans le fond, de façon officielle, pour parler et pour recommander.

Mme Caron : D'accord. Merci. Vous avez dit, tout à l'heure...

M. Garneau (Stéphane) : …permettre de partager l'expertise aussi, effectivement.

Mme Caron : En passant, comme ça tout à l'heure, vous avez dit que, si, demain matin, une entreprise décidait de créer un nuage… oui, pour… un nuage souverain, oui, pour… parce que c'est une bonne idée, ça pourrait prendre quelques années avant de réussir à le faire…

M. Garneau (Stéphane) : Ça fait 10 ans…

M. Garneau (Stéphane) : ...ça fait 10 ans qu'on le fait, nous.

Mme Caron : Ça fait 10 ans que vous le faites. Alors, je comprends que si le ministère de la Cybersécurité et du Numérique décidait de faire son propre nuage souverain dans le cadre de ce projet de loi ou en découlant, ça lui prendrait plusieurs années. S'il voulait le faire à l'interne, il ne pourrait pas... parce qu'on s'est fait dire qu'il n'y a pas les ressources actuellement à l'interne. Alors, si même avec les ressources, ça peut prendre plusieurs années avant de le faire, on n'est pas sorti de l'auberge si on veut le faire à l'interne.

M. Garneau (Stéphane) : En fait, est-ce que le gouvernement est à même de se faire son propre cloud privé? Ce n'est pas à moi d'en juger. Par contre, est-ce que le gouvernement pourrait venir nous voir pour dire comment qu'on peut faire une collaboration et avoir la pleine maîtrise et le plein contrôle sur ce qui va se passer au niveau de la donnée, mais toi, tu t'occupes des serveurs, tu t'occupes de la mémoire, tu t'occupes de la bâtisse, tu t'occupes de l'électricité? C'est plus ce genre d'élément là qu'on devrait peut-être envisager plutôt que de tout repartir à zéro. Mais comme je vous dis, je ne suis pas c'est quoi que le gouvernement a fait de son côté. Par contre, de l'autre côté de la clôture, on a un cloud qui est déjà prêt, on a un cloud qui est souverain, on a un cloud qui est utilisé par presque la moitié des ministères et organismes, par des banques canadiennes. Donc, on est en opération actuellement, là. Moi, c'est «overnight», là, qu'on peut accueillir le gouvernement. Donc, dans le cadre du projet de loi, est-ce qu'il y a une pertinence de tout refaire à zéro ou il y a une pertinence plutôt d'attacher un fournisseur d'ici qui est capable de prendre ça, mais, encore une fois, l'attacher, mais rester maître de la donnée? Merci.

Mme Caron : Avant de donner la parole à ma collègue, je sais, bon, que vous êtes dans l'infonuagique, mais on a eu plusieurs conversations depuis hier, vous êtes le dernier groupe, sur la traçabilité des données, l'intégrité des données, l'autosouveraineté des données pour les individus sur sur leurs propres données et de savoir qui a accès et aussi sur l'utilisation d'un code libre que le gouvernement envisage de faire. Est-ce que vous avez des recommandations là-dessus ou des mises en garde sur ces quatre sujets là?

M. Gagnon (Guy) : Bien, en fait, ce qui est important pour nous... de façon générale, ce qui est important quand on va... quand on décide de faire l'utilisation des technologies cloud, c'est de s'assurer de rester en contrôle, que le client, le consommateur s'assure de rester en contrôle en tout temps de ses données. C'est lui le propriétaire. Nous, les fournisseurs de Cloud, là, généralement, il y a des mécanismes en place pour empêcher qu'on ait un accès à ces données-là. Les clés de contrôle appartiennent au client, tout ça est là. Ça fait que nous, on est là pour maintenir la machine, s'assurer que le service soit disponible, s'assurer que les choses soient faites. Contractuellement, bon, il y a déjà, dans le programme du courtier présentement, il y a déjà des niveaux de classification de protection des données à différents niveaux. Ça fait que vous pourriez tout simplement ajouter un niveau supplémentaire avec des exigences supplémentaires pour lesquelles le fournisseur qualifié devrait se conformer. Puis là, à ce moment-là, bien, contractuellement, bien, on a des on a des obligations envers vous de reddition de comptes, de traçabilité et de tout ça, là.

M. Garneau (Stéphane) : Quant à la traçabilité, c'est déjà des mesures qu'on met en place. On a des banques actuellement comme client et les banques veulent savoir, c'est ce quand est-ce que nous, on joue et c'est quand est-ce qu'eux ils jouent au niveau des serveurs. C'est pris en compte. On a des organismes majeurs au gouvernement qui sont... actuellement, on a déjà des données citoyennes sur nos installations. On ne sait pas, on ne sait pas c'est qui, on ne sait pas c'est quoi, on ne sait pas pourquoi. Par contre, le responsable législateur qui nous a octroyé le contrat, lui, il sait très bien quand est-ce qu'on met les yeux sur sur les serveurs et pourquoi, combien de temps, puis quand est-ce que ça revient. Ça fait que c'est déjà en place, ces éléments-là et c'est nécessaire que ce soit en place, ces éléments-là.

Mme Caron : Merci.

Mme Setlakwe : Merci, je vais poursuivre. Merci beaucoup pour votre temps, pour votre mémoire. Rappelez-nous... vous êtes déjà actif en termes de contrat avec le gouvernement. Pouvez-vous élaborer un peu plus sur ce que vous faites déjà? Vous êtes déjà présent?

M. Garneau (Stéphane) : Oui. En fait, moi, je suis comme une banque, là, je ne peux pas dire le nom de mes clients dans le sens où est-ce c'est des données qui sont protégées. Vous avez accès quand même, à travers l'appareil public, de savoir où on est contracté. On a à peu près, dans les cinq dernières années, contracté une cinquantaine de millions de contrats infonuagiques avec les différents organismes, donc des sociétés d'État, actuellement, des ministères, énormément de ministères, de la Santé, de l'Éducation, l'université, comme je disais tantôt, le volet bancaire. Donc, c'est une petite portion des contrats qui ont été octroyés, mais une portion suffisante pour dire : Est-ce qu'ils sont capables réellement de gérer les serveurs du gouvernement? Est-ce qu'ils sont capables réellement? On peut-tu leur faire confiance?

Donc, le niveau où est-ce qu'on est rendu, là, à 50, 60 millions de contrats octroyés depuis deux, trois et quatre ans, selon moi, est suffisant si l'appareil public voulait valider jusqu'où on peut aller avec un fournisseur d'ici. Il y a cinq ans, quand que je disais : Nous aussi, on est capables, nous aussi, on est capables, nous aussi, on est capables, personne ne pouvait voir : Est-ce qu'ils sont capables vraiment? Cinq ans plus tard, on a, entre guillemets, livré la marchandise et non seulement livré la marchandise, mais on a vu un peu aussi...

M. Garneau (Stéphane) : ...la contrepartie, on a vu les joueurs américains s'exécuter en même temps. Donc, on a énormément appris. Le MCN a énormément appris. Nous aussi, on a énormément appris et on a appris, en fait, qu'on était capables. C'est ça qu'on a appris.

Mme Setlakwe : Merci. Pouvez-vous vulgariser, là? On dit souvent, en commission parlementaire, pour le bénéfice de ceux qui nous écoutent, mais adressons-nous, là, au citoyen québécois moyen. Quel est l'avantage dans la vie... dans sa vie quotidienne? Quels sont les avantages concrets pour les Québécois d'avoir des compagnies québécoises actives dans ces domaines-là, d'infonuagique et autres?

M. Garneau (Stéphane) : Bien, on le disait tantôt, selon nous, il faut qu'un fournisseur soit tenu de respecter les lois québécoises et canadiennes. On l'a vu avec les GAFAM, quand c'est des lois qui ne font pas leur affaire, on n'a pas de contrôle et on n'a pas de mainmise sur eux, alors que, si c'est un fournisseur canadien et québécois, il se doit de respecter les exigences réglementaires. Donc, moi, je n'ai pas le choix de respecter les exigences et les règlements canadiens. Ça, c'est dans un premier temps.

Dans un deuxième temps, favoriser l'innovation locale. C'est là où est-ce qu'on devient riche de façon collective, c'est là où est-ce qu'on développe des innovations, c'est là où est-ce qu'on développe notre expertise, puis c'est là où ce qu'on peut dire : Bien, s'il arrive quoi que ce soit dans l'économie, s'il arrive quoi que ce soit dans le contexte géopolitique, parce qu'on est vraiment pris pour faire affaire avec des entreprises étrangères, où on a réussi à développer notre propre expertise ici... En toute transparence, on est chanceux, je trouve, d'être capables de parler aujourd'hui d'intelligence artificielle, de parler aujourd'hui d'infonuagique parce qu'on a... on a décidé de faire partie de ce mouvement-là. On aurait pu être des consommateurs uniquement des clouds Américains, et il n'y aurait plus jamais d'expertise ici, au Québec, par rapport à l'infonuagique ou par rapport au traitement de l'intelligence artificielle.

Donc, pour les consommateurs ou les citoyens qui nous écoutent, selon moi... Tu sais, je dis toujours la question : Est-ce qu'on serait à l'aise d'avoir seulement des banques américaines pour placer notre argent, pour gérer nos hypothèques, pour gérer nos marches de crédit, est-ce qu'on serait à l'aise? Moi, je ne serais pas à l'aise, et je suis content de savoir qu'il y a des banques canadiennes, de même type que nos données sont aussi importantes maintenant que notre argent. Et c'est pertinent de voir nos données ici par des fournisseurs.

Mme Setlakwe : Je... en prémice à ma prochaine question, je comprends très bien le cadre dans lequel le gouvernement évolue, le respect des règles de marchés publics, l'intégrité, etc., le SEAO, mais quel est quand même le principal irritant pour vous et quelles recommandations feriez-vous au gouvernement, à nous, là, les parlementaires, mais surtout au gouvernement, pour vous permettre d'aller plus loin dans l'obtention de contrats gouvernementaux?

Mme Jean (Natacha) : Oui, on me laisse répondre? Alors... Bien, on l'a énoncé tantôt, puis je complétais la réponse de M. Garneau auprès du ministre, on a besoin, je pense, de leviers. Il y a une bonne intention, de bonnes écoutes jusqu'à présent. On vous... M. le ministre, on vous a parlé à quelques reprises, vos équipes aussi. On a... Il y a une directive au niveau des ministères pour favoriser les entreprises d'ici, pour également tenir compte du principe de souveraineté, mais c'est... Ça va prendre un outil plus, ça va prendre un incitatif de plus. Le ministère, M. le ministre, vous le savez, vous avez des bonnes intentions, vous êtes là pour orienter, mais on pense que ça va prendre un levier beaucoup plus officiel puis un peu plus solide pour exercer une équité puis une répartition. Parce que la façon dont ça se passe, c'est... Les gens qu'on rencontre comprennent qu'est-ce qu'on est en train de se dire. Puis je pense qu'on... vous êtes à même de voir la logique de ce qu'on vous présente depuis quelques minutes.

• (18 heures) •

Par contre, dans les faits, globalement, quel choix... au total, les gouvernements... les ministères et organismes vont faire? Bien, c'est très, très possible que, s'il n'y a pas une obligation, s'il n'y a pas un chien de garde ou un organisme comme le MCN qui peut s'assurer que, globalement, la majorité des données et même peut-être la... la presque totalité des données peuvent être contrôlée et hébergée par des compagnies américaines. C'est un risque qu'on voit. Et on vous sensibilise au fait qu'on a vu qu'il y a eu beaucoup d'investissements, qu'il y a eu beaucoup d'efforts pour le transfert des charges vers l'infonuagique dans les dernières années, mais le plus... les plus gros morceaux, c'est dans le prochain deux ans probablement, que la migration va se faire. Alors, c'est très, très important. Comme pour le dossier d'identité... de l'identité numérique nationale, qu'il y a des données, par exemple, dans le secteur de la santé, où nos dossiers patients vont se trouver, c'est très important de laisser la chance au MCN d'avoir un regard global puis pouvoir faire des représentations en ce sens-là. Parce que tout le monde veut que Micrologic, évidemment, perce puis augmente son champ d'action, mais, dans les faits, les... la façon dont ça se dessine, de façon éclatée, il n'y a personne qui peut s'assurer que la répartition est équitable.

M. Garneau (Stéphane) : Quand on achète des souris ou des crayons, des fois on entend la notion de... de faire le tour des fournisseurs, hein, on... des fois on a... on a assez donné à un fournisseur, on va partager un peu la charge à travers les différents fournisseurs. Ça ne se fait pas au niveau de l'infonuagique...

M. Garneau (Stéphane) : ...alors Microsoft pourrait avoir 100 % des charges, puis il n'y a rien qui fait en sorte que le ministère puisse équilibrer les charges à travers les différents fournisseurs. Donc, nous, on prône un équilibre de charges.

M. Gagnon (Guy) : Peut-être aussi, vous vous demandez quelles actions on pourrait avoir ou quels éléments on pourrait avoir pour aider, M. le ministre en parlait tantôt, l'utilisation de services propriétaires propres à un seul fournisseur. Évidemment, le modèle d'affaires des fournisseurs cloud, c'est d'attacher son client le plus longtemps possible. Aussitôt qu'on va utiliser une... une spécificité ou une fonction propre à celui-là, vous êtes pris pour 10 ans, 10 ans à 15 ans, parce que l'effort de sortir de là va être incroyable. Puis la portabilité des données, ça fait partie intégrante du principe de souveraineté numérique. La portabilité des données, il faut que ce soit...

M. Garneau (Stéphane) : C'est 10 ans, hein, le temps moyen chez un fournisseur infonuagique, c'est 10 ans. Alors, si on donne un contrat aujourd'hui à un fournisseur américain pendant 10 ans, normalement, il va avoir de la continuité au niveau de ce contrat-là. Ça fait que c'est énormément d'argent qu'on envoie...

Une voix : Merci.

Le Président (M. Simard) : Très bien. La parole revient maintenant au député de Maurice-Richard.

M. Bouazzi : Merci beaucoup. C'était fort intéressant. Je vais poussais un peu, avec vous, votre raisonnement, puis ne m'en voulez pas, je vais aller un peu sur... Mais, bon, vous avez dit... Nous, on a plusieurs problèmes à régler. Bone, l'un sait, il y a des compagnies américaines qui ont des gros clouds, qui ont pratiquement des monopoles, là, sur la planète, et ils sont dirigés par quelqu'un qui s'en va vers une sorte de fascisme, là, son bras droit fait des saluts nazis. Il fait partie d'ailleurs de la gang des GAFAM, etc. Ça fait qu'on s'entend que ce n'est peut-être pas une bonne idée de mettre les données.

Ceci étant dit, si on va voir Amazon, AWS ou Azur, on peut leur demander de rester dans les sites qu'ils ont ici, au Québec et à Toronto, c'est-à-dire, ce n'est pas impossible de leur dire : Vous, ce que vous leur apportez, c'est de dire : Nous, on est ici. Il reste deux problèmes à résoudre. L'idée, c'est de dire... c'est ce que... tout à l'heure, la question de M. le ministre, de dire : Bien oui, mais si vous vous faites racheter, bien, on a, tout d'un coup, un nouveau problème. Mais, ceci étant dit, ça nous règle tout de suite un problème qui est quand même majeur, c'est e ne pas avoir à dealer avec des données qui peuvent aller à l'étranger, et puis surtout avec des compagnies, on ne sait pas ce qu'elles peuvent faire.

Ma question pour vous, c'est : Si on parle d'un cloud privé pour le gouvernement, vous en avez parlé un peu tout à l'heure, est-ce que c'est le genre de partenariat où vous pouvez dire : Bien oui, nous, on va s'installer avec vous pour avoir un gros cloud qui vous appartient au bout du compte. Mais comme l'expertise, et c'est un problème qui est revenu 22 fois, à chaque fois que quelqu'un nous parlait d'expertise, bien, on va vous aider à le monter, on va peut-être le gérer pour vous, mais ça ne sera pas notre cloud. C'est-à-dire, si les Chinois vous achètent, ça reste quelque chose qui appartient... je dis les Chinois, les Américains...

M. Garneau (Stéphane) : Premièrement, la souveraineté numérique, c'est pour ça qu'on donne, dans le projet de loi, une recommandation qui dit qu'on devrait officialiser c'est quoi, la souveraineté numérique. Parce que ce n'est pas juste d'être sur notre territoire, c'est d'être sur notre territoire par une entreprise 100 % canadienne, qui est obligée de respecter les lois 100 % canadiennes. Donc, pour nous, il y a une pertinence, là, assurément, d'officialiser c'est quoi, une souveraineté numérique.

Dans un deuxième temps, est-ce que la Loi sur l'identité numérique devrait être léguée à un partenaire souverain? Définitivement, la réponse, c'est oui. Donc, au départ, on reconnaît la souveraineté de la donnée, la souveraineté numérique et, dans un deuxième temps, on considère que, dans le projet de loi, ça devrait faire partie des exigences.

Maintenant, où on va les déposer, qui va les déposer, qui va les gérer? Comment on va construire ce contenant-là pour recevoir ces données-là? C'est sûr et certain qu'on a un fournisseur canadien, québécois dans notre cour, qui a tout fait, cette infrastructure-là. Est-ce qu'on peut travailler en partenariat avec le gouvernement pour que le gouvernement reste les deux mains sur le volant, mais qui n'a pas besoin de visser des vis dans les serveurs, qui n'a pas besoin de réserver de l'électricité, qui n'a pas besoin d'acheter des équipements, qui n'a pas besoin d'embaucher 350 technologues? Assurément qu'on peut apporter notre expertise à la table. De quelle façon ça peut se faire? Je ne le sais pas, mais c'est sûr que c'est ce qu'on prône. Nous, on veut être des citoyens corporatifs et des citoyens du Québec engagés, qui disent : On va aller donner un coup de pouce au gouvernement pour faire en sorte que la souveraineté numérique soit reconnue.

M. Bouazzi : J'ai très peu de temps, je m'excuse. Et donc, juste pour être clair, parc que... pour que les gens qui nous écoutent comprennent, là on ne parle plus d'utiliser votre cloud comme étant votre cloud, mais on parle de construire un cloud privé du gouvernement qui permettrait de régler un peu tous les problèmes, dont on parle, hein, parce qu'on profiterait... Et une des choses dont vous avez parlé, et vous n'aurez pas le temps de répondre, malheureusement, mais une des choses dont vous avez parlé, c'était l'idée d'être agnostique un peu du, je ne sais plus, cloud et de pouvoir... Bon, j'ai vu que vous aviez, je ne sais plus, OpenShift, par exemple... où il y a toutes sortes de technologies, mais on s'entend que c'est quand même très compliqué de pouvoir sauter dans... d'un cloud à un autre, etc. Ça fait que ça apporte beaucoup de complexités aussi, le fait d'être agnostique.

M. Garneau (Stéphane) : La portabilité, ce n'est pas quelque chose qui devrait être compliqué...

M. Garneau (Stéphane) : ... En toute transparence, la portabilité, c'est quelque chose qui est accessible en ce moment.

M. Bouazzi : O.K.

Le Président (M. Simard) : Très bien.

Mme Jean (Natacha) : ...en matière de coûts et échéanciers aussi, travailler... un partenaire qui est déjà habilité, qui travaille avec...

Le Président (M. Simard) : Très bien.

Mme Jean (Natacha) : énormément de... déjà de clients, ça pourrait optimiser.

Le Président (M. Simard) : Voilà. Le temps est déjà malheureusement révolu. Bien, M. Garneau, je suis persuadé que ce soir il y a beaucoup de Québécois et de Québécoises qui ont appris à vous découvrir, découvrir ce que vous êtes, ce que vous faites, vos propos étaient fascinants. Merci d'avoir contribué à cette consultation, cette consultation d'ailleurs qui se termine. Et, avant de clore nos travaux, bien entendu, je dépose les mémoires au secrétariat qui n'ont pas pu être auditionnés.

Et, comme nous avons accompli, et d'ailleurs très bien accompli notre mandat, j'ajourne nos travaux sine die. Belle fin de soirée à toutes et à tous.

(Fin de la séance à 18 h 07)