To use the Calendar, Javascript must be activated in your browser.
For more information

Home > Parliamentary Proceedings > Committee Proceedings > Journal des débats (Hansard) of the Committee on Institutions

Advanced search in the Parliamentary Proceedings section

Start date must precede end date.

Skip Navigation LinksJournal des débats (Hansard) of the Committee on Institutions

Version finale

42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)

Thursday, August 13, 2020 - Vol. 45 N° 78

Special consultations and public hearings regarding digital contact notification applications, their relevance and usefulness and, if applicable, the conditions for making them socially acceptable in the fight against COVID-19


Aller directement au contenu du Journal des débats

Table des matières

Auditions (suite)

Commission des droits de la personne et des droits de la jeunesse (CDPDJ)

Commission d'accès à l'information (CAI)

M. Benoit Dupont

M. Sébastien Gambs

M. Mourad Debbabi

M. André Mondoux

M. Pierre-Luc Déziel

Association québécoise des technologies (AQT)

M. Steve Waterhouse

Autres intervenants

M. André Bachand, président

M. Gabriel Nadeau-Dubois

M. Mathieu Lévesque

Mme Lucie Lecours

Mme Joëlle Boutin

Mme Marwah Rizqy

M. Martin Ouellet

M. Guy Ouellette

M. Luc Provençal

Mme Marie-Claude Nichols

*          M. Philippe-André Tessier, CDPDJ

*          Mme Marie Carpentier, idem

*          Mme Diane Poitras, CAI

*          Mme Nicole Martel, AQT

*          M. Alain Lavoie, idem

*          Témoins interrogés par les membres de la commission

Journal des débats

(Neuf heures)

Le Président (M. Bachand) : Bon matin, tout le monde. À l'ordre, s'il vous plaît! Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte. Je vous souhaite, bien sûr, la bienvenue, et je vous demande, à toutes personnes présentes présentes dans la salle, de bien vouloir éteindre la sonnerie de votre appareil électronique.

La commission est réunie afin de procéder aux consultations particulières au sujet d'outils technologiques de notification des contacts ainsi que sur la pertinence de ce type d'outils, leur utilité et, le cas échéant, les conditions de leur acceptabilité sociale dans le cadre de la lutte contre la COVID-19.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. Mme Lachance (Bellechasse) est remplacée par M. Provençal (Beauce-Nord); M. Lamothe (Ungava) est remplacé par Mme Boutin (Jean-Talon); Mme Robitaille (Bourassa-Sauvé) est remplacée par Mme Nichols (Vaudreuil); M. Tanguay (LaFontaine) est remplacé par Mme Rizqy (Saint-Laurent); M. Fontecilla (Laurier-Dorion) est remplacé par M. Nadeau-Dubois (Gouin); M. LeBel (Rimouski) est remplacé par M. Ouellet (René-Lévesque).

Le Président (M. Bachand) : Merci beaucoup. Ce matin, nous entendrons les personnes des groupes suivants, donc : la Commission des droits de la personne et des droits de la jeunesse, la Commission d'accès à l'information du Québec, le directeur scientifique du Réseau intégré sur la cybersécurité, de même que le titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives. Donc...

M. Nadeau-Dubois : M. le Président.

Le Président (M. Bachand) : Oui.

M. Nadeau-Dubois : Si je peux me permettre, juste un petit instant, avant qu'on entende notre premier invité, hier, durant la journée, à plusieurs reprises, les députés membres de la Coalition avenir Québec, dans leurs questions, ont fait allusion à une consultation qui a eu lieu dans les dernières semaines au Québec, une consultation en ligne sur l'application dont on discute cette semaine, il en a même été allusion dans le cas du point de presse de la députée de Jean-Talon. Les députés semblent avoir de l'information que les députés de l'opposition n'ont pas au sujet de cette consultation. La députée de Jean-Talon a même révélé en point de presse qu'il y avait eu 17 000 personnes qui avaient participé à la consultation.

Pour qu'on puisse collaborer ensemble puis qu'on puisse travailler de manière réellement collégiale, au-delà de nos allégeances politiques, je demanderais aux députés de la Coalition avenir Québec de bien vouloir nous transmettre l'information qu'ils ont au sujet de cette consultation-là, parce que sinon on se retrouve dans une consultation où il y a deux catégories de députés : des députés qui sont dans le bon parti et qui ont donc, de toute évidence, de l'information au sujet des résultats de cette consultation et des députés qui sont dans les mauvais partis et qui, eux, n'ont pas ce privilège.

Alors, avant qu'on commence puis pour qu'on commence nos délibérations, aujourd'hui, d'un bon pied, sur un ton de collégialité puis de travail transpartisan, moi, j'aimerais qu'on nous donne accès à ces informations-là. Ça a filtré dans une organisation de presse, ça filtre par moments, par certains points de presse, dans certaines questions. Alors, moi, j'aimerais qu'on nous transmette cette information-là, puis, je pense, ça aiderait beaucoup à la bonne marche de nos travaux aujourd'hui.

Le Président (M. Bachand) : Merci, M. le député. Je vais vous rappeler que tout le monde possède des informations sur ce dossier, mais il n'a jamais été question de publication, alors donc il n'y a pas de dépôt de document. Ce sont des informations qui peuvent avoir... mais il n'y a pas de publication. Donc, on ne peut pas déposer quelque chose qui n'est pas publié. Ça va? Merci beaucoup.

Auditions (suite)

Donc, nous allons débuter les auditions. Alors, je souhaite donc la bienvenue aux gens de la Commission des droits de la personne et des droits de la jeunesse.

M. Nadeau-Dubois : ...

Le Président (M. Bachand) : Pardon, M. le député?

M. Nadeau-Dubois : J'ai dit j'allais appeler le reporter de TVA, Alain Laforest, puisque lui semble avoir plus d'information que moi comme député.

Le Président (M. Bachand) : Merci, M. le député. Alors, je cède donc la parole aux gens de la Commission des droits de la personne et des droits de la jeunesse. Alors, Me Tessier, Me Carpentier, vous avez 10 minutes de présentation, et, par après, nous allons procéder à la période d'échange. Alors, bienvenue, Me Tessier.

Commission des droits de la personne
et des droits de la jeunesse (CDPDJ)

M. Tessier (Philippe-André) : Merci, M. le Président. Mmes et MM. les députés, alors, évidemment, Philippe-André Tessier, président de la Commission des droits de la personne et des droits de la jeunesse. Je suis accompagné de Me Marie Carpentier, conseillère juridique à la recherche à la commission.

Évidemment, je vous remercie de l'invitation qui est faite à la commission de participer à ces consultations particulières et audiences publiques sur les outils technologiques de notification des contacts, sur la pertinence de ce type d'outils, leur utilité et, évidemment, le cas échéant, les conditions de leur acceptabilité sociale dans le cadre de la lutte contre la COVID-19.

Conformément à sa mission d'assurer le respect et la promotion des principes énoncés à la Charte des droits et libertés de la personne du Québec, la commission a examiné la proposition du gouvernement afin d'en vérifier la conformité aux principes énoncés dans cette charte et d'en faire les recommandations qu'elle estime appropriées.

Au cours des derniers mois, nombreux experts et défenseurs des droits et libertés de la personne ont manifesté leurs réserves ou leur opposition à ce sujet et ont réclamé la tenue d'un débat public sur la question. La commission tient donc tout d'abord à saluer que le gouvernement prenne acte des préoccupations exprimées quant au recours à des outils technologiques dans la lutte contre la pandémie et qu'il organise un débat public.

La commission salue également le fait que le gouvernement envisage d'adopter seulement le type d'outil technologique considéré comme étant le plus respectueux de la vie privée et qu'il exclut les dispositifs de surveillance enregistrant notamment les données de localisation des personnes. Le gouvernement a en effet posé ce qu'il estime être les conditions d'acceptabilité sociale d'une application de notification d'exposition en faisant la liste des fonctionnalités désirées. On peut noter l'accent sur le caractère gratuit et volontaire, la confidentialité, le traitement minimal des renseignements personnels et le stockage protégeant la vie privée. Cela témoigne d'une prise en compte d'observations émises par plusieurs experts et organisations de santé publique et de défense des droits et libertés.

Suivant le mandat qui lui incombe, la commission a procédé à son analyse non pas sur l'acceptabilité sociale, mais sur les dispositions de la charte, en se basant notamment sur les atteintes potentielles au droit au respect à la vie privée et au droit à l'égalité garantis par les articles 5 et 10 de la charte. Notre réflexion se situe donc dans le contexte plus large où le développement de nouvelles technologies met en jeu des intérêts économiques qui peuvent entrer en conflit avec l'exercice des droits et libertés de la personne, notamment, évidemment, en lien avec l'exploitation des données. Des inquiétudes ont notamment été exprimées par rapport au fait que les moments de crise sont propices à l'adoption de mesures de surveillance qui deviennent permanentes et au fait que les entreprises de l'industrie des technologies interviennent de plus en plus souvent dans la vie des personnes et des communautés.

Il est fort probable qu'une application qui serait recommandée par le gouvernement opérerait sur le système de notification d'exposition développé en partenariat avec Apple et Google. Ces derniers ont assuré qu'ils ne procéderont pas à la monétisation des données échangées sur leur système de notification d'exposition et que le système sera désactivé une fois sa finalité atteinte. Cela commande une évaluation en continu.

À ce jour, le gouvernement du Québec n'a pas indiqué à quelle application spécifique il entend recourir. Or, le choix d'une application de notification d'exposition soulève plusieurs questions. Il sera nécessaire de connaître l'ensemble des spécifications de l'outil retenu afin d'être en mesure de mieux en évaluer les atteintes potentielles. Ainsi, dans un contexte anxiogène, comme je le disais plus tôt, il peut être risqué de demander à des populations en situation de vulnérabilité d'adopter un outil technologique qui n'a pas fait ses preuves et qui n'a pas fait l'objet d'analyses rigoureuses basées sur des expérimentations empiriques. À ce sujet, on ne sait toujours pas quel usage les personnes feront des ces applications et quelles en seront les répercussions en termes de santé publique. Par exemple, l'utilisation d'une application pourrait encourager, c'est certain, le développement d'un faux sentiment de sécurité au point potentiellement de ne pas respecter les autres mesures de santé publique de distanciation. Conséquemment, l'application devra faire l'objet d'une évaluation rigoureuse et surtout, encore une fois, en continu par des instances indépendantes.

Donc, compte tenu de ces conséquences potentielles, la commission recommande que le gouvernement prévoie une procédure d'évaluation continue et transparente de son application de notification d'exposition et que celle-ci soit notamment fondée sur les droits et libertés inscrits à la charte. Pour que ces évaluations soient possibles, il est primordial également que l'application et son fonctionnement soient transparents et accessibles. On formule donc une recommandation à cet effet.

En outre, étant donné les difficultés liées à l'identification des relations causales et à l'application des principes de responsabilité civile dans le domaine des nouvelles technologies, il serait opportun de déterminer des règles précisant les responsabilités à l'égard des dommages qui pourraient découler du recours à une application de notification d'exposition. La commission recommande ainsi que le gouvernement détermine des règles d'imputabilité dans le cadre du recours à une application de notification d'exposition.

Par ailleurs, comme l'a bien reconnu le gouvernement dans son document de consultation, ce ne sont pas tous les Québécois qui disposent d'un téléphone intelligent plus récent. C'est le cas de 77 % d'entre eux, pour ce qui est d'un téléphone intelligent, en 2019. Évidemment, comme vous l'avez entendu hier, les données disponibles démontrent que cette distribution-là est inégale selon l'âge, le revenu, le niveau de scolarité et le genre : on a 53 % des personnes avec un revenu de moins de 20 000 $, 35 % des personnes de 75 ans et plus. C'est ce qui est appelé communément la fracture numérique, puis elle n'est pas, évidemment, limitée à l'accès à un téléphone intelligent, mais aussi à un modèle suffisamment récent pour avoir une version d'un système d'exploitation qui supporte une application de notification. Les besoins des personnes en situation, aussi, d'itinérance ou en d'autres situations de vulnérabilité devraient faire l'objet d'évaluation en continu, encore une fois.

Une répartition inégale des bénéfices attendus d'une application gouvernementale de notification pourrait être discriminatoire si une atteinte à la vie et à la sûreté de cette personne était fondée sur des motifs prévus par la charte comme l'âge, le sexe ou la condition sociale. Nous recommandons donc que le gouvernement déploie des efforts pour pallier les effets de cette fracture numérique avant de donner son aval à une application. Le gouvernement a bien souligné le fait que l'application sera gratuite, mais le document de consultation ne fait pas état d'autres mesures pour faciliter les principes d'inclusion et d'accessibilité. Évidemment, des atteintes discriminatoires peuvent également découler de l'usage d'une application qui ne respecte pas ces principes, notamment, et on pense ici aux personnes en situation de handicap.

Le gouvernement souligne la présence d'une limite technique d'une application de notification d'exposition basée sur la technologie Bluetooth en affirmant qu'elle ne tiendrait pas compte de certains contextes, par exemple masque de protection, séparation par une surface vitrée. Cette technologie risque donc également de générer un nombre considérable de faux positifs, et les impacts pourraient être disproportionnés sur certaines populations, en particulier les personnes à faibles revenus et racisées. Ces personnes sont en effet plus susceptibles de vivre dans des milieux densément peuplés ayant enregistré des taux de contamination élevés et devoir travailler dans des contextes propices à cette contamination. Dans l'évaluation continue de l'application, il sera alors nécessaire de tenir compte des risques de génération d'effets négatifs financiers et psychologiques sur ces groupes déjà marginalisés.

En outre, de l'avis de la commission, le recours à une application de notification d'exposition constitue une forme de surveillance. De ce fait, elle porte atteinte au droit au respect à la vie privée garanti par la charte. Évidemment, ce droit n'est pas absolu. En effet, une personne peut valablement y renoncer. Pour être valable, cette renonciation doit satisfaire certaines exigences. En ce sens, nous recommandons au gouvernement que celui-ci s'assure que le consentement à la collecte, à l'usage et à la transmission de données soit libre et éclairé, donné à des fins spécifiques pour une durée déterminée, portant sur les données nécessaires et qu'il puisse être renouvelé régulièrement.

• (9 h 10) •

La commission comprend que le modèle proposé par le gouvernement repose sur un tel consentement. Toutefois, si des tiers, par exemple des employeurs, des commerçants ou des locateurs, exigeaient d'une personne qu'elle utilise l'application pour transiger avec elle, on ne pourrait plus parler, alors, de renonciation valide. Le cadre juridique actuel n'est malheureusement pas suffisant pour interdire un tel usage. Dans le cas, donc, où des tiers requerraient l'usage de l'application, il faudrait s'assurer que la plainte au droit au respect de sa vie privée soit justifiée, c'est-à-dire que le recours à une telle application n'est pas irrationnel, arbitraire et que les moyens choisis soient proportionnels au but visé. Dans ces circonstances, il faudrait examiner avec attention l'utilité de l'application, son efficacité ainsi que le niveau de sécurité qu'elle présente avant de conclure qu'elle est conforme aux dispositions de la charte.

Alors, l'application utiliserait la technologie Bluetooth, et certains doutes ont été exprimés quant à la capacité de cette technologie de détecter avec précision les expositions des personnes infectées. Un tel usage par des tiers pourrait également porter atteinte aux droits et libertés, notamment aux libertés fondamentales. Ainsi, la commission recommande que le gouvernement interdise à des tiers d'exiger l'utilisation d'application de notification et d'exposition et qu'il mette en place des mesures de surveillance et de contrôle pour s'assurer que cette interdiction d'exiger l'utilisation d'application soit effective.

En état d'urgence sanitaire, la commission, donc, ne se prononce pas contre le recours à une telle application de notification d'exposition. Nous sommes toutefois d'avis que l'utilisation d'une telle application doit respecter les conditions que je viens d'énumérer pour éviter de compromettre les droits et libertés garantis par la charte. Je vous remercie de votre attention.

Le Président (M. Bachand) : Merci infiniment, Me Tessier. Donc, je me tourne vers la partie ministérielle. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Merci beaucoup, M. le Président. Merci, Me Tessier, Me Carpentier, merci beaucoup d'être ici ce matin. Merci de votre témoignage.

Donc, comme vous l'avez dit, effectivement, l'application, là, s'il est avéré que le gouvernement décide d'aller de l'avant, ce serait effectivement gratuit, anonyme, sécuritaire et installé sur une base volontaire, sans géolocalisation, évidemment, sans recours à la biométrie puis il n'y aurait pas de stockage de données ou de renseignements personnels, là, comme vous en avez fait mention.

Peut-être une petite question... Revenons sur la fracture numérique. Hier, justement, on a eu beaucoup de groupes qui sont revenus sur cette question-là, avec la problématique, justement, là, des différents... soit des différents groupes d'âge ou des différents milieux sociaux. Est-ce qu'il n'y a pas lieu de penser qu'il y aurait... pourrait y avoir un gain pour la santé publique, justement, que certains groupes puissent l'avoir? Notamment, on peut penser aux jeunes qui, bon, ont accès à la technologie, qui peuvent... dans le fond, qui pourraient être notifiés dans le cas d'un contact avec une personne qui aurait eu la COVID-19. Et la société, tu sais, de façon plus grande, en bénéficierait, du fait que cette personne-là ne va pas voir grand-maman, ne va pas voir grand-papa et reste... dans le fond, s'isole et va faire un test. Donc, j'essaie de voir, là, l'équilibre entre le gain qu'on pourrait avoir en termes de santé publique puis, effectivement, là, les droits prévus à la charte.

M. Tessier (Philippe-André) : Merci pour la question. Bien, c'est le défi auquel l'état d'urgence sanitaire, présentement, interpelle les commissions des droits, mais évidemment pas juste au Québec, partout à travers le monde. C'est cet équilibre-là qui doit être recherché entre les différents droits. Évidemment, le droit à la vie est aussi garanti par nos chartes, et donc il faut l'opposer au droit à la vie privée. Il faut balancer ces intérêts-là, qui, des fois, peuvent sembler contradictoires. Alors, évidemment, on a bien entendu, aussi, les différents commentaires et les différents propos qui ont été tenus à cet égard-là.

Ce qu'il faut se rappeler, c'est toujours la même chose, c'est que, lorsqu'on va faire cet exercice-là de balancer, on va regarder les faits, dans la mesure du possible, les faits qui sont disponibles. Ce que l'on sait, c'est qu'il y a une surreprésentation au niveau des victimes de cette maladie-là qui sont des personnes âgées. Il y a une surreprésentation aussi pour les travailleurs dans le milieu de la santé. Il y a certaines populations qui ont été identifiées comme étant vulnérables qui sont aussi plus affectées par cette maladie-là. Donc, c'est sûr et certain qu'il peut y avoir des bénéfices. Vous donnez l'exemple des jeunes qui pourraient être en contact et qui ont, eux, des téléphones intelligents, mais il faut, à ce moment-là, le balancer avec le fait... c'est quoi, l'impact de cette maladie-là aussi sur ces jeunes-là? Et cet exercice-là, c'est ce à quoi la commission interpelle le gouvernement pour dire : Advenant qu'il y a une application qui est mise de l'avant, bien, le droit à la vie privée et les chartes s'appliquent, et, évidemment, si le gouvernement ne veut pas se voir contester ces éléments-là par des membres de la société, bien, il faut qu'il soit sûr de pouvoir faire cette démonstration-là factuelle de l'utilité sociale de cette application.

M. Lévesque (Chapleau) : Je vois quand même que vous considérez que ça pourrait être un outil qui pourrait s'ajouter aux autres mesures de santé publique. Donc, ça ne devrait pas être un seul outil de façon prioritaire ou de façon unique pour combattre la pandémie, tu sais, ça peut être dans le panier, disons, des outils, là, pour la Santé publique.

M. Tessier (Philippe-André) : Je pense que ce que la commission a voulu venir dire devant vous, puis je pense que ça a été un peu dans notre allocution ou quand vous regardez notre mémoire, nous ne nous opposons pas à l'adoption d'une telle application, c'est très clair. Ce que l'on fait dans notre rôle, c'est qu'on fait nos recommandations pour dire...

Et puis on est très conscients aussi, puis on l'a dit, je l'ai dit dans mes notes d'allocution, qu'il y a déjà certaines situations qui ont été identifiées, il y a eu des expérimentations dans d'autres pays, il y a l'application fédérale qui a été lancée. Donc, il y a déjà un peu d'eau qui a coulé sous les ponts, qui nous permet de faire cette appréciation-là et puis de voir qu'il y a des préoccupations... On donnait l'exemple de la géolocalisation qui a été complètement évacuée puis on va... Bon, alors, oui, c'est des avancées et c'est dans cet exercice-là de balancer, hein, vie privée, selon 9.1 de la charte, et de s'assurer que cette disposition-là est conforme. Bien, ce genre d'initiative là gouvernementale, on le dit, on le salue, parce qu'effectivement ça va dans le bon sens, si on suit ce genre de recommandation là.

M. Lévesque (Chapleau) : J'aimerais bien vous entendre sur la notion d'élargissement du... notion de renseignements personnels. Donc, vous aimeriez peut-être élargir les renseignements personnels. Puis dans quelle mesure puis comment vous feriez cela, là, pour le faire?

M. Tessier (Philippe-André) : Est-ce que tu veux répondre?

Mme Carpentier (Marie) : En fait, notre cadre d'analyse, c'est la charte, le droit au respect de sa vie privée, qui est inscrit à la charte, donc cette analyse-là n'est pas limitée à la notion de renseignements personnels. Donc, on n'est pas limités par le cadre des lois sur la protection des renseignements personnels dans le domaine privé ou la loi sur le public. Donc, la notion de vie privée est plus englobante que celle de renseignements personnels. Donc, notre analyse est fondée sur le droit au respect de sa vie privée, qui découle de la charte.

M. Lévesque (Chapleau) : Ce serait sur cette analyse-là que ce serait basé, O.K. Puis justement, peut-être, sur la réglementation puis la législation actuelle, avez-vous des commentaires? Est-ce que vous la considérez satisfaisante? Est-ce que vous trouvez qu'il y aurait même, tu sais, moyen de l'améliorer? Peut-être même vous avez eu l'occasion de voir le projet de loi n° 64.

M. Tessier (Philippe-André) : Bien, oui, c'est sûr. Bien, c'est pour... Ma collègue et moi, on va répondre à tour de rôle, là, mais simplement pour vous dire que pour ce qui est... Évidemment, on n'est pas sur la commission parlementaire sur le p.l. n° 64 puis on prend le temps, évidemment... Et une chose est sûre pour nous, ce qu'on a identifié de façon quand même... de façon assez importante, c'est l'interdiction pour les tiers. Alors, c'est sûr et certain que, présentement, cette interdiction-là n'existe pas, elle n'est pas dans les livres. Donc, vous nous demandez qu'est-ce qui manque, présentement, ça, c'est sûr que, oui, ça manque. Ça, c'est clair que, là, là-dessus, il y a un enjeu, parce que la pente... quand on parle... une pente glissante.

Puis je suis bien au fait, là... on a bien écouté aussi, hier, ce qui s'est passé. Donc, on ne veut pas verser non plus dans le catastrophisme ou dans le solutionnisme, tu sais, je pense qu'on essaie d'avoir une approche équilibrée sur le domaine, sur la question, mais c'est sûr et certain que, quand on voit un trou, quand on voit un espace, bien, généralement, il y a une tentation pour des gens de pouvoir se glisser dans ce trou-là, des tiers d'exiger... et que ce soit des employeurs, des locateurs, peu importe, n'importe qui qui se retrouve... de venir exiger l'application, et c'est là où ça glisse, parce que c'est là où le consentement libre et éclairé, il s'étiole, puis c'est un risque quand même assez conséquent.

M. Lévesque (Chapleau) : C'est beau. Peut-être une petite dernière question avant de passer la parole à ma collègue des Plaines. Vous avez parlé d'analyse en continu, d'évaluation continue, de surveillance et de contrôle. Comment vous envisagez cet élément-là que vous nous présentez?

M. Tessier (Philippe-André) : Ce que je peux vous dire, c'est que la commission a collaboré... hier, vous avez entendu M. Maclure, le président de la Commission en éthique, science et technologie, donc la commission a collaboré aux travaux. Évidemment, on collabore également avec la Commission d'accès à l'information, on a participé récemment à leur consultation sur les systèmes d'intelligence artificielle.

Donc, il y a déjà des acteurs, quand même, gouvernementaux crédibles, qui sont la CDPDJ, la CAI, la CEST et l'INESSS également, qui... donc, il y a déjà ces organismes-là qui ont des professionnels à l'intérieur de ces organismes-là qui peuvent exercer ce genre de rôle là en continu. Pour nous, c'est sûr et certain que l'État s'est doté de ces organismes-là de conseil et d'avis, bien, c'est un bon moment, peut-être, pour les mettre à contribution.

Le Président (M. Bachand) : Merci beaucoup, M. le député. Mme la députée de Les Plaines, s'il vous plaît.

Mme Lecours (Les Plaines) : Merci beaucoup, M. le Président. Tout d'abord, merci de votre présence aujourd'hui. C'est important qu'on puisse, justement, avoir des éclairages et des recommandations.

Vous avez parlé, justement, d'évaluation en continu, vous avez parlé d'un fonctionnement transparent également. Vous avez mentionné, à un moment donné, la discrimination par rapport aux handicapés. J'aimerais ça que vous développiez un petit peu là-dessus.

M. Tessier (Philippe-André) : Encore là, nous, on dit : Il faut faire attention. Évidemment, il y a des protocoles, il existe différents types de protocole en ligne qui sont là pour faire en sorte que ces applications-là soient accessibles, que ça soit, par exemple, pour non-voyants au niveau des lecteurs.

Ce qu'il faut toujours comprendre, c'est que, lorsqu'il y a une situation de crise sanitaire, il va y avoir des mesures nouvelles qui sont mises en place. Bien, par exemple, là, présentement, bien, à certains endroits, on va mettre des pistes cyclables partout, on va piétonniser les rues. Bien là, on n'a peut-être, des fois, pas pensé au fait que la personne qui a besoin du transport adapté pour se rendre chez elle, bien, ça limite son accès à son transport adapté puis à son déplacement. Et souvent, nous, à la commission, on est très sensibilisés à ces enjeux-là en lien avec les personnes en situation de handicap qui vont le dénoncer. Il y a des... C'est des gens qui sont déjà, en partant, stigmatisés — puis je parle handicap visible ou invisible, là, donc moteur, peu importe, là, la notion large de handicap — alors c'est sûr et certain que, lorsqu'on met en place ce genre de système là, il faut toujours avoir la petite pensée en disant : Bien, c'est une bonne idée, mais... oui, mais est-ce qu'on a pensé aussi aux personnes en situation de handicap? Puis c'est un peu le sens de notre propos dans le mémoire. Ces principes-là sont bien connus, technologiques, et tout...

• (9 h 20) •

Mme Lecours (Les Plaines) : ...dans la fracture du numérique, non. C'est deux choses différentes. O.K.

M. Tessier (Philippe-André) : Non, c'est deux... Oui, c'est ça, c'est deux choses différentes. C'est ça, tout à fait.

Mme Lecours (Les Plaines) : O.K. Un petit peu de temps encore? Vous avez parlé, évidemment, de l'utilité. C'est clair que la commission est là pour ça, pour en voir aussi... pas l'adaptabilité, mais l'acceptabilité sociale et l'utilité dans un moyen additionnel à ce qui se fait déjà. Un peu comme mon collègue vous a posé la question, de quelle façon est-ce que, selon vous, on pourrait, justement, le considérer comme utile, en complément avec ce qui se fait déjà?

Mme Carpentier (Marie) : Notre posture est à l'effet que cette notion-là d'utilité va vraiment varier en fonction du fait que les tiers ont accès à l'application ou non.

Si l'application sert vraiment essentiellement à notifier une personne puis que la personne n'a pas de conséquence attachée avec le fait qu'elle a l'application ou qu'elle ne l'a pas ou avec le résultat que fournit l'application, l'utilité, je dirais, en termes de santé publique, les conséquences en termes de droits de la personne sont moindres.

Si des tiers peuvent avoir accès, soit obliger quelqu'un à avoir l'application ou soit voir le résultat que produit l'application, là, la question de l'utilité puis de l'efficience de l'application est vraiment plus en cause. Puis on sait que l'efficience de l'application est relative, étant donné que la technologie Bluetooth n'a pas été développée à cette fin-là, donc ce n'est pas une technologie qui a été prévue pour cet usage-là.

Et en amont, en fait, il y a quand même la question des tests qui vont produire le résultat que l'application fait. Donc, même les tests, on sait qu'ils sont efficaces, ils ne produisent pas de faux positif, mais ils produisent 30 % de faux négatifs. Donc, l'efficience... l'utilité de l'application est limitée par l'efficience des tests en partant.

Donc, à partir du moment où les tiers prendraient des décisions de transiger avec une personne, la question de l'utilité est beaucoup plus importante si des tiers sont en cause. La commission est d'avis que, là, il faudrait faire une étude approfondie sur le fonctionnement spécifique de l'application avec toutes les données nécessaires, ce qu'on n'a pas pour l'instant, là. On a des caractéristiques générales, mais on n'a pas toutes les caractéristiques de l'application. Puis nous, on peut faire une évaluation des impacts sur les droits de la personne, mais ça prendrait aussi d'autres sortes d'experts qui seraient capables de nous démontrer l'utilité en termes de santé publique et les risques informatiques qui sont liés avec cette application-là.

Le Président (M. Bachand) : Merci. J'ai la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Bonjour, Me Tessier et Me Carpentier. Merci d'être là. Votre rapport était fort intéressant. Je ne sais pas si... Je suis un peu loin de mon micro, hein?

Bien, je vais rebondir un petit peu sur ce que vous avez dit sur les tests. Premièrement, par rapport à cette application-là, le code est ouvert, puis c'est quand même relativement transparent, mais j'aimerais... j'ai deux questions, en fait. Premièrement, sur votre recommandation 1 et la recommandation 3, j'aimerais qu'on approfondisse un petit peu, parce que vous mentionnez l'importance d'intégrer un processus d'évaluation en continu. Moi, j'aimerais savoir qu'est-ce qu'on pourrait évaluer. Puis est-ce qu'on le fait juste en continu ou en amont et est-ce qu'on évalue l'efficacité? Si on évalue l'efficacité, comment est-ce qu'on pourrait procéder pour que ça soit statistiquement intéressant? Dans le fond, est-ce qu'on demande à un groupe de participer? Moi, j'ai beaucoup de questionnements par rapport à ça, puis c'est revenu, là... puis je pense que ça va revenir aujourd'hui puis demain également, là, parce qu'il n'y a pas de rapports internationaux vraiment publics qui nous ont permis de démontrer l'efficacité ou non. On a des constats internationaux, mais il n'y a rien, tu sais, d'assez tangible.

Ça fait que peut-être que nous, si jamais on allait de l'avant... si le gouvernement allait de l'avant, tu sais, en amont, pourrait déjà établir ces mécanismes-là. J'aimerais vous entendre là-dessus, approfondir un petit peu.

Le Président (M. Bachand) : En 1 min 30 s.

M. Tessier (Philippe-André) : Comme j'ai dit tout à l'heure à votre collègue, le but de cette recommandation-là, puis je pense que vous y faites référence, c'est qu'il y a différents rapports, il y a différentes initiatives internationales qui ont été mises de l'avant, il y a certaines mesures qui sont faites en fonction de... bon, bien, par exemple, le taux d'adhésion, est-ce qu'il... Et c'est sûr et certain que les questions qu'on peut identifier... Nous, on se pose des questions sur les questions d'imputabilité dans le cadre de recours en application. Bien, c'est aussi ces éléments-là, qui qui est responsable s'il y a des problèmes.

On peut essayer de prendre notre boule de cristal, vous et moi, puis imaginer, bon, qu'est-ce qui peut arriver, mais c'est pour ça qu'on parle de mécanismes d'évaluation en continu, c'est parce qu'il y a des choses, peut-être, qu'on ne soupçonne pas qui vont se produire, qui peuvent avoir un impact. Et d'avoir cet exercice-là, ça ne veut pas dire qu'à tous les mois il y a des éléments qui se font, là. On parle d'évaluations en continu, ça peut être sur une période. Puis évidemment, bien, on le rappelle aussi que... puis je pense que ma collègue y faisait référence, c'est qu'on veut que ça soit basé sur un cadre d'analyse qui est global, qui est celui de la vie privée prévue à la charte, pas seulement à celui du renseignement personnel prévu dans les lois qui visent à protéger les renseignements privés ou l'accès à l'information. Je ne sais pas si ça répond à votre question.

Le Président (M. Bachand) : Il vous reste 30 secondes, Mme la députée.

Mme Boutin : Bien, au niveau, justement... brièvement, sur la gouvernance et l'imputabilité, est-ce qu'on pourrait mettre, je ne sais pas, moi, un groupe, un comité d'experts, quelque chose en amont?

M. Tessier (Philippe-André) : Bien, c'est un modèle qui est retenu puis qui est quand même adopté ailleurs, là. Nous, notre but, ce n'est pas de vous dire comment le faire, mais c'est sûr qu'il y a différents modèles qui existent, là, puis je pense qu'il y a des gens ailleurs qui vous ont parlé également de différentes possibilités en ce sens-là. Donc, on peut juste vous dire que nous sommes intéressés et disponibles.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup. Bonjour. Je vais tout de suite rebondir, d'ailleurs, sur l'imputabilité et le groupe indépendant. Prenons, par exemple, un cas concret que nous sert la vie privée, lorsqu'il y a des plaintes logées... par exemple celui au centre d'achats, en Alberta, où est-ce qu'on a utilisé un logiciel de reconnaissance faciale à l'insu des gens, il y a eu une plainte qui a été logée. Ça fait maintenant deux ans, et le rapport n'a toujours pas été déposé.

Alors, au niveau de, oui, mettre en place un chien de garde, mais présentement est-ce que nos chiens de garde ont des lois qui ont du mordant et assez de ressources pour rapidement s'assurer d'avoir non seulement un rapport mais aussi des conséquences à ceux qui enfreignent nos droits à la vie privée?

M. Tessier (Philippe-André) : Bien, écoutez, pour ce qui est de la Commission d'accès à l'information, je vais... je pense qu'ils passent juste après nous, je vais les laisser répondre à votre question.

Pour ce qui est de notre maison, c'est sûr et certain que la question des délais, c'est une question qui est toujours préoccupante pour nous. On essaie toujours de répondre dans les meilleurs délais aux citoyens lorsqu'ils déposent des plaintes. C'est sûr et certain que, lorsqu'il y a des situations nouvelles qui impliquent des intérêts variés, ça pose des défis pour des organisations comme les nôtres, qui se voient confier des responsabilités de faire des enquêtes.

C'est pour ça que, quand on vous parle d'évaluation continue puis en suivi, c'est qu'il n'y a rien qui peut se... surtout sur des éléments comme ça qui sont nouveaux, qui sont complexes, des analyses rapides peuvent être des fois, malheureusement, bâclées. Et il faut se mettre... il faut être très prudents, lorsqu'on est des institutions comme les nôtres, de faire des analyses qui sont rapides ou bâclées parce que, là, on peut mettre vraiment en péril la confiance des citoyens envers les institutions. Ça fait qu'il faut faire cet exercice-là...

Mme Rizqy : Je comprends, mais un délai de deux ans, quatre ans, des fois, dans d'autres cas... Pour la population, c'est quoi, l'effet dissuasif lorsqu'un rapport peut tarder ou semble tarder si on n'a pas mis assez de ressources dans nos institutions pour, justement, rapidement, sans bâcler le travail... mais habituellement on est capables quand même de donner une conséquence un peu plus rapide que quatre ans maximum.

M. Tessier (Philippe-André) : Écoutez, nous, c'est sûr et certain que, de ce point de vue là, c'est pour ça que nous, on joue notre rôle, aussi, aujourd'hui en amont en faisant des recommandations pour éviter ce genre de situation là ou pour sensibiliser les parlementaires puis le gouvernement aux réalités liées aux droits de la personne.

Maintenant, c'est sûr que, les délais, il n'y a... comment je pourrais vous dire, ce n'est pas simplement une question de délai, ici. L'enjeu, c'est que l'évaluation continue dont on parle et les règles qu'on met en place ou la recommandation, par exemple, de l'utilisation des tiers, c'est que, oui, on peut porter plainte puis, oui, on peut faire ce genre de démarche là, mais ce qui est beaucoup plus porteur, c'est lorsqu'il y a les règles qui sont clairement établies au début, les balises sont mises clairement au début et que c'est très clairement dit, par exemple, par le gouvernement — ça a un impact — qui dit : Les employeurs, vous n'avez pas le droit de l'exiger. Ce n'est peut-être pas contraignant au sens légal du terme, mais c'est sûr que c'est un puissant indice, quand le gouvernement dit aux employeurs du Québec : Écoutez, vous ne pouvez pas exiger l'application quand le monde rentre chez vous pour travailler. Ça donne aussi un outil au travailleur, qui dit : Bien là, écoute, boss, je t'aime bien, mais il me semble que j'ai entendu le premier ministre dire que tu n'avais pas le droit de faire ça. Donc, il y a ce genre de geste là, qui peut être posé en amont, qui aide, disons.

• (9 h 30) •

Mme Rizqy : Mais aujourd'hui, au XXIe siècle, la donnée, là, les entreprises courent après ça. Et tantôt vous avez fait référence à un trou et que, malheureusement, lorsqu'il y a un petit trou, là, aussi petit soit-il, les gens vont avoir tendance, malheureusement, à vouloir l'explorer, ce trou.

Et ça m'amène à la question suivante. Puisque le risque zéro, évidemment, on le sait très bien, n'existe pas, par contre il peut toujours y avoir un risque de croisement de données, et, là-dessus, ce risque de croisement de données, il est réel. Et aujourd'hui les entreprises... parce que, oui, il y a le gouvernement qui peut avoir une application, mais rien n'empêche une entreprise privée telle que, par exemple, Facebook de développer sa propre application et avoir, encore une fois, une fuite de données, aujourd'hui, les conséquences pécuniaires, si jamais il y a une fuite de données, pour le secteur privé, c'est assez limité, là, au Québec et au Canada.

Mme Carpentier (Marie) : Ce qu'on dit, dans notre analyse... Notre analyse porte sur le fait qu'à notre avis, avec la proposition gouvernementale, si les tiers n'ont pas accès à l'application, le consentement peut être valide. Donc, il y a toujours le consentement, à l'origine. Donc, la question de la protection des données personnelles... Les gens acceptent d'avoir un compte Facebook s'ils acceptent d'avoir une application... C'est... On ne recommande pas l'adoption d'une application. Je pense que, ça, je peux dire ça. Mais on dit que, si les règles de consentement sont respectées et si c'est interdit aux tiers d'avoir accès à l'application, le consentement à la renonciation au droit au respect de sa vie privée pourrait être valide. Je ne sais pas si ça répond...

Mme Rizqy : Oui, oui. Donc, je comprends que vous ne recommandez pas l'application. Si jamais on va de l'avant, il faudrait... Mais est-ce que vous permettez d'ajouter la chose suivante? Au niveau de la pédagogie qu'on fait, aujourd'hui, sur le consentement, sur notre droit à la vie privée, elle est très limitée, la littératie numérique, là, elle est très, très peu développée. Alors, comment peut-on parler de consentement libre et éclairé, et, si je peux me permettre, pour nos aînés, et la population vulnérable, et les populations plus stigmatisées?

M. Tessier (Philippe-André) : Oui, c'est sûr que c'est des préoccupations qu'on illustre dans notre mémoire. Je pense que c'est pour ça que, lorsqu'il y a ce genre d'outil là qui est déployé, s'il est déployé, puis je reviens sur le fait que ça prend des actions gouvernementales fortes pour venir expliquer, faire comprendre — je pense qu'il y a ce genre de choses là qui se produisent, présentement, dans le contexte que l'on vit, avec d'autres mesures gouvernementales qui sont mises en place — bien, c'est sûr et certain qu'il y aura cet effort-là qui devra être fait pour s'assurer qu'il y ait une véritable compréhension de la population, de ce que ça veut dire et c'est quoi, les conséquences, c'est quoi, les impacts.

Mme Rizqy : Tantôt, vous parliez aussi que ça n'a pas fait ses preuves. Vous avez aussi comme mission de vraiment, aussi, protéger les plus vulnérables, les populations stigmatisées. Prenons un exemple très concret, Montréal-Nord. Rappelons-nous, ma collègue la députée de Montréal-Nord, au départ, il n'y avait pas... la Santé publique n'avait pas identifié Montréal-Nord, c'étaient les gens du terrain, les gens du sociocommunautaire, la députée qui se battaient dans l'eau bénite pour dire : Non, non, il y a quelque chose qui se passe ici, on est éloignés, on est dans des méga blocs-appartements, on a besoin de venir être testés, malgré que, lorsque la Santé publique a déployé une unité mobile de dépistage, la première journée, là, ça ne s'est pas rué, il a fallu envoyer des gens frapper aux portes.

Pensez-vous sincèrement que ce type d'application permettrait d'améliorer la situation ou, pire, pourrait faire en sorte que ceux qui n'ont pas accès à Internet, environ 30 % dans ce secteur, eux autres, au contraire, dans la file de réactions et d'accès au droit à la santé, c'est-à-dire d'avoir accès aux tests, ils arriveraient un peu plus loin dans la chaîne de commandement parce qu'ils ne seraient jamais notifiés, à moins qu'on aille cogner à leur porte?

M. Tessier (Philippe-André) : Je veux juste dire... puis évidemment la consultation d'aujourd'hui est sur l'application, là, mais, sur le grand angle, là, la commission, on est sortis pour, justement, mettre en lumière le fait que la crise sanitaire avait révélé... avait été un révélateur des inégalités sociales plus sous-jacentes et profondes qui existent. Pour donner l'exemple de Montréal-Nord, on a même fait une sortie là-dessus pour dire que c'est des inégalités structurelles qui préexistent et c'est des faiblesses structurelles où on voit ces éclosions-là, les CHSLD, les populations plus vulnérables. Donc, ça, et on n'est pas les seuls à l'avoir dit, il y a quand même eu ces éléments-là qui sont ressortis. Puis c'est sûr et certain qu'il faut voir l'application, puis c'est un peu ce qu'on dit aussi dans notre mémoire, comme étant un des moyens. Il y a énormément de moyens qu'il faut mettre en place pour s'assurer que les populations vulnérables et... bon, les personnes âgées ou autres, qu'on vienne combler cette fracture numérique là, oui, pour l'application, mais, en termes de santé publique, il y a d'autres mesures à mettre en place, puis ce n'est peut-être pas l'objet du propos d'aujourd'hui, mais on les a quand même dits dans les quatre, cinq derniers mois. Je vous dirais qu'on est sortis quand même beaucoup là-dessus pour, justement, rappeler au gouvernement l'importance d'insister sur ces aspects-là, parce qu'effectivement, vous l'avez dit, il n'y a pas nécessairement d'accès à Internet ou de téléphone intelligent, mais... C'est ça.

Mme Carpentier (Marie) : Dans notre mémoire, on mentionne aussi l'importance de s'assurer que les conséquences négatives qui pourraient être liées... de faire attention à la répartition des conséquences négatives qui pourraient être liées avec un faux positif que pourrait produire l'application, par exemple les conséquences psychologiques d'avoir un faux positif puis les conséquences économiques, le fait d'être obligé de se confiner. Donc, oui, dans le mémoire, on le mentionne, que c'est important que le gouvernement voie à pallier. Ceci dit, quels sont les moyens pour pallier à ça, bien, c'est votre prérogative.

Mme Rizqy : Je voudrais ne pas vous poser la question suivante. Aujourd'hui, oui, on parle de traçage, une application, l'application de notification, dis-je bien, mais il y a aussi deux autres affaires assez importantes, je crois : le dossier de reconnaissance faciale, qui est en cours, où est-ce qu'on sait que la Sûreté du Québec est en appel d'offres, où est-ce qu'il n'a pas eu de débat, et il y a aussi l'identité numérique. Tout ça, est-ce que vous n'avez pas l'impression que ça mériterait d'être discuté et... Je vois que vous hochez déjà la tête, alors je vais vous laisser parler.

M. Tessier (Philippe-André) : Oui, bien, écoutez, je vais vous dire, là, lorsqu'on parle de la situation COVID, encore une fois, bien, la situation COVID met en lumière des situations, des enjeux. Justement, bon, c'est quoi, l'ironie, là? C'était quelqu'un qui mettait un post sur Facebook pour dénoncer une application de traçage. Je veux dire, tu sais, il y a ces questions-là qui se posent par rapport à l'ensemble des GAFAM. Puis, encore une fois, le Québec n'est pas le seul. Donc, ces questions-là, elles se posent. Elles se posaient avant la pandémie, elles vont se poser après. C'est clair que ces enjeux-là sont fondamentaux, oui.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour à vous, maîtres, au pluriel. Merci d'être avec nous ce matin en commission. J'ai un peu plus de deux minutes, alors je vais être direct. Est-ce qu'il y a, actuellement, dans le corpus législatif québécois, des dispositions qui interdiraient, comme vous le recommandez, à des tiers d'exiger l'application?

M. Tessier (Philippe-André) : Pas à notre connaissance, non.

M. Nadeau-Dubois : Parfait. Sans une telle modification législative, donc, qui viendrait interdire cet accès par des tiers, est-ce qu'une telle application représenterait, selon vous, un danger pour les droits et libertés des Québécois et des Québécoises?

M. Tessier (Philippe-André) : C'est sûr et certain que, comme on l'a dit tout à l'heure, là, en l'absence de telles mesures, il faut, à ce moment-là, disons, des prononcés très affirmatifs et très clairs sur les consignes et les conditions à respecter, pour le grand public, pour au moins s'assurer qu'il y ait une compréhension, mais...

M. Nadeau-Dubois : Comment? Est-ce que vous recommandez que ça prenne la forme de dispositions législatives?

M. Tessier (Philippe-André) : Pour nous, puis c'est ce qu'on met dans notre recommandation, c'est que ça serait des mesures législatives, effectivement.

M. Nadeau-Dubois : Parfait. Est-ce qu'à votre... selon votre lecture du projet de loi n° 64, il y a, dans ce projet de loi déjà déposé à l'Assemblée nationale, des dispositions qui répondent aux critères que vous venez d'énoncer?

M. Tessier (Philippe-André) : Je ne peux pas me prononcer sur 64, on ne l'a pas encore étudié. M. le député, avec respect, là, je suis obligé de vous dire que...

M. Nadeau-Dubois : Est-ce qu'il y a d'autres choses qui sont manquantes dans notre cadre législatif pour rendre l'utilisation d'une telle application respectueuse des droits et libertés des Québécois et des Québécoises?

M. Tessier (Philippe-André) : L'autre élément aussi, c'est sûr et certain, sur lequel on vous sensibilise, à la recommandation 3 de notre mémoire, c'est les questions d'imputabilité. Donc, c'est sûr et certain que, dans le domaine technologique, c'est un peu flou, qui est responsable de quoi. Alors, c'est sûr et certain que ce qu'on pense qui est une bonne façon de faire, c'est... souvent, ça va être de créer des présomptions pour s'assurer que... Bon, donc, ça, c'est ce genre de mécanisme là qu'on peut mettre en place dans le domaine technologique.

M. Nadeau-Dubois : ...ça prenne la forme d'une disposition législative.

M. Tessier (Philippe-André) : Encore une fois, c'est quelque chose qui peut être, effectivement, de l'ordre d'une disposition législative, oui.

M. Nadeau-Dubois : Parfait. Merci beaucoup.

Le Président (M. Bachand) : Merci. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup. À mon tour de vous saluer. Merci pour votre mémoire. Je veux revenir à la première recommandation que vous faites, notamment sur la gouvernance et l'importance d'avoir cette gouvernance-là en continu et cette surveillance-là. Vous en faites une recommandation. Seriez-vous prêt, aujourd'hui, d'en faire une exigence si le gouvernement décide d'aller de l'avant avec le type d'application de traçage qui est discutée, mais qui n'est peut-être pas celle qui sera proposée?

• (9 h 40) •

M. Tessier (Philippe-André) : Le mandat que la commission a en vertu de la charte, c'est de faire des avis et des recommandations au gouvernement.

M. Ouellet : Bien, est-ce que... O.K.

M. Tessier (Philippe-André) : Donc, notre mandat législatif est de faire des recommandations.

M. Ouellet : Est-ce que vous recommandez fortement?

M. Tessier (Philippe-André) : Bien, tout... Je veux dire, évidemment, une fois par année, la commission dépose son rapport annuel. La charte prévoit, à son article 75, que ce rapport est déposé directement à l'Assemblée nationale, et là-dedans on fait la liste de nos recommandations et des suivis ou non de nos recommandations. Les parlementaires peuvent exercer un contrôle sur l'action gouvernementale à travers des institutions comme la nôtre, celle du Protecteur du citoyen, du Vérificateur général. C'est sûr que nos recommandations doivent être suivies, dans la mesure où on encourage et on incite le gouvernement à les suivre. Puis, lorsqu'elles ne sont pas suivies, bien, on est transparents avec les parlementaires puis on le dépose à l'Assemblée nationale.

Mme Carpentier (Marie) : Si je peux me permettre...

M. Ouellet : Oui, allez-y.

Mme Carpentier (Marie) : ...cela étant, on a bien indiqué qu'on n'avait pas toutes les informations disponibles pour donner notre avis définitif sur l'application. Puis c'est certain que, s'il y a une application qui était proposée, on referait un examen pour vérifier si elle est... si l'application est conforme aux dispositions de la charte.

M. Ouellet : Le débat est là. On parle de peut-être utiliser l'application fédérale, mais ça peut être une autre application. Tu sais, je veux dire... Puis je lisais la découpure de presse du ministre de la Stratégie numérique, ce matin, à Radio-Canada, qui dit qu'on a peut-être un débat futile tant et aussi longtemps que le gouvernement n'aura pas décidé d'aller dans le même sens que ses sondages et ses consultations auront donné, indiquant la volonté des Québécois et des Québécoises d'aller de l'avant, et, au final, la solution proposée pourrait être totalement différente de celle qu'on parle aujourd'hui.

Donc, merci pour ces éclairages, ils sont importants. Et notre travail, à la commission parlementaire, c'est de tracer des guides qui vont nous aider lorsque le gouvernement aura décidé quelle application... quelles devraient être les mesures pour en assurer la sécurité, l'accessibilité, l'acceptabilité et surtout qu'on ne fasse pas ça pour rien. Alors... Puis je ne veux pas vous mettre en boîte, là, je comprends votre rôle...

M. Tessier (Philippe-André) : ...on vous dit, puis... recommandations, puis on en a parlé avec les autres parlementaires, c'est que c'est sûr et certain qu'évidemment, aujourd'hui, on ne sait pas c'est quoi, l'application, avec un L majuscule. Maintenant, cela dit, les autres recommandations demeurent pertinentes, dans la mesure où, peu importe l'application choisie, s'il y en a une de choisie, bien, c'est pour ça qu'on parle de mécanismes d'évaluation puis de suivi en continu, c'est parce que, fondamentalement, il y aura d'autres questions qui vont se poser, il y aura... il y a d'autres enjeux sous-jacents plus larges quant à l'utilisation des données, l'utilisation du numérique, donc c'est sûr et certain que ces éléments-là vont continuer d'être analysés.

Le Président (M. Bachand) : Merci. Merci, Me Tessier. Je dois céder la parole... je veux céder la parole au député de Chomedey, pardon.

M. Ouellette : Merci. Bonjour à vous. Effectivement, votre mémoire est en fonction des informations que vous avez. Bien, nous, nos questions sont en fonction des informations qu'on a. Vous comprenez que c'est un choix politique. Vous comprenez que, présentement, le gouvernement base avec les... ce qui filtre, la complémentarité sur 12 000 citoyens du Québec qui sont favorables à cet outil-là, là. On va oublier le 75 %, c'est 12 000 citoyens. On ne le sait pas encore, on ne les a pas toutes, les informations.

On comprend aussi que vous êtes en... C'est un processus d'évolution. Là, vous venez de nous faire une image aujourd'hui, mais, en fonction des informations que vous avez et en fonction du document de consultation. On comprend que, dès que le gouvernement va avoir décidé... On souhaite que ça soit par processus législatif, on souhaite que le gouvernement n'utilise pas l'état d'urgence sanitaire pour y aller par décret. Ça, c'est parce que c'est une autre chose qui est possible.

Mais ce que je remarque, c'est qu'aujourd'hui vous venez allumer une lumière rouge puis vous nous dites : La définition de la vie privée, la définition globale de la vie privée... vous nous parlez d'équilibre, vous nous parlez de bonne gouvernance, vous nous parlez de transparence, d'imputabilité puis de reddition de comptes. C'est des choses qui devront apparaître, parce que, si j'ai bien compris, vous allez être le premier à venir nous dire, si ce n'est pas là : Bien, on est passés, le 13 août, on vous a dit ce qu'il en était, et je pense que vous allez... on vous suggère très, très, très fortement de vous en assurer parce que ça pourrait amener des contestations puis ça pourrait amener, de la part des citoyens, un rejet de la position politique gouvernementale. Est-ce que j'ai bien compris?

Le Président (M. Bachand) : M. Tessier, je vous laisse la fin, quelques secondes.

M. Tessier (Philippe-André) : Oui, merci. Bien, écoutez, oui, c'est sûr que nous, nous allons... en vertu de notre mandat, en vertu de la charte, on va continuer à regarder cette situation-là.

Je peux vous dire aussi, puis je veux juste rassurer les parlementaires là-dessus, l'ensemble des décrets et arrêtés ministériels font office, présentement, de législation. C'est sûr que la commission les analyse et les étudie un par un et les regarde tous pour s'assurer de leur conformité, tel que notre mandat le prévoit.

Le Président (M. Bachand) : Merci beaucoup. Alors, merci encore une fois d'avoir été avec nous ce matin.

Cela dit, je suspends les travaux pour quelques instants. Merci beaucoup.

(Suspension de la séance à 9 h 45)

(Reprise à 9 h 52)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Merci beaucoup.

Alors, il nous fait plaisir d'accueillir les gens de la Commission d'accès à l'information, soit Me Diane Poitras, présidente, et M. Martin Carbonneau, agent de recherche. Alors, vous avez 10 minutes de présentation, comme vous le savez, après on aura un échange avec les membres de la commission. Merci beaucoup d'être ici, et la parole est à vous.

Commission d'accès à l'information (CAI)

Mme Poitras (Diane) : Bonjour. Je me présente, je suis Diane Poitras, présidente de la Commission d'accès à l'information. Je suis accompagnée de M. Martin Carbonneau, qui est professionnel en veille, recherche et promotion à la commission.

Alors, au nom de la commission, je tiens à vous remercier pour cette invitation. Même si nous sommes conscients que les enjeux relatifs aux applications de notification d'exposition imposent une réflexion plus globale que ceux concernant la vie privée et la protection des renseignements personnels, nos commentaires, aujourd'hui, vont porter uniquement sur ce volet et sur la transparence, enjeux qui sont au coeur de notre mission.

Comme l'invite à le faire le document préparé par le Secrétariat du Conseil du trésor en vue de la présente consultation, notre mémoire vise à cerner les enjeux et les modalités d'encadrement relatives à la protection des renseignements personnels de ces outils technologiques, mais de manière générale, il ne porte pas sur une application en particulier. Une analyse plus poussée de la commission sera donc requise si le gouvernement décide d'aller de l'avant avec une application de notification des contacts pour que nous puissions émettre un avis et formuler des recommandations spécifiques sur la solution qui serait retenue.

Dans son mémoire, la commission énonce 11 principes essentiels à respecter afin de guider la démarche si le gouvernement décide d'appuyer ce genre d'outil. Pour chacun de ces principes, nous formulons des recommandations qui se veulent concrètes, bien que générales, comme je l'ai mentionné. Pour appuyer notre dernière recommandation du mémoire, qui est d'adopter un cadre juridique spécifique au déploiement et à l'utilisation d'une application au Québec comme d'autres pays l'ont fait, nous soumettons également une liste des éléments qui devraient être inclus dans cette loi ou ce décret. Ces principes s'inspirent essentiellement de la législation actuelle et de ceux mis de l'avant par la déclaration commune du 7 mai de l'ensemble des commissaires à la protection de la vie privée du Canada, sauf ma collègue de l'Alberta, qui était en train d'étudier l'application ABTraceTogether. Ce sont d'ailleurs ces principes qui ont servi à l'évaluation de l'application Alerte COVID, qui a été réalisée par mes homologues du fédéral et de l'Ontario récemment. Compte tenu du temps qui m'est alloué, je vais aborder succinctement quelques principes et insister seulement sur certaines recommandations que nous formulons dans le mémoire. Je vous y réfère pour un portrait plus complet.

Le premier principe est déterminant, en conditionne plusieurs, et la Commission des droits de la personne en a parlé avant nous, c'est d'établir la nécessité et la proportionnalité du recours à une application de notification d'exposition. Une telle application est susceptible d'avoir des conséquences sur le droit au respect de la vie privée et la protection des renseignements personnels. Je pense que tout le monde en convient. Toutefois, ce droit, évidemment, n'est pas absolu. On peut y porter atteinte si on démontre que c'est nécessaire pour répondre à un objectif légitime et important et que l'atteinte au droit fondamental est proportionnelle à cet objectif. Pour ce faire, le gouvernement devrait d'abord déterminer le ou les objectifs de santé publique spécifiques poursuivis par l'application. Ces objectifs doivent être fondés sur la science et s'inscrire dans la stratégie de lutte contre la COVID-19 des autorités de santé publique.

Le gouvernement devrait aussi être en mesure de démontrer la proportionnalité de la mesure, notamment en se demandant si la solution retenue minimise l'atteinte à la vie privée. Par exemple, l'intrusion dans la vie privée des individus est plus importante pour certaines technologies comme la géolocalisation, ou la biométrie, ou encore pour une solution prévoyant un stockage centralisé de l'information par opposition à une application où les renseignements sont stockés sur les appareils des utilisateurs, qu'on appelle décentralisée.

Il faut aussi pouvoir conclure qu'elle permet d'atteindre les objectifs poursuivis, donc que l'application est efficace ou, du moins, susceptible de l'être. Or, l'efficacité de ces applications, vous l'avez entendu, reste à déterminer. Selon l'OMS, on ne peut pas évaluer directement leur impact sur la gestion de la crise à l'heure actuelle, faute de données ou d'études probantes. On sait que ces applications ont plusieurs limites, notamment liées à l'utilisation de la technologie comme telle, comme l'imprécision des mesures de distance ou le fait qu'on ne prend pas en considération des éléments de contexte comme le port du couvre-visage ou la présence de cloisons quand on détermine qu'un contact est à risque.

On constate aussi que les applications déployées, actuellement, dans le monde ont des effets plutôt mitigés. Leur taux d'adoption, qui est déterminant aussi pour leur efficacité, est généralement faible, actuellement. Il dépend beaucoup de la confiance et des craintes des citoyens, mais aussi, vous l'avez entendu, de l'accès à des téléphones intelligents suffisamment récents pour supporter l'application. Or, une partie importante de la population, souvent parmi la plus vulnérable, n'en possède pas. Ça réduit d'autant l'efficacité de ces applications tant pour ces personnes que pour celles avec lesquelles elles entrent en contact.

 (10 heures)

Enfin l'OMS rappelle que ces solutions technologiques doivent s'inscrire dans un ensemble de mesures complémentaires, notamment des tests de dépistage en nombre suffisant et complémentés par un traçage manuel des contacts efficient. Ainsi l'efficacité d'une telle mesure doit être évaluée avant son déploiement, mais aussi en continu par la suite. Et, dans un objectif de transparence et d'imputabilité en lien avec notre principe 10, la commission recommande d'établir des critères pour évaluer cette efficacité et un mécanisme d'évaluation indépendante en continu par rapport aux objectifs qui auront été fixés et d'en rendre compte de manière transparente.

Il importe également de s'assurer qu'une autorité indépendante surveille le respect des principes visant le respect de la vie privée, la suffisance des mesures de protection en place et la conformité légale de l'application. La commission souligne qu'elle a déjà l'expertise et les pouvoirs d'enquête et d'inspection qui lui permettraient de jouer ce rôle.

Deuxième principe que j'aimerais porter à votre attention, c'est de minimiser l'atteinte aux droits dès la conception de l'application. C'est pourquoi la commission recommande qu'une évaluation des facteurs relatifs à la vie privée concernant la solution retenue soit réalisée, comme la plupart des pays l'ont fait avant le déploiement, qu'elle soit soumise à la commission pour avis et diffusée publiquement et de porter une attention particulière au choix de la technologie utilisée de même qu'à la nature des renseignements qui seraient éventuellement recueillis.

Le troisième principe est à la fois déterminant tant pour la proportionnalité de la mesure que pour la confiance envers une telle application. Il s'agit d'en garantir le caractère volontaire et d'assurer un consentement valide. Pour ce faire, la commission recommande de fournir une information claire, simple et complète aux utilisateurs sur son fonctionnement et les renseignements personnels qui seront recueillis et utilisés, d'obtenir un consentement explicite et spécifique lors de l'installation de l'application et, par la suite, pour chaque finalité de santé publique qui implique des renseignements personnels, de permettre le retrait du consentement et la désinstallation de l'application en tout temps et de détruire sans délai tout renseignement concernant l'utilisateur, et, point essentiel, d'interdire à quiconque d'exiger l'installation de l'application ou la consultation de son contenu, par exemple pour conditionner l'accès à un lieu, un bien, un service ou un emploi.

Évidemment, la commission recommande d'adopter, à toutes les étapes, une démarche transparente. Nous saluons d'ailleurs les démarches consultatives publiques et institutionnelles tenues respectivement par le gouvernement et l'Assemblée nationale à ce sujet. Et, dans la continuité de cette initiative, la commission recommande notamment de diffuser les motifs qui justifieraient éventuellement une décision de recourir à une telle mesure exceptionnelle et les modalités de son déploiement et de diffuser, évidemment, le code source de l'application et des dispositifs qui y sont liés pour permettre une évaluation externe indépendante.

Les cinquième et sixième principes visent à limiter tant la collecte, l'utilisation et la communication de renseignements personnels, par exemple en privilégiant l'utilisation de renseignements anonymisés ou dépersonnalisés et de favoriser une application qui fonctionne en mode décentralisé et qui recueille le moins de renseignements possible liés aux individus. Il importe, évidemment, de mettre en place une infrastructure technologique sécuritaire qui comprend des mesures de protection répondant aux plus hauts standards et de s'assurer que l'ensemble de l'écosystème dans lequel évoluerait une éventuelle application est entièrement sécurisé. Évidemment, il faut déterminer les conditions de mise hors service pour que la... et détruire les renseignements recueillis pour que cette mesure exceptionnelle ait un terme.

Et finalement, comme plusieurs homologues et experts, la commission considère qu'une application doit s'accompagner d'un encadrement juridique spécifique pour garantir aux citoyens le respect des principes énoncés précédemment. C'est une des recommandations de l'OMS et du comité consultatif d'experts du CIFAR, qui a été mandaté pour formuler des recommandations au sujet de ces applications au gouvernement du Canada. C'est pourquoi la commission recommande d'adopter, par loi ou par décret, un cadre juridique spécifique au déploiement et à l'utilisation de l'application au Québec, comme d'autres pays l'ont fait, dont la France, la Suisse et l'Australie. En effet, certains enjeux soulevés ne sont pas encadrés adéquatement par la loi actuelle, comme par exemple le respect du caractère volontaire de l'utilisation de l'application, l'utilisation des renseignements aux seules finalités de santé publique qui seraient identifiées ou encore la durée déterminée de la mesure. L'autorégulation ne nous paraît pas acceptable dans les circonstances, vu les enjeux en cause et la confiance nécessaire.

En terminant, la commission réitère que, si le gouvernement décide de déployer une application de notification des contacts, elle entend analyser l'outil et l'évaluation des facteurs à la vie privée qui sera produite afin de fournir des recommandations plus spécifiques et de rendre un avis précis. Il me fera plaisir de répondre à vos questions davantage à ce sujet. Je vous remercie.

Le Président (M. Bachand) : Merci pour votre présentation. Je me tourne vers le gouvernement. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Merci beaucoup, M. le Président. Merci, Me Poitras. Merci d'être ici. Merci de votre présentation.

J'aimerais peut-être commencer, là... Vous aviez parlé d'équilibre et de certains critères, notamment de nécessité, de légitimité, d'importance, donc, en lien avec les objectifs de la Santé publique pour déployer un tel outil. Croyez-vous, justement, qu'un outil, s'il est dans l'équilibre, pourrait être pertinent et pourrait s'ajouter aux différentes mesures de santé publique qui sont déjà en place? Est-ce que la commission est à l'aise avec ça?

Mme Poitras (Diane) : En fait, comme on est dans la théorie, pour l'instant, qu'on n'a pas une application spécifique avec des objectifs précis d'identifiés... C'est très difficile de répondre à une question dans la théorie.

M. Lévesque (Chapleau) : Mais, théoriquement, disons?

Mme Poitras (Diane) : Ce qu'on regarderait, pour nous, c'est la conformité légale, et la proportionnalité de la mesure, et le respect des droits par l'application.

M. Lévesque (Chapleau) : Ce serait plus ça. Et donc... Merci. Et, au niveau du rôle que la commission pourrait avoir, vous avez mentionné, bon, une autorité indépendante, une autorité compétente. Comment vous voyez votre rôle? Quel serait... Puis peut-être, même, poussons plus loin. Est-ce qu'au niveau de la réglementation et des lois il y aurait des éléments qui seraient pertinents pour que vous ayez... pour pouvoir, dans le fond, bien jouer ce rôle-là si jamais il y avait lieu?

Mme Poitras (Diane) : Évidemment, si on parle... Avant le déploiement de l'application, comme je l'ai mentionné, la première étape serait d'évaluer et de donner un avis sur une évaluation des facteurs relatifs à la vie privée, par rapport à une application spécifique qui serait établie, pour faire des recommandations plus précises. Par la suite, on pourrait s'assurer du respect des principes. Puis, si notre recommandation d'adopter un cadre juridique est acceptée ou est suivie, en fait, ça serait de voir au respect de ce cadre juridique et du cadre actuel, évidemment, par le biais des pouvoirs qu'on a. Et, pour des mesures plus concrètes, il faudrait voir qu'est-ce que prévoit un éventuel projet de loi, par exemple, ou quelle est l'application, quelle est l'évaluation des facteurs relatifs à la vie privée, etc.

M. Lévesque (Chapleau) : Parfait. Merci. Vous avez parlé de la notion de tiers et le fait que ça deviendrait une application conditionnelle pour soit un emploi ou entrer dans un endroit. Vous pouvez peut-être élaborer ces craintes-là puis voir, là, ce qu'il en est, puis ce serait peut-être une piste de solution que vous verriez pour ça?

Mme Poitras (Diane) : En fait, les pays qui ont légiféré ou qui ont adopté un décret l'ont fait d'abord et avant tout pour s'assurer du caractère volontaire, parce que, dans l'état de la législation actuelle, ce serait difficile. En tout cas, un employeur... prenons l'exemple d'un employeur, là, un employeur pourrait tenter de justifier que la mesure est nécessaire, que la collecte des renseignements est nécessaire. Et la commission a... Comme tout le monde, là, dans la population, on a vu des initiatives spontanées, souvent faites avec la meilleure bonne foi, mais qui avaient des impacts ou qui soulevaient des enjeux importants de vie privée. Alors, pour nous, la solution, c'est vraiment un encadrement, une interdiction spécifiée dans un cadre juridique, loi ou décret. Évidemment, on privilégie la loi, là, mais je me contenterais d'un décret.

M. Lévesque (Chapleau) : ...certains groupes, le fait qu'ils l'aient pourrait représenter un gain sociétal ou un gain pour la santé publique du fait que ce groupe-là y ait accès? On pense aux jeunes, qui sont en recrudescence, actuellement, au niveau des cas. Est-ce que le fait qu'eux, ce groupe-là, ils aient accès, et certains groupes autres aussi... qui pourrait réduire, dans le fond, les risques de santé publique, est-ce que ça, ça pourrait justifier l'utilisation d'une application, selon vous?

Mme Poitras (Diane) : En fait, tout revient au test de nécessité et de proportionnalité que j'ai indiqué. Et, pour l'instant, la commission ne détient pas de données probantes qui permettent de répondre à cette question sur des données scientifiques, alors j'hésiterais de spéculer sur la réponse à donner.

M. Lévesque (Chapleau) : Merci beaucoup. M. le Président, merci.

Le Président (M. Bachand) : Merci, M. le député. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Mme Poitras, M. Charbonneau, merci d'être là. C'est très, très pertinent. Comme toujours, votre travail est toujours très rigoureux.

J'aimerais rebondir tout de suite sur la question des tiers parce que je pense que c'est quelque chose qui va revenir. Je me posais la question parce que, dans la Loi de la protection des renseignements personnels dans le secteur privé, l'article 18, bon, il y a des exceptions qui font en sorte qu'un employeur peut recueillir des renseignements personnels. Mais, tu sais, on s'entend que peut-être, quand la loi a été rédigée, il n'y avait pas d'application mobile, là. Puis c'est pour ça, le but, aussi, d'avoir le projet de loi n° 64 puis de réformer, aussi, la loi, la LCCJTI, tu sais, de moderniser tout cela. Mais actuellement est-ce qu'un employeur pourrait forcer un employé à télécharger l'application?

Mme Poitras (Diane) : Dans les faits, oui, ils peuvent le faire. Je vous dirais qu'on est conscients qu'il y a des employeurs qui ont développé des outils et des applications, et qu'ils exigent de leurs employés qu'ils le portent, et que ce sont des outils de traçage, de notification d'exposition.

Mme Boutin : ...

Mme Poitras (Diane) : Oui, bien, ça ne veut pas dire que c'est légal, ça ne veut pas dire que le concept de nécessité et de proportionnalité est rencontré. La commission n'a pas eu l'occasion d'analyser encore cette situation-là, mais je sais qu'on a notamment une enquête en cours.

Mme Boutin : Parce que je pense que, pour le gouvernement, ça va être important, là, de respecter vos recommandations. La vie privée puis le respect des données personnelles est quelque chose d'assez préoccupant qu'on prend au sérieux, là. Puis, dans les outils législatifs qui seraient disponibles, bon, éventuellement, peut-être dans le projet de loi n° 64 ou autre projet de loi, un décret pourrait être quelque chose de potentiellement satisfaisant à court terme?

Mme Poitras (Diane) : C'est sûr qu'une loi, c'est toujours préférable, mais, comme je vous ai dit, je me contenterais... entre rien puis un décret, je vais me contenter du décret. Mais c'est clair pour nous que l'objectif, c'est d'avoir un encadrement, pour certains éléments, complémentaire à la législation actuelle, qui est insuffisante.

Mme Boutin : J'aimerais vous amener sur un autre sujet, au niveau peut-être de la gouvernance, en amont, tu sais, si jamais le gouvernement allait de l'avant. Tu sais, moi, c'est quelque chose... Tout ce qui est imputabilité, reddition de comptes, gouvernance, c'est assez important. Comment pourrait s'intégrer... parce qu'il pourrait y avoir une gouvernance au niveau... qui intégrerait des questions de sécurité de l'information, peut-être plus cybersécurité, mais, au niveau de la protection des renseignements personnels, vie privée, comment est-ce que vous voyez ça, sous quelle forme?

Mme Poitras (Diane) : Je ne suis pas sûre de bien comprendre votre question.

Mme Boutin : Bien, je ne veux pas vous mettre de mots dans la bouche non plus, là, mais est-ce qu'on pourrait mettre en place un comité spécial? Quel type de gouvernance permettrait d'assurer une bonne imputabilité au niveau de la protection des renseignements personnels, mais également un suivi, une évaluation en continu?

Mme Poitras (Diane) : O.K. Mais je peux donner un exemple qui s'est fait au fédéral, ils ont créé un comité d'experts multidisciplinaires qui, justement, vise à conseiller le gouvernement sur les mesures à mettre en place, évaluer l'efficacité, les mesures de protection des renseignements personnels, la sécurité, les impacts sociaux aussi, etc. — c'est sûr que ça, c'est une bonne façon — avec transparence des avis et des recommandations qui sont faits par ces comités. Mais, pour moi, ça, c'est comment le gouvernement peut assumer son rôle de gouvernance, ça n'enlève pas le besoin d'évaluation externe indépendante aussi.

Mme Boutin : Une évaluation externe indépendante, vous parlez... comme par un groupe hors gouvernement, par exemple?

Mme Poitras (Diane) : Oui, bien, comme pour le volet protection des renseignements des renseignements personnels, respect de la vie privée, transparence. La commission jouerait son rôle qui lui est dévolu, là, selon sa mission, évidemment.

• (10 h 10) •

Mme Boutin : Je pense que ma collègue la députée des Plaines a des questions... Ah! Beauce-Nord.

Le Président (M. Bachand) : Oui, M. le député de Beauce-Nord, s'il vous plaît.

M. Provençal : Merci, M. le Président. Merci beaucoup pour votre mémoire. J'aimerais poser une question en lien avec la recommandation n° 3 de votre mémoire, qui est en lien avec le caractère volontaire et la notion du consentement valide. À l'intérieur de ça, vous dites «obtenir un consentement distinct, spécifique et explicite». Bon, premier consentement, l'installation, ça, c'est clair pour moi, mais «demander un consentement distinct pour chaque finalité de santé publique», pouvez-vous me clarifier cet élément-là, s'il vous plaît?

Mme Poitras (Diane) : Par exemple, je vais prendre l'exemple d'Alerte COVID, actuellement il y a un consentement initial pour utiliser l'application. Et, par la suite, si vous recevez un diagnostic positif, on va vous redemander un consentement pour communiquer les informations, les contacts numériques, là, que vous avez eus, qui sont stockés sur votre téléphone intelligent, de les communiquer au serveur fédéral pour qu'il puisse l'envoyer, par la suite, à tous les utilisateurs de l'application pour qu'ils fassent le match — excusez l'anglicisme — pour voir si vous avez été en contact avec une personne qui a été testée positive. Donc, un consentement... ça, c'est un exemple d'un deuxième consentement où il y a un deuxième événement important.

M. Provençal : Ça va. Parce que, de la manière que je le percevais, c'est qu'on pouvait prévoir ou penser que ça pourrait servir aussi pour autre chose qu'au niveau santé, mais là vous vous limitez vraiment à la situation qu'on vit présentement.

Mme Poitras (Diane) : Idéalement, oui, mais on sait que, dans les projets à travers le monde, il est arrivé qu'il s'est greffé, à un moment donné, une autre fonctionnalité qu'on a voulu imposer. Puis, pour nous, c'est que, si on voulait, hypothétiquement, ajouter une autre fonctionnalité, c'est clair qu'il faudrait redemander un consentement.

M. Provençal : Je viens de comprendre. Merci beaucoup, madame. Merci, M. le Président.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : ...parce que vous avez mentionné, dans votre rapport... puis j'ai trouvé ça très intéressant, je pense, c'est la recommandation 9, où est-ce qu'il y a des outils ou une information... Mettons que quelqu'un télécharge l'application puis il a des questionnements par rapport, justement, à sa vie privée, tout ça, donner une source d'information où les gens pourraient téléphoner, comment est-ce que vous voyez ça? Est-ce que vous, vous pourriez jouer ce rôle-là? Est-ce que vous avez assez de ressources pour faire ça? Parce que, admettons, je ne sais pas, moi, je donne un chiffre par hasard, 25 000 personnes ont des questions par rapport à leur vie privée puis ils téléphonent, est-ce que ce serait une ligne, un site Internet? Puis je trouve que c'est très intéressant, pour ma part, là.

Mme Poitras (Diane) : Non, dans ma tête, ce n'était pas la Commission d'accès à l'information qui jouait ce rôle-là. Je pense que c'est plus — appelons-les comme ça — aux promoteurs ou ceux qui gèrent l'application de répondre à ces questions-là sur le fonctionnement, etc. Pour Alerte COVID, par exemple, c'est un organisme gouvernemental. Je ne sais pas si M. Carbonneau se souvient, on va vérifier, mais je sais que c'est un organisme... je ne me souviens pas si c'est Santé Canada ou le centre numérique canadien, un des deux, là, qui va jouer ce rôle-là.

Mme Boutin : Ils ont mis en place des ressources. Mais, probablement, en relation avec les gens... mettons que ça pourrait être en relation avec vous, par exemple, là, un groupe d'experts qui répondent aux questions, mais, s'il y a des questions spécifiquement sur leurs droits en matière de vie privée et protection personnelle...

Mme Poitras (Diane) : Ah! ça, c'est sûr que, si c'est des questions... Je m'excuse, je ne voulais pas vous couper la parole. Mais, si vraiment c'est des questions sur leurs droits, ça, c'est la commission. Mais je pense qu'il y a un premier niveau, un peu comme quand, une personne, avant de porter plainte chez nous, on l'encourage à faire une démarche auprès de l'entreprise ou de l'organisme pour tenter de régler la situation. Puis, s'ils ont des questions sur le fonctionnement, sur la circulation des données, je pense que ça, ce n'est pas à la commission de répondre, ce serait plus aux promoteurs de...

Mme Boutin : En tout cas, c'est une discussion intéressante, parce qu'on a tendance, dans la vie de tous les jours, à «downloader» toutes sortes d'applications, à aller sur des sites. On nous demande le consentement pour des cookies ou des choses comme ça, mais on n'a jamais l'opportunité de poser des questions ou de savoir en quoi est-ce que mes droits sont vraiment protégés. Tu sais, on le fait tous, ici, là, tout le monde, ici, est sur des médias sociaux, soit utilisent Google Maps, Bluetooth, on est tous à risque, mais on ne sait jamais vraiment comment est-ce que nos renseignements personnels sont protégés ou non. Puis j'ai trouvé intéressante cette recommandation-là, pour ma part, de pouvoir avoir l'opportunité d'avoir accès à, je ne sais pas, un juriste ou quelqu'un qui pourrait répondre à nos questions.

Mme Poitras (Diane) : Tout à fait. Bien, c'est le genre de question qu'on a souvent, pas nécessairement sur des applications ou des produits spécifiques, mais effectivement... Et il y a peut-être une certaine partie de la population qui est habituée avec les applications et le numérique, mais il y a quand même une bonne partie de la population qui n'a pas cette facilité et pour qui les concepts de toute cette collecte de données, cet univers numérique ne va pas de soi.

Le Président (M. Bachand) : M. le député de Chapleau.

M. Lévesque (Chapleau) : Oui, M. le Président. Peut-être une petite dernière question, là, en lien au processus menant, dans le fond, au développement ou, du moins, à la mise en oeuvre de l'application. Vous avez parlé, bon, des analyses nécessaires en cybersécurité puis différentes analyses... Est-ce que vous entrevoyez également, peut-être, une analyse de votre commission avant même le déploiement? Est-ce que... Dans le fond, j'aimerais voir quelles étapes vous voyez puis qu'est-ce que vous envisageriez de façon vraiment à améliorer, là, toute la notion de protection de vie privée des Québécois, de renseignements personnels? C'est vraiment l'objectif aussi. Donc, si on peut avoir votre son de cloche là-dessus, ce serait bien apprécié.

Mme Poitras (Diane) : Bien, en fait, je verrais fort bien comme ça s'est déroulé dans plusieurs autres juridictions, c'est-à-dire un avis sur une évaluation des facteurs à la vie privée qui serait réalisée. C'est comme une analyse de tous les enjeux de vie privée et de protection des renseignements personnels qui est réalisée par... ici, ce serait le gouvernement, une instance, un organisme public quelconque... qui est analysé par la commission, avec des échanges, on pose des questions, etc., pour qu'on voie l'ensemble de l'écosystème, on formule des recommandations précises. Et, dans un deuxième temps, ce serait de regarder sous le capot, une fois que fois que l'application est déployée, d'aller vérifier si ce qu'on a avancé dans l'évaluation des facteurs à la vie privée ou ce qu'on avance dans la description de comment fonctionne l'application, si ça se concrétise.

M. Lévesque (Chapleau) : ...que vous avez parlé de vos collègues des autres provinces, également fédéral, est-ce qu'ils ont eu l'occasion de faire ça, cette espèce d'analyse?

Mme Poitras (Diane) : Oui, mon collègue du fédéral... mes collègues du fédéral et de l'Ontario ont analysé les volets respectifs, fédéral et provincial, de l'application Alerte COVID et, dans les deux cas, ont mentionné qu'ils allaient faire une phase II. Pour le fédéral, je crois que c'est d'ici la fin...

M. Lévesque (Chapleau) : Puis les résultats initiaux, justement, fédéral, je serais curieux de voir quelles recommandations ou quels résultats qu'ils ont émis. Qu'est-ce qu'ils ont dit de ça? Il y a-tu eu un rapport?

Mme Poitras (Diane) : Oui, oui, oui, ils ont fait un avis. L'avis est public sur le site de mon homologue fédéral. Parmi les recommandations : attention, par rapport aux renseignements anonymisés ou non, de bien expliquer, d'être transparents et d'être factuels, de bien expliquer, de donner une information compréhensible aux citoyens, d'avoir une surveillance indépendante, qu'eux voulaient aller regarder sous le capot par la suite. Il y a en a d'autres, là, mais, spontanément, c'est celles qui me... ah oui, et le caractère volontaire, ils conviennent que ça aurait pris un encadrement juridique, mais ils ont dit : Bien, si le gouvernement insiste suffisamment, pour l'instant, ça fait, mais ça prendrait un encadrement juridique.

M. Lévesque (Chapleau) : Merci beaucoup.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup, M. le Président. Bonjour. Merci pour votre présence. Le groupe juste avant vous, c'était la Commission des droits de la personne et droits de la jeunesse, ils ont fait quelques constats, comme par exemple que l'application en question n'a pas encore fait ses preuves, ça a été fait dans l'urgence, c'est développer un faux sentiment de sécurité, et ils sont arrivés à la conclusion de ne pas recommander d'aller de l'avant. Partagez-vous le même avis de ne pas aller de l'avant?

Mme Poitras (Diane) : Je ne sais pas, pour l'instant, de quelle application il s'agit, je ne sais pas quel serait l'objectif spécifique de santé publique. Pour l'instant, nous formulons des recommandations, des principes à respecter si on va de l'avant. Par la suite, j'aurais besoin de regarder qu'est-ce qu'a l'air l'application.

Mme Rizqy : D'accord. Et ici, par exemple, vous avez regardé, j'imagine, celle du fédéral un peu?

Mme Poitras (Diane) : J'ai suivi les travaux de mes homologues.

Mme Rizqy : O.K. Si, par exemple, c'était celle du fédéral, est-ce que ça, vous avez déjà regardé un peu votre... Est-ce que vous avez une opinion là-dessus ou pas encore? Ce sera plus tard?

Mme Poitras (Diane) : En fait, il faudrait regarder le volet provincial, parce que le fédéral a regardé son volet, l'Ontario, son volet, ça ne veut pas dire qu'au Québec on développerait la même chose, la même façon de donner la clé diagnostique en cas de diagnostic positif, que ça serait développé de la même façon. Donc, il faudrait regarder l'écosystème ici, au Québec.

Mme Rizqy : D'accord. Le 31 juillet dernier, le commissaire à la vie privée, au niveau fédéral, écrivait que, par exemple, celle développée par le fédéral, c'était inexact de dire que c'était totalement anonyme. Partagez-vous le même avis?

Mme Poitras (Diane) : Effectivement, ils ont... Et c'est clairement, maintenant, l'évaluation des facteurs relatifs à la vie privée de... Santé Canada le mentionne, que les risques de réidentification sont très faibles, mais qu'ils existent.

Mme Rizqy : Parfait. Parce que je pense que... quand vous mentionnez, à juste titre, qu'il faut que ça soit un consentement libre et éclairé, je crois que c'est important, même, nous, les élus, M. le Président, dans notre langage, de le mentionner parce qu'ici on pourrait induire malencontreusement les citoyens en erreur.

Vous faites mention, dans votre mémoire, de la gestion de la donnée. Donc, par exemple, quelqu'un qui télécharge l'application sur son téléphone serait, par exemple, sur son téléphone, mais par la suite ça s'en va à la Santé publique. Et là c'est la question d'où est-ce qu'on va stocker la donnée. Donc, vous... ça devrait être stocké où?

Mme Poitras (Diane) : En fait, ça dépend. Il y a plusieurs modèles qui existent. Je vais prendre l'exemple...

Mme Rizqy : Voulez-vous que je spécifie, peut-être, ma question? Ça pourrait peut-être vous aider.

Mme Poitras (Diane) : Le modèle décentralisé est moins à risque, donc, que les clés soient conservées sur le téléphone et que l'appariement de si vous avez été en contact avec une personne à risque se fait sur le téléphone. Mais il reste que ça prend un serveur central quelque part pour gérer la clé et envoyer l'ensemble des informations au téléphone.

Mme Rizqy : Est-ce qu'il y aurait un risque... Avec la volonté gouvernementale, qui a été annoncée dès février 2019, que les serveurs du gouvernement, à plus de 80 %, seraient privatisés, est-ce que ça aussi, ça pourrait être un danger ou est-ce que vous recommanderiez que, par exemple, tout ce qui a trait à la santé publique reste du contrôle gouvernemental?

• (10 h 20) •

Mme Poitras (Diane) : Bien, c'est sûr qu'il faudrait voir... mais plus les données sont sensibles, plus il y a un encadrement... plus il y a de risques à envoyer des données sensibles en infonuagique, ça, c'est évident. Il faut voir quelles sont les données puis quel est l'encadrement, quelles sont les ententes. Mais c'est sûr qu'il y a un risque de perte de contrôle.

Mme Rizqy : Tantôt, vous avez parlé de l'objectif légitime recherché. Donc, on a une solution qui nous est proposée, qui a été davantage proposée d'abord par l'industrie, Apple, et Google, et par la suite Shopify, qui nous propose ce type de technologie. Moi, je me pose la question, où est l'objectif? Mais habituellement, quand on a une solution, c'est parce qu'on a un problème à répondre. Est-ce que vous avez fait l'exercice de regarder en quoi cette application nous aurait été utile dans la préparation de la pandémie, c'est-à-dire l'achat de masques, prendre des décisions dans la distribution du matériel sanitaire auprès de la Santé publique, ou est-ce que vous pensez qu'on aurait peut-être dû, nous, avant d'aller de l'avant avec cette solution proposée, attendre d'avoir les conclusions d'un rapport indépendant dans la gestion de crise pour savoir si, oui ou non, l'objectif recherché est légitime ou pas?

Mme Poitras (Diane) : En fait, il faudrait voir quel serait l'objectif. Dans ma compréhension, il y a différents types d'applications qui existent, mais prenons celle... canadienne, son objectif est de soutenir la recherche de contacts en identifiant très, très rapidement des personnes asymptomatiques pour qu'elles aillent se faire dépister, tester et éviter... diminuer le risque de la chaîne de contamination.

Mme Rizqy : Je vous pose la question suivante parce que j'ai souvent entendu, au niveau fédéral, le commissaire à la vie privée demander des lois avec plus de mordant et plus de ressources parce que les délais sont quand même longs lorsqu'il y a une plainte qui est logée. On parle des fois de deux ans, des fois trois ans et des fois quatre ans. Et, dans un cas très spécifique, il y a eu, par exemple, le programme de reconnaissance faciale dans un centre d'achats en Alberta, et ça fait maintenant plus de deux ans qu'on attend les conclusions du rapport. De votre côté, est-ce que vous avez besoin de lois avec plus de mordant, avec toutes ces nouvelles technologies qu'on essaie de nous vendre, et des ressources additionnelles pour répondre aux demandes?

Mme Poitras (Diane) : Oui.

Mme Rizqy : Parfait. C'est une réponse très courte.

Mme Poitras (Diane) : Ce sera bref.

Mme Rizqy : Parce que, je vous donne un autre exemple, je ne sais pas si vous vous rappelez, en avril 2018, Facebook disait... partait... ou, même, disait des fois : On part avec une bonne intention lorsqu'on est capables de voir où sont nos amis. Alors, plusieurs ont téléchargé l'application, et, au palais de justice, on s'est rendu compte que certains avocats avaient trouvé la faille et étaient capables d'identifier les membres d'un jury, et ça avait beaucoup inquiété les membres du Barreau, avec raison, parce qu'on doit absolument garder anonymes les membres du jury. Mais quelle a été la conséquence pour les avocats puis Facebook lorsqu'on a appris tout ça? Il n'est rien arrivé, finalement. Et c'est là qu'au fond moi, je m'interroge, parce qu'on développe plein de technologies, on prend plein de données dans le secteur privé, mais ils n'ont pas démontré leur capacité à bien gérer la donnée des gens. Et vous, aujourd'hui, est-ce que, si jamais le gouvernement va de l'avant... Je comprends que tout le monde dit : Ça va nous prendre un chien de garde pour s'assurer que tout va bien, mais les conséquences, quand ça ne va pas bien, c'est quoi, aujourd'hui?

Mme Poitras (Diane) : Bien, c'est sûr que, dans les pays qui ont légiféré, notamment pour interdire d'exiger de quelqu'un qu'il utilise l'application ou de voir son contenu, on a imposé des sanctions, aussi, sévères. Je pense que ça irait de soi, là. Il ne suffit pas d'interdire dans la loi, il faut qu'il y ait une sanction qui aille avec et une possibilité d'enquêter, d'imposer ces sanctions de façon efficace, et il faut que ça soit dissuasif.

Mme Rizqy : Mais, lorsqu'on regarde, par exemple, Apple, qui était la première entreprise qui a fait plus que 1 000 milliards de capitalisation boursière, par exemple, une amende de 5 milliards de dollars, ça peut sembler impressionnant, mais, pour eux, c'est très peu. Est-ce que vous pensez qu'à un moment donné ça doit devenir une responsabilité des administrateurs d'une entreprise, lorsqu'il y a des... vraiment, où est-ce qu'on voit que la vie privée a été complètement bafouée, des gens, et que les données se retrouvent dans l'espace public pour, à un moment donné, avoir des lois qui feront en sorte que les géants du Web, notamment, à force de croiser nos données, respectent davantage notre droit à la vie privée? Parce que j'ai l'impression qu'on banalise de plus en plus notre droit à la vie privée.

Mme Poitras (Diane) : C'est une piste intéressante. Moi, je vous dirais qu'il y a beaucoup de travail qui se fait au niveau international. Pour la communauté internationale des homologues sur la protection des renseignements personnels, c'est très, très important et c'est ce qu'on essaie de voir, parce que peut-être qu'une amende de 5 millions ou 5 milliards, ce n'est pas beaucoup, mais, si on est plusieurs pays à l'imposer pour le même événement, à un moment donné, ça commence à finir par faire mal puis ça fait mal à la réputation.

Mme Rizqy : Oui, absolument. Et j'aimerais revenir sur l'employeur. Présentement, nous, on étudie pour... au niveau gouvernement, mais ça n'empêche pas que les entreprises, eux autres aussi, là, sont en train de faire des applications pour se doter de technologies pour aussi suivre leurs employés, et je me demande... Même si on dit que ça devrait avoir un caractère volontaire, les personnes les plus vulnérables, les plus stigmatisées, bien, si leur employeur leur dit : Tu vas le faire, habituellement, ce n'est pas eux autres qui vont porter plainte, n'est-ce pas, parce que des fois leur emploi est précaire, et ils peuvent avoir peur de perdre leur emploi, et ils peuvent dire : Bon, je vais le faire, et peut-être même qu'ils ne connaissent même pas leurs droits.

Mme Poitras (Diane) : Bien, c'est sûr qu'il y a une partie qui va porter plainte, une partie, non, mais, bon, je peux vous dire qu'on reçoit des plaintes de toutes formes, de toutes les sphères de la population, là.

Mme Rizqy : O.K., mais ça, est-ce qu'il y a un risque que les gens qui... notamment les nouveaux arrivants, ceux qui sont plus... qui ne maîtrisent pas nécessairement la langue et qui, par conséquent, maîtrisent encore moins leurs droits, est-ce qu'eux seraient désavantagés dans leur connaissance du droit ou, justement, du droit à la vie privée?

Mme Poitras (Diane) : Oui, c'est sûr que c'est un risque. C'est pour ça qu'on mentionne d'avoir une information claire, avec le nom d'une personne-ressource aussi, pour être en mesure d'appeler, au besoin, s'ils ont des questions et qu'on puisse les informer adéquatement de leurs droits.

Mme Rizqy : Et, à très, très courte échéance, parce que je sais que le temps file, si jamais... En ce moment, là, moi, je suis... Là, vous dites qu'il y a une enquête en cours parce que vous avez reçu une plainte puis qu'il y a déjà un employeur... puis je ne vous demande pas de... aucune information par rapport à cela, mais, présentement, est-ce qu'on devrait se doter d'un outil pour contraindre les employeurs immédiatement, là, que ce soit par décret ou par loi, là...

Mme Poitras (Diane) : C'est sûr que, dans la mesure où ce serait non nécessaire de le faire parce que les conclusions de l'enquête ne sont pas rendues, évidemment, c'est sûr que ce flou au niveau... il y a un certain flou au niveau de la loi et un manque de mordant... fait qu'on risque d'être inondés et de refaire des enquêtes à répétition sur la même problématique, et un outil législatif pourrait être intéressant.

Mme Rizqy : Merci.

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour à vous. Merci d'être ici avec nous ce matin.

Je me permets de continuer dans la foulée de ma collègue de Saint-Laurent. Êtes-vous d'accord avec moi si je... Êtes-vous d'accord avec l'information suivante? Je dirais qu'actuellement une application qui serait lancée demain matin sans qu'il y ait aucune modification au cadre juridique québécois, cette application-là évoluerait dans un flou juridique.

Mme Poitras (Diane) : Ce ne serait pas complet, mais il y a certains pans importants, de principes importants, dont j'ai mentionné... que nous mentionnons dans le mémoire, qui ne seraient pas encadrés.

M. Nadeau-Dubois : Donc, qui seraient flous. Il y aurait un flou juridique à plusieurs égards.

Mme Poitras (Diane) : Oui, en tout cas sur des aspects importants.

M. Nadeau-Dubois : Parfait. Sans une modification législative correspondant, grosso modo, à ce que vous recommandez à votre recommandation 11, est-ce que, sans une telle modification législative, il y aurait des dangers significatifs pour la vie privée et les renseignements personnels des Québécois et des Québécoises si une application était lancée demain matin?

Mme Poitras (Diane) : On considère que... toujours, on est dans le théorique, là, je ne sais pas le niveau d'atteinte à la vie privée de l'application qui serait déployée, mais, oui, il y aurait des risques qui ne seraient pas encadrés par une telle application.

M. Nadeau-Dubois : Je vais vous faire répéter quelque chose qui est écrit dans le mémoire, mais j'ai envie de vous entendre le dire. J'ai remarqué que vous parlez non pas seulement de cadre juridique, dans votre recommandation 11, mais d'un cadre juridique spécifique. Et donc est-ce que je comprends bien l'esprit de votre recommandation en disant que ce que vous recommandez, ce n'est pas que des ajustements mineurs soient faits à des lois actuelles, mais qu'un cadre juridique spécifique soit adopté pour encadrer spécifiquement une application de lutte contre la COVID-19?

• (10 h 30) •

Mme Poitras (Diane) : Ce serait idéal, parce qu'il y a des enjeux particuliers liés à cette mesure qu'on veut exceptionnelle, et donc, dans l'idéal, cette loi n'aurait plus sa nécessité une fois que l'application serait mise hors service. Mais il y a des pays qui ont intégré ces dispositions-là dans la loi-cadre. Puis, comme je vous dis, moi, je me contenterais de tout encadrement juridique qui serait adopté.

Le Président (M. Bachand) : Rapidement, M. le député.

M. Nadeau-Dubois : Est-ce que les lois avec lesquelles vous travaillez, actuellement, comme commission ont été rédigées à une époque où les technologies dont on discute aujourd'hui existaient?

Mme Poitras (Diane) : Non, évidemment.

M. Nadeau-Dubois : Merci.

Le Président (M. Bachand) : Merci beaucoup. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup, M. le Président. Donc, vous êtes la troisième commission qui vient nous dire l'importance d'avoir un suivi de l'application pour s'assurer qu'il n'y a pas... sans dire «de débordements», mais de mauvaises utilisations ou, du moins, on est capables de monitorer ce qui se passe pour, un, améliorer l'application, mais surtout être certains d'avoir des mécanismes de reddition de comptes. Donc, ça, je pense que c'est important, j'en avais parlé en début de commission.

J'aurais peut-être une question pour vous. Le gouvernement assure que sa solution qui sera retenue sera soumise à l'examen du Centre gouvernemental de cyberdéfense. Est-ce que vous avez été approchés, vous, par le gouvernement afin de faire aussi l'examen de l'application qui sera choisie?

Mme Poitras (Diane) : Je ne sais pas si on le serait, mais j'en prendrais l'initiative et je ferais moi-même mon examen sous le capot, comme je le disais, des éléments de sécurité.

M. Ouellet : Donc, vous n'attendriez pas la demande gouvernementale de l'étudier. Vous le feriez de votre propre initiative, comme organisation, pour donner un avis.

Mme Poitras (Diane) : Dans la mesure où le gouvernement détient des renseignements, nous pouvons exiger des questions et on peut faire enquête de notre propre initiative.

M. Ouellet : Pourquoi prendre cette initiative?

Mme Poitras (Diane) : Pour nous assurer que ce qu'on affirme... pour qu'on ait une analyse indépendante de la situation et nous assurer que les droits des citoyens sont respectés.

M. Ouellet : Donc, on vous écoute aujourd'hui en commission, selon votre champ d'études et votre champ d'expertise, sur une application probable qui n'a pas encore été déterminée de façon finale. Donc, je crois comprendre que, lorsque le gouvernement aura décidé quelle est l'application, ça pourra être une tout autre que celle qui a pu être évoquée dans les médias. Je serais intéressé, moi, comme député d'opposition, à recevoir vos recommandations, parce que, là, j'en ai une partie, aujourd'hui, sur un théorique, mais je suis un gars assez pratico-pratique et, quand je ne maîtrise pas tout, j'aime m'entourer d'experts compétents et chevronnés, et donc j'espère, et je vous fais la demande, bien honnêtement, Mme la présidente, de recevoir par courriel ou de déposer à la commission vos recommandations suite au choix du gouvernement par rapport à la mise en application d'une nouvelle application.

Mme Poitras (Diane) : Comme on a mentionné dans notre mémoire, pour nous, c'est clair que l'avis de la commission devrait être public, même.

M. Ouellet : Merci.

Le Président (M. Bachand) : Merci. M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Merci, M. le Président. Bonjour à vous deux. J'ai été un peu surpris, à la lecture de votre mémoire, parce que j'avais l'impression... Dans le document de consultation en ligne du gouvernement, on réfère, à la page 8 du document, à la Loi d'accès aux documents, puis ça nous donne l'impression, là, que la consultation en ligne est conforme à absolument tout ce qui touche la Loi d'accès. Avez-vous été consultés avant que ça prenne forme, la consultation en ligne du Secrétariat du Conseil du trésor?

Mme Poitras (Diane) : Non.

M. Ouellette : Vous n'avez pas été consultés.

Mme Poitras (Diane) : Pas à ma connaissance, en tout cas.

M. Ouellette : Bon, dans vos recommandations, il y a une chose qui a attiré mon attention, c'est que vous dites... Votre première recommandation, la première chose que vous nous dites, vous nous dites que ce qui devrait être fait devrait être basé sur la science. Ça, ça semble être quelque chose qui est très important parce que vous le mettez dans votre première recommandation, puis vous finissez avec le cadre législatif. Donc, on parle de science, si jamais on a à régler une problématique, pas un sondage, là, on parle de science. Il faut vraiment que ce soit factuel et qu'on soit en mesure de démontrer à la population qu'on s'en va dans la bonne direction.

Mme Poitras (Diane) : En fait, l'objectif de l'application doit être fondé sur la science, c'est-à-dire qu'on doit dire... On pense qu'un objectif de santé publique qui serait x, y, z, basé sur la science, l'application pourrait nous aider à atteindre cet objectif-là. C'est de ça qu'on parle.

M. Ouellette : O.K. Et à votre recommandation 11, on parle du cadre législatif. Bon, vous semblez, à défaut de rien, vous accommoder de peut-être un décret, là, parce que ça s'est passé ailleurs. Et moi, j'ai un peu peur des décrets parce qu'on est en état d'urgence sanitaire, et un décret en urgence sanitaire, c'est un décret gouvernemental sans imputabilité, là, que le gouvernement décide. Un cadre législatif, c'est beaucoup mieux parce que c'est sujet à l'idée des 125 députés de l'Assemblée nationale.

Je veux juste que vous me précisiez, votre décret, là, si... un décret par l'état d'urgence sanitaire, c'est-tu quelque chose auquel vous avez pensé? Parce que c'est la première chose qui m'est venue en tête, que ça soit un décret imposé par le gouvernement.

Mme Poitras (Diane) : En fait, je réitère que... C'est sûr que la loi, avec le débat démocratique, elle implique... sur une réelle application concrète serait idéale, mais je me contenterais d'un décret, peu importe le... Moi, tout cadre juridique serait mieux que rien.

Le Président (M. Bachand) : Sur ce, je vous remercie infiniment d'avoir participé aux travaux de la commission, et je suspends les travaux quelques instants. Merci beaucoup.

(Suspension de la séance à 10 h 36)

(Reprise à 10 h 49)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux.

Alors, nous avons le plaisir d'accueillir monsieur... le Pr Benoit Dupont, directeur scientifique, Réseau intégré sur la cybersécurité de l'Université de Montréal. Alors, M. Dupont, vous avez 10 minutes de présentation, et après ça on aura un échange avec les membres de la commission. Bienvenue.

M. Benoit Dupont

M. Dupont (Benoit) : Merci, M. le Président. Mmes et MM. les députés, merci pour l'invitation à réfléchir devant vous lors de cette consultation sur les applications de notification.

Comme je l'ai cependant déjà écrit dans un article qui a été repris dans Le Soleil, même si cette consultation porte sur les applications de notification, il y a plein d'autres technologies qui sont aussi développées pour essayer de lutter contre la COVID-19, qui vont de l'intelligence artificielle à la reconnaissance faciale en passant par l'usage de drones, et je pense que les enjeux qui sont discutés dans cette commission ne s'appliquent pas uniquement aux applications mais aussi à toutes ces autres technologies, dont certaines vont probablement ou pourraient porter atteinte aux libertés individuelles et à la protection de la vie privée. Alors, je vais articuler les 10 minutes que j'ai en deux grands moments. Le premier, c'est sur une réflexion sur les obstacles à l'efficacité de ce type d'application, et le deuxième moment, sur les enjeux de sécurité et de vie privée.

 (10 h 50)

J'ai regardé les interventions, hier, et j'ai vu que beaucoup de questions et beaucoup de réflexions portaient sur le seuil à partir duquel... le nombre de téléchargements de ces applications à partir duquel on atteint une certaine efficacité. Donc, c'est effectivement très important. J'ai entendu des études citées qui vont de 40 % à 60 % de la population qui doit télécharger ce type d'application. On sait aussi qu'on pourrait probablement atteindre des effets positifs en deçà de 40 %, mais ça reste très hypothétique. Le problème, c'est qu'on n'a parlé, jusqu'à présent, que du nombre de téléchargements, c'est-à-dire combien de... quel est le pourcentage de la population qui va la télécharger. Ce dont on n'a pas encore discuté mais ce qui est beaucoup plus important, c'est combien... quels sont les taux d'utilisation active, c'est-à-dire combien des gens qui ont téléchargé ces applications vont réellement les utiliser sur leur téléphone intelligent au quotidien.

Et on a la chance d'avoir, avec l'exemple de la France, quelques statistiques qui sont loin d'être encourageantes, puisque l'application StopCovid, en France, lors du premier mois, a été téléchargée par seulement 2 % de la population, ce qui est assez peu, évidemment, au vu des chiffres dont on a discuté hier. Un mois plus tard, c'était monté à 4 % de la population. Mais ce qui est plus intéressant, c'est que seulement 25 % des gens qui avaient téléchargé l'application, donc 25 % de 4 %, l'utilisaient de façon active, et 20 % l'avaient désinstallée de leur appareil intelligent.

Donc, non seulement l'enjeu, c'est de convaincre une large proportion de la population de télécharger ces applications, mais un enjeu secondaire tout aussi important, c'est celui de convaincre les gens de l'utiliser au quotidien — il y a beaucoup de problèmes techniques, notamment avec certains appareils Apple, pour des raisons que je maîtrise moins bien mais que mes collègues informaticiens pourront vous expliquer — mais aussi de ne pas désinstaller l'application, ce qui reflète aussi un manque de confiance de la population dans ce type d'outil.

Et un autre exemple assez intéressant sur lequel on commence à avoir un peu de recul, c'est celui de l'Australie, qui fait face à une deuxième vague de contagion, notamment dans l'État du Victoria, à Melbourne. Et là l'analyse de l'application, qui est déployée depuis trois mois maintenant, montre que les jeunes de 18 à 24 ans sont deux fois moins susceptibles de télécharger l'application que les personnes âgées de 55 à 74 ans. Donc, on pourrait imaginer que ce serait l'inverse parce que les jeunes sont plus adeptes avec les nouvelles technologies, mais... Excusez-moi, je vais revenir en arrière. Non seulement ils la téléchargent deux fois moins, mais c'est eux qui propulsent la deuxième vague de contagion par leurs comportements. Donc, on a un problème parce que les gens qui la téléchargent et l'utilisent le moins sont ceux qui seraient... qui en bénéficieraient le plus, mais on a un certain nombre d'obstacles et... de confiance.

Et donc, dans cette deuxième vague, les autorités sanitaires du Victoria, après une semaine à avoir tenté d'utiliser l'application, l'ont carrément abandonnée. C'est une application fédérale, mais utilisée par chacun des États, et l'État... les autorités sanitaires l'ont abandonnée parce qu'elle ne leur servait à rien et elle venait interférer avec les activités des équipes de traçage manuel. Donc, elle créait trop de pression, avec un bénéfice jugé comme étant négligeable. Donc, ils l'ont... le ministre de la Santé du Victoria a déclaré qu'ils ne s'en serviraient plus jusqu'à nouvel ordre, jusqu'à ce qu'ils aient récupéré un contrôle sur la maladie. Donc, ça, c'est pour les taux d'adoption.

Hier, vous avez aussi discuté de la technologie Bluetooth, du choix des technologies, GPS versus Bluetooth. Je pense que c'est important de comprendre les problèmes de fiabilité, aussi, à ces technologies. Je ne suis pas, encore une fois, un informaticien, mais j'ai lu quand même quelques témoignages des inventeurs du protocole de communication Bluetooth, qui expriment de très fortes réserves à l'utilisation de leur technologie, la technologie qu'eux-mêmes ont inventée, en disant : Bien, elle est très... elle est excellente pour un certain nombre de fonctionnalités, mais, pour calculer la distance entre deux appareils mobiles, ce n'est absolument pas suffisamment robuste. Ce sont des ondes radio, il y a trop d'interférences avec l'environnement physique immédiat, que ça soit construit, que ça soit végétal, il y a trop de distorsions dans les ondes pour qu'on puisse mesurer avec fiabilité la distance entre un appareil émetteur et un appareil récepteur, ce qui crée beaucoup plus de faux négatifs et de faux positifs que nécessaire, avec les faux négatifs anxiogènes et des faux positifs qui poussent un peu à des comportements plus complaisants de la part des gens qui ne pensent pas être contaminés alors qu'ils le sont. Ça, ce sont les aspects techniques.

Il y a aussi des obstacles à l'efficacité qui sont des obstacles épidémiologiques. On sait depuis quelques semaines maintenant qu'un certain nombre d'individus ou d'événements sont des superpropagateurs de la maladie. Très simplement, ce que ça veut dire, c'est que 10 % à 20 % des personnes infectées sont responsables de 80 % des infections secondaires et que 70 % des personnes infectées ne vont jamais contaminer personne d'autre au cours de leur maladie. Et ça, les applications de notification n'ont aucun élément contextuel pour savoir qui est un superpropagateur et qui ne l'est pas. Et, dans les superpropagateurs, 40 % des gens n'éprouvent aucun symptôme de la maladie, donc ils n'ont aucune raison d'aller se faire tester et aucune raison de rentrer dans leur application qu'ils sont contaminés pour qu'on retrace les gens avec qui ils ont été en contact.

Et même les applications du style COVI, dont Yoshua Bengio parlait hier, qui travaillent en amont avec... en récoltant les informations sur les symptômes des utilisateurs directement, auraient de la difficulté avec ce type de pattern, parce qu'évidemment les gens n'éprouvant aucun symptôme tout en étant malade ne rentreraient pas ces symptômes-là, et l'intelligence artificielle ne pourrait pas détecter qu'ils sont infectés. Donc, ça, ça pose aussi, quand même, cet événement... enfin, cette réalité, nouvelle réalité des superpropagateurs, réalité scientifique, un problème, parce que les modèles d'efficacité de ces applications qui ont été conçues sont... reposent sur un principe de linéarité, c'est-à-dire tout le monde est infectieux de la même façon, et on découvre que ce n'est pas vrai du tout.

Et dernier élément, c'est un élément comportemental aussi, on a la chance, avec l'Australie, de voir comment les gens se comportent face à une deuxième vague, face à l'épuisement, à la fatigue de maintenir la distanciation sociale pendant plusieurs mois, et on voit que, dans la deuxième vague, en Australie, dans l'État de Victoria, où 3 000 personnes ont été testées positives, quand les autorités de santé publique ont fait du porte-à-porte pour savoir si les gens respectaient leur confinement et leur quarantaine, plus de 800 étaient introuvables, donc ils n'étaient pas chez eux au moment où ils auraient dû être en quarantaine stricte parce qu'ils avaient été testés comme étant positifs par les autorités.

Donc, il y a toute une réalité, aussi, qui est que les humains, quand ils reçoivent ce type d'information, ne se comportent pas nécessairement comme des êtres rationnels. Et on doit intégrer ça aussi dans la manière dont on envisage l'utilisation de ces applications, parce qu'il y a plein de gens qui vont recevoir une notification positive, et qui ne vont pas modifier leurs comportements, et qui vont continuer à se comporter de façon très risquée pour l'ensemble de la société. Donc, je pense qu'il faut comprendre aussi ça. Il y a beaucoup de travaux en économie comportementale qui expliquent notre inaptitude, en tant qu'humains, à interpréter les données relatives aux risques pour nous et pour notre entourage. Donc, ça, ce sont les enjeux d'efficacité.

Je ne sais pas combien de temps il me reste, mais, assez rapidement, les enjeux de sécurité et de vie privée. Évidemment, ces applications sont développées par des organisations qui sont plus... qui relèvent plus de la santé publique et qui ne sont pas forcément... qui n'ont pas forcément l'expertise technique spécifique en matière de sécurité dans des environnements d'applications de téléphonie mobile qui sont très problématiques. Pour vous donner quelques exemples, des entreprises comme Google et Apple ont elles-mêmes des défis énormes. J'ai vérifié cette semaine, le système Android de Google possède 6 300 vulnérabilités recensées à la date... cette semaine par l'institut national des standards et des technologies américain, la technologie... le système d'exploitation iOS d'Apple, 3 700 vulnérabilités recensées — ça, ce sont par les concepteurs mêmes des systèmes d'exploitation, imaginez ceux qui conçoivent les applications et qui ne disposent pas de toute l'expertise technique de ces entreprises — technologie Bluetooth, 400 vulnérabilités recensées. Ça veut dire que, si vous développez des applications pour ces systèmes, bien, vous devez disposer de l'expertise pour vous assurer que vous n'introduisez pas ces vulnérabilités ou que vous ne les laissez pas persister dans votre application, ce qui est très difficile. Et, en juin 2020, une entreprise de cybersécurité qui s'appelle Guardsquare a analysé 17 applications qui avaient été déployées en juin et, sur les 17, il y en avait 16 qui étaient extrêmement faciles à pirater et à analyser pour mener des attaques de sécurité.

Le Président (M. Bachand) : Merci, Pr Dupont. Vous êtes juste sur le 10 minutes, en passant, bravo! Alors, Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : M. Dupont, merci d'être là. J'aurais à peu près... Je pense qu'on pourrait discuter très, très longuement, c'est extrêmement intéressant. Vous nous avez amenés sur plusieurs territoires, là, qui nous amènent à nourrir, là, beaucoup, beaucoup la réflexion.

Bien, si je vous entends, honnêtement, moi, je suis très inquiète. Outre l'application, à la base, là, tu sais, je pense que tout le monde, ici, on devrait se poser certaines questions par rapport à nos téléphones intelligents, là, mais, bon, nous sommes tous à risque, j'imagine.

On parlait de la technologie Bluetooth, puis, bon, bien, je pense que vous comprenez pourquoi on a écarté d'autres technologies de géolocalisation ou GPS, parce que, toujours... on soupèse toujours le contre entre, bon, une plus grande efficacité à collecter des données de santé pour contribuer, justement, à contrer une pandémie ou autre, bon, on a écarté ces choix-là à la base, là, pour considérer seulement le Bluetooth. Moi, je me demande... admettons qu'on pèse le contre... le pour et le contre, la technologie Bluetooth nous permettrait peut-être de protéger plus la vie privée, mais est-ce que c'est la meilleure technologie? Parce qu'au départ... mais vous n'en avez pas parlé beaucoup dans votre présentation, mais, au début de votre présentation, vous avez parlé... il existe d'autres technologies. Est-ce que c'est la moins pire des technologies? Est-ce que c'est la meilleure ou est-ce qu'il y en aurait d'autres, des technologies? Puis on s'entend que la technologie, ici, là, ce n'est pas une manne, là, c'est toujours complémentaire et un outil qui permet d'être plus efficace, simplement. Qu'est-ce que vous auriez à dire là-dessus?

 (11 heures)

M. Dupont (Benoit) : Bien, je pense que, dans le contexte plus restreint des applications de notification, donc, qui doivent être installées sur des téléphones mobiles et intelligents, c'est certain que c'est assez binaire, les choix : c'est soit le Bluetooth, soit le GPS. Je pense que le choix a été fait, à mon avis, à bon escient dans le contexte de la protection de la vie privée dans lequel on opère au Québec. On n'est pas en Chine, là. Donc, je pense que, le Bluetooth, c'est la seule option qui est disponible.

Mais mon propos n'est pas de dire qu'on ne devrait pas choisir le Bluetooth plutôt et choisir le GPS parce que c'est un peu plus fiable — ceci dit, il y a des problèmes aussi avec le GPS selon où vous êtes — c'est simplement de dire : Comprenons aussi les limites de cet outil-là et essayons d'imaginer comment on pourrait les surmonter. Et ce que j'entends dans les propos de beaucoup de personnes qui sont les... qui se font les avocats de ces applications, c'est une tendance à minimiser les défis techniques ou les erreurs, le taux d'erreurs que va générer le Bluetooth, et je pense qu'il faut vraiment... en faisant ce choix-là, il faut vraiment qu'on soit conscients de ces limites-là et qu'on les intègre dans notre façon d'imaginer l'utilisation et le déploiement de certaines de ces applications parce qu'on va devoir aussi gérer les effets iatrogéniques, c'est-à-dire les effets négatifs d'indiquer à des gens qu'ils sont peut-être contaminés alors qu'ils ne le sont pas du tout et d'indiquer à des gens qu'ils ne sont pas contaminés alors qu'ils le sont, infectés, et qu'ils vont propager la maladie, et qu'ils l'apprendront plus tard, et qui vont...

Donc, il faut vraiment comprendre assez finement les limites de ces technologies, mais je n'ai pas de technologie de remplacement à proposer, malheureusement, et je pense que, sur les appareils, téléphones mobiles présentement à la disposition de 85 % de la population, c'est à peu près l'option unique, je pense, si on exclut d'emblée le GPS.

Mme Boutin : O.K., je vois. Peut-être que je me trompe, là, mais... puis j'essaie de rendre ça de manière assez concise et claire, il y a l'enjeu des données, quels types de données on va collecter. Bon, on s'entend, le gouvernement ne veut pas collecter de données personnelles, et, pour rassurer Mme la députée de Saint-Laurent, les données, toutes les données qui sont sensibles au gouvernement vont toujours être stockées par le gouvernement, encryptées et protégées, c'est très important. Mais, dans le cadre de cette application-là, la seule donnée qui pourrait provenir du gouvernement, c'est un identifiant généré par la Santé publique, là, c'est le modèle un petit peu comme le fédéral.

Donc, il y a le volet données puis la gestion des données, puis il y a le volet de l'appareil lui-même, là, la technologie Bluetooth. Est-ce qu'il y a des mesures d'atténuation? Ou qu'est-ce qui peut être mis en place, le maximum, pour essayer d'atténuer les effets négatifs et s'assurer d'une protection de la vie privée au maximum? Est-ce que c'est au niveau des infrastructures technologiques? Une gouvernance? Toutes ces réponses? Un suivi d'évaluation? On se pose toutes ces questions-là.

M. Dupont (Benoit) : Bien, je pense que c'est... Vous venez... Enfin, je pense que vous connaissez déjà un petit peu la réponse, c'est-à-dire, c'est la mise en place d'une infrastructure de gestion qui soit... qui permette un encadrement serré de ce type de technologie là. Mon propos sur le Bluetooth... ce n'est pas une menace à la vie privée, c'est plutôt une question d'efficacité. Pour la vie privée, c'est l'encryptage des données, très robuste, les données quand elles circulent et les données quand elles sont aussi au repos, c'est-à-dire quand elles sont stockées dans des serveurs, qui y a accès, et d'avoir aussi une surveillance et des audits réguliers sur la façon dont ces données-là sont utilisées.

Et peut-être une initiative, là, qui m'apparaît intéressante, qui a été utilisée par les autorités françaises quand elles ont déployé StopCovid, c'est qu'elles ont lancé un processus de chasse aux bogues, c'est-à-dire qu'elles ont ouvert le code et elles ont invité tous les pirates informatiques bienveillants, pas les pirates qui travaillent pour des puissances étrangères et qui voudraient déstabiliser notre société, mais des hackeurs — il y en a beaucoup qui travaillent dans le secteur privé, au Québec comme ailleurs — en disant : Bien, testez notre application, vous avez un mois, on va vous donner des primes si vous trouvez des vulnérabilités — il y en a une vingtaine qui ont été découvertes — parce que ça permet d'élargir au-delà des autorités et de l'expertise gouvernementale, qui est, par définition, limitée, pour bénéficier, justement, d'abord d'une expertise plus profonde et, deuxièmement, aussi d'une plus grande confiance de la part de la société, en disant : Bien, voilà, il y a des hackeurs qui ne sont pas connectés avec le gouvernement qui ont testé l'application et qui pensent qu'elle est probablement pas parfaite, mais les erreurs habituelles ou les plus fréquentes d'autres applications ont été vérifiées, et elles n'existent pas dans cette application-là, et cette application... Donc, vous avez un processus transparent de vérification dans... qui est, à mon avis... qui rajoute une couche supplémentaire de confiance, au-delà de tout le travail... Et ce n'est pas pour dénigrer le travail des autorités comme le centre de cyberdéfense ou le Centre canadien pour la cybersécurité, je pense que c'est complémentaire, mais ça élargit un peu le débat et ça permet également... parce que toutes les applications... alors, quelques applications sur lesquelles ont a détecté des problèmes de sécurité, tous ces problèmes-là ont été détectés par des tierces parties, c'est-à-dire des gens qui n'étaient pas impliqués dans le développement de ces applications ni du côté industriel ni du côté gouvernemental, et ça, il faut en tenir compte aussi. Il y a plein de gens qui sont capables de contribuer, justement, à s'assurer que ces applications sont robustes.

Mme Boutin : Dernière question, parce que mes collègues en ont : Est-ce que-vous savez si, justement, Santé Canada a fait ça? Parce que le code est ouvert, là, sur GitHub, ils l'ont publié. Est-ce que vous savez si c'est une initiative...

M. Dupont (Benoit) : J'ai essayé de le vérifier, mais je n'ai pas trouvé d'information parce que c'est un processus qui doit utiliser une procédure particulière et des plateformes. À ma connaissance, non, mais il est possible qu'ils aient informellement invité des hackeurs à participer à la révision du code.

Le Président (M. Bachand) : Merci. Mme la députée de Les Plaines, s'il vous plaît.

Mme Lecours (Les Plaines) : Merci beaucoup, M. le Président. Tout d'abord, merci beaucoup pour votre présentation, ça suscite effectivement beaucoup de questions.

Moi, c'est le côté vraiment comportemental, j'aime beaucoup vos réflexions, ce serait intéressant d'y trouver, justement, des solutions. Vous parlez... Un des obstacles à l'efficacité, c'est l'utilisation de façon active. Ce que vous dites, ce que j'en comprends, puis corrigez-moi si je me trompe dans ma compréhension, c'est que, bon, les gens... On va parler où le téléchargement s'est fait et qu'il y a eu... voyons, du débranchement, en fait, si tu télécharges l'application, ton utilisation peut être aussi dans les opportunités de dire : J'ai une notification, je vais... moi, je ne vais pas nécessairement me faire tester parce que je sais un peu ce que j'ai fait dans les dernières semaines puis de la façon dont je me suis comportée, mais je vais me retirer pendant deux semaines. Est-ce que, pour vous, c'est une personne qui est inactive, ça? Non?

M. Dupont (Benoit) : Non, ça, c'est une personne, au contraire, qui est très active puisqu'elle utilise l'application selon les intentions de ces concepteurs.

Mme Lecours (Les Plaines) : ...n'est pas allée se faire tester.

M. Dupont (Benoit) : Non, elle n'est pas allée se faire tester, mais elle se met en retrait, en confinement, donc elle a tenu compte... donc elle a activé... elle utilisé son application, elle a vérifié quand elle avait reçu une notification et elle a agi en fonction des recommandations de la Santé publique, c'est-à-dire de s'isoler socialement.

Moi, l'utilisation active, c'est quelqu'un qui va télécharger l'application, qui va l'utiliser pendant 24 heures, qui va regarder son téléphone, qui va commencer à avoir, peut-être parce que son téléphone est un modèle plus ancien, de l'instabilité dans son système, donc qui ne pourra plus accéder à d'autres applications, ou qui va trouver ça finalement trop contraignant, ou qu'il a un iPhone et qu'il doit déverrouiller l'écran de son iPhone à chaque fois pour que l'application soit active et qui, au bout de 24 heures, va trouver que les bénéfices sont inférieurs aux inconvénients, et puis il va arrêter d'activer l'application à chaque fois qu'il sort en dehors de chez lui, et donc il aura l'application téléchargée sur son appareil, mais, l'application n'étant pas lancée, elle ne pourra pas, en fait, remplir ses fonctions.

Mme Lecours (Les Plaines) : Toujours dans le même volet, vous dites... vous avez mentionné que, notamment, en Australie, il y a deux fois plus de jeunes, maintenant, qui sont en contact avec la COVID et deux fois moins, je vais dire, de conscientisation, O.K.? C'est ce qu'on vit ici aussi, hein, vous le savez comme nous tous. Pourtant, c'est eux qu'on voudrait aller chercher avec, notamment, une application comme celle-là, si elle était mise de l'avant, parce que c'est leur modèle, c'est leur façon de vivre, les plus jeunes que moi — je vais dire «que moi» — l'utilisent beaucoup plus. Donc, de quelle façon on pourrait, selon vous, les conscientiser à l'importance, si on décide d'y aller avec un téléchargement, et d'une bonne utilisation? Comment est-ce qu'on pourrait faire ça?

• (11 h 10) •

M. Dupont (Benoit) : Bien, je pense que, comme de la manière dont on a agi jusqu'à maintenant, avec des campagnes de marketing social ou de sensibilisation du public massives, parce qu'une fois qu'on a une application... je pense que mon collègue Gingras, hier, avait appelé ça des «bébelles technologiques», là, mais l'application, en soi, elle n'est rien si elle ne s'articule pas dans un ensemble beaucoup plus... un effort coordonné, synchronisé de promotion des comportements vertueux auprès de certains publics qui sont plus difficiles à rejoindre, ou qui ont de la... parfois, qui ont moins confiance dans les messages des autorités de Santé publique, ou qui sont... on va revenir à mon propos sur les biais cognitifs aussi, qui se sentent invulnérables, donc qui ont des biais de myopie, de simplification face au risque et qui font... et qui s'estiment... ils estiment que le contenu du message est tout à fait légitime — et d'ailleurs c'est propre à tous les humains, ce n'est pas uniquement les jeunes — mais ça s'applique aux autres et pas à moi parce que moi, je suis protégé, et ça, on le voit dans tous les domaines de gestion des risques, que ça aille dans la préparation contre les désastres naturels, les inondations, les gens qui évacuent en dernier les rues inondées, et tout ça. C'est la même dynamique où les gens ont de la difficulté à intégrer les messages d'avertissement et de gestion de risques quand ça les concerne à eux, même s'ils reconnaissent tout à fait la légitimité du contenu du message pour l'ensemble de la population.

Donc, il y a des stratégies à mettre en oeuvre, de communication, qui sont ciblées pour essayer de surmonter un petit peu cet obstacle, pour aider les gens qui en ont particulièrement besoin, justement, de prendre conscience et de les pousser, de les aider, de façon persuasive et non pas coercitive, à utiliser ces applications-là.

Le Président (M. Bachand) : Merci. M. le député de Beauce-Nord, s'il vous plaît.

M. Provençal : Merci, M. le Président. Merci beaucoup pour votre présentation. Vous avez quand même soulevé différents éléments. Un des points sur lesquels je m'interroge, là, c'est le niveau d'adhésion qu'une population peut avoir versus un outil technologique. Croyez-vous que cette adhésion-là est en lien avec le niveau d'efficacité qu'on peut lui attribuer et aussi en lien avec la confiance que l'outil peut donner, une confiance ou une sécurité que cet outil-là peut donner à la personne qui va l'utiliser?

M. Dupont (Benoit) : C'est probablement l'un des facteurs qui va jouer. Je ne suis pas certain que ça soit le seul, mais c'est certainement l'un de ces facteurs. Et je pense que les usagers sont un peu comme nous tous ici, ils ont du mal à voir directement comment le seul fait de télécharger cette application va permettre de combattre et de faire repousser ou de faire redescendre le niveau d'infection. On nous le dit, mais ça reste très abstrait. Les mécanismes très concrets par lesquels on va y arriver restent quand même assez... je ne dirais pas nébuleux, mais très abstraits. Et donc je pense que c'est difficile pour les gens de comprendre le lien direct entre le téléchargement de ces applications et un effet positif, que ça soit sur la société ou sur eux-mêmes et leur entourage immédiat. On comprend que c'est l'objectif qui est recherché, mais comment on va y arriver? Ce n'est pas évident. Donc, je pense que c'est un des facteurs, effectivement, qui joue et qui a de la... qui explique pourquoi, dans tous les pays démocratiques, on a des taux de téléchargements qui sont beaucoup plus faibles que ce qu'on pourrait imaginer dans une situation de pandémie mondiale dans laquelle l'économie menace de s'effondrer, donc il y a une urgence, une urgence manifeste.

Mais je vais faire encore une analogie avec le domaine de la santé, vous savez, dans le domaine des transplantations d'organes, il y a... bien que des gens aient eu une seconde chance, une seconde vie, il y en a toujours 40 % qui ne prennent pas leurs médicaments antirejet, bien qu'ils aient eu une deuxième chance. Donc, il y a toujours quand même ce facteur... pas d'irrationalité, mais de biais qui fait en sorte que, même dans une situation d'urgence, plein de gens vont avoir des comportements qu'on s'explique difficilement de façon rationnelle, mais ça, c'est parce qu'on est humains.

Le Président (M. Bachand) : ...il reste moins d'une minute.

M. Provençal : Merci.

M. Lévesque (Chapleau) : Oui, il reste moins d'une minute, donc rapidement, là, vous avez parlé des hackeurs en France qui ont participé, dans le fond, à améliorer l'application, est-ce que vous avez connaissance d'autres endroits dans le monde ou peut-être même au fédéral si ça aurait été fait, ça, pour améliorer les applications? Et est-ce que... Disons qu'on décidait d'aller de l'avant avec une application ici, au Québec, est-ce que ça devrait être fait aussi ou il y aurait d'autres étapes qui devraient être faites pour, justement, maximiser l'efficacité des applications?

M. Dupont (Benoit) : À ma connaissance — mais, encore une fois, il y a tellement d'activités dans ce domaine-là que c'est quasiment difficile de maintenir ses connaissances à jour au fil du temps, là — à ma connaissance, moi, la France, c'est le seul pays qui a mis en place une démarche très structurée, qui est une démarche qui existe dans d'autres domaines applicatifs, là, logiciels. Est-ce qu'on devrait l'envisager au Québec? Moi, je pense que oui, mais en plus, évidemment, des mesures qui sont déjà proposées.

Le centre de cyberdéfense devrait avoir du temps pour passer à travers l'application. Je pense qu'il y a le Centre canadien pour la cybersécurité qui est peut-être... qui a peut-être plus de ressources que le centre de cyberdéfense, à l'heure actuelle, donc il pourrait aussi certainement, de façon complémentaire, être mis à contribution. Et il y a, au Québec, aussi une industrie de la cybersécurité qui est très développée, et donc il y a plein d'entreprises québécoises qui ont une expertise qui pourrait certainement être mise à contribution pour aider aussi à s'assurer que l'application, qui a été conçue par des experts des applications et pas des experts de la sécurité, soit conforme, et soit respectueuse, et soit suffisamment protégée.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup, M. le Président. Bonjour, merci d'être avec nous aujourd'hui. Vous avez soulevé beaucoup d'éléments fort importants, notamment l'obstacle à l'efficacité. J'aimerais y revenir, car vous soulevez, à juste titre, le phénomène de faux positif et de faux négatif. Alors, par exemple, nous sommes ici, dans cette salle. Si, par exemple, on a des gens qui sont en haut au deuxième, ils pourraient... Si tout le monde télécharge, aujourd'hui, la technologie, si une personne en haut est testée positive, nous, on pourrait recevoir une notification alors qu'on est à distance, on n'est pas au même niveau, et ça pourrait faire aussi en sorte qu'on va tous avoir une invitation d'aller se faire tester. Lorsqu'on est dans une urgence sanitaire, en pleine crise, on sait, par définition, les ressources sont limitées, et on l'a vu au mois de mars et au mois d'avril, que c'était très difficile d'avoir accès aux tests. Est-ce qu'il pourrait y avoir aussi un étau d'étranglement au niveau de la capacité de tester et de tester les bonnes personnes?

M. Dupont (Benoit) : C'est certain que ça va générer des tests additionnels. Donc, est-ce que la... Ça va dépendre, évidemment, de la capacité à offrir ces tests ou pas, mais c'est certain que ça va contribuer, et puis il faut l'intégrer dans la planification, justement, des capacités de test qui sont offertes ou qui sont planifiées.

Mais, a contrario... Vous évoquez l'augmentation du nombre de tests, mais il y a aussi, a contrario, le fait qu'il y a toujours cette population de 40 % des non symptomatiques, asymptomatiques, qui ne vont jamais aller se faire tester bien qu'ils soient porteurs de la maladie et qui, donc, vont aussi faire... créer des faux négatifs de façon telle que la propagation ne pourra pas être arrêtée, probablement, si on ne teste que les gens qui ressentent des symptômes. Alors, je ne suis pas... Je vais m'arrêter là parce que je...

Mme Rizqy : Au contraire, allez-y, parce que c'était la deuxième partie de ma question, faux positif et faux négatif, parce que disons que nous ne sommes pas avec la personne qui est infectée, alors nous, on irait se faire tester parce que nous avons accès à un téléphone intelligent, on a l'application, alors qu'une personne qui est dans une communauté plus vulnérable, qui n'a pas accès à Internet et qui... Habituellement, lorsqu'on est dans les quartiers plus défavorisés, c'est aussi, par conséquent, un quartier qui, souvent, est densément peuplé, et souvent, si on prend toujours l'exemple de Montréal-Nord, 30 % qui n'ont pas nécessairement accès à Internet de façon régulière. Alors, eux pourraient se retrouver avec un risque d'infection plus élevé et très, très loin dans la chaîne de commandement et de prise d'action pour le test, alors encore plus loin dans la chaîne pour avoir accès à la santé, est-ce que je me trompe?

M. Dupont (Benoit) : Disons que mon propos est de dire que, sans des politiques... et, encore une fois, je m'aventure sur un terrain qui est un peu miné pour moi parce que je ne suis pas épidémiologiste, mais sans politique de testage extrêmement agressive... L'application ne va pas se substituer à une politique de testage de toutes les populations, y compris celles qui sont plus fragiles et plus défavorisées.

Mme Rizqy : ...revenir aussi... Vous avez donné l'exemple très précis de l'Australie, qui, eux, avaient l'application et toujours ce que nous, on a toujours, au Québec, la recherche, disons-le, par l'équipe manuelle, donc, de santé publique, qui appelle : Avec qui avez-vous été en contact lors des dernières journées? Par la suite, on appelle les gens, mais aussi, au Québec, on remplit une fiche, sur Internet, des gens avec qui qu'on a été en contact.

Vous avez mentionné, dans votre propos, que ça avait même interféré avec l'équipe de santé publique, l'application, et, par conséquent, ils ont dû l'abandonner. Alors, j'aimerais juste voir avec vous... Nous, ici, au Québec... Tantôt, vous avez dit : On a le choix entre Bluetooth, GPS, et je n'ai pas d'autre option à vous donner. Mais l'Australie a gardé l'option de statu quo, n'est-ce pas?

M. Dupont (Benoit) : ...je n'ai pas d'autre option technique à vous donner, mais il est clair que l'Australie... Et d'ailleurs je n'ai pas eu le temps de terminer là-dessus, mais Singapour a fait la même chose, c'est-à-dire que Singapour avait été un des premiers pays à développer une application de notification, et, très rapidement, ils ont déchanté parce que, un, malgré la confiance et malgré la discipline de la population, les taux de téléchargement ont été très en deçà des objectifs attendus, et, deuxièmement, les résultats étaient très décevants aussi. Donc, le chef de projet de l'application de notifications de Singapour a déclaré publiquement, «on the record», que ce n'était pas la solution ni maintenant ni à l'avenir, certainement, et que le traçage manuel et les tests à très grande échelle restaient, selon lui, la seule avenue pour contrôler l'infection.

• (11 h 20) •

Mme Rizqy : Il n'y a pas non plus un risque... Lorsqu'on parle de totalitarisme numérique, et là je vais vers Singapour parce que vous le mentionnez, qu'effectivement ils ont abandonné l'application qui utilisait le Bluetooth, mais ils sont allés vers ce que moi, j'appelle souvent la grenouille dans l'eau, là, tranquillement, on monte la température jusqu'à tant que ça bout, puis là, de toute façon, elle est cuite. Dites-moi, Singapour, ils ne sont pas allés jusqu'au bracelet?

M. Dupont (Benoit) : Oui, Singapour utilise le bracelet pour les personnes...

Mme Rizqy : Infectées?

M. Dupont (Benoit) : ...en quarantaine. Donc, on vous donne un bracelet... D'ailleurs, Hong Kong aussi, maintenant. Quand on arrive à Hong Kong, on doit porter un bracelet quand on est en quarantaine, pendant la période de quarantaine, pour être localisé et s'assurer qu'on ne quitte pas son domicile. Donc, effectivement, les pays asiatiques, que je ne cherche pas à citer en exemple pour s'inspirer de... mais ont choisi d'aller, après avoir testé les applications, vers des démarches beaucoup plus intrusives. La Corée du Sud passe à travers toutes les transactions de cartes de crédit et tous les déplacements des téléphones intelligents des personnes qui sont testées positives. Donc là, on est encore dans une autre réalité, je pense, qu'on n'est pas du tout près de voir s'implanter au Québec.

Mme Rizqy : Mais j'imagine que votre avis, ce n'est surtout pas une avenue souhaitable pour nous, au Québec.

M. Dupont (Benoit) : Non, rassurez-vous.

Mme Rizqy : Parfait. Merci. Aussi, j'aimerais revenir sur les superpropagateurs. Est-ce que vous avez réfléchi à ces superpropagateurs, comment, au fond, on pourrait s'assurer d'avoir... de mieux circonscrire, en fait, la démarche qui devrait être suivie par la Santé publique?

M. Dupont (Benoit) : Bon, encore une fois, je suis criminologue, moi, je ne suis pas épidémiologiste, donc je ne peux pas vous faire un exposé sur les superpropagateurs, mais je m'y intéresse parce que ça a un impact sur des applications et sur la surveillance. Ce que j'en comprends, c'est... encore une fois, on revient toujours aux tests, c'est-à-dire que le seul moyen de les découvrir, c'est probablement de les tester. Et, encore une fois, on ne sait même pas quelles sont les caractéristiques qui font que certains individus sont des superpropagateurs alors que d'autres ne le seront pas. Donc, je pense que, là, on est dans un domaine «zone grise» de la recherche, où on a encore... on a des indices de schémas de propagation, mais on a encore très peu d'information sur les déterminants qui vont faire en sorte que je vais être un superpropagateur et vous, vous n'allez pas transmettre la maladie.

Mme Rizqy : Je vais m'éloigner un petit peu de l'application qui est souhaitée par le gouvernement puis regarder davantage ce que l'industrie fait en parallèle. En ce moment, rien n'empêche l'industrie de développer leurs propres applications, de faire du croisement de données, et quand... et je dis «quand» et non pas «si», lorsqu'il y a des fuites de données, à l'heure actuelle, c'est quoi, les conséquences pour ces entreprises au Québec?

M. Dupont (Benoit) : Au Québec et dans le reste du Canada, ce n'est plutôt rien.

Mme Rizqy : Alors, je comprends que... Parce que vous auriez peut-être une recommandation à cet effet pour qu'on ait des lois avec plus de mordant, notamment, peut-être aussi pour les administrateurs des entreprises, un peu à l'instar... comme, par exemple, lorsqu'on a mis, au niveau... une responsabilité criminelle en matière de pollution dans nos lois environnementales ainsi que dans le Code criminel, parce qu'à un moment donné les entreprises, pour eux autres, là, ça coûtait moins cher de polluer que de payer une amende, alors ils prenaient la décision de tout simplement polluer, et, lorsqu'ils ont compris qu'ils pouvaient faire face, à titre d'administrateurs, à des obligations criminelles, tout à coup, le comportement de ces entreprises a changé. Pensez-vous que c'est quelque chose qu'on devrait observer et faire plus tard une recommandation au niveau fédéral?

M. Dupont (Benoit) : Ça peut être une mesure dans l'arsenal. Je pense qu'il y en a d'autres qui sont déjà en discussion, inspirées du GDPR européen, donc des amendes pouvant aller jusqu'à 4 % des revenus annuels. Je pense qu'il y a un projet de loi qui a été déposé ici même, au Québec, qui va être discuté assez rapidement. Ça, c'est une mesure intéressante parce que quelques milliards ou quelques dizaines de millions d'amendes, quoiqu'on en pense, ce n'est pas anodin pour une entreprise et surtout pas pour ses actionnaires. Et donc il y a beaucoup de P.D.G. d'entreprises, aux États-Unis et en Europe, qui ont été victimes de ces vols de données là, qui se sont vu imposer des amendes considérables et qui ont perdu leur emploi.

Donc, je pense que ça commence avec des amendes, déjà, considérables, la sensibilisation des dirigeants, des hauts dirigeants, des administrateurs aussi. Ça peut être un élément, mais je pense qu'il y a... Les amendes considérables sont aussi assez efficaces, commencent à montrer qu'on est sérieux, maintenant, dans l'encadrement de ces incidents.

Mme Rizqy : Merci. En terminant, vous avez commencé votre propos en disant : Il existe plein de technologies, notamment les drones, reconnaissance faciale. Pensez-vous qu'au Québec nous sommes dus pour avoir une vraie consultation publique sur toutes ces nouvelles technologies qui, de toute évidence, à chaque jour, enfreignent notre droit à la vie privée?

M. Dupont (Benoit) : Je pense qu'on devrait avoir une consultation permanente parce que ces technologies évoluent à un tel rythme qu'une consultation ponctuelle dans le temps aurait de nombreux avantages, mais serait quasiment désuète après six mois. Et donc on devrait avoir une... Et je pense qu'on a déjà une commission de l'éthique dans les sciences et technologies, une commission d'accès à l'information, mais qui peut-être n'ont pas les ressources suffisantes pour pouvoir consulter à grande échelle et pour pouvoir entretenir des équipes de recherche capables de nous tenir informés un peu de ces nouvelles tendances et de leur impact sur la société et sur notre vie quotidienne.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Merci, M. Dupont, d'être avec nous cet avant-midi. J'ai peu de temps, je vais aller droit au but. À peu près tout le monde qui est venu nous voir depuis deux jours s'entend sur le fait que ces applications ne pourront pas protéger les gens qui sont les plus vulnérables à la COVID-19, c'est-à-dire les gens les plus âgés et les populations plus défavorisées, pour la raison simple que ces gens-là ont statistiquement moins de chances d'avoir un téléphone intelligent, encore moins un téléphone récent, comme l'exige l'application fédérale dont on discute, actuellement. Par contre, il y a un contre-argument qui est venu à quelques reprises, et c'est de dire : Mais on peut quand même aider ces gens-là par la bande, puisque, si dans d'autres groupes de la société, il y a moins de contagion à cause de l'application, par la bande, disons, de manière collatérale, on va finir par mieux protéger ces gens-là. En vous basant sur l'exemple de l'Australie, que vous avez évoqué dans votre témoignage, qu'est-ce que vous pensez de ce contre-argument?

M. Dupont (Benoit) : Je pense que ça reste extrêmement spéculatif. Et, pour revenir à votre question, je ne suis même pas certain que ces applications puissent adéquatement protéger les gens qui ne sont pas vulnérables, donc...

M. Nadeau-Dubois : Pourquoi?

M. Dupont (Benoit) : Bien, parce qu'il y a trop de variances, trop de variables qui ne peuvent pas être intégrées dans les modélisations et qui font en sorte que les modélisations statistiques, c'est une chose, la réalité, c'est autre chose. Et je pense que ces applications vont détecter quelques cas, quelques dizaines de cas, tout en occupant une bande passante de ressources publiques qui est considérable, et je ne suis pas certain que les bénéfices dépassent les inconvénients.

M. Nadeau-Dubois : Autrement dit, non seulement on ne protégera assurément pas les plus vulnérables, mais il est même fort probable qu'on ne protège pas mieux les moins vulnérables.

M. Dupont (Benoit) : C'est ça.

M. Nadeau-Dubois : Donc, on ne protège pas vraiment personne de plus.

M. Dupont (Benoit) : Non, mais on a l'impression de faire quelque chose, on a l'impression d'agir, et je pense qu'on est dans une crise majeure, et donc toute aide et toute contribution potentielle, je pense, est bienvenue. Mais, sur le papier, pour l'instant, dans les pays qui ont de l'avance sur nous, ces contributions restent... j'ai dit «modestes», mais on pourrait dire... on pourrait utiliser des adjectifs même un petit peu plus... un peu moins ambitieux.

M. Nadeau-Dubois : Donc, c'est moins que modeste.

M. Dupont (Benoit) : C'est moins que modeste.

M. Nadeau-Dubois : Merci.

M. Dupont (Benoit) : On pourrait dire «anecdotique», peut-être.

Le Président (M. Bachand) : Merci. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup, M. le Président. Moi non plus, je n'ai pas beaucoup de temps. Je voudrais savoir, M. Dupont, est-ce que, selon vous, les Québécois et Québécoises ont suffisamment d'information pour être en mesure, avec un consentement éclairé... être capables de prendre la décision de dire : Oui, une application de traçage est une bonne chose?

M. Dupont (Benoit) : Oui, je pense qu'on a quand même un débat qui se fait, au Québec, comparativement à d'autres provinces canadiennes ou d'autres pays, qui est relativement transparent. Je pense qu'on a une expertise, aussi, au Québec, qui est... qui s'est manifestée depuis hier, et avant aussi, dans la presse et dans des éditoriaux assez détaillés. Donc, je pense que la population québécoise est probablement l'une des mieux informées sur ce type de phénomène, à l'heure actuelle.

Si on prend l'exemple de l'Alberta, où l'application a été déployée très rapidement, très tôt, il y a eu très, très peu de débats publics. D'ailleurs, on en entend très peu parler, de cette application-là, maintenant. Donc, je pense qu'au Québec on a quand même... on mène un exercice salutaire et je pense que la population doit recevoir des informations en quantité suffisante pour prendre une décision éclairée, oui.

M. Ouellet : Plusieurs personnes sont venues nous dire que ce n'était pas fiable, qu'il y avait un risque. Et, si le gouvernement décide d'aller de l'avant après ses sondages et ses consultations qui lui dit que la population du Québec va télécharger l'application, quelle serait, selon vous, la chose à faire, minimalement, pour que, si le gouvernement va de l'avant avec cette application, on protège les droits des citoyens, on protège la sécurité des données, mais surtout on leur donne un vrai sentiment de sécurité?

• (11 h 30) •

M. Dupont (Benoit) : Bien, on en a déjà parlé, et je pense que les autres personnes qui ont présenté devant la commission ont déjà mentionné... je pense que des... une révision externe de l'application pour s'assurer que la sécurité est optimale, un encadrement juridique robuste pour s'assurer que les données ne sont pas exploitées de façon abusive ou seront détruites quand on n'en aura plus besoin, mais... je pense, des campagnes de communication à très grande échelle, c'est-à-dire d'investir autant en recherche sur la manière de communiquer l'utilisation optimale de cette application, et de convaincre, et de persuader la population de l'adopter que des budgets en recherche pour développer l'application elle-même. Je pense que l'un ne va pas sans l'autre. Donc, c'est de concevoir l'application comme un écosystème, un écosystème dans lequel il y a énormément de parties en mouvement, qu'on doit imaginer de façon très complexe plutôt que de penser que la simple mise à disposition d'une application va résoudre tous nos problèmes.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Merci, M. Dupont. Je pense qu'on se questionne aussi depuis deux jours et... Qu'est-ce qui ferait qu'au Québec... Partout ailleurs, à date, dans le monde... Puis souvent les décisions politiques sont basées sur l'expérience, sur ce qui se fait de bien à certaines places. On a souvent entendu, dans les deux derniers mois : Bon, bien, dans tel pays, ils ont réussi, dans tel autre pays, le déconfinement a mieux réussi qu'ailleurs, etc.

Je vous écoute puis j'écoute les autres experts qu'on a eus depuis hier, et, à date, la technologie... vous avez utilisé «anecdotique». Je pense que la technologie n'est pas fiable, ou on n'a pas le... on n'a pas trouvé encore la bonne technologie pour répondre à une certaine problématique. Qu'est-ce qui pourrait faire que... Et, je comprends, vous nous avez dit tantôt : Il faut que le gouvernement donne l'impression qu'il agit. Ça donne l'impression qu'on a solutionné un problème, mais votre expertise nous dit qu'on n'a rien sur le marché pour le solutionner, le problème. Donc, c'est un miroir qu'on va envoyer aux citoyens. Je ne sais pas ce que... s'il y a quelque chose que vous pourriez rajouter là-dessus, mais, mon degré de confiance, après vous avoir écouté, dans la technologie, je pense qu'il vient de baisser encore.

M. Dupont (Benoit) : Juste pour être bien compris, là, je ne mettais pas forcément le gouvernement au pilori. C'est... nous tous voulons faire quelque chose face à l'impuissance qu'on ressent dans un tel contexte de pandémie, là. Les entreprises privées, les OSBL, les chercheurs, on veut tous découvrir le moyen miracle d'essayer de combattre et de contrôler la maladie.

La technologie la plus efficace jusqu'à présent, c'est un système de santé publique qui est robuste, qui est bien financé et qui est capable d'agir localement, de façon très agile, pour pouvoir contraindre et contrôler la maladie. Il y a des pays qui sont arrivés à la contrôler de façon démocratique, sans avoir de technologies très sophistiquées mais en ayant des employés de la Santé publique, une coordination des divers ministères, des politiques de tests qui impliquent aussi le secteur privé de façon extrêmement coordonnée et ambitieuse. Il y a plein de moyens. Ce sont des politiques publiques plus que des technologies, et les technologies, à mon avis, ne peuvent pas toujours se substituer aux politiques publiques. Des fois, c'est une technologie très rudimentaire, qui est l'humain, qui va pouvoir aider à contrôler cette maladie-là. Et, les pays comme la Nouvelle-Zélande, qui sont arrivés à des cas zéro ou deux à trois cas par mois, ce n'est pas une technologie miracle qui les a aidés, c'est tout un tas de mesures, de politiques publiques.

Le Président (M. Bachand) : Merci beaucoup, Pr Dupont, de votre présence ici avec nous.

Je suspends quelques instants. N'allez pas trop loin, parce qu'on pourrait peut-être sauver quelques minutes, là, pour la séance de midi. Alors, je suspends les travaux quelques instants. Merci.

(Suspension de la séance à 11 h 34)

(Reprise à 11 h 36)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Merci. La commission reprend ses travaux.

Le député de René-Lévesque ne sera pas présent à cette séance, alors, s'il y aurait consentement de la commission, on pourrait répartir le temps entre le député de Gouin et le député de Chomedey. Consentement? Merci beaucoup.

Alors, il me fait plaisir de recevoir monsieur le Pr Gambs, professeur en informatique de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives de l'Université du Québec à Montréal. Alors, merci beaucoup. Vous avez 10 minutes de présentation, après ça on aura un échange avec les membres de la commission. La parole est à vous. Merci.

M. Sébastien Gambs

M. Gambs (Sébastien) : Bonjour. Tout d'abord, merci de m'avoir invité. Mon expertise à moi — je suis informaticien — elle est surtout sur les aspects vie privée et sécurité, donc je vais essayer d'aborder surtout ces aspects-là.

Donc, d'abord, pour rappeler le contexte, on appelle ça une application de notification d'exposition, qui fait plutôt rapport à la finalité, ou de traçage de contacts, qui fait rapport aux moyens. On est, je pense, c'est bon de le rappeler, dans un contexte où on va demander à la majorité de la population d'installer une application qui va collecter des données, donc je pense que le niveau de sécurité qu'on devra attendre de cette application-là est le maximum, je dirais quasiment celui qu'on attendrait d'une infrastructure critique, et donc il y a des enjeux importants, en plus de ceux qui ont déjà été discutés, en termes de sécurité et de vie privée.

Une des choses, je pense, qui est importante, qui a déjà été abordée, c'est que, dans le contexte où on va vouloir être capables de mesurer l'efficacité de l'application et de faire la reddition de comptes, ça a déjà été abordé dans quelques interventions, mais je pense que c'est important de se doter, a priori, de critères mesurables qui pourront permettre, au bout de quelques mois, de dire si l'application a atteint ou pas ses objectifs, que ce soit en termes de vie privée ou d'efficacité.

Donc, comme vous l'avez évoqué, j'ai vu que le Québec a déjà dit qu'il n'irait pas avec la géolocalisation, ce qui est vraiment une bonne chose parce que, parmi les technologies possibles, je dirais que c'est à la fois la pire en termes d'efficacité, parce que votre position GPS, elle est très peu précise si vous êtes dans une zone avec des bâtiments, en plus on ne peut pas la prendre si vous êtes à l'intérieur, dans le métro, et en plus c'est très intrusif pour la vie privée.

Donc, comme, pour l'instant, la consultation ne porte pas sur une application particulière, je vais venir sur celle du fédéral, qui a été mise sur la table comme une application potentielle. Donc, du point de vue de la vie privée, elle est un peu mieux parce que, déjà, elle utilise le Bluetooth, donc il y a moins de données collectées. Dans les points, en termes de vie privée, positifs, quand on regarde la conception de l'application, on essaie quand même de minimiser les données, donc on va envoyer des codes aléatoires mais pas d'identifiant direct. On essaie, aujourd'hui, d'avoir une certaine souveraineté de l'utilisateur sur les données, donc les codes restent stockés sur le téléphone, et c'est lui-même, quand quelqu'un a été testé positif, qui peut, par son application, récupérer la liste des codes testés positifs et faire directement, localement, sur son téléphone, le calcul de la notification d'exposition à savoir s'il est à risque ou pas. Donc, ça, c'est plutôt bien pour la vie privée.

• (11 h 40) •

Les choses sur lesquelles, je pense, il faut porter attention, c'est que je pense que le terme «anonyme» est un peu trop fort, dans le sens où même si le risque de réidentification est faible, il existe encore, et d'ailleurs ça a été relevé par le commissariat à la vie privée du Canada dans un avis qu'il a fait sur l'application Alerte COVID. En particulier, le Bluetooth, à la base, est fait pour des communications à courte distance, mais on l'a détourné en essayant de mesurer la proximité. Et donc ce que font la plupart des applications, c'est qu'elles demandent à envoyer des métadonnées, qui sont votre type de téléphone et la force de votre signal, en plus de ce code aléatoire dont je parlais tout à l'heure, et on pourra arriver à des situations où on pourra essayer de tracer quelqu'un ou tracer son téléphone parce que cette information-là, cette métadonnée est stable dans le temps. Donc, ça, ça pourrait être une source de réidentification potentielle.

Une autre chose que j'ai vue en regardant l'application fédérale, c'est que, quand vous avez téléchargé l'application, votre adresse IP est enregistrée, et, quand vous allez... quand vous êtes testé positif et que vous envoyez les codes aléatoires qui permettront aux autres contacts d'être notifiés, eh bien, votre adresse IP est aussi enregistrée. Donc, potentiellement, on pourrait faire un lien entre qui a téléchargé l'application à tel moment et la personne qui a été testée positive.

Une des choses aussi que je voudrais mentionner, c'est que cette appli va demander à ce que le Bluetooth des appareils tourne en permanence. Et rien que la semaine dernière, par exemple, on a eu une faille de sécurité, découverte par des chercheurs chinois, qui permettait de voler leurs listes de contacts et leurs SMS à partir d'une faille Bluetooth. Une faille plus sérieuse, qui a été patchée, qui date de février, c'était une faille qui permettait d'exécuter du code arbitraire, donc de prendre le contrôle du téléphone, en février. Donc, il faut que... je pense, dans le contexte où la population doit être informée avant de consentir, il faut qu'elle soit au courant qu'en activant le Bluetooth il peut aussi y avoir des risques de sécurité.

En termes de vie privée, un des enjeux qui peut être possible, aussi, c'est que... ça a été abordé hier, mais au niveau du traçage cyberphysique qui est parfois utilisé dans les centres commerciaux, où on essaie de suivre les déplacements de votre téléphone à partir des données émises par les signaux wifi ou les signaux Bluetooth, il pourrait y avoir aussi un risque, seulement d'un attaquant qui est motivé, parce qu'il faudrait qu'il soit capable de mettre des capteurs un peu partout dans la ville, de suivre un téléphone à partir des données Bluetooth qui ont été émises, donc ça pourrait être par les métadonnées dont je parlais tout à l'heure.

Une autre chose qui pourrait arriver et qui a été — je pourrais vous envoyer la référence — identifiée comme étant des scénarios d'attaque, quelle que soit la technologie utilisée, donc, ça a été évoqué par la Quadrature du Net hier, ça serait des attaques du type l'attaque d'entretien d'embauche. C'est une attaque très simple où vous avez quelqu'un que vous hésitez à embaucher, vous prenez un téléphone dédié, vous installez l'application, vous le faites rentrer en contact avec cette personne, vous isolez le téléphone ensuite puis vous attendez de voir s'il y a une notification qui est faite ou pas. Si c'est le cas, eh bien, ça veut dire que la personne a été testée positive.

Une autre attaque qui est reliée à la sécurité, c'est une attaque que j'appellerais de déni de service. Donc, supposons que je pense avoir les symptômes et que je vais sûrement aller me faire tester bientôt, ce que je pourrais vouloir faire, c'est essayer de causer du tort. Donc, les raisons pourraient être variées. Supposons que j'ai un restaurant en face de mon restaurant et où je voudrais aller dans la salle, faire interagir mon téléphone avec les employés du restaurant, eh bien, si je suis testé positif, ensuite ils vont devoir se mettre en quarantaine et le restaurant va fermer.

Dans l'exemple que les Français avaient imaginé dans les scénarios, c'était même plus loin, ils disaient que, supposons qu'il y a un contexte de guerre où on veut empêcher un navire d'appareiller, on pourrait aller près de ce navire-là avec quelqu'un qui est positif, faire que tous les marins attrapent ce contact-là dans la liste et puis ensuite bloquer le... Donc là, on est peut-être dans des scénarios un peu extrêmes, mais donc il peut y avoir des risques aussi, et ça, c'est indépendant de la technologie. Donc, que ce soit le GPS, que ce soit la géolocalisation, c'est des scénarios d'attaque qui pourraient arriver.

Donc, je pense qu'une des choses qui est vraiment importante, quelle que soit l'appli qui est choisie, si jamais la consultation amène à une appli, c'est vraiment la transparence. Donc, c'est revenu dans les débats, donc, la transparence, ça passe par plusieurs éléments. Ça passe par l'ouverture du code source, mais ce n'est pas suffisant. Ça passe par une documentation pour le grand public, qui est claire, ce qui est le cas... Donc, le fédéral le fait, actuellement, mais ce qui manque, par exemple, c'est des documents de spécifications techniques qui sont à un niveau... Donc, un code source, c'est bien, mais c'est des milliers de lignes de code. Donc, même pour un informaticien, c'est plus intéressant, parfois, d'avoir un document clair, qui explique comment fonctionne l'application. Donc, ça, je pense que c'est une clé qui est nécessaire.

S'il y a des audits de sécurité, ce qui me semble, aussi, nécessaire, il faudrait que les audits soient publics, à mon sens, pour que d'autres experts puissent éventuellement prendre connaissance des failles et rajouter leur expertise. Et donc, à mon sens, il faudrait qu'il y ait vraiment une volonté... Donc, on parlait de «security»... de «hackathon» de sécurité, tout à l'heure, c'est aussi une très bonne alternative.

Et je pense qu'une des choses qu'on ne réalise pas, aussi, c'est que l'écosystème de l'application est relativement complexe. Donc, si je prends l'exemple de l'appli fédérale, Shopify a refusé de venir ici. Mais, au-delà de Shopify, je pense qu'il aurait fallu avoir les services numériques canadiens qui ont participé au développement, BlackBerry, qui, de manière pro bono, a aidé à la sécurité de l'application et aussi appelé Google au niveau de l'API qu'ils ont mis en place. Parce qu'il y a des soupçons, dans les articles scientifiques qui sont sortis les dernières semaines, sur le fait que, même si l'API d'Apple et Google se base sur un protocole qui, à la base, est plus respectueux de la vie privée, il y a quand même des métadonnées qui sont collectées dans certains pays. Et, en plus de ça, si j'allais même plus loin, bien, on parlait, tout à l'heure, des serveurs d'infonuagique, le fédéral fait affaire avec Amazon Web Services pour stocker les données qui vont être collectées. Donc, même eux, je viendrais leur demander d'expliquer comment fonctionne le stockage des données dans le cadre de l'application. Donc, si une appli est choisie, je pense qu'il faudrait que tous ces acteurs-là soient aussi auditionnés. Je ne sais pas si ce serait dans le cas d'une commission comme ici ou dans le cadre d'autres approches.

Et une dernière chose sur laquelle je voudrais insister, c'est le glissement de finalité. Donc, à mon sens, c'est un risque important. Donc, cette application-là, si la population québécoise y adhère, donc si cette application est lancée, je pense que le risque qu'on commence à voir des employeurs qui commencent à demander de voir le score de risques ou certains centres commerciaux qui disent : Bien, vous ne pourrez rentrer que si vous avez un score de risque faible, c'est un risque qui est important. Donc, à mon sens — ça a été repris, je pense, ce matin par la Commission d'accès à l'information et d'autres individus, donc d'autres personnes qui ont été entendues — ça serait de mettre dans la loi directement une interdiction non seulement d'utiliser l'application pour d'autres finalités, mais même de mettre des amendes qui décourageraient à le faire. Donc, on parlait ce matin, si vous êtes dans un groupe vulnérable, que votre employeur vous demande de voir le score de risque, quelle est la probabilité que vous allez vraiment refuser de répondre à son injonction si le fait de pouvoir payer votre loyer à la fin du mois dépend de votre travail, alors que, si la loi fait qu'il pourrait y avoir des conséquences financières importantes, je pense que ça découragerait les glissements de finalité. Donc, voilà, c'était mon intervention.

Le Président (M. Bachand) : Merci beaucoup. Je me tourne vers le gouvernement. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Merci beaucoup de votre présence, c'est vraiment extrêmement intéressant et très pertinent également.

Moi, si je vous entends, là, soudainement, j'ai quasiment envie que, finalement, on remette nos téléphones cellulaires puis qu'on arrête, parce qu'on est, actuellement, tout le monde ici, je pense, et la population en général à l'international est à risque. Nous sommes à risque si on utilise... on écoute de la musique dans une voiture, on a... Moi, j'active le Bluetooth parce que je mets de la musique un peu partout, j'ai mon wifi, j'utilise Google Maps parce que je n'ai aucun sens de l'orientation, alors j'imagine que moi, personnellement, comme plusieurs personnes, on est déjà à risque en continu dans la société.

M. Gambs (Sébastien) : Il y a beaucoup de personnes qui refusent d'activer le Bluetooth, donc ce n'est pas non plus si rare que ça que les gens n'activent pas le Bluetooth. Et, quand vous avez votre appli qui communique avec votre voiture, par exemple, elle le fait de manière ponctuelle, donc, effectivement, un attaquant qui viendrait à ce moment-là pourrait éventuellement profiter de la vulnérabilité, mais là, avec l'application, le Bluetooth va être activé en permanence.

Donc, souvent, on parle de surface d'attaque. La surface d'attaque, elle va être toute la journée pour ceux qui activent le Bluetooth, elle ne va pas être...

Mme Boutin : Donc, dès qu'on active tout le temps le Bluetooth, nous sommes toujours à risque, qu'on ait l'application ou non. C'est vraiment une question, là, que je me pose, là, très sérieusement, là. Si je le laisse activé, mon Bluetooth, puis je vais au centre d'achats, je suis toujours à risque, dans le fond?

M. Gambs (Sébastien) : Vous serez à risque aussi, effectivement. Mais il y a quand même pas mal de monde qui refusent d'activer leur Bluetooth justement à cause de ces risques-là et qui ne le font qu'au cas par cas. Donc, je connais des gens... peut-être que ce serait intéressant de faire un sondage ou de trouver des données probantes, mais il y a des gens qui refusent d'activer le Bluetooth tout simplement à cause de ces enjeux-là de sécurité.

Mme Boutin : Je pose cette question-là parce que... c'est sûr, c'est un petit peu en dehors du cadre de l'application elle-même, mais c'est une question qu'on devrait se poser au niveau de la société, également, là. Toutes les applications... puis, tu sais, la littératie numérique des gens, on manque peut-être, aussi, d'information. Puis moi, j'aime la technologie, mais, quand même, on se pose ces questions-là puis on se dit toujours qu'il y a un risque à prendre. Dès qu'on met... on utilise une technologie, il y a un risque. C'est de balancer l'efficacité, l'utilité versus le risque d'atteinte à la vie privée dans toutes nos décisions.

M. Gambs (Sébastien) : Mais souvent la plupart des applis actuelles qui utilisent le Bluetooth le font de manière ponctuelle. Donc, vous allez démarrer votre appli, le Bluetooth s'active à ce moment-là. Là, il faut quand même se rendre compte que l'application de traçage de contacts va avoir le Bluetooth activé en permanence, donc le temps où vous êtes vulnérable va être plus important.

Mme Boutin : Puis est-ce que vous savez s'il y a beaucoup d'attaques de ce genre, en général, ou... C'est peut-être une question... Moi, je n'ai pas la réponse, là.

M. Gambs (Sébastien) : Il y en a eu beaucoup, ces dernières années, sur Bluetooth. Donc, il y a vraiment des vulnérabilités critiques d'exécution de codes parce que Bluetooth, c'est un protocole qui est encore relativement récent et qui a commencé à être beaucoup utilisé ces dernières années. Donc, il y a des objets connectés, par exemple, et là, en fait, ça a amené les chercheurs à regarder cette technologie, et il y a eu beaucoup de failles trouvées. Donc, c'est assez significatif, ces dernières années.

Mme Boutin : Tu sais, quand on utilise, dans le fond, des applications de notre plein gré, que ça soit, tu sais, des applications qui sont par le privé, bien, c'est un peu notre responsabilité à nous. Mais moi, je comprends que le gouvernement... et je prône pour que le gouvernement, lorsqu'elle met en circulation des applications, soit responsable, qu'il y ait un encadrement qui soit légal, une imputabilité, un encadrement technologique, une infrastructure technologique autant pour protéger les données, tu sais, être conscient de ça, là, encrypter, avoir le moins de collectes de données personnelles possible et tout et au niveau de l'appareil.

Vous, quelles seraient vos recommandations qu'on pourrait... les choses qui pourraient être mises de l'avant pour cette application-là, l'application, tu sais, Bluetooth, qui pourraient être considérées, même pour toute autre application? Qu'est-ce qui peut être... des mesures qui pourraient être mises en amont par une entité gouvernementale au niveau technologique et au niveau de la gouvernance, au niveau de la sécurité? Est-ce qu'il y a des groupes d'experts, le groupe de cyberdéfense pourrait faire des tests?

M. Gambs (Sébastien) : Oui, donc, c'est déjà revenu un peu dans ce que j'ai dit, mais il faudrait déjà qu'il y ait des audits par des groupes de cyberdéfense. La suggestion de Benoit, qui me précédait, de faire appel aussi à de l'industrie de cybersécurité serait important. Le fait de faire appel à des volontaires dans un... de sécurité, me semble important. Donc, le fait, avant de lancer l'application, de laisser la chance aux experts et aux entités qui ont l'expertise de faire une évaluation de la sécurité me semblerait vraiment important.

Mme Boutin : Et est-ce que vous seriez pour — je pense que c'est vous qui avez parlé de ça, oui — peut-être un projet pilote ou un test, mettre en place une... bien, je n'aime pas le mot «infrastructure», mais un processus d'évaluation au départ et en continu? Et comment on pourrait le faire, sur quels critères? Évaluation au niveau de la sécurité, de l'efficacité, est-ce que c'est quelque chose qui serait pertinent?

• (11 h 50) •

M. Gambs (Sébastien) : Donc, il y a... le projet pilote, je pense que ça serait important pour l'efficacité. Donc, au-delà de la sécurité, on a beaucoup discuté de l'efficacité, et je pense que ça serait intéressant, d'avoir un... Alors, peut-être que, si jamais l'appli fédérale est choisie, on peut peut-être considérer que l'Ontario est un projet pilote en soi, mais, si une autre appli est développée, ça pourrait être de choisir une zone, une ville, une région du Québec pour déployer l'application et mesurer si elle est vraiment efficace et, si on constate que l'efficacité n'est pas au rendez-vous, bien, de ne pas déployer l'application.

Au niveau de la gouvernance, c'est revenu aussi, mais je pense que d'avoir un comité de personnes de différentes expertises, qui ont vraiment un pouvoir, je pense, dans leurs recommandations, qui est suivi par le gouvernement... donc pas juste un avis consultatif. Je ne sais pas quelle serait la meilleure structure pour mettre ça en place, mais, si jamais le comité lève l'alarme et dit : Il y a quelque chose qui ne va pas, on n'atteint pas les objectifs, qu'on puisse débrancher. Alors, ça me semble aussi quelque chose de vraiment important.

Mme Boutin : Je vous remercie. Je pense que mes collègues ont quelques questions, mais je vais juste dire, c'était important pour nous de consulter, puis on est les seuls qui le font, en fait, puis on a l'avantage d'être... je ne voudrais pas dire «en retard», mais d'être un peu plus frileux, donc de prendre plus le temps. Merci.

Le Président (M. Bachand) : M. le député de Chapleau.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Merci beaucoup de votre présentation. Donc, vous avez parlé de, bon, la question de Bluetooth, des données IP, de certains scénarios catastrophes, également, puis de l'application fédérale. Donc, peut-être pour reprendre un peu la question de ma collègue de Jean-Talon, qui disait : Qu'est-ce qu'on peut faire, disons, pour les applications à venir?, mais qu'est-ce que... disons, si on prend l'exemple de l'application fédérale, qu'est-ce qu'on pourrait faire pour l'améliorer, disons qu'on décidait d'aller avec celle-là ou avec celle de l'Ontario? Donc, qu'est-ce que... avez-vous des éléments, des pistes de solutions pour éviter, justement, les scénarios catastrophes dont vous faites mention, la perte d'un navire militaire ou autre?

M. Gambs (Sébastien) : Bien, le problème, c'est qu'il y a certaines des attaques que j'ai mentionnées qui sont indépendantes de la technologie, donc il y a certaines attaques qu'on ne pourra pas éviter, quelle que soit la façon dont on fait le système.

Une des choses, je pense, où on peut prêter attention, c'est... donc, si jamais l'application fédérale est choisie par le Québec, il y a aussi une gestion des mots de passe à usage unique qui sont gérés par le système de santé québécois, et donc il faut faire attention, aussi, à comment ça, ça va être mis en place. De ce que j'ai vu en Ontario, ils ont demandé d'avoir une information supplémentaire qui est ajoutée, qui pourrait éventuellement leur permettre de déterminer si une personne qui a été testée positive a choisi... a consenti à envoyer ses contacts ou pas. Donc, je rappelle que le consentement de la personne est un pilier fondamental de la vie privée, et donc même une personne qui est testée positive a le choix de ne pas remonter ou pas ses contacts. Et donc une infrastructure déployée où il y aurait une possibilité éventuelle de savoir si une personne a choisi de remonter ou pas ses contacts, pour moi, me semblerait problématique parce qu'on pourrait être tentés de dire : O.K., est-ce que cette personne-là qui a été testée positive, c'est vraiment un bon citoyen, elle a vraiment «uploadé» ses contacts ou est-ce que qu'elle a choisi de ne pas les «uploader» pour une raison qui peut lui être spécifique?

Donc, je pense que la façon dont le provincial générerait les codes à usage unique, comment ça s'arrimera avec le fédéral, serait un sujet... Encore une fois, comme certains experts ont dit, je pense qu'une fois qu'une appli est choisie il faudrait faire revenir les experts en sécurité en vie privée par rapport à cette appli-là, parce que, là, on est beaucoup dans le spéculatif, on ne sait pas si une appli va être choisie, quelle appli va être choisie.

M. Lévesque (Chapleau) : Non, c'est clair. Vous avez parlé de, justement, la protection de la vie privée puis protection des renseignements personnels, peut-être qu'en tant qu'informaticien avez-vous peut-être analysé, là, puis soyez bien à l'aise, le cadre juridique, là, notamment la Loi concernant le cadre juridique des technologies de l'information, sur certains points de protection. Est-ce qu'il y a des éléments, si jamais vous avez eu l'occasion de le voir, qui pourraient être ajoutés dans ce cadre juridique là? Ou même vous avez eu l'occasion de voir le projet de loi n° 64 puis peut-être vous avez même des recommandations générales de par...

M. Gambs (Sébastien) : Oui, je peux rajouter. Alors, il faut que je dise à l'avance que je suis Français d'origine et je suis revenu au Québec il n'y a que quatre ans, donc je ne connais pas aussi bien la loi que... j'ai vu qu'il y a Pierre-Luc Déziel et Céline Castets-Renard qui pourront intervenir là-dessus, mais une des choses que je vois, effectivement, et c'est revenu dans les discussions, c'est qu'il n'y a pas de mordant en termes d'amende. Donc, le fait de pouvoir donner des pouvoirs de sanction plus importants, ça pourrait aider aussi.

M. Lévesque (Chapleau) : Dans le projet de loi n° 64, il y a...

M. Gambs (Sébastien) : Il y a aussi... le fait de donner plus de ressources à l'autorité de protection des données, donc à la CAI, pour être capable, aussi, d'exercer ses missions me semble aussi fondamental.

M. Lévesque (Chapleau) : C'est un peu ce qu'elle nous disait. Dans le projet de loi n° 64, d'ailleurs, il y aura des sanctions, là, pécuniaires, financières en lien avec ça. Donc, ça, c'est un bon point, effectivement.

Vous avez parlé, notamment, aussi de la question des tiers, de l'employeur qui pourrait demander ou exiger, là, bon, d'avoir l'application, d'avoir les résultats à l'employé. Donc, vous avez parlé de deux mesures législatives. Par décret, ce serait possible de le faire. Est-ce que ce serait une voie qui serait envisagée, à ce moment-là, si ça, effectivement, donne la protection? Et est-ce qu'on ajouterait, à ce moment-là, disons, des mesures pécuniaires, financières, quelques peines à ce niveau-là?

M. Gambs (Sébastien) : Je pense que c'est important d'ajouter les mesures pécuniaires, sinon j'ai peur qu'un employeur, finalement... s'il n'y a pas de mesure contre lui, il ne se sentira pas obligé de respecter. Donc, effectivement, je pense que la loi ou le décret devrait inclure ça comme un dispositif pour éviter tout glissement de finalité. Et le glissement de finalité, il pourra arriver dans six mois. Donc, supposons qu'une appli soit choisie, qu'elle soit déployée, que la population y adhère, mais qu'il y a une cinquième, 10e vague, à ce moment-là, les employeurs pourraient se dire : O.K., bien là, tout le monde a l'appli, on va demander d'avoir accès au score de risque pour...

M. Lévesque (Chapleau) : O.K. Excellent. Merci, M. le Président.

Le Président (M. Bachand) : Merci. Autres questions du côté ministériel... gouvernemental, pardon? Mme la députée des Plaines, oui.

Mme Lecours (Les Plaines) : Merci beaucoup, M. le Président. Merci de votre vision, vos éclairages. Vous êtes, évidemment, un spécialiste en cybersécurité. Par contre, je vais vous amener sur un autre terrain qui est un peu plus le côté comportemental. Bon, dans un premier temps, vous dites : On ne sera pas à l'abri d'attaques, advenant l'adoption d'une application comme celle qui existe actuellement, là, mais qu'on n'a pas de choix de fait. Par ailleurs, on n'est déjà pas à l'abri d'attaques, si je comprends bien.

M. Gambs (Sébastien) : Bien, si, le Bluetooth, vous l'avez désactivé sur votre téléphone, par exemple, une grosse partie des attaques que j'ai mentionnées...

Mme Lecours (Les Plaines) : Je vais le désactiver, là.

M. Gambs (Sébastien) : ...ou si vous utilisez une application qui active le Bluetooth quand vous allumez l'application, vous êtes à l'abri des attaques que j'ai mentionnées sur le Bluetooth.

Mme Lecours (Les Plaines) : Mais pourquoi je vous dis «du côté humain», est-ce que... si on essaie de faire le contrepoids entre les impacts possibles mais les bienfaits également, une application comme celle qui est présentée, qui est sur la table, est-ce qu'effectivement ce pourrait être important et complémentaire à tout point de vue humain, actuellement? Tout le traçage humain qui se fait, selon vous, est-ce que c'est quelque chose qui est acceptable?

M. Gambs (Sébastien) : Bien, est-ce que ça peut être... Je pense que tout le monde est d'accord que ça serait un outil complémentaire, mais pas la panacée. Est-ce que... Donc, si vous me demandez de faire l'exercice d'équilibrer les bénéfices en termes de santé et les risques de sécurité, je pense qu'il faudrait que j'aie une spécification d'appli beaucoup plus détaillée et qu'on soit plusieurs experts de sécurité à se mettre autour de la table pour être capables de faire l'exercice. Donc là, de manière abstraite, c'est sûr que cet exercice devrait être fait, mais on a les questions sur l'efficacité, donc cet exercice ne va pas être facile à faire parce que certaines choses vont être difficiles à mesurer. Quelle serait vraiment l'efficacité de l'appli si elle est déployée à large échelle? C'est revenu dans plusieurs interventions. Donc, il faudrait faire cet exercice, mais sans spécification d'appli...

Mme Lecours (Les Plaines) : Mais je comprends que vous êtes d'accord avec moi sur le fait que faire... actuellement, on ne fait appel qu'à la mémoire des gens, là.

M. Gambs (Sébastien) : Donc, je pense qu'effectivement le bénéfice principal de cette appli, ça serait de pouvoir tracer des contacts dans un contexte, par exemple, de déconfinement massif, où on commence à avoir beaucoup d'interactions, des contacts de gens, par exemple, qu'on croise dans le métro, qu'on ne se souviendrait pas. Donc, ça, c'est, je pense, vraiment le plus par rapport au traçage manuel traditionnel. Le moins, c'est quand même qu'on déploie à large échelle et donc que les enjeux de vie privée, ce n'est pas une personne, mais c'est multiplié par toute la population.

Le Président (M. Bachand) : ...M. le député de Beauce-Nord, s'il vous plaît.

M. Provençal : Merci, M. le Président. Par rapport à tout ce que vous avez dit, là, selon vous, là, à quel endroit va se situer le point d'équilibre entre la protection de la santé publique puis le respect de la vie privée? Ça se situe où, là? Tu sais, on travaille beaucoup, dans notre vie, avec des graphiques, là, avec des points d'équilibre, mais, pour vous, là, par rapport à ce que vous nous avez tout exposé, ça se situe où?

M. Gambs (Sébastien) : Donc, encore une fois, sans... Ça se situe où par rapport à quels critères ou quelles mesures? Sans avoir une application spécifique, c'est difficile pour moi de répondre.

Donc, si, par exemple, il y avait eu... supposons qu'il y a 20 pays dans le monde où on sait que ce genre d'appli permet de sauver des millions de vie, là je serais dans une situation où on aurait déjà des preuves de l'efficacité, où effectivement je pourrais essayer de mesurer, dire : O.K., il y a des enjeux de vie privée, mais on a des données probantes démontrables qui montraient que cette application-là avait eu un impact important.

Dans les conditions actuelles, moi, étant chercheur en vie privée et en sécurité, je peux vous amener les problèmes potentiels que je vois. Je ne suis pas un épidémiologiste, un peu comme Benoit le disait, donc l'impact positif sur la santé publique, je n'ai pas vu d'étude de pays où ça a vraiment fonctionné pour l'instant, donc je ne me sens pas forcément à l'aise de répondre à cette question-là.

M. Provençal : Merci.

Le Président (M. Bachand) : Merci. Autres questions? Il reste une minute. Non? Ça va?

M. Provençal : Oui, merci beaucoup, M. le Président.

Le Président (M. Bachand) : Merci. Mme la députée de Saint-Laurent, s'il vous plaît.

• (12 heures) •

Mme Rizqy : ...consentement, on pourrait peut-être prendre la minute pour l'attribuer aux deux autres groupes, aux députés indépendants.

Le Président (M. Bachand) : Ça a été fait, ça a été fait.

Mme Rizqy : Ah! parfait. Merci d'être présent avec nous. J'ai l'impression, quand j'écoute les questions qui vous sont posées, qu'on essaie de banaliser le fait de la violation de la vie privée en disant : Bien, de toute façon, on est déjà tous à risque, alors que l'application qui est déjà offerte par le gouvernement fédéral, vous l'avez clairement mentionné, que, là, à ce moment-là, je vais citer, là, notre surface d'attaque, elle est permanente, et donc 24 heures par jour, sept jours sur sept, tant et aussi longtemps qu'on a l'application sur notre téléphone. Est-ce exact?

M. Gambs (Sébastien) : Oui.

Mme Rizqy : Donc, lorsque certains collègues mentionnent : Ah! mais, de toute façon, j'ai déjà des applications sur mon cellulaire, il faut faire attention, parce que ces applications, lorsque le Bluetooth est activé, c'est lorsqu'on est sur l'application. À moins qu'on n'est pas sur l'application, à ce moment-là, notre surface d'attaque n'est pas, à ce moment-là...

M. Gambs (Sébastien) : Oui, la plupart des applications qui utilisent le Bluetooth fonctionnent comme ça. Il faut aussi être conscients qu'il y a des gens, justement, pour des enjeux de sécurité et de vie privée, qui refusent d'activer le Bluetooth, donc, toute appli qui va leur demander d'activer le Bluetooth, ils vont le refuser. Alors, quel pourcentage c'est de la population? Je pense, ça serait intéressant, si un intervenant sociologue pourrait compléter ça, d'avoir une idée de combien de personnes activent ou pas le Bluetooth, je n'ai pas ces chiffres-là. Mais ces personnes-là, en fait, essaient de limiter leurs risques en évitant d'activer le Bluetooth. S'ils installent l'application, ils vont avoir le Bluetooth qui est activé, donc ils peuvent le faire en connaissance de cause en fonction des bénéfices qu'ils voient ou pas et de l'information qu'ils auront sur les risques de vie privée et de sécurité, mais d'un coup leur surface d'attaque est passée de quasiment rien à, effectivement, une surface importante.

Mme Rizqy : Il y a quand même, ici, une certaine forme de méprise quant à notre compréhension collective de quand est-ce qu'on est sous attaque et quand est-ce qu'on ne l'est pas avec la technologie Bluetooth, et ça amène... et vous mettez le point, je trouve... justement, avoir plus de données à cet effet, qui qui l'utilise, qui qui ne met pas le Bluetooth. Mais tous les groupes qu'on a entendus jusqu'à présent nous parlent du consentement libre et éclairé. Quel est notre degré de compréhension de la littératie numérique au Québec?

M. Gambs (Sébastien) : Pareil, je pense, ce serait une question pour une sociologue ou un sociologue du numérique, mais je pense que la littératie numérique est effectivement un... Je ne sais pas, je pense que je ne suis pas assez bien... je ne suis revenu qu'il y a quatre ans au Québec, donc je ne pourrais pas dire, mais je pense que les débats publics comme on a contribuent à améliorer la littératie numérique et je pense qu'au fur et à mesure que les gens vont améliorer cette littératie, il y en a qui choisisse ou pas de désactiver le Bluetooth en fonction des risques et des failles de sécurité.

Je pense que Desjardins a aussi contribué à éveiller les consciences. Donc, malheureusement, pour améliorer la sensibilité de la population, parfois il faut des scandales de vie privée. Donc, j'espère qu'on ne sera pas avec une application de traçage de contacts, dans un cas où on va déployer cette application-là, et il va y avoir des failles de sécurité importantes. Mais, le niveau de littératie, je pense qu'il va quand même s'améliorer au fur et à mesure qu'on a des débats et qu'on informe le public.

Mme Rizqy : Oui, encore faut-il que les débats soient tenus en temps opportun. Et vous citez l'exemple de Desjardins, et c'est bien que vous faites le parallèle, parce que, autant cette consultation publique que celle que nous avons faite pour Desjardins, il a fallu que les groupes d'opposition, on talonne le gouvernement pour les avoir, parce qu'à chaque fois elles nous ont été refusées, et ce n'est pas faute d'avoir déposé des motions, notamment par mon collègue, des pétitions de la population, puis on est quand même en plein milieu de l'été pour ce type de consultation. Mais là je m'égare un peu, alors je vais revenir.

Failles de sécurité, failles de prendre le contrôle, et puis vous avez mentionné Apple et Google qui collectent des métadonnées. Alors, pour le commun des mortels, c'est quoi, la conséquence parce qu'Apple et Google peuvent collecter des métadonnées?

M. Gambs (Sébastien) : Ils pourraient, par exemple, savoir votre localisation ou savoir l'usage que vous avez fait de l'application.

Mme Rizqy : Et j'imagine que, là, c'est qu'eux... elles ont un objectif, ces entreprises, qui est d'abord et avant tout faire du profit pour leurs actionnaires. Est-ce que ces données collectées pourraient servir à du croisement de données afin de nous vendre d'autres produits ou mieux comprendre nos comportements?

M. Gambs (Sébastien) : Donc, c'est sûr que c'est des données qui pourraient s'ajouter au profilage. Après, je pense qu'il faut différencier Apple et... Google est vraiment sur la publicité ciblée. Donc, Google, la plus grande partie de son chiffre d'affaires dépend de la publicité ciblée, Apple est plutôt sur la vente de matériel. Donc, les deux peuvent avoir des objectifs un peu différents.

Les travaux que je mentionne sont très préliminaires, mais ils essaient de... En fait, je pourrais vous envoyer l'article, mais, l'article, ce qu'il mentionne, c'est qu'ils ont regardé plusieurs applications déployées dans plusieurs pays européens et dans le monde et ils se sont rendu compte que les enjeux de sécurité et de vie privée ne venaient pas forcément de l'application développée par l'État, mais potentiellement de données qui fuitaient de l'interface Google, Apple, qui n'étaient pas forcément bien documentés dans la documentation qu'Apple et Google ont. Donc, en fait, ils ont écouté les téléphones puis ils ont vu qu'il y avait des données qui sortaient du téléphone.

Donc, je pense que ça serait important aussi, au-delà d'avoir le développeur de l'API, d'avoir aussi des représentants, si jamais une appli choisit d'appeler Google, parce que c'est leur API sur lequel se repose l'application. Donc, c'est une partie de l'écosystème, puis je pense que c'est vraiment important pour avoir une vision large de tous les enjeux de sécurité et vie privée, et je pense que ça serait intéressant de les avoir aussi à la table des auditions.

Mme Rizqy : Merci beaucoup. Je vais céder la parole à ma collègue.

Le Président (M. Bachand) : Mme la députée de Vaudreuil.

Mme Nichols : Merci, M. le Président. C'est définitivement, là, plusieurs points de droit, là, qui rentrent en ligne de compte, autant le droit de la commercialisation, on va avoir le droit de la propriété intellectuelle, le droit de la protection de la vie privée, puis, je pense que vous en avez fait mention, il y a sûrement des personnes compétentes qu'il faudra consulter, parce que la plupart ont des intérêts fort, fort différents, puis parfois même vient la notion du conflit d'intérêts. Il y aura des personnes, certainement, autour de la table ou autour... qui auront des enjeux bien précis. Pour certaines... mais je vais utiliser le terme «bébelle», parce que ça a été utilisé par quelqu'un qui est venu nous faire une présentation, mais certains ont des enjeux pécuniers importants dans tout ça puis c'est souvent eux qui sont les plus forts, d'où notre grande inquiétude dans tout ça.

Plus je vous écoute, plus je comprends que, peut-être, les personnes les mieux protégées sont celles qui n'ont pas accès à la technologie. Je ne sais pas si vous aviez une réaction...

M. Gambs (Sébastien) : En fait, même si vous avez un téléphone intelligent, je pense qu'on peut choisir d'aller dans les réglages et de désactiver ou activer une certaine fonctionnalité. Donc, effectivement, si on n'a pas... Même si je travaille en vie privée, je suis loin d'être un pessimiste et de dire : Il faut aller dans une grotte et ne plus utiliser la technologie. Je pense qu'il faut profiter des... on parlait de littératie, peut-être augmenter la littératie pour que chacun soit conscient des risques et qu'il puisse aller régler. Donc, on peut avoir un téléphone intelligent mais refuser certaines fonctionnalités. Donc, par exemple, la géolocalisation, on est d'accord que ce n'est pas une bonne idée de la collecter, et je pense que beaucoup de personnes, maintenant, si on installe une app qui leur demande la géolocalisation, si, par exemple, c'est une app de jeu, vont dire : Pourquoi est-ce que cette app me demande la géolocalisation? Est-ce que j'en ai vraiment besoin?

Donc, il y a possibilité, même si on a la technologie, d'aller voir comment on peut se protéger un peu mieux. C'est sûr qu'on peut être tracé de tellement de manières dans notre société actuelle que se protéger de tout, ça devient quasiment impossible. On peut être tracé par des caméras qui font la reconnaissance faciale, on peut être tracé par des poubelles intelligentes qui vont récupérer les signaux wifi de notre téléphone. Ça, c'était le cas au Royaume-Uni. Donc, effectivement, on peut... mais on peut limiter, je pense, nos risques en essayant d'avoir un meilleur contrôle sur les objets et les réglages des objets qu'on a.

Mme Nichols : Il y a définitivement beaucoup de pédagogie à faire, là, autour de tout ça, puis je pense que c'est important, aussi, que nos citoyens, avant d'utiliser une application... mais on ne sait pas laquelle, moi, je n'ai pas vu d'application sur la table, mais avant d'utiliser n'importe quelle application qui sera en lien avec la pandémie, ou en lien avec la COVID, ou pour des mesures préventives, je pense qu'il y aura de la pédagogie à faire, justement, sur tout ce qui entoure l'utilisation de ce logiciel-là. Parce que souvent, le politique, on va dire : Bien, cette application-là va venir sauver des vies. Bon, est-ce que cette application-là va sauver des vies? Moi, j'aimerais bien vous entendre sur cet aspect.

M. Gambs (Sébastien) : Ça, sans avoir de données probantes, c'est difficile, mais c'est le même... Moi, des fois, je fais des conférences sur l'anonymisation de données et j'ai déjà eu, effectivement... dans des contextes où je parlais devant des médecins, je parlais d'anonymisation de données médicales, et les gens nous disaient : Bien, c'est bien beau de vouloir anonymiser, mais il y a des études qu'on ne pourra pas faire, et il y a des gens qui vont mourir parce qu'on n'aura pas accès aux vraies données. Mais qu'est-ce qui se passe si ces données fuitent, par exemple, et que votre assurance médicaments s'amuse à changer votre prime à partir de ces données ou qu'est-ce qui se passe si ces données fuitent et que, dans ces données, il y a des données qui permettent d'usurper votre identité?

Donc, il y a... je pense qu'il y a un compromis à trouver entre les deux, mais, l'argument, je pense qu'il a été soulevé une fois ou deux hier, sur il y a des gens qui vont mourir si on n'utilise pas l'appli. Il faut faire attention. Il faut faire attention aussi, parce qu'on parlait hier... je pense, c'était Yves Gingras qui parlait du coût de cette appli. Il y a aussi la... Donc, il y a la question de l'efficacité, il y a la question du coût, et, si jamais cet argent-là, il pouvait être investi dans d'autres mesures qui permettraient peut-être de sauver autant de vies, il faut aussi prendre ça en compte dans la balance.

Donc, je pense que l'argument... c'est difficile, en plus, pour moi, en vie privée, quand on me dit l'argument : Des gens vont mourir parce que vous avez anonymisé les données ou des gens vont mourir parce que la technologie n'est pas utilisée. Je le comprends mais je pense que c'est à prendre en balance avec les coûts de la solution, l'argent qui aurait pu être utilisé dans d'autres contextes, les autres risques en termes d'usurpation d'identité ou d'impact sur les personnes.

• (12 h 10) •

Le Président (M. Bachand) : M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Merci, monsieur, d'être avec nous cet avant-midi. Combien de temps j'ai, M. le Président?

Le Président (M. Bachand) : 3 min 50 s... 3 min 40 s, maintenant, excusez.

M. Nadeau-Dubois : Quel luxe! Un argument qu'on entend parfois de manière générale — je ne l'attribue à personne en particulier — c'est l'argument suivant : On a déjà tous Facebook, on a déjà tous un téléphone intelligent, on est déjà tous à risque, alors c'est-tu... on s'expose-tu vraiment plus avec une application de traçage et est-ce que le jeu n'en vaut pas la chandelle, puisqu'il y a des vies, nous dit-on, qui pourraient être sauvées? Qu'est-ce que vous pensez, comme expert en cybersécurité, de ce type de raisonnement qui dit : Puisqu'on est déjà à risque, on peut bien prendre encore plus de risques?

M. Gambs (Sébastien) : Moi, j'avoue que ce n'est pas un superargument parce que, en fait, on a une chercheuse américaine qui a une notion qui s'appelle l'intégrité contextuelle où, en fait, en fonction du contexte, on a des attentes différentes. Donc, peut-être que vous avez une page Facebook et vous êtes prêt à partager beaucoup de données avec vos amis, mais ça, ça veut dire que, dans un contexte particulier, vous êtes prêt à donner plein de données, mais ça n'empêche pas que, par exemple, je m'attends à ce que mon médecin, lui, ne partage pas mon dossier médical avec des compagnies pharmaceutiques. Je m'attends aussi... si vous avez des discussions entre collègues dans un cadre particulier, dans un café, et que vous discutez à bâtons rompus, vous vous attentez aussi à que ce que vous dites dans ce contexte-là ne sorte pas de la sphère privée. Donc, on peut être exposé à beaucoup de données dans un contexte de réseau social, mais s'attendre à ce que, par exemple, l'État ou une compagnie aient des engagements très forts en termes de vie privée par rapport à nos données.

M. Nadeau-Dubois : Autrement dit, c'est un raisonnement qu'on peut qualifier de très faible.

M. Gambs (Sébastien) : Je pense que ça ne tient pas compte de toutes les attentes des personnes en fonction du contexte.

M. Nadeau-Dubois : Parfait. Toutes choses étant égales par ailleurs, si j'ai le même téléphone avec les mêmes applications et les mêmes fonctionnalités, qu'il n'y a pas d'application... une application comme Alerte COVID, l'application fédérale, et le même téléphone, toutes choses étant égales par ailleurs, avec l'application Alerte COVID, lequel... est-ce qu'il y a une différence dans la vulnérabilité de ces deux téléphones-là à des attaques?

M. Gambs (Sébastien) : Bien, le fait que... si vous n'utilisiez pas le Bluetooth avant et qu'Alerte COVID vous fait utiliser le Bluetooth, comme je l'ai dit tout à l'heure, vous ouvrez la porte à des failles de sécurité Bluetooth.

M. Nadeau-Dubois : Parfait. Sur la technologie Bluetooth, en terminant, est-ce que c'est une technologie qui a été inventée pour mesurer avec précision des distances?

M. Gambs (Sébastien) : Pas du tout. À la base, c'est une technologie de communication courte distance entre téléphones. Donc, par exemple, si vous avez une PS4, c'est ce qui va permettre à votre manette de parler avec la console. Donc, c'est vraiment un usage détourné qu'on en fait, de mesurer la proximité. Je ne dis pas que c'est impossible, mais il va y avoir... je ne suis pas venu sur la discussion des faux positifs et faux négatifs, mais il va y avoir des gens, on aura l'impression qu'ils sont proches de nous alors qu'ils étaient loin, et puis, à l'inverse, des gens qui seront à côté de nous, mais à cause d'une vitre, finalement, on ne...

M. Nadeau-Dubois : Est-ce qu'on peut dire que la technologie... Est-ce qu'on peut affirmer que la technologie Bluetooth est fiable pour mesurer la distance avec certitude?

M. Gambs (Sébastien) : Avec certitude, non, mais ça, ça me semble... Je pense qu'il faudrait... Je n'ai pas les chiffres en tête, mais il faudra aller voir les études les plus récentes sur le taux de faux positifs, faux négatifs. Mais je pense que, n'importe quel contexte technologique, c'est rare qu'on ait de la certitude. Mais, clairement, non, on ne peut pas savoir avec certitude, en particulier le type de téléphone que vous avez et qui... métadonnée envoyée est envoyée... parce qu'en fonction de deux téléphones différents, la puissance du signal ne sera pas la même et...

M. Nadeau-Dubois : Donc, si je résume votre propos, vous êtes plutôt certain qu'il y a des risques associés à la technologie Bluetooth et plutôt dubitatif qu'il y a une fiabilité dans la mesure de distance. Est-ce que je résume bien votre propos?

M. Gambs (Sébastien) : Oui, mais je mettrais quand même un bémol en regardant les dernières études pour savoir quels sont les taux de faux positifs et négatifs dans la mesure de distance, mais c'est sûr que ça ne sera pas parfait.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Merci, M. le Président. Vous savez, quand on reçoit des experts puis qu'effectivement on pose des questions, on s'intéresse au sujet du jour. Puis effectivement, Mme la députée de Jean-Talon, merci d'avoir posé la question tantôt, qui était une question un peu plus personnelle, mais j'ai vu que, suite à la réponse, on a tous regardé nos téléphones puis on est plusieurs à avoir déactivé le Bluetooth, le temps de comprendre, sur l'heure du midi, là, où est-ce qu'on est à risque puis où est-ce que notre surface d'attaque est là 24 heures par jour, parce que ça va nous le dire. Ça fait que, juste là-dessus, merci, vous avez fait l'éducation de plusieurs députés de la commission aujourd'hui.

Vos premiers commentaires aujourd'hui, vous avez dit que ce qui n'a pas été abordé depuis le début de la commission auprès des experts, vous avez parlé de critères mesurables, des critères mesurables en reddition de comptes ou des critères mesurables... J'aimerais ça vous entendre un peu plus.

M. Gambs (Sébastien) : ...reddition de comptes. Donc, par exemple, s'il y a... si le gouvernement choisit d'aller avec une application, je pense que ce sera important de dire : O.K., comment est-ce qu'au bout de deux mois on va savoir si l'application a atteint sa cible? Ça va être quoi qu'on va mesurer? Est-ce qu'on va mesurer le nombre de personnes qui ont été notifiées par cette application-là? Est-ce qu'on va mesurer le nombre de personnes dont on a sauvé les vies, ce qui va être difficile? Donc, c'est vraiment quel va... On parlait de la gouvernance avec ce comité consultatif. Quels sont les critères que le comité consultatif va pouvoir regarder pour mesurer si l'application a été un succès ou un échec?

M. Ouellette : On a parlé de comité consultatif en reddition de comptes. Vous nous avez parlé qu'il faudrait que leurs recommandations puissent être exécutoires, aussi. Donc, il faut que ça soit prévu dans un processus législatif, que le comité d'experts, bien, il ne sera pas là juste par parure, parce qu'il faut bien paraître ou parce que... On regarde un peu ce qui se passe ailleurs. Des fois, les décisions ou les recommandations sont longues, ou tu as juste un pouvoir de recommandation, mais, dans la vraie vie, ce n'est pas applicable. Donc, c'est des choses qu'il faut prévoir dans notre processus législatif.

M. Gambs (Sébastien) : Je pense... Enfin, je suggérerais de faire ça. Après, j'avoue ma méconnaissance du système québécois, je ne sais pas à quel point c'est possible de mettre en place un comité qui a des avis exécutoires versus consultatifs.

M. Ouellette : L'autre chose que vous nous avez dite aussi, c'est que, dans le cadre d'un processus législatif, normalement, il y a des consultations. Les consultations d'aujourd'hui, c'est une chose. Si le gouvernement décidait d'aller vers un processus législatif, vers une loi, il va y avoir des consultations particulières. Dans les consultations particulières, à la lumière de ce que vous avez regardé de l'application canadienne, entre autres, puis ce sera en fonction de regarder aussi du choix du gouvernement qui sera fait en fonction des valeurs québécoises, ce serait important... Si c'était l'application canadienne, en consultations particulières, vous exigeriez, si vous aviez le pouvoir, que BlackBerry, Shopify, les développeurs, les bénévoles qui l'ont développée, Google, Amazon viennent expliquer leur partie ou leur créneau de participation dans ce qui va être imposé aux citoyens du Québec.

M. Gambs (Sébastien) : Oui. Je ne sais pas si «exiger» serait le mot, mais je leur demanderais fortement de venir expliquer les enjeux et...

M. Ouellette : Non, mais c'est quelque chose qui est important pour vous, là, parce que...

M. Gambs (Sébastien) : Ça me semble... parce que, comme je disais, l'écosystème des applications est complexe. Souvent, on voit une app comme un objet sur notre téléphone, mais il y a beaucoup d'acteurs en arrière-plan.

M. Ouellette : Merci.

Le Président (M. Bachand) : Merci infiniment de votre présence aujourd'hui.

Sur ce, la commission suspend ses travaux jusqu'à 14 heures. Merci.

(Suspension de la séance à 12 h 18)

(Reprise à 14 h 01)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon début d'après-midi. Bienvenue à tous. La Commission des institutions reprend ses travaux. Je demande, bien sûr, à toutes les personnes présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de procéder aux consultations particulières au sujet d'outils technologiques de notification des contacts ainsi que sur la pertinence de ce type d'outils, leur utilité et, le cas échéant, les conditions sur leur acceptabilité sociale dans le cadre de la lutte contre la COVID-19.

Cet après-midi, nous entendrons les personnes et les groupes suivants : le représentant du Comité consultatif en cybersécurité, le directeur du Groupe de recherche sur la surveillance et l'information au quotidien, M. Pierre-Luc Déziel, l'Association québécoise des technologies et M. Steve Waterhouse.

Alors, il nous faire plaisir de recevoir en visioconférence le Dr Debbabi, du Comité consultatif en cybersécurité. Alors, docteur, bienvenue, un grand plaisir de vous voir, d'être avec vous aujourd'hui. Je vous rappelle, vous avez 10 minutes de présentation, après nous aurons un échange avec les membres de la commission. Alors, la parole est à vous.

M. Mourad Debbabi

(Visioconférence)

M. Debbabi (Mourad) : Merci beaucoup, M. le Président. C'est un plaisir pour moi d'être avec vous aujourd'hui et d'avoir l'opportunité, donc, de partager avec vous certaines des informations importantes sur ce dossier important, surtout dans les circonstances actuelles où on a cette pandémie.

Donc, ces applications-là, c'est un outil technologique qui peut s'avérer extrêmement important, il peut aider à briser la chaîne de propagation du virus. Et ça demande de le faire de manière sécuritaire, donc il y a certains principes, je dirais, qui sont fondamentaux, qu'il faut observer quand on conçoit, ou on développe, ou on déploie des solutions technologiques qui permettent de tracer les personnes infectées et d'alerter ceux qui ont été en contact avec ces personnes-là.

D'abord, il y a des principes simples. Il faut impliquer, dans le développement de ces applications, des experts en cybersécurité et des experts dans la confidentialité de la vie privée. Ces experts-là... parce que ce n'est pas... de développement de logiciel, c'est aussi un effort où on doit regarder de très près la protection des informations personnelles collectées, la protection de ces applications, ainsi que protéger contre des attaques éventuelles de géolocalisation, de divulgation d'informations personnelles, etc.

Parmi les principes, donc, d'une part, il faut impliquer les experts dans le développement et le déploiement. D'un autre côté aussi, une fois que ces applications-là sont développées, il faut les faire évaluer par des experts indépendants en cybersécurité et en confidentialité de la vie privée. Et, comme j'ai dit tout à l'heure, il y a des principes très, très simples, qui sont fondamentaux, qu'il faut observer quand on développe ce genre d'application.

Parmi ces principes-là, j'ai mentionné l'examen par des experts indépendants. Ça, c'est quelque chose qui est extrêmement important. Ça valide la conception, ça valide qu'on est protégés contre des attaques, surtout quand on sait que ces infrastructures technologiques là relèvent des infrastructures critiques. On peut penser que, si quelqu'un, par exemple, attaque une solution technologique comme celle-là, on peut amener beaucoup de gens à faire des tests, on peut amener beaucoup de gens à être en confinement ou en quarantaine, donc il faut accorder une certaine attention aux aspects sécurité et aux aspects confidentialité de la vie privée.

Deuxième principe fondamental, je dirais, il faut que la conception de ces applications soit simple, dans le sens où il ne faut pas que le modèle sous-jacent, technologique soit alambiqué ou complexe parce que, d'abord, ça va complexifier aussi l'étage de vérification et l'étage d'examen pour valider que ces applications n'auront pas de répercussions sur les aspects sécurité et de confidentialité de vie privée.

Troisième principe, il faut qu'il y ait une fonctionnalité minimale, c'est-à-dire il ne faut pas aller au-delà de l'objectif de cette application-là, c'est-à-dire il ne faut pas qu'à la volée on essaie de collecter d'autres informations qui ne sont pas nécessaires à l'objectif en question. Il faut aussi minimiser la collecte des données, et donc il ne faut pas collecter des données personnelles ou des données qui permettent d'identifier une personne, ce qu'on appelle les PII, les «personnally identifiable informations». Et, si jamais on doit récolter de l'information sensible, de préférence, il faut que cette information, elle réside sur le dispositif, sur le téléphone, ou sur la tablette, ou sur l'ordinateur de la personne à qui appartient cette information, donc il ne faut pas partager cette information. Et, quand il est question de partager, on partage de l'information, mais pas nécessairement de l'information sensible. Donc, il faut minimiser la collecte des données.

Et, cinquième principe, je dirais, c'est la gouvernance des données de confiance. Donc, quand on collecte de l'information sensible, on ne peut pas la stocker. S'il faut la stocker quelque part, une partie ou un fragment de cette information-là, il faut que l'autorité en question soit une autorité de confiance, par exemple une agence gouvernementale, qui peut être soumise à un contrôle public. Donc, il ne faut pas que ça soit une tierce personne, ou une industrie, ou quelque chose comme ça.

Sixième principe fondamental, la cybersécurité de ces applications. Donc, quand on développe des applications comme ça, avec une infrastructure, comme j'ai mentionné, qui relève de l'infrastructure critique du pays, donc, il faut attacher beaucoup d'importance aux aspects sécurité, la protéger, protéger ce déploiement-là contre toutes sortes d'attaques, des attaques qui permettent de voler des informations sensibles, des attaques qui permettent de géolocaliser des personnes ou de divulguer l'identité des personnes qui sont infectées, etc.

Aussi, septième principe, je dirais, une conservation minimale de l'information. Donc, quand on conserve de l'information, il ne faut pas aller au-delà du besoin, donc il faut faire une rétention minimale de cette information. Évidemment, il faut aussi sécuriser des consentements de toutes les parties qui sont impliquées.

Et, 10e principe, il faut prévoir un dispositif d'extinction de ces applications. On les met en place pour combattre la pandémie, mais, une fois que cela est terminé, il faut prévoir un dispositif d'extinction de ces applications.

Donc, ça, c'est les 10 principes fondamentaux. On les a articulés dans une publication qui émane d'un groupe que je dirige avec d'autres collègues au Canada. On est à peu près 140 chercheurs, au Canada, qui se sont structurés dans une organisation qui s'appelle le Consortium national de cybersécurité, et ce consortium a été créé pour fédérer toutes les forces vives en recherche en développement dans le domaine de la sécurité... de la cybersécurité et de la confidentialité de la vie privée. Donc, on avait fait une publication quand on a vu qu'il y a beaucoup d'applications qui commençaient à sortir, et certaines de ces applications-là ne respectent pas les principes de sécurité et de confidentialité de vie privée. Donc, on avait fait une publication, il y a à peu près, je dirais, un mois et demi, dans laquelle nous avons alerté le public, et les agences, et les autorités compétentes sur l'importance des 10 principes que je viens d'articuler, notamment l'examen par des experts indépendants, la conception simple, le fonctionnement minimal, la minimisation des données, la gouvernance des données de confiance, la cybersécurité, la conservation minimale des données, la protection des données et métadonnées dérivées, et la divulgation et consentement appropriés, et finalement le dispositif d'extinction.

• (14 h 10) •

Maintenant, dans la deuxième partie de cette intervention, je vais parler très brièvement de deux classes ou deux catégories d'applications qu'on a vues, qui ont émané ou qui ont été proposées. D'abord, il y a des applications qui reposent sur la technologie GPS. Donc, on utilise la technologie GPS pour localiser les personnes, et l'information qu'on récolte, elle est soumise à des algorithmes d'intelligence artificielle, et d'apprentissage automatique, et d'apprentissage profond, et c'est avec ça qu'on essaie de découvrir quels sont les gens qui ont été exposés au virus et les avertir en conséquence. La deuxième catégorie, c'est une catégorie d'applications qui reposent sur les technologies de type Bluetooth, et donc avec une conception simple et minimale.

Donc, si on compare les deux technologies très rapidement, les technologies GPS, c'est un choix qui est discutable ou peut-être pas très judicieux pour ce type d'application parce qu'il y a des implications sérieuses en matière de confidentialité de vie privée, d'une part, mais, d'autre part, aussi des implications, je dirais, négatives du côté de l'efficacité de ces applications. Comme on sait, le GPS a une granularité d'à peu près 10 mètres, donc la précision de la localisation, elle est dans un intervalle de 10 mètres, et on sait très bien que, pour le virus, la distance minimale requise, elle est de l'ordre de deux mètres. Déjà, au départ, les technologies de type GPS n'ont pas la précision nécessaire pour ce genre d'application.

Deuxièmement, on sait que le GPS... on a tous expérimenté ça quand on utilise notre GPS, on a des problèmes quand on est dans des immeubles qui sont d'une certaine hauteur, assez grande, ou d'une hauteur conséquente, on perd souvent le signal GPS. Et, en général, dans ce genre d'agglomération, on a des buildings qui sont assez élevés, on a aussi une densité de population qui est élevée. Ça, c'est une autre raison pour ne pas recourir à la technologie GPS.

Par ailleurs, on a vu aussi que ces applications qui utilisent les technologies GPS utilisent ce qu'on appelle les algorithmes d'intelligence artificielle ou d'apprentissage automatique. L'apprentissage automatique, c'est un outil, définitivement, qui est merveilleux et qui peut donner d'excellents résultats, mais, pour ce type d'application, il pose un peu de problèmes parce qu'il nécessite le partage d'informations sensibles, et aussi on n'a pas une visibilité. En général, les algorithmes d'apprentissage, surtout l'apprentissage profond, c'est des boîtes noires, et on ne sait pas toujours expliquer les résultats qui sortent de ces algorithmes.

Le Président (M. Bachand) : Dr Debbabi, je vais devoir vous arrêter là, parce qu'on doit débuter la période d'échange avec les membres de la commission.

M. Debbabi (Mourad) : Parfait.

Le Président (M. Bachand) : Merci beaucoup. On débute avec la députée de Jean-Talon. Merci beaucoup.

Mme Boutin : Bonjour, M. Debbabi. Merci beaucoup d'être présent. Je connais un petit peu votre travail et puis je connais aussi votre crédibilité en la matière. Mais je vous laisserais terminer avant de poser mes questions, parce que ça va aller un petit peu dans ce sens-là. J'aime bien que vous compariez, là, Bluetooth puis GPS, parce qu'on a plusieurs questionnements, nous-mêmes, dans la commission, par rapport à l'efficacité, les risques sous-jacents également.

M. Debbabi (Mourad) : Merci beaucoup, Mme la députée de Jean-Talon. Donc, c'est vrai que, brièvement, j'avais mentionné quelques inconvénients de la technologie GPS. Je pense que c'est une excellente technologie pour nous orienter, nous guider quand on prend une route, ou quelque chose comme ça, dans des contextes de navigation, mais, pour... Je pense, j'avais mentionné certains des inconvénients qui font en sorte qu'elle n'est pas nécessairement appropriée, que ce soit d'un point de vue efficacité ou d'un point de vue de confidentialité de la vie privée.

En contrepartie, les applications qu'on a vu sortir, que ce soit en Europe ou bien au Canada et au Québec, c'est des applications basées sur Bluetooth, une conception très, très simple, un échange minimal d'information avec... Il y a eu pas mal de publications qui expliquent le fonctionnement de ces applications-là. Et on a vu aussi qu'il y avait beaucoup d'évaluations — il y avait de la sécurité et de la confidentialité de la vie privée — qui démontrent que ces applications-là ont un risque minimal et qu'elles sont, jusqu'à un certain degré, à un très grand degré, sécuritaires et respectent la confidentialité de la vie privée.

Mme Boutin : J'ai une question par rapport aux principes, parce que j'ai vu la publication avec les 140 chercheurs et les 10 principes puis... Entre les deux, entre la technologie GPS ou la technologie Bluetooth, laquelle des applications respecte le plus les principes? Je vais poser la question différemment. Est-ce que l'application qui a été proposée par le Canada, qui est, bon, celle un petit peu Bluetooth... est-ce qu'elle respecte un maximum de principes? Et puis, sinon, quels principes devraient être plus mis de l'avant ou qu'on aurait... qu'il ne faudrait surtout pas oublier?

M. Debbabi (Mourad) : C'est une excellente question, Mme la députée de Jean-Talon. Donc, en fait, la publication des 140 chercheurs, elle émanait... Quand on a vu certaines publications qui sont sorties sur des applications qui utilisent la technologie GPS, c'est ça qui nous a amenés à rédiger le document qui a été partagé. Et donc je pense que les gens qui ont développé des applications qui reposent sur la technologie GPS avaient une expertise indéniable en matière d'intelligence artificielle, d'apprentissage automatique, mais je ne pense pas qu'ils ont associé à cet effort de développement conséquent des experts de sécurité, donc il y avait certains principes qui n'étaient pas respectés. Par exemple, il y avait une exposition de l'information sensible. J'avais mentionné que la technologie GPS, c'est un choix qui est discutable et pas nécessairement qui va dans le sens de l'efficacité. Donc, il y avait beaucoup de principes qui n'étaient pas respectés, que ce soit sécurité, confidentialité, efficacité.

D'un autre côté, l'application qui a été développée au Canada, en fait, elle a été influencée par l'effort qui a été fait en Europe avec l'application DPT. Il y a beaucoup de publications à cet égard-là. Il y a un consortium de développeurs et de chercheurs européens qui ont articulé une architecture qui était très, très bien analysée côté sécuritaire, très, très bien analysée côté confidentialité de la vie privée, avec une architecture simple, très, très simple qui collecte une information minimale, qui n'est pas nécessairement sensible, qui laisse le contrôle aux gens sur leur mobile, et, je pense, elle respecte la majorité des principes que j'ai mentionnés, les 10 principes.

Mme Boutin : J'ai une question par rapport à l'efficacité, parce que c'est un questionnement qui revient dans les médias et même ici, au sein de la commission, parce que, bon, il n'y a pas de rapport officiel ou d'étude très sérieuse qui a été encore publié, il y en a peut-être en rédaction en ce moment. Mais admettons qu'un outil comme une application Bluetooth, comme le fédéral, était adoptée en complément et qui était... bon, on mettrait toutes les mesures de sécurité autour puis on respecterait les principes, mais qui aurait un taux d'adhésion relativement important, est-ce qu'un outil comme ça pourrait avoir un effet positif sur le contrôle de la pandémie ou sur l'identification des contacts? Est-ce que ça faciliterait le rôle de la... Ça pourrait faciliter le rôle de la Santé publique, qui fait une identification manuelle, actuellement. Est-ce que ça pourrait faciliter leur rôle, s'il y avait une adhésion suffisante, selon vous?

M. Debbabi (Mourad) : Ça, c'est une très, très bonne remarque. Je pense qu'une prémisse de la réussite de cette technologie-là, c'est le niveau d'adoption. Donc, pour être... pour avoir un impact réel et positif, il faut qu'il y ait une large adoption. Mais, dans les chiffres que j'ai vus circuler, donc, on est déjà à quelques millions, peut-être, au Canada, j'ai vu, par exemple, qu'en Allemagne, aussi dans certains pays européens, il y avait une adoption qui est très, très large, et, je pense, dès le moment où on atteint le niveau des millions d'usagers de ces applications-là, on commence à avoir un certain retour sur l'investissement, donc on commence à être efficaces et à contribuer... Je ne pense pas que cette technologie à elle seule va limiter la propagation du virus, mais, définitivement, elle contribue de manière significative à briser la chaîne de propagation du virus.

Mme Boutin : J'ai une dernière petite question avant de laisser la parole à mes collègues. On a une autre préoccupation, collectivement, ici, c'est sur la sécurité de la technologie Bluetooth. On s'est même questionnés, on a regardé nos téléphones cellulaires, à savoir peut-être qu'on est en train de se faire pirater. Premièrement... Puis moi, j'ai entendu, bon, dans les médias ou d'experts, que les failles ont été réglées. Mais moi, je ne suis pas une experte de Bluetooth. J'aimerais vous entendre là-dessus. Puis qu'est-ce qui pourrait être mis en place, aussi, pour s'assurer d'une sécurité... on s'entend qu'en cybersécurité, on le sait, le risque zéro n'existe pas, mais, pour minimiser les risques...

M. Debbabi (Mourad) : Très bonne question. Premièrement, l'information qui est échangée par les applications de type Bluetooth, l'information, elle n'est pas du tout sensible, elle est censée être publique. Et quelqu'un qui intercepte cette information-là ne pourra pas nécessairement extraire beaucoup de choses de cette information. D'un point de vue utilité, il n'y a pas beaucoup d'information là-dedans. C'est une séquence de nombres, qui est, en fait, le résultat d'une opération de chiffrement, qu'on appelle un hachage. Donc, ça génère une séquence de chiffres, on ne peut pas faire grand-chose avec ça. Elle n'a de sens que pour celui qui possède la clé, et la clé, elle est à l'intérieur du téléphone, dans une zone qui est très, très sécurisée du système d'exploitation, que ce soit Android ou que ce soient les types de téléphones de type iPhone. Et, si on a la clé et on a ces informations échangées d'identification, les identifiants de proximité variable, là, on ne pourra pas... on pourra faire quelque chose, mais la clé n'est pas distribuée, donc on ne pourra pas faire grand-chose avec cette information, l'information, elle est publique. Je pense que le risque sécuritaire, il est vraiment minime avec l'usage de la technologie Bluetooth.

• (14 h 20) •

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Merci, M. le Président. Merci, M. Debbabi, d'être ici avec nous, là, cet après-midi.

J'aimerais peut-être reprendre certains de vos principes clés, fort intéressants, forts pertinents. Le premier, d'abord, là, vous émettez, donc, le principe comme quoi il faudrait qu'il y ait des experts autant en cybersécurité qu'en, dans le fond, protection de la vie privée et protection également de renseignements personnels, autant dans le développement que le déploiement d'applications. Est-ce que vous avez vu, de par vos recherches, certaines applications, dans le monde, qui auraient suivi ce protocole-là ou ce principe-là? Donc, disons qu'il y a eu le développement, dans le fond, de cette application-là et que ça a pu être déployé par la suite... Sinon, qu'est-ce qui aurait dû être fait? Puis comment, dans le fond, vous auriez vu ce développement-là?

M. Debbabi (Mourad) : Merci beaucoup, M. le député de Sherbrooke. La question est très pertinente. Donc, pour les exemples...

M. Lévesque (Chapleau) : Un peu plus à l'est... à l'ouest, c'est-à-dire, l'ouest. L'autre ouest, oui.

M. Debbabi (Mourad) : L'application... Deux exemples que j'ai en tête. L'application qui a été développée, par exemple, en Europe, DPT, là, il y a un document qui a été publié, on voit qu'il y a un consortium très riche en expertise. Il y avait des experts de sécurité et il y avait des expertes de confidentialité de vie privée. Et j'ai fait, personnellement, la lecture du document où on détaille la conception et on articule les différents détails techniques de l'application, on sent que ça a été fait par des professionnels, et il y a énormément de détails qui ont été très, très bien pensés.

Le deuxième exemple que je mentionne, c'est l'application canadienne, qui a été élaborée par Google et Apple avec le concours de firmes canadiennes comme BlackBerry, Shopify, etc. C'est une application, dès le départ, donc on avait pensé très, très bien aux aspects sécurité, aux aspects confidentialité de la vie privée. Comme j'ai mentionné, l'architecture, elle est très, très simple, et on avait pris des précautions additionnelles. Par exemple, il y a eu une évaluation par les effectifs de sécurité de la compagnie BlackBerry. Il y a aussi une évaluation qui a été faite par le Centre canadien de cybersécurité, qui est une autorité importante en expertise en termes de cybersécurité et de confidentialité de vie privée.

Par ailleurs, il y avait aussi plein d'agences, des commissaires à la vie privée, que ce soit dans des provinces ou que ce soit au niveau fédéral, qui ont regardé de très près les aspects confidentialité de la vie privée et sécurité de ces applications-là, et, jusqu'à un certain degré, la majorité, ils ont émis des avis favorables. J'ai vu aussi des analyses très techniques par des experts indépendants qui ont... qui révèlent quelques faiblesses, mais qui ne sont pas des faiblesses, je dirais, à haut risque. Comme vous le savez, on ne peut pas arriver à une sécurité à 100 % ou à confidentialité de vie privée à 100 %, il y a toujours un risque résiduel. Mais, à la lumière de ce qui a été fait comme efforts, à la lumière des évaluations et analyses qui ont été faites, on arrive à la conclusion qu'il y a... ça a été très, très bien pensé, et le risque résiduel est assez minime.

M. Lévesque (Chapleau) : Un risque assez minime. Nous avions également un expert, hier, qui nous parlait, lors du développement de l'application en France, que des hackeurs avaient eu... disons, des hackeurs amis, là, qui avaient eu la possibilité d'améliorer l'application. Est-ce qu'en plus des différents experts que vous mentionnez ce serait une voie, également, à emprunter, de permettre à certains hackeurs de venir améliorer ou d'aller chercher des failles dans l'application?

M. Debbabi (Mourad) : Certainement. Mais en fait, quand je dis «des experts qui évaluent», il y a deux types d'évaluations. On peut évaluer en faisant, par exemple, l'examen de l'architecture, les protocoles qui sont utilisés. On peut évaluer en regardant le code, on lit le code source de ces applications-là. Il y a des outils, aussi, automatiques qui permettent de trouver des failles, etc., dans du code. On peut aussi évaluer en attaquant l'application qui a été développée, et c'est à ça que vous faites référence. Mais, moi, quand je dis, par exemple, «une évaluation de la sécurité et de la confidentialité», j'inclus aussi l'effort qui consiste à attaquer l'application pour éventuellement découvrir des vulnérabilités et les réparer.

M. Lévesque (Chapleau) : Peut-être une dernière question, là, sur les points 7 et 8, là, conservation minimale de données, protection des données et métadonnées dérivées, et le 9 également, divulgation et consentement appropriés. Est-ce que vous considérez... J'imagine que vous avez regardé également, là, la réglementation puis, peut-être, le cadre législatif qui encadre ce type d'application. Est-ce qu'actuellement vous considérez que c'est pertinent? Est-ce qu'il y aurait des éléments à ajouter pour répondre, dans le fond, de façon favorable à ces trois principes clés que vous avez mis dans la liste?

M. Debbabi (Mourad) : Je pense que l'information qui est collectée, elle est très minimale. Et, comme j'ai mentionné, les identifiants de proximité variable, c'est des chiffres qui n'ont pas de sens si on n'a pas la clé. La clé, elle est gardée de manière sécuritaire au sein... dans une couche qui est très, très bien protégée du système d'exploitation de chaque téléphone ou ordinateur.

La seule, je dirais, information qui est sensible, c'est l'adresse IP de la personne qui se connecte au serveur fédéral, et cette information-là, elle est au sein... Premièrement, elle n'est pas associée à d'autres informations, donc, en tant que tel, elle ne pose pas de problème. Et, en outre, elle est chez une autorité de confiance, qui peut être... qui peut recevoir aussi des audits publics, etc., donc je ne pense pas que c'est quelque chose qui est très, très grave, de ce point de vue là.

M. Lévesque (Chapleau) : Un autre de vos principes clés. Parfait. Merci, M. le Président.

Le Président (M. Bachand) : Il vous reste une minute, Mme la députée des Plaines.

Mme Lecours (Les Plaines) : Merci, M. le Président. Très rapidement, une question d'explication. Votre prédécesseur aux auditions nous parlait de l'application en Europe, où les jeunes ont décroché, et ce qu'il expliquait, c'est que...

(Interruption)

Mme Lecours (Les Plaines) : ... — eh mon Dieu! Il y a une réverbération — ce qu'il expliquait, c'est que l'application vient en interférence avec d'autres, donc ils décident tout simplement de décrocher. Pouvez-vous m'expliquer davantage... Et comment est-ce qu'on pourrait faire, surtout si vous dites qu'elle doit être minimale, comment est-ce qu'on pourrait faire pour contrecarrer cette réalité?

M. Debbabi (Mourad) : Je me suis... Selon moi, là, je ne comprends pas la problématique de l'interférence avec votre application. Et vous avez mentionné les capacités de décrocher... C'est une application qui est très petite, qui est très, très stable, qui tourne sur un téléphone, donc, si le téléphone fonctionne bien, il n'y a pas de problème. Il fait quelques connexions avec le serveur provincial et le serveur fédéral. Ce n'est pas une connexion qui est fréquente, ce n'est pas une connexion qui est intense. Il n'y a pas un volume important de données qui est échangé, c'est des informations très, très minimales. Donc, je ne vois pas où est le risque d'interférence, où est le risque de problème avec ça, c'est vraiment une application légère. Et c'est l'avantage d'avoir un design qui est simple, c'est qu'il n'y a pas de risque d'interférence, il n'y a pas de risque de malfonctionnement. Si le téléphone se porte bien, de l'autre côté, du serveur, aussi, ce n'est pas quelque chose qui est coûteux en bande passante ou qui est coûteux parce qu'il y a beaucoup de trafic qui circule, etc. Je ne vois pas de risque à cet égard.

Le Président (M. Bachand) : Merci beaucoup. Je cède maintenant la parole à la députée de Saint-Laurent.

(Interruption)

Mme Rizqy : Je crois que l'écho est par chez vous, Pr Debbabi. Je ne sais pas si ça va être corrigé. Ah! maintenant, on entend mieux. Alors, bonjour et bienvenue parmi nous.

Plusieurs de nos invités ont mentionné qu'en fait c'était une des pires solutions, et vous, vous dites que c'est la plus minime. Pouvez-vous, s'il vous plaît, distinguer pourquoi que vous, vous trouvez que ça peut être quand même sécuritaire, cette application?

• (14 h 30) •

M. Debbabi (Mourad) : Pourquoi elle est sécuritaire? Comme j'ai mentionné, ça a été examiné de manière minutieuse par des experts qui ont une très grande crédibilité, notamment le Centre canadien de cybersécurité, qui est une instance hautement respectable en matière de cybersécurité, ça a été examiné par des ingénieurs de sécurité de plusieurs clients, notamment la firme, par exemple, BlackBerry, ça a été examiné par des chercheurs indépendants. Ça a été bien pensé, même, au départ, d'un point de vue sécurité, et c'est très clair, donc, quand on lit les documents qui détaillent le design de cette application-là, on voit très clairement que beaucoup d'aspects ont été très, très bien pensés.

Par ailleurs, il y a plusieurs commissaires... Est-ce que vous m'entendez?

Mme Rizqy : ...à quelle application vous faites référence? Celle de l'alerte du fédéral?

M. Debbabi (Mourad) : Oui, oui.

Mme Rizqy : O.K. Est-ce que vous pouvez nous dire quand il y a eu la dernière défaillance?

M. Debbabi (Mourad) : Est-ce qu'il y a eu une défaillance?

Mme Rizqy : Oui, la semaine dernière.

Le Président (M. Bachand) : Juste avant, le technicien me demande, s'il vous plaît, de baisser le volume de vos haut-parleurs, Dr Debbabi, peut-être que ça pourrait aider à la non-réverbération.

M. Debbabi (Mourad) : O.K.

Le Président (M. Bachand) : Merci infiniment. Désolé, Mme la députée.

Mme Rizqy : Quand y a-t-il eu une défaillance avec le système qui a été lancé par le fédéral?

M. Debbabi (Mourad) : Moi, je suis au courant de quelques risques résiduels...

Mme Rizqy : Non, je vous demande quand est-ce qu'il y a eu une dernière défaillance.

M. Debbabi (Mourad) : Je ne suis pas au courant d'une défaillance de cette application.

Mme Rizqy : La semaine dernière, en fait.

M. Debbabi (Mourad) : Mais quel genre de défaillance? Moi, je ne suis pas au courant de ces défaillances.

Mme Rizqy : Bien, j'imagine qu'au centre de cybersécurité vous faites des suivis, non? Parce que, là, on n'a pas eu l'occasion d'avoir des rapports... un rapport de votre part, et vous faites quand même des affirmations assez importantes. Alors, c'est pour ça que j'essaie de bien comprendre vos affirmations, si elles sont factuelles avec la réalité en date d'aujourd'hui.

On est... Il y a eu des défaillances avec l'application qui a été téléchargée. On a vu qu'il peut y avoir des brèches, et même un des invités ce matin nous parlait qu'il y avait des trous, qu'il était possible aussi de pouvoir faire encore de la réidentification. Est-ce que, ça, vous l'avez vérifié?

M. Debbabi (Mourad) : Oui, oui, j'ai regardé ces aspects-là, oui.

Mme Rizqy : Parce que c'est plusieurs... On parle de réidentification, là, donc ce n'est pas des données qui sont anonymes. Et, en date du 31 juillet, le commissaire à la vie privée fédéral a mentionné aussi que c'est une probabilité, là, qu'on peut réidentifier.

M. Debbabi (Mourad) : Bien, il y a deux risques qui sont sous-jacents. Mais ça, c'est des vulnérabilités. Ce n'est pas des attaques qui ont réussi, c'est des vulnérabilités. Donc, il y a deux vulnérabilités. Notamment, il y a l'identification, qui est un risque. Il y a l'identification...

Mme Rizqy : La semaine passée, il y a eu une brèche, donc il y a eu une attaque. Mais, bon, tantôt...

M. Debbabi (Mourad) : Moi, je suis au courant de vulnérabilités et non pas d'attaques.

Le Président (M. Bachand) : S'il vous plaît...

M. Debbabi (Mourad) : Il y a deux vulnérabilités. Il y a l'identification. Si on est dans une zone où il y a très peu de gens, isolée, donc, effectivement, on peut identifier la personne, mais ça, c'est un risque qui est très, très résiduel. Deuxième risque qu'on voit, si on a énormément de téléphones et on les déploie à plusieurs intersections, on peut faire un traçage des personnes, une identification avec un traçage, mais ça, c'est un scénario qui est extrêmement peu probable.

Mme Rizqy : La fuite chez Desjardins, c'était un scénario peu probable, et c'est arrivé, alors vous comprendrez que, nous, notre objectif, c'est de voir toutes les possibilités, et c'est pour ça qu'on pose ces questions. Alors, vous comprendrez que, même quand qu'il y a un petit trou, malheureusement, l'être humain, comment est-il, il va vouloir exacerber ce trou.

Mais, si vous permettez, vous avez aussi affirmé que les données, au niveau fédéral, étaient hébergées de façon sécuritaire chez un tiers de confiance. Le tiers de confiance auquel vous faites référence, est-ce que vous parlez bien d'Amazon Web Services?

M. Debbabi (Mourad) : Oui, oui, oui.

Mme Rizqy : C'est quand, la dernière fois qu'il y a eu une fuite de données chez Amazon?

M. Debbabi (Mourad) : Ça, c'est une bonne question. En fait...

Mme Rizqy : En fait, là, on a parlé de 100 millions de détenteurs de cartes de crédit. Un ancien employé a été capable de hacker et d'avoir accès à 100 millions de cartes de crédit américaines et aussi canadiennes. Est-ce que c'est toujours un tiers de confiance, alors que...

M. Debbabi (Mourad) : En effet, il y a deux réponses à cela. Moi, je suis un expert de sécurité. Je vois quotidiennement des dizaines de milliers d'attaques. Il n'y a aucune institution dans le monde qui n'est pas attaquée. La question... est-ce qu'on va être attaqué ou pas, c'est juste une question de temps.

La question, maintenant : Est-ce qu'on a la capacité de répondre? Est-ce qu'on a la capacité de détecter? Est-ce qu'on a la capacité d'atténuer? Maintenant, supposons... prenons le pire scénario que vous êtes en train d'énumérer, supposons qu'Amazon est attaqué. Qu'est-ce qu'on va découvrir? On va découvrir les adresses IP de gens qui se sont connectés et peut-être des clés de chiffrement. Qu'est-ce qu'on peut faire avec ça? Vous savez très, très bien que nos téléphones reçoivent une adresse IP qui est... qui n'est pas statique, qui est souvent dynamique, parce que les fournisseurs d'accès Internet, ils ont des adresses dynamiques qui sont allouées par un protocole DHCP, donc on ne peut pas remonter à la personne facilement, à moins d'avoir une autre base de données, peut-être gouvernementale, où on associe les adresses IP avec des personnes. Donc, je pense, honnêtement, le risque, il est résiduel et très, très minime, à mon sens.

Mme Rizqy : Hier, nous avons reçu la Quadrature du Net, et, au contraire, ils nous affirmaient que, souvent, les gens, lorsqu'ils téléchargent, sont soit à la maison, parce qu'ils sont confinés, soit au travail et que l'adresse IP, à ce moment-là, n'était pas dynamique, mais statique, et par définition on était capable de relocaliser les gens de façon plus efficace.

Mais j'aimerais juste continuer pour... parce que je ne veux pas tomber non plus dans un argumentaire, j'aimerais revenir à certains fondamentaux assez importants. Vous dites qu'on serait en mesure de casser les chaînes avec cette application-là. Mais, dans le monde, on a des exemples concrets, vous l'avez aussi mentionné, si elle était téléchargée par des millions de personnes. Singapour, ce sont des millions de personnes qui ont téléchargé l'application, est-ce que ça a été utile, chez eux?

M. Debbabi (Mourad) : Premièrement, je ne travaille pas avec des organisations de santé, mais, dans les lectures que j'ai faites, ils mentionnent que ça a contribué beaucoup au contrôle de la pandémie dans ces pays-là, notamment la Corée du Sud, notamment le Singapour, et aussi on parlait d'un effet qui est très positif, par exemple, en Allemagne.

Mme Rizqy : Parce que ce que nous, on a lu, et ce que les rapports disent, c'est qu'au contraire de ce que vous venez d'affirmer, au Singapour, c'est exactement le contraire, des millions ont téléchargé, et le gouvernement, les autorités publiques ont clairement mentionné que ça a été pas efficace, et ils ont arrêté complètement l'utilisation, et ils sont allés dans une force beaucoup plus... dans une façon beaucoup plus intrusive avec le bracelet électronique pour ceux qui ont la COVID-19, et l'Australie a complètement abandonné cette pratique, même chose pour la Norvège. Est-ce que vous avez un exemple concret où est-ce que ça a été un franc succès?

M. Debbabi (Mourad) : Je n'ai pas d'informations qui émanent d'organismes de la santé.

Mme Rizqy : Bien, je vous remercie beaucoup. Je n'aurai pas d'autre question, M. le Président.

Le Président (M. Bachand) : Mme la députée de Vaudreuil.

Mme Nichols : Je n'ai pas d'autre question.

Le Président (M. Bachand) : O.K. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Vous faites certaines affirmations... Bien, d'abord, bonjour, merci d'être avec nous. J'ai peu de temps, je vais aller droit au but. Vous faites certaines affirmations qui sont plutôt surprenantes, Pr Debbabi, et qui détonnent avec ce que plusieurs autres experts nous ont dit depuis 48 heures. Vous parlez notamment de taux d'adoption qui seraient satisfaisants à plusieurs endroits dans le monde. La totalité des experts qui sont passés ici, y compris M. Bengio, qui était, jusqu'à tout récemment, un fervent partisan de ces applications, soutiennent le contraire, nous disent qu'au contraire c'est une des faiblesses plutôt généralisées, le fait qu'il y ait un faible taux d'adoption. Vous dites qu'en Allemagne le taux est satisfaisant. Quel est le taux en Allemagne?

M. Debbabi (Mourad) : Dans les lectures que j'ai faites, c'était dans l'ordre de millions.

M. Nadeau-Dubois : Mais il y a 83 millions de personnes en Allemagne. Moi, les chiffres que j'ai, qui sont issus de la CBC, une source quand même crédible, parlent de 15 millions de téléchargements sur 83 millions de citoyens, ce qui donne donc un taux d'adoption d'à peu près 16 %. Est-ce que vous jugez que c'est un taux satisfaisant, ça, 16 % d'utilisation?

M. Debbabi (Mourad) : Je pense qu'une population de 15 millions... Je ne regarde pas le droit acquis à la population, mais 15 millions, c'est quand même... c'est beaucoup, c'est vraiment beaucoup. 15 millions de population, c'est beaucoup.

M. Nadeau-Dubois : ...c'est parce que vous comprendrez que les 15 millions, dépendamment de la grosseur de l'échantillon et surtout de la grandeur du territoire, là, 15 millions de personnes, ça ne veut rien dire en soi. L'important, c'est la probabilité qu'ont ces 15 millions de personnes là de se rencontrer et de s'échanger de l'information via l'application. Mais 15 millions de personnes qui l'ont téléchargée, si on ne nous dit pas c'est sur combien de gens et sur quel territoire, ça ne veut strictement rien dire.

M. Debbabi (Mourad) : Selon moi, quand on parle d'une population de 15 millions, c'est un segment qui est très significatif.

M. Nadeau-Dubois : M. Debbabi, 15 millions sur combien?

M. Debbabi (Mourad) : Et il faut comprendre...

M. Nadeau-Dubois : C'est parce que, si je vous dis : Il y a 15 millions de personnes en Amérique du Nord, allez-vous être satisfait?

M. Debbabi (Mourad) : On parle d'un pays, on ne parle pas d'un continent, pour commencer. Deuxièmement, parmi les 80 millions dont vous parlez, il y en a certains, par exemple, qui n'ont pas de téléphone, il y en a certains qui...

M. Nadeau-Dubois : Est-ce que vous avez ces informations-là cet après-midi avec nous?

M. Debbabi (Mourad) : Pardon?

• (14 h 40) •

M. Nadeau-Dubois : Vous me présentez un argument. Avez-vous les statistiques pour appuyer cet argument?

M. Debbabi (Mourad) : Non. La seule information sur laquelle je me base pour faire cette affirmation, c'est que 15 millions ou dès que ça atteint l'ordre des millions, pour moi, c'est un ordre qui est significatif.

M. Nadeau-Dubois : Des statisticiens sont venus nous expliquer que ce qui est important, ce n'est pas la quantité de gens qui l'ont, c'est la probabilité statistique que deux personnes qui l'ont se rencontrent, puisque c'est la condition pour que l'application fonctionne, et que les clés d'identification soient échangées via le protocole Bluetooth. Là, vous soutenez, devant nous, cet après-midi, qu'en fait ce n'est pas cette proportion-là qui est pertinente, seulement la quantité de gens qui l'ont téléchargée. Est-ce que je vous comprends bien?

M. Debbabi (Mourad) : Ce que je suis en train de dire...

M. Nadeau-Dubois : ...qu'il y a des millions que c'est un haut taux d'adoption. 15 millions de personnes en Chine, par exemple, ce serait marginal.

M. Debbabi (Mourad) : Premièrement, les 15 millions, ce n'est pas en Chine, les 15 millions, c'est en Allemagne, c'est par rapport à 80 millions, et 16 %, 16 % de la population, pour moi, ce n'est pas négligeable. Ça, c'est un. Deux, on n'a jamais dit que cette solution-là, c'est la seule solution qui va permettre de combattre contre la pandémie, mais tout effort, tout effort...

M. Nadeau-Dubois : Et ce n'est pas ce que je soutiens non plus.

Le Président (M. Bachand) : Le temps est écoulé, désolé. M. le député de René-Lévesque, vous avez la parole. Merci beaucoup. Vous avez la parole, M. le député.

M. Ouellet : Oui, j'attendais d'apparaître. Oui, merci beaucoup, M. le Président. Donc, à mon tour de pouvoir vous questionner... Ça va-tu? Oui, je suis là? O.K., parfait. Merci.

On a entendu plusieurs experts venir nous parler de cette technologie-là, mais ils nous ont fait référence, aussi, dans la différence entre avoir téléchargé l'application et utiliser l'application. Est-ce que, dans les chiffres que vous avancez, vous avez ces informations-là pour le Canada ou du moins ailleurs, dans vos références, à savoir qu'il existe une différence entre : Je l'ai téléchargée, mais aussi : Je l'utilise, donc je la mets en application, je l'active? Est-ce que, ça, vous avez de l'information à ce sujet-là?

M. Debbabi (Mourad) : Je n'ai pas d'information à ce sujet.

M. Ouellet : O.K. Est-ce que vous êtes d'accord avec moi qu'il existe une différence entre le fait de l'avoir téléchargée et le fait de l'avoir téléchargée et mise en fonction?

M. Debbabi (Mourad) : Certainement.

M. Ouellet : O.K. Donc, lorsqu'on affirme qu'un chiffre nominal de tant de personnes qui l'utilisent... ou qui l'ont téléchargée, pardon, on peut comprendre que ce chiffre-là va peut-être être plus bas si les gens qui l'ont téléchargée ne l'ont pas mise en application, parce que c'est ça qu'on cherche à savoir au...

M. Debbabi (Mourad) : Ça, c'est une trivialité, que les gens qui utilisent, c'est un sous-ensemble des gens qui ont téléchargé, c'est une information qui est triviale. Mais la question que je pose, comme j'ai dit tout à l'heure : Quelle est l'alternative? Aujourd'hui, par exemple, sur vos ordinateurs que vous utilisez chez vous et que vous êtes en train d'utiliser, par exemple un laptop, à cet instant-là, il y a des antivirus. Quel est le pourcentage des attaques des virus qu'on intercepte avec ces outils-là? Peut-être 40 %, ce n'est pas 100 %. Il y a plein d'attaques que vous n'allez pas... que votre antivirus ne va pas être efficace. Je dirais, c'est la même chose pour cette application. Cette application-là ne réglerait pas tous les problèmes de la planète. Cette application-là, c'est un effort pour combattre la pandémie. Donc, on peut la rejeter, mais quelle est l'alternative? On va au manuel?

M. Ouellet : On est en train de se poser la question, quelles pourraient être les alternatives, mais on se pose la question aussi sur l'efficacité de telle application et qu'on n'est pas en train, avec cette application, de donner à nos citoyens, citoyennes un faux sentiment de sécurité, puisque, dans certains cas, ce genre d'application là pourrait donner de faux contacts positifs ou pourrait alarmer, dans certains cas, des gens qui auraient été en contact avec des personnes, mais ces deux personnes-là portaient un masque ou ces deux personnes-là se trouvaient à l'intérieur d'une pièce, séparées par un mur. Donc, ce n'est pas parfait, et donc on veut juste s'assurer que, si le gouvernement va de l'avant avec ça, les informations qui sont divulguées sont pertinentes, crédibles et justes, et la personne qui la reçoit va se gouverner en ce sens.

Dernière question, très rapidement. Certains spécialistes nous ont dit : Avant d'aller de l'avant, au Québec, on devrait la tester sur notre territoire. Êtes-vous d'accord qu'on devrait tester avant de déployer ça sur le territoire du Québec?

M. Debbabi (Mourad) : Et qu'est-ce que ça veut dire, tester?

M. Ouellet : Avant d'y aller de façon générale, on devrait procéder à des tests et voir si, effectivement, il y a des risques qu'on devrait colliger avant de mettre son application de façon unilatérale au Québec.

M. Debbabi (Mourad) : Je ne sais pas. Ça, c'est un choix, je pense, que les autorités auront à faire. Moi, honnêtement, de mon point de vue, c'est un effort qui peut contribuer à lutter contre la pandémie, qui n'est pas parfait. Mais, si on attend d'avoir de la perfection, la perfection n'existe pas chez les humains, n'existe pas dans les choses que l'humain fabrique. Il n'y aucune voiture qui est parfaite, il n'y a aucune chose qu'on fait qui est parfaite. Je pense, c'est quelque chose qui est sécuritaire. Il y a beaucoup, beaucoup, beaucoup d'experts qui ont regardé ça de très près, et ce n'est pas des amateurs, c'est des professionnels du métier, et qui disent que c'est sécuritaire. Donc, il y a des évaluations qui ont été faites. Je pense que personne dans cette salle-là ne peut affirmer que cette application ne contribue pas à la lutte contre la pandémie. On peut parler de l'efficacité jusqu'à quel degré, mais on ne peut pas dire qu'elle ne contribue pas.

Le Président (M. Bachand) : ...Chomedey, s'il vous plaît, vous avez la parole. S'il vous plaît, M. le député, allez-y.

M. Ouellette : Merci, M. le Président. Bonjour. Merci d'être avec nous autres. J'ai juste trois petites questions pour vous. Dans un premier temps, avez-vous participé à l'élaboration de la consultation en ligne du Conseil du trésor?

M. Debbabi (Mourad) : Non. Consultation sur quoi?

M. Ouellette : On est en consultations, là, et il y avait un document, il y a eu une consultation en ligne pour les citoyens, cet été, et qui a terminé au mois d'août, et qu'on semble dire qu'il y a 17 000 citoyens qui ont répondu. Il y en a 12 000 qui seraient d'accord pour l'application. Je vous demande si votre comité ou vous avez participé.

M. Debbabi (Mourad) : Moi, non. Personnellement, non.

M. Ouellette : O.K. Votre dernière rencontre avec M. le ministre Caire remonte à quand?

M. Debbabi (Mourad) : À quelques mois.

M. Ouellette : O.K. Est-ce que vous avez participé à la mise en place du logiciel fédéral Alerte COVID?

M. Debbabi (Mourad) : Non.

M. Ouellette : Et ma dernière question, le taux d'adoption ou le taux d'adhésion au Québec... Parce que vous semblez attacher beaucoup d'importance à des millions. On a parlé de l'Allemagne, on a parlé... en France, hier, on nous a dit que c'est 1,8 million sur 65 millions de population. Au Québec, le taux d'adoption, pour vous, pourrait ressembler à quoi?

M. Debbabi (Mourad) : Je n'ai pas de statistiques à cet égard, mais j'espère qu'elle va être adoptée par une grande partie de la population.

M. Ouellette : O.K. Parce que je ne vous apprendrai pas que la moitié de la population est dans la région métropolitaine.

M. Debbabi (Mourad) : Notamment, à Montréal, par exemple, la région de Montréal, ça serait bien que les gens l'utilisent. Je pense que ça peut contribuer à lutter contre cette pandémie.

M. Ouellette : O.K. Merci.

Le Président (M. Bachand) : Alors, merci, Dr Debbabi, de votre participation. Puis merci à l'équipe technique de l'Assemblée nationale qui, à la dernière heure, a pu mettre en place cette visioconférence, même s'il y a eu un petit bogue. Merci beaucoup à toute l'équipe. Merci beaucoup, au plaisir.

Alors, je suspends les travaux quelques instants. Merci.

(Suspension de la séance à 14 h 47)

(Reprise à 14 h 50)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Merci. La commission reprend ses travaux.

Alors, il nous fait plaisir de souhaiter la bienvenue à M. André Mondoux, professeur titulaire à l'École des médias à l'Université du Québec à Montréal et directeur du Groupe de recherche sur la surveillance et l'information au quotidien.

Alors, vous avez 10 minutes puis, qui sait, peut-être plus, on ne sait pas... bien, 10 minutes de présentation, puis on verra avec la période d'échange. Bienvenue, M. Mondoux.

M. André Mondoux

M. Mondoux (André) : Merci, M. le Président. Membres de la commission, merci de m'avoir invité. Je vais dévaler une colline parlementaire, hein, mais... parce que j'ai juste 12 minutes, alors je vais prendre tout le temps.

Rapidement, je suis sociologue et professeur à l'École des médias depuis 2009. Sociologue, pour ceux qui ne s'en souviennent pas, c'est «société». Je sais que ça fait longtemps qu'on n'entend plus parler de société, de système puis de tout ça, mais nous existons encore. Auparavant, j'ai été 20 ans journaliste en technologies. Donc, depuis les années 84, je peux dire que je navigue dans les technologies numériques. Donc, je peux dire que j'ai gagné ma vie et, rétrospectivement, l'avoir perdue un petit peu aussi avec ces technologies-là.

Je ne suis ni technophobe ni technophile. Si on avait à choisir, peut-être que je serais peut-être un peu technophile : le rapport d'ordinateurs par habitant à la maison est beaucoup trop élevé. D'une part, j'ai des rapports ambivalents avec la technique depuis le début. Dans les années 80, si vous vous souvenez — les plus jeunes, vous demanderez à vos parents — c'était la bureautique puis le traitement de texte, puis je me rappelle, à l'époque, il y avait des manuels écrits par des ingénieurs en informatique qui allaient expliquer comment faire le travail de bureau. Imaginez que ce n'était pas du tout adapté. Et c'est comme ça qu'à l'époque je commençais à écrire des livres de formation qui étaient plus adaptés à la réalité humaine. 40 ans plus tard, il y a de nouveaux manuels qui sortent puis, cette fois-ci, c'est pour le vivre-ensemble au complet. Alors, voilà qui me semble, sinon inquiétant, à tout le moins, de regarder l'héritage qui a été fait.

D'une part, ce n'est pas étonnant que, maintenant, le vivre-ensemble, la première ligne de front, c'est la santé. Alors, on va vraiment s'attaquer à la santé et à l'éducation. À la santé, maintenant, bien, c'est rendu, on l'a vu au cours des deux derniers jours, désormais tout ce qui est santé publique doit composer avec le génie informatique, il n'y a aucune formation en santé populationnelle ni en santé publique. Alors, c'est pour vous dire à quel point qu'on est rendus vraiment techniques dans nos discussions.

Et d'ailleurs, je le répète, pandémie : «pan», au complet, «démie», «demos», le peuple, ça affecte tout le peuple. Alors, n'importe quelle solution qui sera pandémique va également être pan-démique, et en ce sens, il faut faire attention, justement, comment est-ce qu'on conceptualise ça. C'est une dynamique de totalisation. Et, vous me permettrez cette petite flèche, je pense que ça mérite plus que quelques réunions en quelques semaines d'intervalle durant l'été pour avoir le temps de faire des rapports. Vraiment, c'est une question qui, à mon sens, est très importante.

Donc, ce qu'il faut faire attention, c'est tous les enjeux qui vont, justement, avec le déploiement de la technique dans toutes nos vies, et c'est pour ça qu'il faut regarder... Parce qu'on parle de pandémie collective, mais, si vous regardez, depuis deux jours, tout ce qu'on parle, c'est de la technique et de l'individu, protéger les données personnelles, la vie privée, et il y a très peu... pour ne dire aucune discussion générale sur quel genre de vivre-ensemble on veut et... par l'utilisation de ces outils-là. Et ça, c'est des questions qui m'apparaissent fondamentales et qui ne sont malheureusement pas abordées.

Donc, qu'est-ce que ça veut dire, d'aborder d'un point de vue global? D'une part, aucun outil n'est isolé. Je ne vous apprends rien, n'importe quel outil s'inscrit dans un réseau des vastes ensembles de techniques, de pratiques et de ressources, que ce soit l'ordinateur, la montre, l'Internet, etc., et cette circulation... Les données, d'ailleurs, ne sont jamais toutes seules, elles circulent déjà de façon marchande. Alors, il est un peu difficile d'avoir une discussion sur la vie privée COVID-19, mais, par exemple, sur mon Facebook, mon Twitter, tout ça... Vous lirez, si vous voulez, les 2 823 pages de consentement, mais vous allez voir que vous abandonnez tous vos droits aux données. Alors, si on veut réglementer la vie personnelle, la protection des données personnelles, il ne faut pas se confiner — excusez le mauvais jeu de mots — au COVID-19, il faudrait élargir la discussion et la réflexion au vivre-ensemble lui-même.

Deuxième chose, c'est la quasi-autonomie de la technique, si vous remarquez. J'écoutais hier, lorsqu'on demandait sur l'application fédérale : Bien, qui c'est qui est responsable de ça?, ah! bien, c'est des volontaires, c'est Shopify. Ah bon? Mais qui c'est qui est responsable de ça? Personne. Pas d'imputabilité, parce que, sous-entendu : Ah! la technique est neutre, et puis c'est juste une question d'opérationnalité. D'ailleurs, le terme qu'on utilise pour ces outils-là est révélateur, des «applications». On l'a vu avec le commentaire précédent, on part avec «c'est déjà déployé», puis ensuite on va justifier parce que c'est fait en fonction de ça. D'ailleurs, à l'époque, dans les années 80-90, on parlait de solutions, des solutions informatiques, au point qu'aujourd'hui on parle de solutionnisme, c'est-à-dire qu'on va créer des problèmes pour avoir les outils pour les régler.

L'autre question qui est importante et qui touche un peu l'économie politique, on l'a vu : À qui vont aller les données? Vous voulez bien le donner aux GAFAM. Mais, bon, je vais faire un scénario de science-fiction, imaginons un président des États-Unis un peu excentrique, des services de renseignements qui voudraient fouiller, imaginons une pandémie — tiens donc! — et puis finalement les serveurs chez Amazon foutent le camp. Et puis qu'est-ce qui se passe avec ça? Certains vont dire : On devrait avoir un OSBL, mais ça reste quand même une forme de privatisation de données collectives. Et ça, il faudrait réfléchir à ça, ce sont des données qui appartiennent aux Québécoises et aux Québécois.

L'autre chose, il faudrait faire attention de ne pas donner ces outils-là à tout ce qui bouffe des données. Tout ce qui est intelligence artificielle, Spotify, ça exige des quantités massives de données. Alors, évidemment, s'ils sont collés sur une application de COVID qui récolte des données, vous les mettrez dans le... ces institutions-là... ces compagnies-là, pardon, ces entreprises-là, dans la position très inconfortable qu'est Facebook en ce moment : un modèle d'affaires qui est sur la production, la circulation des données, puis en même temps on va assumer la responsabilité de ne pas faire circuler les données. Écoutez, on peut bien essayer de faire coucher le loup dans la bergerie, mais je gage que le mouton ne devrait pas fermer l'oeil de la nuit. Il faudrait faire attention, justement, là-dessus.

Quelles sont ces valeurs, justement, techniciennes? On le voit dans les discussions, ici, on parle de performance, d'efficacité, de pragmatisme, d'opérationnalité, ce qui est certes nécessaire, j'en conviens, mais certainement pas, non, suffisant, hein, parce que, d'une part, face à l'érosion de ce qu'on pourrait appeler des grandes valeurs collectives — «libarté», oserais-je dire — bien, arrive la technique qui se présente comme quelque chose de neutre. Et remarquez le vocabulaire qui est associé : «optimisation», «pragmatisme», «statistiques», «ratios». Bref, les moyens sont devenus les fins, et ça, c'est un problème qui est plus gros que la pandémie et qui est vraiment... Et je ne suis pas tout seul, hein, dans le monde, plusieurs philosophes et penseurs se demandent la question sur est-ce qu'on ne s'en va pas vers une espèce de cul-de-sac technique, justement, d'une société qui serait trop technicienne au point de ne pas être capable de redoubler la technique pour l'adapter, justement, un peu comme les manuels de traitement de texte dans les années 80.

Cette machinisation du social, on le voit, d'ailleurs, et, même ici, on parle de gouvernance, on ne parle plus d'idées, de politiques, de vision. Non, la gouvernance, c'est l'application des règles neutres, et ça se trouve à engager un phénomène de dépolitisation. On est juste des gestionnaires d'opérations et on prend les décisions là-dessus, et, quand arrivent des finalités ou de parler de finalités, un peu comme je le fais en ce moment, on est sous l'impression d'être un chien dans un jeu de quilles : Ah! ce n'est pas la place pour parler de ça, ou etc.

Centralisation des données, bien, j'en ai parlé, il faut faire attention. Puis il y a aussi le fait : Qu'est-ce qui se passe lorsqu'on délègue nos données ou les médiations aux algorithmes? Premièrement, ça augmente la quantité d'infos : Ah! j'ai besoin d'un logiciel pour le traiter. Ça augmente la vélocité, on parle désormais d'accélération sociale et de temps réel. Je vous mets au défi de vider votre boîte de courriels une journée par semaine. Vous savez, on n'ira pas là-dedans, mais on le voit qu'on est de plus en plus dans une dynamique de temps réel, de rapidité.

Et qu'est-ce qui se passe, lorsqu'on applique la technique, justement, machinique? Parce qu'il y a plusieurs sortes de techniques. Celle qu'on parle ici, c'est la technique cybernétique, ça reproduit au même, hein : homéostasie, «homeos», même, «stasis», ma place. Ça fait que c'est pour ça, d'ailleurs, que c'est une base industrielle. Reproduire au même, c'est une industrie. Alors, appliquez ça sur Facebook, par exemple, bien, le concept d'amitié, hein, je rappelle, à l'époque, un symbole de l'amitié, c'était un morceau que je brisais en deux, le «symbolon», pour marquer que j'étais en amitié avec quelqu'un, que je suis accompli avec l'autre. Maintenant, sur Facebook, c'est un compteur, et ce compteur-là n'a qu'une seule direction : plus, plus, plus. Et c'est ça, ce que certains disaient, la technique moderne, lorsqu'elle n'est pas enchâssée, elle s'emballe. On met un outil pour mesurer, bien, l'outil va aller le plus haut possible, le plus loin possible et de façon autonome. Alors, je l'ai vu avec mes enfants, 600, 700 amis. Mon Dieu! Moi, si j'en avais 20, je me comptais chanceux. Et aujourd'hui on a des quantités industrielles. Évidemment, ce qui se sous-tend là-dessus, c'est plus d'amis, plus de données vues, plus de publicités, plus de données personnelles qui... Et voilà, on est rendus dans le modèle du GAFAM, du modèle d'affaires d'une économie qui se déploie sur le traitement, la production, la circulation et la consommation de données.

Autre caractéristique, donc, du numérique, c'est donc...

Le Président (M. Bachand) : Peut-être en conclusion, s'il vous plaît. Peut-être en conclusion.

• (15 heures) •

M. Mondoux (André) : Oui, j'y arrive. Je suis à la page 5 de mes 12, tout va bien.

Une des choses qu'on a remarquées, nous, en laboratoire, c'est les notifications. On a des applications qui sont capables de mesurer le temps ou la notification, puis on y va, hein? On a parlé d'input, output puis de boîte noire tantôt, là, il y a un nom pour ça, ça s'appelle du behaviorisme cybernétique, c'est du contrôle de comportement : la montre dit «rouge, arrête», elle dit «verte, tu y vas», «10 000 pas, calories, stop», sans se questionner, on fait confiance. Alors, ça, ça crée, encore une fois, des individus... Et plusieurs chercheurs parlent d'économie de la pulsion, temps réel, je veux avoir tout, ici, maintenant, et ce que ça donne, bien, ce n'est pas un citoyen qui a le temps de réfléchir, de prendre de la distanciation, on est justement happés.

Donc, en conclusion, M. le Président, il y a une dynamique de totalisation, qu'elle soit par la pandémie, qu'elle soit par une tendance que je dirais quasi naturelle à la technique. Joindre à ça... Regardez ce qui se passe un peu partout, aux États-Unis, en Europe, il y a une montée d'une droite que je dirais décomplexée, peut-être même extrême, dans ses moments les plus inclusifs, et ceci, dans le contexte pandémique et le déploiement d'applications biométriques, je pense que ça mérite pleinement notre souci. Merci beaucoup.

Le Président (M. Bachand) : Merci beaucoup pour votre présentation. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Merci, M. le Président. Merci, Pr Mondoux. On sent la passion, on reconnaît le sociologue. Merci de votre présentation.

M. Mondoux (André) : ...j'espère.

M. Lévesque (Chapleau) : Bien, oui, j'imagine, on l'entend cet après-midi. Juste peut-être un petit rappel, là, quelques points, là, qui avaient été énoncés par le gouvernement. J'imagine que vous en avez pris connaissance également, là. Si jamais le gouvernement décidait d'aller de l'avant avec une application, il n'y aurait pas, évidemment, de géolocalisation, pas de recours à la biométrie, donc reconnaissance faciale, pas de stockage de données, dans le fond, maximiser la protection de la vie privée puis maximiser également, là, dans le fond, la protection des renseignements personnels pour les personnes, pour la population du Québec. Évidemment, ça devient... C'est également volontaire, là, cette application-là, donc il n'y aurait pas d'obligation par rapport à ça.

Mais je serais quand même curieux... Vous opposez santé publique et technologie, du moins philosophiquement. Je serais peut-être curieux de voir comment, pourquoi, qu'est-ce qui vous a amené là dans votre cheminement, dans votre réflexion.

M. Mondoux (André) : Écoutez, depuis quand, historiquement, tout d'un coup, que le génie informatique et les statistiques deviennent des intervenants incontournables en santé? Ça, c'est un phénomène assez récent. Ça a commencé avec la méthode Toyota, la méthode Bolduc. Ça a commencé par mesurer combien de cuillerées de patates on va mettre, de rationaliser, et on a vu aussi, malheureusement, les résultats que ça a pu donner, hein, c'est-à-dire de se fier, justement, à une espèce de gestion technique et sans mettre de l'humain dans la machine, et c'est là qu'est le bogue. C'est-à-dire que, si vous laissez l'entièreté de la machine, l'algorithme de regarder la production, la circulation et la consommation, elle va faire une boucle totalisante en soi et pour soi, et ça, il y a de nombreux exemples, j'en ai donné quelques-uns, mais on pourrait passer la journée à en jaser.

M. Lévesque (Chapleau) : On est d'accord, là, pour le manque d'humanisme en santé par le passé, là, ça, tout à fait, on est sur la même ligne. Vous parlez également, là, d'un outil non isolé, non pris dans le groupe. Est-ce que, justement, un outil qui serait... qui ferait partie d'un ensemble d'autres éléments en santé publique pourrait être pertinent et non pas juste comme la valorisation du technique ou du technologique, et donc comme un outil, comme un instrument, donc, qui vient en appui, mais donc l'humain reste quand même en contrôle, l'humanisme est encore là?

M. Mondoux (André) : Je vous dirais, M. Lévesque, que c'est déjà fait. Je veux dire, votre outil travaille avec l'Internet, travaille sur l'ordinateur, travaille avec le monde, vous ne pourrez pas l'isoler, d'où pourquoi... En fait, je suis moins venu ici pour vous dire des solutions, je ne suis pas un ingénieur, mais la même façon qu'on me reproche de ne pas me mêler de l'informatique, je vais peut-être avoir une petite gêne de laisser les informaticiens parler de social, par exemple. Et, je le remarque, les premiers ont beaucoup de parole, en ce moment, et pas les seconds, il faudrait ramener ça pour rééquilibrer.

Je ne suis pas technophobe, comme je vous dis, j'ai bien de la techno à la maison, mais il faut faire attention, parce que... ne pas penser l'outil isolé, il s'inscrit dans des dispositifs toujours plus grands, et ça englobe l'ensemble du vivre-ensemble. Et, ce faisant, et là je vous reparle de la question, est-ce qu'on va viser le vivre-ensemble seulement en travaillant sur les points individuels ou si on devrait aussi l'aborder par le haut? Bien, tout dépend de la philosophie, j'imagine, de politiques que vous adoptez, mais moi, je serais de ceux qui disent, bien, que l'individu produit une société à produire un individu à produire une société.

M. Lévesque (Chapleau) : D'ailleurs, sur le vivre-ensemble, c'est là où j'allais, vous m'amenez à ma prochaine question. Est-ce que, justement — puis là on va y aller dans le très pointu, du moins dans le pratico-pratique — le fait, justement, de vivre ensemble et d'avoir l'opportunité d'être notifié qu'il y a une possibilité qu'on ait été en contact avec quelqu'un qui avait la COVID-19... est-ce que, justement, ça, ça ne pourrait pas aussi faire partie du vivre-ensemble? Dire : Regardez, wow! par souci de ma société, par souci des autres êtres humains, je vais, moi, m'isoler parce qu'il y a peut-être un risque ou je vais aller faire le test parce qu'il y a peut-être un risque, est-ce que ça aussi, ça fait partie du vivre-ensemble?

M. Mondoux (André) : Oui, ce qui devrait aller plus loin, c'est-à-dire de dire : Cet outil-là, est-ce que je vais en parler seulement en termes individuels, en termes de projet individuel, en termes d'intérêt économique ou si je vais regarder ses impacts? Parce que, là, si vous partez, justement, de l'outil et vous ne décollez pas de l'outil, bien, on est au même point. Alors, moi, ce que je dis, c'est qu'il faut penser beaucoup plus large, quels sont les impacts sociaux et sociétaux. On en a parlé un petit peu avant-hier, l'accès, les inégalités, etc., mais... puis aussi le partage des informations, ça, c'est le gros point.

Vous amenez ça aux États-Unis, il va y avoir des problèmes, là. Je veux dire, le gouvernement américain, il se donne les droits quand c'est... la sécurité nationale, il... puis il va aller chercher les infos. Puis de donner ça à un OSBL, ça reste encore une forme de privatisation. Puis de le donner à des gens qui ont intérêt à ramasser des données pour faire leur modèle d'affaires, ça ne nous avance pas.

M. Lévesque (Chapleau) : ...pas de collecte de données, là, ni de...

M. Mondoux (André) : Pardon?

M. Lévesque (Chapleau) : On ne voudrait pas... Il n'y a pas de collecte de données ni de recueillement de ces choses-là.

M. Mondoux (André) : Bien, il y aura des collectes de données, au gouvernement. Ce que je dis, c'est que le stockage, la manipulation, le contrôle devraient être vus d'une ressource publique, et ça devrait appartenir aux Québécoises et aux Québécois, et de rester ici, sur le territoire. Et puis, si on y va lentement, tant mieux pour nous. Et ça pourrait aussi servir... Écoutez, on ne partira pas, mais l'«open source», les données ouvertes... On en a, des ressources, au Québec, on en forme beaucoup à l'UQAM, justement, en médias numériques pour adresser ces enjeux-là et pour avoir des intervenants qui sont capables de dire : Aïe! On va mettre du social dans la game parce que c'est important, et il y a des enjeux de surveillance, d'intégrité, et que ce n'est pas juste une question d'applications, de déploiement, de ratios puis de statistiques, ça s'inscrit dans des rapports économiques, politiques et sociaux.

M. Lévesque (Chapleau) : Je comprends votre point. Merci beaucoup. Merci, M. le Président, c'est tout pour moi.

M. Mondoux (André) : Je vous en prie.

Le Président (M. Bachand) : Merci. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Pr Mondoux, vraiment, c'est extrêmement intéressant, là. Moi, je m'inscrirais tout de suite à votre cours. Moi, dans le passé, dans mes études, j'ai fait un petit peu de... je regardais beaucoup le rapport de la sociologie de la population avec la technologie.

M. Mondoux (André) : ...à l'automne.

Mme Boutin : J'aimerais vraiment ça pour vrai, là, c'est quelque chose... je m'intéresse beaucoup à la technologie puis je pense qu'on est peut-être dus, au Québec, avoir une réflexion. Je ne sais pas si c'est le gouvernement qu'il faut qu'il ait cette réflexion-là, parce que, tu sais, le gouvernement n'est pas... on ne s'occupe pas de tout non plus, là, mais avoir une réflexion sur ça, avoir aussi plus de littératie numérique, aussi, au sein de la population, parce que ce n'est pas... on n'est pas dans le veau d'or du temps moderne, là, avec la technologie, on s'entend, mais je me pose quand même cette question. Tu sais, il faut garder un esprit critique par rapport à la technologie.

Selon vous — parce que je suis aussi technophile, mais j'ai un esprit critique puis je me questionne beaucoup — est-ce que la technologie a quand même un rôle à jouer, peut-être, comme un outil, sans être un outil central, en santé publique, que ce soit cette application-là, là, ou d'autres outils technologiques, tu sais? Votre opinion là-dessus, première question. Puis, deuxièmement, quel rôle pourrait jouer le gouvernement pour peut-être mieux encadrer, justement, l'utilisation de technologies pour soutenir la santé publique?

M. Mondoux (André) : De un, il y a une nuance importante à faire. Nous sommes homo faber, hein? Il y a une différence entre le squelette du dernier hominien puis du dernier grand singe, c'est que le deuxième, il a un silex dans la main, alors on est techniques par nature.

Là, le danger, comme disait le fameux philosophe, c'est de confondre notre destin avec celui de la technique, hein? Le compteur d'amis sur Facebook, là, il ne dit pas : Tu en as quatre, c'est le fun, non, non, 200, 300, 400, et ça devient, à un moment donné, le pouvoir du pouvoir. Et on entend des choses comme : Bien, si ça peut être déployé, on va le faire parce que c'est normal, et c'est ça qui est dangereux. C'est parce qu'on a besoin de la technique, mais il ne faut pas qu'on devienne des outils, nous autres, à la technique. Et, quand vous déployez... D'ailleurs, regardez comment est-ce qu'on définit la population à coups de machinisme, ça devient homogène, plate, statistique. Et d'ailleurs on parle maintenant de population au sens biologique, hein, il n'y a plus de disparités, et ça, ça fait... D'ailleurs, mes collègues... on commence des réflexions sur est-ce qu'il y a une forme de biopouvoir. Parce que, quand vous êtes rendus avec des montres biométriques, des téléphones qui mesurent vos... D'ailleurs, vous le savez, à l'université... la mal nommée Oral Roberts, ils ont donné des montres pour voir l'abstinence à des jeunes ados. Il fallait être optimiste. Et puis ils ont réalisé que... On va leur donner des montres puis ils vont faire de l'entraînement. Ils ont réalisé qu'après avoir eu des relations très intimes, le coeur montait, ça fait que les montres enregistraient à chaque fois qu'il y avait des gens qui faisaient l'amour. Donc, vous voyez, il y a toujours des effets pervers, ce qui nous renvoie au fait que non seulement on n'a pas la discussion qu'on devrait avoir, mais on est en train de dire : Aïe! On peut-tu au moins juste tester avant de déployer? Aïe! On est deux, trois marches, là, en deçà où on devrait être.

Votre deuxième question : Qu'est-ce que peut faire le gouvernement? Bien, c'est l'instance démocratique que nous avons, et là on pourrait avoir... il faudrait chapeauter tout ça, je ne sais pas, c'est le grand rêve d'un ministère du Numérique. Mais, comme c'est des technologies qui sont totalisantes et peut-être même totalitaires, bien, j'aimerais mieux les voir entre les mains du gouvernement qu'entre les mains opaques du privé, où il n'y pas d'imputabilité, quoi que ce soit.

• (15 h 10) •

Mme Boutin : Peut-être qu'on pourrait — puis là c'est vraiment moi qui fais une suggestion, là, je ne sais même pas si c'est le cadre pour l'avoir, mais j'aime beaucoup la conversation — peut-être qu'on pourrait intégrer plus de sociologues comme vous dans des comités d'experts, tu sais, et ne pas seulement avoir des gens qui sont des techniciens et des experts en sécurité, mais avoir des gens qui ont un regard différent sur la société puis de mieux définir le rapport avec la technologie. Parce que moi, je me pose la question, comment est-ce que, dans ce contexte-là... Là, ça va en accélérant, là, la technologie, c'est exponentiel, ça va vite, puis, tu sais, on ne vit plus en 1950, on est en 2020, puis c'est très dur parce que c'est mondial. Comment est-ce que nous, on peut conserver notre humanité là-dedans?

M. Mondoux (André) : C'est la grande question qui insuffle... D'ailleurs, on a perdu un grand joueur, Bernard Stiegler, la semaine dernière, grand penseur et collègue à moi de... sur la technique, justement, pour ramener cette espèce d'équilibre. Et il sera probablement toujours instable, mais, vous savez, quand on modélise à coups de statistiques... Je peux prendre un dé, j'ai une chance sur six de rouler un dé. Si je roule six fois, ça ne veut pas dire que je vais avoir un six, si je le roule 6 milliards de fois, ça va. Le problème avec la modélisation statistique, c'est qu'on ne vit pas à 6 milliards de lancées, on en a un à la fois, et c'est toute la différence. Parce que, quand vous avez une idéologie, une vision du monde, d'un social qui, ultimement, se fait régler par un seul algorithme qui pourrait même prévoir ce qui va arriver, bien, Houston, on a un problème, là, je veux dire, plus besoin de démocratie ou d'élections, plus besoin de rien, c'est juste des certitudes. Puis là on est rendu dans... voilà, on est rendu des «dividus», comme dans la notion de... bien, une masse populationnelle, puis c'est juste du pourcentage.

Un autre exemple, madame, aux États-Unis, on a dit : Ah! les données interceptées par la NSA, ce n'est bien pas grave, c'est juste des métadonnées. Mais c'est décourageant, ça veut dire que ce qu'on a à dire ne compte même pas. Juste avec les métadonnées et les croisements, ils sont capables d'aller chercher des formes de régulations. Puis le problème, c'est que, maintenant, quand on a des régulations sous forme de contrôle, ça ne va très bien avec la vie démocratique. À un moment donné, il y a... il faut faire attention, ça prend le premier puis ça prend aussi le second. Alors, ce n'est pas une question d'arriver avec des gros sabots, mais ça demande de la nuance, et je ne pense pas que seuls mes collègues en informatique peuvent apporter cette nuance-là, ça prend une discussion «at large» entre plusieurs champs disciplinaires.

Mme Boutin : O.K. C'est vraiment intéressant. Donc, le gouvernement, dans le fond — et même j'irais plus au-delà du gouvernement, de l'Assemblée nationale et de l'ensemble des élus qu'il représente, des citoyens — devrait peut-être y avoir un rôle, éventuellement, pour, justement, avoir... garder à l'oeil... avoir un esprit critique par rapport à ça, par rapport à la technologie, par rapport à toute cette évolution-là?

M. Mondoux (André) : Écoutez, dans les modèles universitaires scientifiques, ça passe par des observations, des expériences. Nous, on en fait sur la circulation marchande, on essaie aussi de former des nouvelles générations de spécialistes. D'ailleurs, on a une réforme où on veut rentrer l'intelligence artificielle, pas pour s'opposer, pour être capables d'avoir une interface commune et de dire : Attention, là il y a un danger pour la surveillance, là il y a un danger pour ceci, et de faire ça de façon plus harmonieuse ou organique, pourrais-je dire.

Mme Boutin : Je partage votre avis, vraiment. Puis, dans le fond, tu sais, si on regarde une application, aujourd'hui, en commission, c'est bien intentionné, dans le sens... si le gouvernement considère une application comme ça, c'est, dans le fond... et plusieurs mesures qui ont été mises en place, l'objectif ultime, c'est de sauver des vies humaines, puis on se dit : Bon, quelles sont toutes les mesures qui pourraient être mises en place? Peut-être que la technologie peut aider, peut-être pas, mais c'est pour ça qu'on a ces discussions-là.

M. Mondoux (André) : Tout à fait, et aussi de dire : Bien, il faut déployer, ça va sauver des vies humaines... L'enfer est pavé de bonnes intentions, puis les voeux pieux, c'est 13 à la douzaine. Il faut aller plus loin, puis dire : O.K., et, justement, que la vie humaine, c'est aussi la vie collective.

Et, que voulez-vous, ça fait 50 ans de néoconservatisme qu'on a dans le monde et puis ça a exacerbé l'individualisme, et là, chassez le naturel, il revient au galop. La pan-démie, elle nous interroge toutes et tous, et c'est pour ça que je pense qu'il faut faire un retour sur ces valeurs ancestrales, à l'époque. Évidemment, vous aurez deviné, à la blancheur de mon visage, je suis un enfant des années 70, on est 12 012, 6 006, il faut se parler. Les valeurs collectives étaient très fortes, puis... mais je pense qu'elles sont appelées à revenir et... parce que les enjeux qu'on a sont, en ce moment... touchent là-dessus, et c'est à un moment qui est crucial parce que la tendance pour le contrôle, là, avec les libertariens, les mouvements de droite, et autres, moi, en tout cas, ça me donne quelques frissons, et je me dis : Il faut être vigilants et s'assurer que notre maison est en bon ordre et accueillante.

Mme Boutin : Merci. Est-ce la députée de Les Plaines...

Le Président (M. Bachand) : Oui. Mme la députée de Les Plaines, 1 min 30 s.

Mme Lecours (Les Plaines) : Ah! bien, très rapidement. Bien, en fait, je veux... Merci de nous faire sourire, parce que le sujet est quand même assez sérieux, mais, dans tout votre sérieux, vous nous avez fait sourire.Rapidement, j'aimerais ça que vous me parliez de fracture numérique parce que, on le sait, si on y va avec une application comme ça, il y en a qui n'ont pas de cellulaire, puis on a aussi une portion de la population âgée qui n'en ont pas et en auront probablement jamais. Mais est-ce que ce serait quand même efficient, en considérant qu'on partage aussi au-delà de cette information?

M. Mondoux (André) : C'est le gros enjeu, hein? La pandémie, on voit les chiffres, touche les populations les plus vulnérables, en commençant par les minorités économiquement vulnérables. Mais reportez-vous à, là, 20, 30, 40 ans, où, au temps qu'on avait un truc collectif comme la radiodiffusion, la télédiffusion, ça prenait un permis du gouvernement, promouvoir l'identité canadienne, mais, si vous regardez depuis deux, trois ans : Ah! gros marché national, puis débrouillez-vous, c'est la libre concurrence. Et c'est ça aussi, ça a affaibli le rôle de l'État là-dedans, et on pense que, justement, on va laisser le marché faire. Bon, je ne suis pas un fan du contrôle total du marché, mais je ne suis pas un fan de la main invisible non plus, c'est-à-dire qu'il faut arriver avec des incitatifs pour encadrer, mais, si on laisse ça aller... D'ailleurs, c'est ce qui se passe avec les élections, les médias sociaux, n'importe qui pouvait acheter de la pub puis le faire, puis «let's go». Et on est... D'ailleurs, nos efforts portent là-dessus, là, justement, on va travailler pour les prochaines élections québécoises, s'assurer, justement, qu'il n'y a pas d'interférence dans les... Il y a beaucoup d'enjeux, en ce moment, autour du numérique et qui touchent la démocratie directement. Et c'est un peu ça que je suis venu aujourd'hui... c'est de sonner cette cloche-là pour dire qu'il faut avoir des réflexions sérieuses. Puis la COVID-19, c'est juste la pointe d'un iceberg.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup. Merci. Bonjour et bienvenue parmi nous.

Et j'enchaîne directement avec qu'est-ce que vous venez de terminer, la démocratie, les élections. J'imagine que vous avez regardé ou, peut-être, vous avez pris connaissance de hacks où est-ce qu'on voyait clairement comment que ces entreprises, ces géants du Web pouvaient, grâce, d'abord, aux métadonnées qui... tellement... on parle de métadonnées, c'est tellement loin et abstrait, dans le commun des mortels, mais ça leur a permis quand même à faire du croisement de données pour orienter des élections.

M. Mondoux (André) : Oui, puis il faut être réalistes, hein? Vous savez, la sécurité informatique, je dis toujours, c'est comme l'histoire des deux personnes qui ont marché toute la journée en forêt puis ils sont fatigués, ils enlèvent leurs souliers près d'un ruisseau pour se rafraîchir puis il y a un ours qui sort, qui court après les deux, puis là les deux sautent, puis il y en a un qui est ralenti parce qu'il met son soulier, puis son chum lui dit : Aïe! Tu penses-tu que tu vas courir plus vite que l'ours? Non, mais je vais courir plus vite que toi, par exemple.

Alors, la sécurité, c'est toujours cette espèce de compromis qu'il faut faire. Là-dessus, mon collègue précédent, je lui donne raison là-dessus. La perfection n'existe pas, sauf que, non plus, il ne faut pas arriver avec... plonger dans le vivre-ensemble avec des considérations qui sont juste du génie... de l'ordre du génie informatique. Il n'y a pas de place pour les valeurs, les discussions, la démocratie là-dedans, c'est le déploiement d'un algorithme annoncé. Pour moi, c'est potentiellement catastrophique si ce n'est pas enchâssé et encadré.

Mme Rizqy : J'ai... puis ça, c'est vraiment mon opinion à moi personnelle, et je vais distinguer le gouvernement du Québec versus le gouvernement fédéral, dans les dernières années, je trouve que, lorsqu'on regarde à l'agenda, les rencontres privées entre les GAFAM et les élus fédéraux, c'était pratiquement indécent, on pouvait prendre le calendrier, c'était littéralement un jour sur deux, alors que le commun des mortels, des citoyens qui paient leurs impôts, contrairement à eux, ont peine et misère, des fois, à rejoindre leurs propres élus. Est-ce qu'on s'est éloigné, vraiment, de l'essentiel?

M. Mondoux (André) : Moi, je pense que oui, parce qu'on est pris dans les moyens qui sont incontournables. Je vais vous paraphraser mon frère : Les moyens mènent à tout, à condition qu'on en sorte. C'est un peu ça aussi.

Mme Rizqy : Et ces mêmes géants du Web, qui frappent aux portes du gouvernement fédéral, Google et Apple ont frappé pour l'alerte COVID.

M. Mondoux (André) : Ah oui, et ils vont frapper encore. D'ailleurs, le mot d'ordre, ça va être «no-touch technology». Non, non, là, je vous le dis, ça va être le gros déploiement. Regarde, ça ne touche pas, c'est sans fil, etc. Évidemment, ils sont en train de rechanger le langage, le «pitch marketing», si je peux dire, de persuasion pour s'adapter à la COVID.

Mme Rizqy : Et j'ai l'impression que le gouvernement fédéral, dans l'urgence, toujours sous le prétexte de l'urgence, a confondu «agir» et «s'agiter» en déployant rapidement l'Alerte COVID, sans avoir eu des discussions avec le gouvernement du Québec, malgré, d'ailleurs, des propos tenus par le premier ministre Legault, lorsqu'il a dit : J'ai peut-être des réticences, ça prendrait peut-être une consultation. Est-ce que je me trompe, mais la santé, c'est quand même notre juridiction à nous, et que peut-être qu'on aurait mérité être consultés, et que...

M. Mondoux (André) : Et c'est la première chose que mes collègues en sciences po m'ont dit avant de partir : Depuis quand le fédéral se mêle de santé? Alors, voyez-vous, que... C'est pour ça, comme disait l'autre : La technologie n'est ni bonne ni mauvaise, mais elle n'est surtout pas neutre. Vous vous organisez avec ça puis ça décrit bien. Alors, ça, c'est un des enjeux aussi, parce qu'effectivement, c'est ça que je vous dis, c'est totalisant. C'est très difficile, une fois qu'on met la cravate dans les rouleaux, les souliers vont y passer, si on ne fait pas attention.

• (15 h 20) •

Mme Rizqy : Et ces mêmes personnes qui frappent aux portes des gouvernements, qui ont des discussions derrière les portes closes, bien, évidemment, ce sont des sociétés en droit, là, qui sont, pour nous, étrangères et donc, par conséquent, ne sont pas sous notre juridiction. Donc, on n'ira pas faire signifier à San Francisco, à Los Angeles, par huissier : Venez à nos commissions. Et vous avez sûrement remarqué qu'elles sont absentes, malgré qu'on a vraiment tenté d'avoir, notamment, les volontaires de Shopify, qui sont à l'emploi de Shopify, et donc sous la gouverne de Shopify, alors ils sont absents du débat. Ça laisse quoi, ça, comme goût, pour nous? En tout cas, moi, ça me laisse un goût très amer. Mais il me semble que c'est arrogant, non?

M. Mondoux (André) : Bien, écoutez, c'est... Je blaguais en disant que la société, c'est rendu un concept un peu vétuste, parce qu'on le prend pour acquis, c'est devenu un système, c'est devenu un objet de modélisation, alors qu'en fait ce que c'est, c'est un petit... qui est vivant puis qui est toujours en train de s'adapter.

Moi, j'ai... les bras me tombent quand, premièrement, une entreprise privée dont le modèle d'affaires gère des données va faire l'application pour tout le monde. Bon, bien, déjà, là, moi, ça allume, ce n'est plus jaune ou rouge, là, c'est mauve. Je veux dire, je ne la comprends pas celle-là.

Mme Rizqy : ...conflit d'intérêts?

M. Mondoux (André) : Bien, potentiel, là, je veux dire. Et je ne comprends pas aussi cette volonté de penser qu'on va aller au privé. On n'a pas de ressources, au gouvernement, le privé va faire la job pour moins cher. En temps de crise, je peux vous dire une chose, là, chaque fois qu'il y a eu du privé puis du collectif, en temps de crise, c'est le capital qui a gagné, ce n'est pas les intérêts publics, là, donc il faut... et là on est en temps de crise, et alors... voilà.

Des voix : ...

Le Président (M. Bachand) : J'ai indiqué à la députée combien de temps qu'il lui restait, tout simplement.

Mme Rizqy : On peut continuer, là.

M. Mondoux (André) : Je me doutais que ce n'était pas un signe de non-agression.

Le Président (M. Bachand) : Non, non, absolument pas, là, absolument pas.

Mme Rizqy : Parfait. Et là j'aimerais vous amener sur quelque chose. Tous nos experts nous ont parlé du consentement qui doit être libre et éclairé. Pouvez-vous nous parler de la fabrication du consentement?

M. Mondoux (André) : Ah mon Dieu! Oui. Écoutez, le consentement, tout le monde consent à utiliser les applications : Clic, clic, clic, oups! J'ai-tu dit oui, moi, là? Une recherche faite par mes collègues à Carnegie, il y a à peu près cinq, six ans... Si on lisait tous les contrats d'utilisation des sites Web, des applications, ça serait 130 jours ouvrables de travail par année. Donc, il y a un problème, là. Non, le consentement, et surtout dans les données, est volontaire et involontaire.

Nous, on a fait des recherches, on a pris à peu près, je ne sais pas, moi, une cinquantaine d'applications puis on a regardé le contrat d'utilisation. La plupart, c'est : On prend vos données, c'est à vous, mais nous, on a le droit de les prendre, puis on le donne à des tierces parties, puis on n'est pas responsables. Bien là, il n'y a plus personne qui est responsable, on se ramasse avec des volontaires chez Shopify, puis on a un outil qui est important, que tout le monde dit : Ça va sauver des vies humaines, mais ça se fait de façon anonyme par une boîte privée en Ontario. Puis, au Québec, je ne sais pas, on en a, des ressources, là. Je veux dire, on a des universités, on en forme, nous autres, à l'UQAM, là, puis il y en a ailleurs aussi, je veux dire...

C'est pour ça que je pense que ça prendrait — je reviens sur les propos de madame — une initiative concertée globale. Puis, oui, il va y avoir des compromis de part et d'autre. Puis, bon, évidemment, je fais le jeu en ce moment, là, je me mets complètement de l'autre bord, mais c'est ça que ça prend pour arriver à un juste milieu. Et il n'y aura pas de solution unique, et c'est ce qui me fait peur, moi, avec le génie informatique, il ne marche pas dans la nuance, c'est binaire, c'est oui ou c'est non, alors que, dans le social, c'est vivant, c'est en devenir et c'est toujours réorganisation.

Mme Rizqy : Et au niveau du consentement, c'est que, aussi, je me pose la question : Est-ce que des fois il n'y a pas un risque d'avoir des faux consentements, par exemple, lorsqu'on utilise des sondages? D'ailleurs, les sondages, premièrement, il faut avoir accès à Internet, plusieurs des Québécois n'ont pas accès à Internet, et aussi c'est à quel moment qu'on sonde. Si vous sondez en plein milieu des vacances, durant les périodes de la construction, ça se peut qu'il y ait du monde qui ont d'autres affaires à faire, puis ça se peut qu'ils disent : Moi, c'est la saison du camping, ça fait que laissez-moi tranquille. Est-ce que je me trompe, mais ça peut être un danger de gouverner avec des sondages?

M. Mondoux (André) : Bien, écoutez, c'est un outil à deux tranchants, hein, je veux dire, ça le prend pour avoir le pouls, mais, si on le fait juste par sondage, on n'est pas guère inspiré ou guère inspirant.

J'aimerais revenir, par exemple, sur un point qu'on n'a pas mentionné dans le déploiement des outils. Pensons aux trolls, M. Lévesque. On a vu ça aller, hein? À un moment donné, on a dit : On va faire un truc avec l'intelligence artificielle. Microsoft, il y a quelques années, les gens se sont mis dessus puis ils l'ont transformé en raciste puis en nazi en trois jours. Alors, ce que je veux dire, c'est qu'il peut y avoir très bien des trolls qui vont dire : Je vais vous en faire, moi, des COVID, juste pour s'amuser, pour le fun, hein? Liberté! Je suis émancipé. Il n'y en a plus, de valeurs collectives, on va aller s'amuser, et là qu'est-ce qu'on fait, là? Et c'est là que notre ouverture sur le consentement devient une vulnérabilité. Mais, pour ça, il faut prendre en considération que ce n'est pas juste un individu, une application, c'est une collectivité, puis, dans cette collectivité-là... elle est comme mondiale. Mais, si jamais il y a du monde qui décide que, aïe! on va aller cibler cette application-là, c'est une autre source de problèmes. Mais personne n'en a parlé, de ça, là, les trollings, le hacking, les faux, puis il n'y a aucune façon d'aller chercher ça, là. Et d'ailleurs on s'y fait prendre. Pas plus tard qu'avant-hier soir, je regardais ça, une discussion, je me dis : «My God»! Ça se peut-tu, d'être obtus comme ça? Je fouille un petit peu, puis c'est du monde qui veulent juste brasser. C'est rendu un... Alors, c'est triste, mais il faut composer avec ça, parce que vous comprenez que, quand toutes les valeurs sont devenues relatives, bien, c'est ça, oui, je m'amuse à rire de toutes les valeurs, et c'est le trollisme, hein, qui est là.

Mme Rizqy : Est-ce que le droit à la vie privée commence à devenir relatif ou banal?

M. Mondoux (André) : Écoutez, la vie privée, quand toutes nos données personnelles sont pompées, quand on est rendus... Beaucoup de gens parlent d'économie de la pulsion, hein, maintenant. Alors, on rentre dans l'intimité, quand on a des montres qui vont nous chercher mon taux de sucre, mon battement cardiaque, et ça va aller en s'accroissant. Alors, la... Puis l'idée de vie privée, c'est inséparable de c'est quoi, la vie publique aussi, on ne peut pas prendre un sans parler à l'autre, ça va... un est l'extension de l'autre. Alors, il faut ré-regarder puis il faut regarder ça, et surtout, il faudrait régler...

(Interruption) Aïe! Je vais... technicien, je m'excuse, je vais vous devoir un micro.

On peut bien parler du COVID, mais il y a plusieurs autres applications qui font aussi... qui touchent la vie privée, dont la circulation marchande. Il se véhicule plus de données personnelles en circulation marchande que, probablement, par l'application de COVID-19, et ça, c'est... Il n'y a plus personne... Le problème, c'est : Qui c'est qui va réglementer une compagnie à San Francisco, à Hong Kong? Puis, avec la véritable mondialisation, bien, c'est ça, les États sont rendus des États techniciens, on va gérer le commerce, hein, puis... mais on n'a pas de jurisprudence, on n'a pas de juridiction.

Mais là, en ce moment, ça nous ramène... La pandémie, là, c'est le retour de l'autre. Ici, c'est un grand A, la nature, mais ça nous débouche sur ça, pan-démie, tout le monde, le peuple, et c'est ça qui est en jeu en ce moment.

Le Président (M. Bachand) : Merci. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. M. Mondoux, merci d'être avec nous cet après-midi pour réfléchir avec nous sur ces enjeux-là, qui sont importants, puis qui ne disparaîtront pas de si tôt.

Un argument qu'on entend souvent chez les promoteurs de ces applications, et on l'a entendu formulé de différentes manières dans les derniers jours, on nous a dit, et même les promoteurs le reconnaissent : Il n'y a pas de données probantes ou de données même expérimentales qui nous permettent d'affirmer avec certitude que la technologie Bluetooth fonctionne et que les applications qui fonctionnent à partir de cette technologie sont fiables. Il n'y a personne qui a osé venir nous dire : On le sait, c'est sûr, ça marche, voici l'expérience, en laboratoire ou dans le réel, qui a fonctionné. Mais ce qu'on nous dit, c'est : Même si on ne sait pas vraiment si ça fonctionne, puisqu'on va peut-être sauver des vies, ça vaut la peine d'essayer, et...

Une voix : Faites-moi confiance.

M. Nadeau-Dubois : ...oui, et faites-nous confiance. Qu'est-ce que ce raisonnement-là, qu'on nous a exposé fréquemment... qu'est-ce que ça vous dit sur notre rapport à la technique?

M. Mondoux (André) : Bien, ça me dit de... Premièrement, on n'en a pas parlé ici, mais il y a combien de millions qui circulent, en ce moment, pour l'intelligence artificielle, qui demande beaucoup de données? Alors, évidemment, tout ce qui touche la circulation des données va toucher ces intérêts économiques là. Ça se prépare dans le monde en ce moment, et, au Québec en particulier, on a des ressources de très bonne réputation. Alors, ça bouge beaucoup là-dedans. Alors, ça, ça va faire une pression. Et l'idée, c'est que, si on laisse le marché décider par lui-même, bien, ça ne va pas aider la démocratie, je ne pense pas.

M. Nadeau-Dubois : Mais qu'est-ce que ça vous fait penser, qu'on a un débat sur le fait d'autoriser ou non un outil technologique dont on n'a aucune idée de... si même l'outil en question fonctionne?

M. Mondoux (André) : C'est ça. Bien, c'est pour ça qu'on appelle ça une application.

M. Nadeau-Dubois : On débat de l'appliquer avant de même avoir une certitude si l'outil fonctionne.

M. Mondoux (André) : C'est ça. Bien, c'est ça, le mythe de la neutralité de la technique, je pars en disant : C'est une application, elle est déjà déployée, ça fait que je regarde où c'est que ça accroche, au lieu de dire : Je devrais-tu déployer ça? Ça va-tu faire ça? Quelles sont les valeurs que je vais mettre dedans? Plutôt que de le déployer puis dire : Bien, regarde, je vais avoir le réel qui va apparaître... Puis une fois que le réel, il a apparu, à coups de chiffres, puis tout ça, là, on ne peut plus s'obstiner contre ce réel-là, là, c'est une rationalité instrumentale.

M. Nadeau-Dubois : Autrement dit, on procède à l'envers. On met les... On installe des moyens, puis ensuite on tente de leur trouver des fins.

M. Mondoux (André) : Bien, et... enfin, qui restent dans l'ordre du moyen. On a été efficaces, on a eu tel taux, ça marche-tu ou ça ne marche pas. C'est vraiment étonnant que la faisabilité devient pratiquement secondaire ou encore... Je veux dire, moi, ça me dépasse. Je veux dire, mon collègue Yves Gingras l'a très bien positionné hier, je veux dire, faites des tests, puis regardez... puis regardons. Je veux dire, on n'est pas... on n'a pas le couteau sur la gorge encore, là.

M. Nadeau-Dubois : ...

• (15 h 30) •

Le Président (M. Bachand) : Merci. Désolé, M. le député, je dois passer la parole au député de René-Lévesque. Désolé, M. le député de Gouin.

M. Nadeau-Dubois : ...

Le Président (M. Bachand) : Pardon?

M. Nadeau-Dubois : Je ne vous avais pas entendu.

Le Président (M. Bachand) : Il n'y a aucun souci. M. le député de René-Lévesque.

M. Ouellet : Merci. À mon tour de vous saluer. J'ai eu l'opportunité d'avoir un sociologue dans mon caucus, et, oui, c'est divertissant et stimulant. Le collègue de Bonaventure, qui est sociologue de formation et ancien enseignant, peut, effectivement, des fois... — on dit-tu «sociabiliser»? — sur la situation...

Cela étant dit, j'aimerais avoir un échange avec vous. Tout le long de cette commission, il y a des gens, puis le collègue de Québec solidaire en faisait mention tout à l'heure, qui sont venus nous dire : Bien, ce n'est pas fiable à 100 %. On n'est pas sûrs qu'on mesure la bonne chose. Il y a des gens qui sont venus nous dire : Faites attention, si vous voulez mesurer, ça prend un cadre législatif spécial parce qu'il y aurait peut-être atteinte à la vie privée. Il y a des gens qui sont venus dire : Oui, mais il faudrait aussi qu'on analyse, ou qu'on décortique, ou qu'on monitorise cette application-là avant, pendant et après pour savoir si on fait la bonne chose.

D'un autre côté, c'est ce qu'on entend aujourd'hui, d'un autre côté, le gouvernement a une consultation qui semble indiquer que les Québécois, en tout cas les 17 000 qui ont répondu, la majorité semble dire : Ça nous tente. Et on apprend, dans les médias, de par la bouche du ministre de la Transformation numérique, qu'on va sonder aussi la population pour savoir si on est intéressés ou pas, si les Québécois sont intéressés ou pas de télécharger l'application.

Ce que je veux vous dire, c'est que, même si on a un débat bien intelligent, ici, puis qu'on décide, ensemble, en commission, de dire : Voici ce que ça prendrait pour que ça fonctionne, si j'entends le gouvernement nous dire : Peu importe si les Québécois et les Québécoises le veulent, «we go for it»... Tout le monde nous a dit que, pour que ça fonctionne, il faut qu'il y ait le plus de monde qui l'utilise. On n'est pas devant un faux dilemme, à savoir qu'il y a des gens qui veulent l'utiliser sans avoir tout saisi la portée et sa complicité, parce que c'est dans l'air du temps, et on veut tous se protéger de la COVID. Le gouvernement, qui ne met pas nécessairement toutes les recommandations, parce qu'il pourrait en choisir quelques-unes, mais selon sa volonté, et la nécessité que, pour que ça fonctionne totalement... en sachant tout ça, il faut qu'il y ait le plus de gens qui l'utilisent, qu'est-ce qu'on fait?

M. Mondoux (André) : Là, vous tombez dans l'ordre du politique, et votre collègue sociologue a dû bien lire Weber, Le savant et le politique. Il y a des zones où, effectivement, je peux m'exprimer comme citoyen, ce que je ne ferai pas ici, mais je vais parler comme sociologue, bien, c'est des décisions qui relèvent du politique. Certains, comme Habermas, parlent de tyrannie de la majorité, hein, la démocratie, que ça peut être parfois ça, aussi. On en a un exemple avec notre voisin du Sud, qui a une base très fiable, et on voit ce que ça donne aussi.

Donc, écoutez, «damned if you do, damned if you don't», mais je pense que ce qui serait pire, c'est de dire... ça serait de déployer un ou l'autre sans avoir fait de choix, de débat. Au moins, on n'a pas nivelé par le bas. Et puis ça a l'air un peu cucul comme truc, mais, moi, c'est ce que je pense de la présence... Et aussi, de la part de la science, nous, on vous dit ce qu'on observe, ce qu'on voit. Bien sûr, c'est dans notre champ, on n'a pas les mêmes vecteurs, les mêmes responsabilités que vous avez, comme parlementaires et personnes politiques, alors c'est pour ça qu'on peut se permettre d'être un peu plus puristes, si je peux dire. Mais ces nuances-là sont de l'ordre du politique, justement, je dirais... de l'ordre de la politique et pas nécessairement du politique.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Merci. C'est vrai que c'est rafraîchissant, mais je vous dirais que vous êtes une espèce en voie de disparition. On en a trouvé un à l'Assemblée nationale, il en traîne quelques-uns à l'UQAM. Puis je vous dirais, suite à votre exemple de tantôt, qu'il y en a qui enlèvent leur montre aussi, je vous dirais ça juste comme ça.

J'ai comme l'impression qu'on souffre... la société, aujourd'hui, souffre du syndrome de la banalisation. J'ai comme l'impression... Là, on l'a entendu entre nous autres, là, le gouvernement s'enligne... parce qu'ils ont fait une consultation de 17 000 personnes, il y en a 12 000 qui ont dit qu'ils étaient pour. Ça fait que, sur la foi de ces 12 000 là, là, le gouvernement, là, il s'enligne pour nous donner, en complémentaire, une application «top-notch» qu'eux autres ont décidé que c'est l'application parfaite, parce qu'il y a une problématique, puis ils vont avoir fait de quoi. Le reste, là, bien, les sociologues qu'on a, au Québec, et la société, il va falloir qu'ils prennent ça pour acquis parce que ça va avoir été décidé que c'était la meilleure chose pour eux autres. Et ça va chialer une couple de jours, après ça on va tomber dans la banalisation.

Ça me fait réaliser cet aspect-là, aujourd'hui, de vous écouter puis de vous entendre. Je veux dire, c'est sûr qu'au niveau... à notre niveau, au niveau de la législation, nous autres, bien, il faut penser... une décision qu'on prend ici a un impact sur la vie de 8 millions de personnes, c'est ça. Je vous dirais que, quand tu commences à y penser, là, c'est peut-être un peu plus lourd qu'on prend certaines décisions sans regarder le vivre-ensemble puis dire : Ah! ça va passer, ça va passer. Je ne sais pas si vous...

M. Mondoux (André) : Bien, vous savez, on parle de taux d'adoption, alors 12 000 sur 8 millions, ça donnerait un chiffre aussi...

M. Ouellette : Mais ça, c'est un chiffre politique.

M. Mondoux (André) : Mais, je veux dire, c'est ça, tu sais, 12 000 sur 8 millions, bien... Puis c'est un sondage en ligne, ça a ses limites, aussi, par rapport à un sondage traditionnel. Ça, on le sait aussi.

M. Ouellette : Mais le chiffre que vous allez voir dans les prochains mois, prochaines semaines, c'est 75 %.

M. Mondoux (André) : D'adoption?

M. Ouellette : C'est 75 % qui ont dit qu'ils étaient favorables à cette application-là. Le 12 000, vous ne le verrez jamais. On ne l'a pas vu, nous autres, là, il traîne...

M. Mondoux (André) : Ah! O.K. J'avais inversé les chiffres. O.K., je comprends.

M. Ouellette : Mais ça va être 75 %. C'est ça qui va être dans la bouche de ceux qui vont nous enligner puis qui va être répété, répété, mais le phénomène de banalisation ne m'a jamais apparu aussi important que dans les 45 dernières minutes.

M. Mondoux (André) : Bien, l'idée, c'est ça, c'est parce que les 8 millions de citoyens, citoyennes ne sont pas nécessairement au courant. Ils n'ont pas à l'être non plus, c'est plus les spécialistes. Mais, encore une fois, c'est le politique. Je veux dire, nous, on arrive avec nos opinions, on vous dit ce qu'il en est et les laissés-pour-compte derrière tout ça, mais il faut faire attention.

Le Président (M. Bachand) : Pr Mondoux, merci beaucoup d'avoir été avec nous cet après-midi. Merci beaucoup, aussi, d'avoir utilisé un peu de latin. Ça me rappelait mon enfance... pas mon enfance, mon adolescence, disons. Je ne suis quand même pas si vieux que ça.

Merci. La commission suspend ses travaux quelques instants. Merci.

(Suspension de la séance à 15 h 37)

(Reprise à 15 h 43)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Rebonjour. Je souhaite maintenant la bienvenue à M. Pierre-Luc Déziel, professeur de droit et spécialiste de la vie privée à l'Université Laval. Alors, bienvenue à la commission. Donc, comme vous savez, vous avez 10 minutes de présentation, après ça on échange avec les membres de la commission. Alors, la parole est à vous.

M. Pierre-Luc Déziel

M. Déziel (Pierre-Luc) : Oui, parfait, très bien. Merci beaucoup. Alors, bonjour à toutes et à tous. Je tiens d'abord à vous remercier de m'avoir invité à venir discuter et échanger avec vous sur cet enjeu particulièrement important.

Alors, mon nom est Pierre-Luc Déziel, je suis professeur à la Faculté de droit à l'Université Laval. Je m'intéresse au droit à la vie privée et à l'impact que les technologies peuvent avoir sur la protection des renseignements personnels, donc mon intervention, aujourd'hui, va surtout se concentrer sur cet élément-là, l'enjeu de la vie privée, qui est un des éléments dans le débat qui est un petit peu plus large, finalement.

Comme vous le savez sans doute, les juristes, on aime bien discuter à partir de faits, de contextes, d'affaires concrètes. Et donc, pour l'exercice du mémoire, mais aussi pour l'exercice de ma présentation aujourd'hui, j'ai décidé de m'attarder à l'application qui a été développée au niveau fédéral, l'application Alerte COVID. Ce choix-là s'explique pour un certain nombre de raisons. Dans un premier temps, les informations qui sont disponibles par rapport à l'application qui serait proposée ou qui serait envisagée au niveau provincial affichent plusieurs éléments, en fait énormément d'éléments, qui correspondent à ceux qui sont disponibles au niveau de l'application fédérale. Et donc mon intuition, c'est que les recommandations, les nuances, les conclusions auxquelles on pourrait arriver en analysant l'application fédérale pourraient être aussi pertinentes dans le contexte provincial.

Donc, il y a deux éléments centraux qui, je crois, traversent ma présentation et sur lesquels je vais insister. Le premier est celui que l'utilisation d'une application de notification au Québec, si on en venait à aller de l'avant avec ce projet-là, devrait absolument être soumise à l'application des lois sur la protection des renseignements personnels au Québec. Ça peut paraître évident, mais, comme je vais essayer de vous le montrer un petit peu plus tard, ce n'est peut-être pas aussi facile ou évident que ça, au final. Le deuxième point fondamental est celui de la confiance, celui de l'importance de nourrir la confiance du public, surtout dans un contexte d'urgence sanitaire, dans un contexte de santé et dans un contexte où le droit à la vie privée est interpelé, donc l'importance des lois, l'importance de la confiance.

Il y a quatre points sur lesquels je veux revenir. Le premier, comme je viens de vous le mentionner, celui de l'application des lois sur la protection des renseignements personnels dans le contexte de l'utilisation de cette application-là. Alors, pourquoi est-ce que cette question-là est importante? Et cette question-là renvoie à la qualification des données qui vont être collectées par l'application. Qu'est-ce qu'on veut dire par là? C'est de déterminer est-ce que les renseignements qui vont être collectés par l'application peuvent être considérés comme des renseignements personnels. Pourquoi cette question-là est importante? Elle est importante parce que, si on ne considère pas que ce sont des renseignements personnels, par définition, la Loi sur la protection des renseignements personnels ne va pas s'appliquer. La loi, son champ de protection, c'est les renseignements personnels, donc, si on dit : Ce ne sont pas des renseignements personnels, bien, la loi ne va pas s'appliquer.

Donc, déterminer, déjà, les données qu'on a, est-ce que ce sont des renseignements personnels ou pas, ça a l'air d'une question banale, mais ce n'est pas une question qui est si banale que ça, surtout si on regarde l'application qui a été développée au niveau fédéral. L'application qui a été développée au niveau fédéral... Le point de vue du gouvernement du Canada, dans l'évaluation sur la protection des renseignements personnels ou les facteurs de vie privée qui a été transmise au Commissaire de la protection à la vie privée au niveau fédéral, son argument, c'est que l'application ne collecte pas de renseignements personnels. Un renseignement personnel, c'est un renseignement qui porte sur une personne qui est identifiable, au Québec, qu'on va être capables d'identifier la personne. Or, comme vous le savez sans doute, l'application va nous dire qu'il y a de très faibles possibilités d'identifier... très faibles possibilités d'identification des personnes.

Donc, le Commissaire de la protection à la vie privée au niveau fédéral a poussé un petit peu la question avec le gouvernement du Canada pour leur dire : Bien, dans ce cas-là, vous considérez qu'on ne collecte pas vraiment de renseignements personnels, et donc que la Loi sur la protection des renseignements personnels au niveau fédéral ne s'appliquerait pas à l'application? Et la réponse a été : Oui, exactement, c'est ce qu'on pense. On pense néanmoins qu'il y a plusieurs mesures qui ont été prises pour protéger la vie privée des personnes, mais la protection de la vie privée, ça serait... les lois sur la protection de la vie privée ne s'appliqueraient pas parce qu'on ne considère pas que ce sont des renseignements personnels.

Alors, pourquoi cette question-là est importante? Bien, la première... c'est de se dire... En fait, si on ne considère pas que c'est des renseignements personnels, bien, toute la suite de la protection va aussi tomber, hein? Tout ce qui va être... Là, on va parler de consentement, mais tout ce qui peut être, par exemple, le droit à l'accès, les communications non consenties, ce genre de chose là, toute cette protection-là va tomber.

La deuxième chose qui est importante, c'est de savoir que c'est une interprétation du gouvernement fédéral, que ce ne sont pas des renseignements personnels. Ce n'est pas une question qui a été encore tranchée, donc ce n'est pas un fait juridique. Donc, ça se peut qu'éventuellement, s'il y a une plainte, s'il y a une réidentification des personnes, si le Commissaire à la protection de la vie privée ou la cour fédérale détermine qu'il y a eu une collecte de renseignements personnels, bien, en fait, ça voudrait dire que, depuis le début, on dit qu'on ne collecte pas les renseignements personnels puis on se retrouve, un mois, deux mois, trois mois après, en disant : Bien, en fait, on a fait une collecte de renseignements personnels. À partir de ce moment-là, on pourrait dire qu'on a eu une approche qui était peu prudente, qui n'était pas nécessairement... qui peut être problématique, et puis, à partir de ce moment-là, commencer à miner la confiance de la population, en se disant : Bien, on nous avait dit qu'on ne collectait pas de renseignements personnels puis on se rend compte qu'on collecte des renseignements personnels.

Donc, à ce sens-là, moi, ma première recommandation, ça serait de dire : Le gouvernement du Québec, s'il en venait à utiliser une application de notification, devrait s'engager à dire que les lois de protection des renseignements personnels vont s'appliquer à l'utilisation de cette application-là, donc, que ça soit la Loi sur l'accès, pour le secteur public, ou la Loi sur la protection des renseignements personnels dans le secteur privé, pour le secteur privé. Donc, c'est une question qui dépasse un petit peu le fait juridique, mais c'est une question, à mon sens, d'acceptabilité sociale.

Le deuxième point sur lequel je voudrais revenir, c'est le caractère volontaire de l'application. Donc, le gouvernement du Canada et le gouvernement du Québec se sont engagés à dire : Bon, c'est une application qui va être volontaire. Vous en avez parlé beaucoup ici, c'est un fait qui est absolument important. C'est un fait qui va nourrir la confiance du public. Je pense que c'est un engagement qui devrait être maintenu, mais ça soulève quand même des questions qui sont assez importantes. Donc, dans un premier temps, quand on veut parler de consentement ou de volontaire, il va falloir avoir des informations pour transmettre, communiquer des informations qui sont exactes, qui sont vraies, qui sont complètes aux utilisateurs pour qu'ils puissent savoir, quand ils utilisent... ils prennent une décision qui est informée quand ils ont recours à cette application-là.

Or, un des problèmes qu'on a eus au niveau fédéral, et je pense qu'il faudrait l'éviter au niveau provincial, ça a été de dire : Bien, c'est une application qui est anonyme et confidentielle. Et le Commissaire à la protection de la vie privée leur a dit : Bien, est-ce que vous êtes certains de tout ça? Parce que la définition de l'anonymat, puis c'est même la définition qu'on trouve dans le projet de loi n° 64 sur la protection des renseignements personnels, c'est qu'il y a une impossibilité... que ça soit impossible, il n'y a aucune chance qu'on réidentifie les personnes. Or, de l'aveu même du gouvernement fédéral, dans son évaluation, il va dire : Bien, il y a de faibles possibilités, mais ces possibilités-là existent quand même. Donc, une des recommandations du Commissaire à la protection de la vie privée du Canada, qui a été entérinée aussi au niveau de l'Ontario, c'est de dire : Bien, vous ne devriez pas la présenter comme quelque chose d'anonyme, vous ne devriez pas la présenter comme quelque chose de confidentiel parce que ce n'est pas vrai. Et c'est quelque chose sur lequel le gouvernement a reculé, puis, dans les conditions d'utilisation, on ne retrouve plus cette affirmation-là.

• (15 h 50) •

Donc, une des inquiétudes que j'ai, moi, par rapport à l'application qui est envisagée au Québec, c'est que, quand on va regarder les informations qui sont partagées, on la présente comme étant anonyme. Donc, encore dans cette question de transparence puis de vouloir nourrir cette confiance du public, là, je vous avouerai que, moi, de mon côté, une des recommandations que je ferais, ce ne serait peut-être pas de la présenter comme étant anonyme et confidentielle parce que c'est un seuil ou une promesse qui va peut-être être très difficile à rencontrer. On pourra y revenir un petit peu plus tard.

Troisième point que je voudrais souligner, c'est celui de l'efficacité, donc — évidemment, vous en avez beaucoup parlé depuis hier matin — est-ce que c'est efficace? Est-ce que ce n'est pas efficace? Bon, une des questions qui est assez intéressante, c'est que l'efficacité, c'est un principe fondamental. En tout cas, c'est un des critères qu'on doit absolument évaluer en matière de protection de la vie privée. Au niveau fédéral, ce qui s'est passé, au niveau provincial aussi, de l'Ontario, les deux commissaires à la protection de la vie privée nous ont dit : Évidemment, c'est difficile de tester, là, dans une situation exceptionnelle comme ça, cette nouvelle application là, tester empiriquement, c'est quelque chose de nouveau. Il y a des raisons de croire que ça peut être efficace, donc allons-y de ce côté-là. Mais ce qui est certain, c'est qu'on doit faire un suivi de cette efficacité-là et qu'on doit s'engager à retirer, à mettre hors service l'application si on se rend compte que c'est une application qui n'est pas efficace. Donc, une de mes recommandations, puis, si on va de l'avant, encore une fois, avec un projet d'application au Québec, ça va être de faire un suivi extrêmement serré de l'efficacité de cette application-là au Québec, mais peut-être même aussi à travers le Canada, de bien définir qu'est-ce qu'on entend par «efficacité», de publier cette information-là, et de s'engager à retirer l'application, de la mettre hors service et de supprimer tous les renseignements qui auront été collectés si jamais on se rend compte que l'efficacité n'est pas rencontrée. Donc, ça, c'est une nuance qui est à retenir au niveau fédéral puis au niveau de l'Ontario aussi, mais qui est excessivement importante, à mon sens.

Mon quatrième point, dernière recommandation, porte sur tout ce qui va être important de mettre en place au niveau provincial si on en venait à utiliser l'application fédérale. L'application fédérale, telle qu'elle est décrite par le gouvernement du Canada, telle qu'elle est décrite dans le rapport d'évaluation des impacts sur la vie privée et telle qu'elle a été analysée par le Commissaire à la protection de la vie privée, ne porte que sur une partie de l'application, c'est-à-dire tout ce qui serait géré par le fédéral. Il y aurait tout un mécanisme à mettre en place au niveau provincial aussi, qui tombe un peu dans l'angle mort, parce que le Canada ne va pas se prononcer sur le mécanisme qui serait mis en place au Québec puis lui donne la possibilité de le faire comme il veut.

Mais c'est là, et c'est très clair, dans l'évaluation du gouvernement fédéral, qu'il y aurait des enjeux de protection de la vie privée qui seraient plus importants. Pourquoi? Parce que c'est au niveau provincial que l'appariement entre les codes uniques des usagers et les diagnostics médicaux, qui sont, évidemment, des renseignements personnels, vont être appariés. C'est là qu'on va faire la combinaison entre les deux et c'est là qu'on va transmettre ce code-là qui va permettre aux usagers de téléverser leur code... pardon, leur clé d'exposition temporaire sur le serveur fédéral. Donc là, il y a un risque de... Comment est-ce qu'on va mettre en place ce mécanisme-là, finalement? Ça n'a pas été discuté au niveau fédéral. Et, quand on parle même de prendre l'application fédérale, si on en venait jusque-là, il y aurait tout ce mécanisme-là à mettre en place, qui serait beaucoup plus sensible. Donc, encore une fois, là, l'importance de nourrir la confiance, d'assujettir ces mécanismes-là à la protection des renseignements... aux lois... pardon, à la Loi sur la protection des renseignements personnels, donc, comment est-ce qu'on pourrait faire ça? Très rapidement...

Le Président (M. Bachand) : Je dois malheureusement vous arrêter, vous avez dépassé le temps, mais il y a la période des questions, faites-vous-en pas, M. Déziel. Alors donc, je me tourne vers le gouvernement. M. le député de Chapleau.

M. Lévesque (Chapleau) : Oui, merci beaucoup, M. le Président. Merci beaucoup, maître. C'est un plaisir de vous voir. Merci de votre témoignage.

J'irais peut-être directement avec la notion d'anonymat et de confidentialité. Donc, au fédéral, vous dites qu'ils ont retiré cet élément-là. Évidemment, l'objectif, c'est que ça soit anonyme et confidentiel, dans l'idée, justement, de la protection de la vie privée, protection des renseignements personnels. Y aurait-il un moyen, soit juridique ou même technique, ou que vous avez... qu'on pourrait s'assurer que ça le soit, que ça soit anonyme et confidentiel, ou c'est vraiment par la voie du retrait de cette affirmation-là que ça se passe? Parce que l'objectif, ça serait que ce le soit, là. On ne veut pas que ça soit... les gens soient identifiés ou nommés, on veut que ça reste confidentiel.

M. Déziel (Pierre-Luc) : Mais il y a deux choses que je dirais par rapport à ça. La première, c'est que l'anonymat, tel que défini au niveau de la loi puis même tel que défini dans la loi... dans le projet de loi n° 64, est un seuil extrêmement difficile à avoir, puis c'est donc de donner la garantie qu'on ne va jamais être en mesure d'identifier personne. Or, depuis hier matin, ce qu'on entend, ça, c'est avec les technologies Bluetooth, on l'a entendu à travers les différentes interventions, il y a un certain nombre de vulnérabilités. Il y a un certain nombre d'attaques qui sont possibles, même si elles sont minimes. De dire que ça serait anonyme, ça peut être très difficile à rencontrer comme seuil, vraiment, de garantir cette impossibilité d'identification ou de réidentification là. Donc, avec l'application fédérale, ça n'a pas été fait. Est-ce que j'ai entendu des solutions où qu'ils étaient 100 % anonymes? Non, je n'en ai pas entendu, je n'en ai pas vu. Je n'en ai pas entendu, encore une fois, mais c'est au niveau du terme technique, peut-être, qui est utilisé en droit.

Maintenant, ça peut être un terme... et puis c'est peut-être le deuxième point sur lequel je veux arriver, et c'est une question qui me tient beaucoup à coeur, c'est de dire : Pour rassurer les gens, pour en nourrir leur confiance, à mon sens, on n'est pas obligés de dire que c'est quelque chose d'anonyme, nécessairement, on peut leur dire : C'est une application qui respecte la vie privée, qui a des garanties très fortes de protection de la vie privée, ce qui est protégé par nos lois sur la protection de nos renseignements personnels. Pour moi, le fait de chercher absolument l'anonymat, ce n'est peut-être pas le bon chemin, de toute façon. À mon sens, c'est quelque chose qu'on doit... C'est un gros problème qu'on a, en droit à la vie privée, c'est de penser que le droit à la vie privée, c'est de taire les choses, que tout soit silencieux, tout soit caché tout le temps. Le droit à la vie privée, c'est d'être capable de choisir volontairement, sur une base éclairée, qu'est-ce que je vous communique comme renseignements personnels. Si je vous donne mon adresse, par exemple, ou mon adresse courriel, je vous donne un renseignement personnel, mais je le fais volontairement. Ce n'est pas anonyme, mais j'exerce quand même mon droit à la vie privée parce que je vous le donne. Je sais qu'est-ce que vous allez faire avec, pourquoi vous me le demandez, ce genre de chose là.

Donc, de dire qu'il y a une collecte de renseignements personnels ou qu'il y en aurait, à mon sens, ce n'est pas un problème. On le fait régulièrement. Quand vous allez faire un achat à l'épicerie, vous payez avec votre carte de crédit, il y a une collecte de renseignements personnels. Quand vous allez chez le médecin et vous passez un diagnostic de COVID-19, il y a une collecte de renseignements personnels. Il y a beaucoup de contextes dans lesquels il y a une collecte de renseignements personnels et où ce n'est pas un problème parce qu'il y a des mécanismes qui sont faits, qui sont mis en place par la suite et qui sont dans nos lois de protection des renseignements personnels pour les protéger. Donc, même la recherche de contacts manuelle implique une somme colossale de renseignements personnels.

M. Lévesque (Chapleau) : Donc, la divulgation, la transparence, l'explication est source de confiance pour la population. Donc, ça serait plus sous cet angle-là que vous l'aborderiez, à ce moment-là, plutôt que de dire l'anonymat ou quelque chose... alors qu'il y a peut-être un petit risque là?

M. Déziel (Pierre-Luc) : Exactement.

M. Lévesque (Chapleau) : J'aimerais peut-être vous amener sur l'efficacité. Effectivement, c'est un sujet qui a alimenté nos débats, là, hier et aujourd'hui, évidemment, la nécessité de la vie privée, la protection. Vous dites de définir et publier, dans le fond, ce que représente l'efficacité, et la retirer, retirer l'application, si on n'atteint pas cette efficacité-là. Il n'y a pas de consensus entre les experts. Je veux dire, il n'y a pas personne qui nous dit c'est quoi, l'efficacité, exactement, et tel point, tel million, tel ci, tel ça. Comment on fait ça? Comment on atteint cet objectif-là que vous nous présentez sur l'efficacité?

M. Déziel (Pierre-Luc) : Bien, c'est sûr que ça prendrait une réflexion, par la suite, pour définir cette efficacité-là, définir, par exemple, un seuil, par exemple, qui devrait être atteint ou pas. Je pense qu'il y aurait une délibération qui serait importante au niveau d'experts dans ce domaine-là, par exemple, au niveau des statistiques, au niveau de ce genre de chose là. Je vous dirais qu'en tant que juriste je n'ai pas vraiment cette définition-là et je suis pas mal convaincu que la définition de l'efficacité juridique ne vous conviendrait pas, c'est-à-dire que la... qui est la capacité d'atteindre la fin visée. Bon, c'est ça, on tourne en rond avec cette définition-là. Mais je pense qu'il y aurait cet aspect-là qui serait excessivement important, mais qui serait certainement fait par... qui serait défini par des experts. Cette recommandation-là, elle a été faite au niveau fédéral puis elle a été faite au niveau provincial par le commissaire à la protection de la vie privée de l'Ontario aussi.

M. Lévesque (Chapleau) : O.K. Au niveau de l'application fédérale, vous avez parlé de... il y a un risque de la mise en place, au Québec. Qu'est-ce que vous entrevoyez pour assurer la confiance, dans le fond, des Québécois pour s'assurer que, bon, lorsqu'il y aurait une... s'il y avait une mise en place d'une telle application, les Québécois soient en confiance, soient rassurés par rapport à ça, donc, dans l'application, la transition, l'espèce de...

• (16 heures) •

M. Déziel (Pierre-Luc) : Oui, bien, je vous remercie beaucoup pour cette question-là parce que c'était mon quatrième point, que je n'ai pas eu le temps d'exposer tout à l'heure, donc merci pour ça. Donc, comme je disais, bien, il y aurait toute cette collecte-là, potentiellement, de renseignements personnels qui se passerait au Québec, qui va être un peu plus sensible qu'au niveau fédéral. C'est quelque chose qui est clair dans les rapports au niveau fédéral aussi. Et une des choses qui ont été recommandées au niveau de l'Ontario, parce qu'eux ont à mettre en place cette structure-là, ça a été de faire... c'est des choses qui ont été discutées ce matin par la Commission d'accès à l'information aussi, c'est de dire : Faisons une... le gouvernement devrait faire une évaluation des facteurs relatifs à l'impact sur la vie privée des gens de ce mécanisme-là, devrait publier cette évaluation-là, devrait la transmettre à la Commission d'accès à l'information et s'engager, à mon avis, à respecter les recommandations qui vont être formulées par la Commission d'accès à l'information, qui est notre expert, au Québec, en termes de protection des renseignements personnels, et que cette évaluation-là soit publique, et que les recommandations, bien, qui sont par nature publiques, aussi, du Commissariat à la protection... de la Commission d'accès à l'information, soient faites.

Je souligne le fait que c'est important que ça soit public, parce qu'au niveau provincial, en Ontario, l'évaluation des facteurs relatifs à la vie privée qui a été effectuée par le gouvernement de l'Ontario a été examinée par le Commissaire à l'information et à la protection de la vie privée de l'Ontario, et il y a une recommandation pour qu'elle soit publique, cette évaluation-là, elle ne l'est pas encore. J'aurais bien aimé. Ça fait deux semaines que je cours après, je n'ai pas encore réussi à trouver cette évaluation-là. Donc, dire comment ça a été fait en Ontario, exactement, c'est difficile parce qu'on n'a pas accès à cette information-là. J'ai bon espoir qu'elle le devienne, éventuellement, mais je pense qu'au Québec on devrait d'emblée la publier... la publier, comment est-ce qu'on a fait ça, s'engager à respecter les recommandations du Commissaire... de la Commission d'accès à l'information, pardon.

M. Lévesque (Chapleau) : O.K. Vous m'avez surpris, tout à l'heure, en disant que le fédéral avait, dans le fond, soustrait l'application... du moins, la notion de renseignements personnels dans l'application. Évidemment, tu sais, si on envisage ça au Québec, ça serait avec la plus grande protection possible pour les citoyens. Donc, je ne pourrais pas envisager nécessairement qu'on ne mettrait pas, tu sais, l'application sous ce couvert-là, sous cette protection-là.

Voyez-vous d'autres failles, d'autres vulnérabilités, dans les lois actuelles, qu'on pourrait, tu sais, s'assurer que ça s'applique pour qu'on puisse, dans le fond, tu sais, avoir la meilleure protection possible pour les citoyens?

M. Déziel (Pierre-Luc) : Bien, je vous dirais que moi aussi, j'ai été assez surpris quand j'ai lu ça, finalement, et leur argument tient la route, quand même, au niveau juridique. Mais au niveau, après, d'acceptabilité sociale, c'est peut-être un petit peu plus... c'est un peu plus compliqué, de ce côté-là. Leur argument, c'est de dire : Bien, il y a quand même des choses qui sont mises en place pour protéger la vie privée des gens, et c'est vrai, mais il y a des choses qui tombent en dehors de tout ça. Donc, c'est la raison pour laquelle je vous dis qu'au provincial on devrait faire cet engagement-là, au-delà d'un débat théorique sur est-ce que c'est un renseignement personnel ou pas, qui demeure une interprétation.

Une des choses, peut-être, qu'il est intéressant de noter de ce côté-là et qui est peut-être un angle mort, si on va dans le contexte de la Loi sur l'accès, c'est que le consentement n'est pas un fondement juridique pour obtenir des renseignements personnels au niveau provincial, hein? C'est une chose, même, qui a été discutée par l'Alberta avec son application ABTraceTogether. Très clairement, il y aurait une autorité légale pour aller chercher ce renseignement-là, mais le caractère volontaire, ça serait volontaire du gouvernement, dans une certaine mesure, même en suivant ces lois-là, il ne serait pas tenu d'aller le chercher. Donc, un engagement fort serait important. Peut-être que c'est même là, comme vous en discutiez ce matin, d'avoir une loi ou un décret, là, particulier sur cette application-là qui dit qu'il doit être volontaire pour tout le monde, ça viendrait combler, peut-être, ce vide-là qu'on aurait au niveau des lois sur l'accès au Québec.

M. Lévesque (Chapleau) : O.K., intéressant. Merci. Peut-être plus large, là, vu qu'on vous a ici, là, vous êtes un expert, sur les lois actuelles en matière de protection de vie privée puis de renseignements personnels puis le projet de loi n° 64, là. Vous en avez fait mention. J'imagine que, vu que c'est votre champ d'études, vous avez sûrement lu ce projet de loi là aussi. Il y a-tu des éléments qui manquent? Il y a-tu des choses qui seraient pertinentes à ajouter, si on va plus global, là?

M. Déziel (Pierre-Luc) : Moi, un de mes champs de bataille, en quelque part, dans le contexte du droit à la vie privée, puis ce n'est pas tous mes collègues qui sont d'accord avec ça non plus, je dois l'avouer, c'est — puis on revient à qu'est-ce que je vous disais tout à l'heure — la définition même d'un renseignement personnel, en fait.

Donc, une des grandes failles de notre loi actuelle, c'est de dire : Bien, un renseignement personnel, c'est un renseignement qui permet d'identifier les personnes; si on n'identifie pas les personnes ou il n'y a pas des bonnes chances d'identifier les personnes, ça tombe en dehors de la sphère de la protection à la vie privée. Mais aujourd'hui, vous le savez, on en a parlé, il y a tout le temps un risque, il y a tout le temps une possibilité de réidentifier les personnes. Et puis ce facteur-là ou ce critère-là qu'on a dans la jurisprudence pour dire : Il faut qu'il y ait une forte possibilité, par exemple, de réidentification, bien, ça fait tomber plein de renseignements en dehors de tout ça.

Donc, dans le projet de loi n° 64, il y a peut-être un meilleur encadrement des renseignements qui ont été dépersonnalisés, comme on va dire, ou qui ont... c'est-à-dire qu'on a retiré des identifiants directs, ou indirects, ou même anonymisés. Ma première lecture, c'est que c'est un bon pas de l'avant de ce côté-là, mais qu'il y avait encore... et là je ne veux pas rentrer dans les détails non plus parce que je ne l'ai pas sous les yeux puis je ne suis pas venu préparé pour cette question-là en tant que telle, mais...

M. Lévesque (Chapleau) : Non, c'est juste si vous avez des petites idées à brûle-pourpoint.

M. Déziel (Pierre-Luc) : ...que c'est un bon pas dans cette direction-là, mais, pour moi, il y a encore peut-être un petit peu de travail à faire de ce côté-là.

M. Lévesque (Chapleau) : Une lacune? O.K. Puis, en terminant, on a parlé beaucoup de confiance, auriez-vous un autre conseil, si jamais le gouvernement décidait d'aller de l'avant avec une application, pour ajouter à la confiance des Québécois?

M. Déziel (Pierre-Luc) : En termes de vie privée, vraiment, c'est ce que j'ai dit, c'est vraiment de nourrir puis chérir cette confiance-là, c'est-à-dire de comprendre ce lien synergique là. Peut-être que c'est plus un état d'esprit ou une attitude, je pense, qu'il faut adopter.

Au cours des auditions, jusqu'à présent, on a beaucoup parlé de l'équilibre à atteindre entre la vie privée, puis d'autres impératifs comme le droit à la santé, par exemple, ou la sécurité dans un contexte comme ça, puis que, pour donner à un, il faut un peu reprendre à l'autre, puis qu'il y ait cette équilibration-là comme ça. Moi, dans ma perspective, c'est un petit peu les recherches que je mène, c'est comment est-ce qu'on peut faire travailler ces deux choses-là ensemble, finalement, puis nourrir la confiance des gens en disant : On collecte des renseignements personnels, on peut protéger votre vie privée, puis en protégeant votre vie privée, bien, ça vous donne confiance, vous allez utiliser l'application, puis en utilisant l'application, bien, peut-être, si elle est efficace, là — faisons ce postulat-là pour les fins de la discussion — bien là... améliore encore plus la santé.

Donc, c'est peut-être de plus voir la relation entre le droit à la vie privée puis d'autres impératifs comme pas nécessairement conflictuelle, parce que ça nous amène nécessairement à faire des choix, peut-être, des fois, qui ne sont pas nécessaires, mais de le voir comme quelque chose qui peut être synergique. Puis, pour faire ça, bien, ça nous prend la confiance des personnes, ça nous prend une communication honnête, ça nous prend une explication qui est fiable, ça nous prend un suivi, ça nous prend des experts indépendants ou une surveillance indépendante, par exemple, comme la Commission d'accès à l'information. Puis, à partir de ce moment-là, moi, le fait que ça soit... on collecte des renseignements personnels, puis ce n'est pas anonyme, mais on a toute une batterie de choses qui viennent encadrer ça, on ne va pas réutiliser les données à d'autres escients. Une fois que la pandémie est faite, puis c'était une des recommandations que je faisais dans mon mémoire aussi, on enlève tout ça, on «delete» tout ça et puis on ne va jamais réutiliser ces données à d'autres fins, là. Ça, c'est des méthodes de reconnaître qu'on collecte des renseignements personnels, qu'on est honnêtes avec les gens et qu'on n'essaie pas d'aller au va-vite en disant : C'est quelque chose de fantastique, il n'y a jamais rien qui va se passer. Il faut nourrir cette confiance-là parce qu'après, quand il y a des incidents, on perd cette confiance-là puis on la perd pour longtemps.

M. Lévesque (Chapleau) : Merci beaucoup. Merci, M. le Président.

M. Déziel (Pierre-Luc) : Ça me fait plaisir. Merci à vous.

Le Président (M. Bachand) : Merci. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Je vais être relativement brève. J'aimerais revenir, parce que je n'ai pas super bien compris la réponse. Bon, on a parlé de l'expérience de l'Ontario, l'expérience du Canada puis le fait, bon, que ce soit un téléphone, bon, c'est la Santé publique qui émet un identifiant relié à un test, si on a un test positif, on le met sur notre téléphone. Puis là, bien, il n'y a pas de décision qui a été prise puis même sur le type, si c'est une application seulement au Québec ou si on décide, étant donné qu'il y a des touristes, puis on voyage en Ontario... Puis peut-être qu'il y a des gens qui voudraient, justement, savoir si, exemple, on est en contact avec des Ontariens... Quels mécanismes... parce que vous avez brièvement mentionné des mécanismes qui pourraient être mis en place pour, mettons, nous aider à encore mieux protéger les données, parce que, souvent, si on décidait d'aller, par exemple, utiliser l'application fédérale, comme l'Ontario, et tous ensemble, toutes les provinces, bien, c'est sûr qu'à un certain moment donné, même si on stocke... la Santé publique stocke, collecte les données de la santé, les stocke au Québec, bien, j'imagine que ça se promène, tu sais. Les données n'ont pas de frontières, elles sont stockées, mais... Quand tu es sur le téléphone, si moi, je m'en vais en Ontario, bien, j'ai traversé... Est-ce que des mécanismes peuvent être mis en place pour protéger les données personnelles?

M. Déziel (Pierre-Luc) : Je vais essayer de répondre en essayant de comprendre.

Mme Boutin : Ce n'est pas clair, peut-être, hein?

M. Déziel (Pierre-Luc) : C'est une question qui est importante puis qui est assez large. Comme je vous dis, quand on réfléchit à ces questions-là, c'est toujours dans un contexte particulier, donc moi, je l'ai regardé en fonction de l'application au niveau fédéral, parce qu'après, sinon, il y a mille et une façons, là, de protéger les...

Mme Boutin : Ou est-ce qu'ils ont mis les mécanismes, peut-être, en Ontario puis le fédéral, du fait que les données sont interopérables? C'est plus ça, peut-être?

• (16 h 10) •

M. Déziel (Pierre-Luc) : Oui, c'est ça. Bien, en fait, c'est que ça tient à la structure un petit peu décentralisée de l'application, qu'il y a des données qui sont générées... qui sont gérées par le serveur fédéral, par l'utilisateur et puis par le niveau provincial, puis que c'est en faisant cette séparation-là — c'est un peu comme si on prenait une photo puis on la déchirait, bien, chacun a une partie de la photo, mais n'a pas l'ensemble total — puis que les échanges se font entre ces différents acteurs-là, si vous voulez, avec des systèmes de cryptographie asymétrique, des fonctions de hachage, ce genre de choses là. C'est des choses qui sont détaillées dans le rapport.

Et puis, donc, à partir de ce moment-là, ces mesures-là, si on... Je ne suis pas un expert en informatique non plus, il faudrait peut-être leur demander à eux, exactement, techniquement, comment le faire, mais l'évaluation du Commissaire à la protection de la vie privée, c'est que ce sont des protections quand même qui sont assez solides. Les recommandations que... Les conclusions, au niveau fédéral puis au niveau de l'Ontario... Elles ont été recommandées, ces applications-là, par les commissaires, mais c'est en prenant en compte toutes ces autres mesures là par la suite.

Donc, comme je vous dis, un des problèmes qu'on a en ce moment, on pourrait se baser... ou je pourrais vous répondre en disant : Bien, en Ontario, c'est comme ça qu'ils ont fait, mais on n'a pas vraiment de détails sur comment ils ont fait. C'est la raison pour laquelle, même au niveau de cet échange-là entre les provinces, il va falloir que les choses soient transparentes puis que, même, la population ait accès à cette information-là.

Mais une chose qui est certaine, c'est que le danger derrière tout ça, c'est l'appariement des données, finalement. Donc, un des risques qui est évoqué dans le rapport du Commissaire à la protection de la vie privée, c'est qu'au niveau provincial c'est là qu'on va avoir accès au diagnostic, c'est là qu'on va communiquer avec les personnes, on va vouloir leur donner un code unique, c'est là qu'il y a certaines personnes qui vont avoir des diagnostics où le nom des personnes est le code unique, puis que, à la limite, ces personnes-là vont être capables de savoir... puis ça devient déjà un renseignement personnel, telle personne a utilisé telle... a déjà téléchargé l'application, puis ça, ça peut être déjà un enjeu, finalement. Dans la structure actuelle, ils n'auraient pas accès aux clés d'exposition temporaires, donc ils ne pourraient pas savoir qui était où, à qui ils ont parlé, comment ces choses-là se sont échangées entre les différentes personnes. Mais c'est une question qui est technique, sur laquelle on n'a pas beaucoup d'information. Donc, je pense que... bien, j'essaie de répondre au mieux de mes capacités, mais je pense que...

Le Président (M. Bachand) : Merci. Merci beaucoup. Alors, Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup. Bonjour. Bienvenue parmi nous. Je commencerais avec le même ordre de votre présentation, avec le point n° 1, c'est-à-dire, vous avez adressé la question suivante : Le fédéral, le gouvernement fédéral est d'opinion que ce n'est pas un renseignement personnel. Partagez-vous cette même opinion?

M. Déziel (Pierre-Luc) : C'est une opinion qui est très forte en droit, en tout cas. L'argument est très fort, en fait. Si on suit la définition du renseignement personnel, est-ce que c'est quelque chose qui permet, à sa face même, d'identifier directement les personnes? Ce n'est pas un renseignement personnel. Et la jurisprudence va nous dire : Il faut qu'il y ait une forte possibilité de réidentifier les personnes. Et l'analyse du Commissaire à la protection de la vie privée, qui a pu voir, là, sous le capot, comme il a été dit ce matin, et l'analyse du fédéral, c'est de dire : Bien, il y aurait de faibles probabilités. Donc, c'est un argument qui est très fort, en droit. Mais c'est... vous savez très certainement, ce n'est pas parce que le droit le dit que c'est une bonne chose, nécessairement. Donc, même les lois...

Mme Rizqy : Avez-vous peut-être une décision à nous citer ou à nous remettre plus tard? Bien, peut-être pas à brûle-pourpoint, là. Parce que je suis un peu étonnée de votre propos, parce que vous avez aussi commencé en nous disant : Comme tout bon avocat, je travaille avec des faits. Alors, je vais vous donner un exemple, peut-être, pour mieux illustrer les propos. Prenons un exemple réel : avril 2018, Facebook a l'application où est-ce qu'on peut identifier nos amis ou des gens potentiellement amis, amis avec nous, qui sont au même endroit, alors certains avocats se sont dit : Hum! J'ai un procès avec jury... Vous savez... Vous êtes avocat?

M. Déziel (Pierre-Luc) : Non, mais j'ai un doctorat en droit.

Mme Rizqy : Ah! O.K. Dans ce cas-là, juste... D'accord, d'accord, je pensais... j'ai tenu pour acquis que vous étiez avocat, vu que vous avez dit «comme tout bon avocat».

M. Déziel (Pierre-Luc) : Non.

Mme Rizqy : Alors, bien, vous n'êtes pas sans savoir qu'il est important de garder l'anonymat des membres du jury.

M. Déziel (Pierre-Luc) : Absolument.

Mme Rizqy : Alors, les avocats, côté défense, ont identifié, grâce à cette application, les membres du jury parce qu'ils étaient géolocalisés au même endroit. Alors, c'est pour ça que je suis un peu étonnée, lorsque... cette affirmation de jurisprudence, parce qu'il y a même le Barreau, là-dessus, qui était sorti pour dire : Bien, c'est allé trop loin. Même si on ne pouvait pas les identifier immédiatement, on a été capables de les identifier indirectement. Alors, c'est pour ça que je suis un peu étonnée, mais je...

M. Déziel (Pierre-Luc) : Bien, je dirais que, dans ce contexte-là, il y a une collecte de renseignements personnels, c'est-à-dire, bien, c'est une... si on peut identifier la personne, là ça serait un renseignement personnel. Donc là, si on a cherché à identifier des personnes, ça va être un renseignement personnel. Mais, juste pour revenir sur... parce que...

Mme Rizqy : Mais, si vous permettez, parce que le temps file... laisser terminer, parce que c'est...

Le Président (M. Bachand) : ...peut-être juste laisser terminer...

Mme Rizqy : Oui. Non, mais c'est... M. le Président, vu que c'est mon temps, je me permets de pouvoir...

Le Président (M. Bachand) : Parce que vous le coupez, c'est pour ça, là.

Mme Rizqy : Non, ce n'est pas que je le coupe, c'est qu'il a répondu à ma question, puis j'ai tout de suite une question, puis le temps file.

Le Président (M. Bachand) : Allez-y, allez-y.

Mme Rizqy : Ma deuxième question, c'est que le commissaire à la vie privée, dont vous faites mention, le 31 juillet, mentionne, et vous l'avez affirmé vous-même, qu'on peut identifier des gens. Est-ce que ça, ça ferait en sorte que, pour nous, on pourrait considérer que ça pourrait être un renseignement?

M. Déziel (Pierre-Luc) : Bien, c'est exactement... puis c'est exactement le point, puis c'est pour ça que c'est difficile, puis c'est des définitions techniques, en droit. Donc, la définition, à mon sens... Je pense que l'argument est fort, comme je vous dis, du gouvernement, mais ça ne veut pas dire qu'il n'y a pas quelque chose, en dessous du droit, qui cloche, en fait. Puis c'est un peu ce que je vous disais tout à l'heure, la définition même du renseignement personnel, elle est problématique. La définition, c'est la... quelque chose que... Le Commissaire à la protection de la vie privée l'a dit, la Commission d'accès à l'information, les lois doivent être modernisées, on doit améliorer la définition même du renseignement personnel. Donc, l'argument est fort, mais ça ne veut pas dire qu'on devrait le suivre dans un contexte purement juridique, mais le voir un petit peu plus large puis dire... On peut jouer sur les technicalités puis dire que ce n'est pas des renseignements personnels, mais est-ce que, vraiment, ça nous avance à quelque chose, finalement?

Tout à l'heure, vous m'avez demandé la référence. La référence, c'est Gordon contre Santé, qui est une décision de la Cour fédérale de 2008 qui va nous dire qu'il faut qu'il y ait des fortes probabilités de réidentifier les personnes. Donc, c'est pour ça qu'il y a un danger. C'est-à-dire que, là, pour le moment, on nous dit : Ce n'est pas des renseignements personnels parce qu'il y a des faibles possibilités de réidentifier les gens. Ce n'est pas des fortes probabilités, donc ce n'est pas un renseignement personnel, mais il y a quand même cette possibilité-là qui existe, c'est la raison pour laquelle ce n'est pas anonyme. Et, si jamais on venait à identifier des personnes, bien là, ce serait un renseignement personnel, puis là on collecterait des renseignements personnels en ayant dit qu'on ne le ferait pas, et puis là on est dans ce conflit-là, qui va venir miner la confiance des personnes, à mon sens.

Mme Rizqy : Mais il est encore toujours possible qu'un jour on puisse avoir un tribunal qui regarde la question avec les faits d'aujourd'hui. Parce que 2008, entre aujourd'hui et maintenant, ce qu'on ne connaissait pas avant, c'était... 2008, c'était juste avant l'arrivée d'Instagram et de d'autres applications et où est-ce que nous aussi, on a pris connaissance de tout ce croisement de données et des scandales comme Cambridge Analytica. Alors, on a encore, ici, beaucoup d'inconnues devant nous.

Et vous avez aussi parlé du caractère volontaire. Est-ce que vous avez entendu parler de certains employeurs... Je ne sais pas si vous avez eu la chance, parce que c'était ce matin, d'entendre la Commission des droits de la personne et des droits de la jeunesse, qui nous indiquait clairement... non, désolée, je vous ai induit en erreur, c'est la Commission d'accès à l'information, désolée, je vous ai induit en erreur, je vais me reprendre, la Commission d'accès à l'information, qui nous a indiqué qu'il y avait déjà, en ce moment, une enquête en cours parce qu'un employeur forçait, justement, l'utilisation. Est-ce que vous nous recommandez d'avoir, justement, tel qu'on l'a entendu ce matin, d'avoir une législation beaucoup plus robuste qui va permettre de mieux encadrer les employeurs?

M. Déziel (Pierre-Luc) : Absolument.

Mme Rizqy : Est-ce que vous allez aussi plus loin? Parce que, maintenant, on peut voir ailleurs dans le monde, dans des juridictions, disons, moins clémentes au respect des droits et libertés des individus... qui demandent de scanner un code UR, un code-barres, en fait, pour pouvoir entrer dans certains établissements. Est-ce que vous pensez que, ça, on devrait aussi ne pas permettre à ces établissements de pouvoir scanner... de demander, au fond, aux gens de scanner un code-barres afin de rentrer au restaurant, rentrer à tel endroit, de rentrer dans l'autobus?

M. Déziel (Pierre-Luc) : C'est la première fois que j'entends ce type d'exemple là. Donc, scanner un code-barres pour rentrer à quelque part?

Mme Rizqy : Oui.

M. Déziel (Pierre-Luc) : O.K. Bien, c'est dans certains contextes. Ça dépend si c'est un endroit qui est sécurisé... Peut-être pas n'importe qui peut rentrer dans un laboratoire, par exemple.

Mme Rizqy : Non, par exemple, l'autobus, services publics, là.

M. Déziel (Pierre-Luc) : Ah! O.K. Bien, rentrer ça, code-barres, j'imagine que l'idée, derrière tout ça, c'est de savoir... d'identifier la personne, là, puis de savoir que ce n'est pas juste quelqu'un qui est rentré, mais que c'est...

Mme Rizqy : Non, c'est parce qu'on veut savoir si la personne était testée avec la COVID-19, là.

M. Déziel (Pierre-Luc) : C'est ça, c'est ça. Bien, c'est très risqué, en tout cas, à mon sens.

Mme Rizqy : Parfait. Je vais continuer, je sais que le temps file, efficacité. J'entends que vous avez bien écouté, hier, nos invités.

M. Déziel (Pierre-Luc) : Absolument. J'ai regardé toutes les présentations jusqu'à tant que je doive partir d'ici.

Mme Rizqy : Ah! merci, c'est vraiment apprécié.

M. Déziel (Pierre-Luc) : C'était passionnant.

Mme Rizqy : La très grande majorité, à part peut-être un d'entre eux, la très, très grande majorité nous ont dit que c'était très peu efficace, voire anecdotique. Alors là, aujourd'hui, quand on balance les droits, les libertés, là, quand on tombe dans l'anecdotique, qu'est-ce que vous en pensez?

M. Déziel (Pierre-Luc) : Si l'efficacité est anecdotique? Bien, je ne serais pas compétent pour vous dire est-ce que c'est quelque chose qui est efficace très fortement ou anecdotiquement parlant. Comme je vous dis...

Mme Rizqy : Bien, en plus, en matière de droit, la proportionnalité des inconvénients, la balance, en fait, parce que, si on nous dit qu'une application est anecdotique dans son efficacité et le risque... C'est plus là-dedans que j'aimerais vous entendre.

M. Déziel (Pierre-Luc) : Bien, en termes de protection de la vie privée, c'est assez clair, et ça, c'est l'analyse même du Commissaire à la protection de la vie privée. Puis c'est pour ça qu'il y a des mesures qui sont mises en place, un petit peu comme on discutait tout à l'heure.

En fait, quand on veut chercher des renseignements personnels pour les personnes, il faut qu'on les informe de la finalité, il faut qu'on dise : Moi, c'est pour faire ça, que je veux aller chercher les renseignements personnels. Si je vais chercher ces renseignements personnels là, après on va regarder est-ce que la mesure que vous faites, que vous mettez en place va être efficace pour atteindre la fin qui est visée. Si ce n'est pas efficace pour atteindre la fin visée, bien, on fait une collecte qui est superflue ou qui est arbitraire de renseignements personnels, et donc, à partir de ce moment-là, on ne devrait pas la faire parce que ce qu'on n'a pas à collecter, on ne le collecte pas. Donc, l'efficacité est déterminante. Là, même si je ne suis pas placé pour l'évaluer, elle est déterminante parce qu'elle vient assurer le respect du principe de finalité de l'application et prévenir des collectes qui seraient superflues, excessives ou inutiles de renseignements personnels.

Mme Rizqy : O.K., merci. Et je continue exactement dans la même veine, parlons du stockage, deux affaires. Premièrement, à qui appartient la donnée? À l'usager? À l'État? Aux développeurs de l'application? Première question. Deuxième sous-question : Le stockage, voulez-vous nous en glisser un mot, de ce que vous en pensez?

M. Déziel (Pierre-Luc) : Oui, absolument. Bien, c'est une question avec laquelle on est souvent confrontés : À qui appartient la donnée? En fait, il n'y a pas de droit de propriété sur un renseignement personnel, ce n'est pas quelque chose... on ne peut pas être propriétaire de ça. C'est quelque chose qui fait partie de nous, de notre liberté individuelle, donc on n'est pas propriétaire, ce n'est pas un bien qu'on peut commercialiser ou vendre.

On parle, en termes de lois sur la protection des renseignements personnels, de contrôle sur les renseignements. Donc, moi, j'ai un contrôle sur mes renseignements personnels, là, puis ce contrôle-là, c'est ce qui garantit ma liberté. Il s'opérationnalise entre autres avec le consentement, et, quand je le transmets à quelqu'un, il va être sous son contrôle. Donc, s'il est dans un serveur, bien, les personnes qui ont ce serveur-là, c'est un renseignement qui est sous leur contrôle, et donc ils ont des obligations qui vont découler des lois sur la protection des renseignements personnels par rapport à ce contrôle-là. Donc, on ne parle pas de propriété, mais on parle de contrôle.

Sur les serveurs, bien, c'est sûr que l'idéal, c'est que ça soit stocké dans des serveurs qui sont en sol québécois, canadien, sur lesquels on a un contrôle qui est aussi physique, finalement...

• (16 h 20) •

Mme Rizqy : Puis qui appartient au gouvernement du Québec?

M. Déziel (Pierre-Luc) : Qui appartient au gouvernement du Québec, oui.

Mme Rizqy : Parfait. Je vais aller rapidement parce qu'il me reste 30 secondes.

M. Déziel (Pierre-Luc) : Oui, je comprends.

Mme Rizqy : Désolée.

M. Déziel (Pierre-Luc) : C'est des questions qui sont complexes, quand même, c'est pour ça que...

Mme Rizqy : Là, j'ai failli oublier ma question. J'ai un trou de mémoire... Ah!

M. Déziel (Pierre-Luc) : Bien, je peux continuer, si vous voulez, sinon.

Mme Rizqy : Non, non, j'allais poser la question... Ah oui! Les pénalités. Lorsqu'il y a des fuites, trouvez-vous que nos lois ont assez de mordant, ou on devrait aller plus loin au niveau des pénalités?

M. Déziel (Pierre-Luc) : Bien, c'est...

Le Président (M. Bachand) : Rapidement, s'il vous plaît.

M. Déziel (Pierre-Luc) : Les lois actuelles n'ont pas du tout assez de mordant. Le projet de loi n° 64 est intéressant, mais, vous en discutiez ce matin, est-ce que... pour moi, c'est des gros chiffres, mais vous êtes plus experte que moi sur ce sujet-là. Est-ce que c'est assez gros quand même? On en reparlera éventuellement, c'est ça, mais c'est une amélioration, mais, pour le moment, c'est complètement insatisfaisant, ça, c'est clair, absolument. Merci à vous.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Bonjour. J'ai très peu de temps.

M. Déziel (Pierre-Luc) : Je vais aller vite.

M. Nadeau-Dubois : Je vais vous bousculer un peu.

M. Déziel (Pierre-Luc) : Parfait. Je suis prêt.

M. Nadeau-Dubois : Dans l'état actuel du cadre juridique au Québec, si rien ne change — le projet de loi n° 64 n'est encore, pour le moment, qu'un projet de loi — jugez-vous que le tout est en place pour protéger la vie privée des Québécois, Québécoises, si une application calquée sur celle du fédéral était mise en place au Québec?

M. Déziel (Pierre-Luc) : Non, pas nécessairement. Voulez-vous que je développe?

M. Nadeau-Dubois : Est-ce que vous diriez qu'il y a des risques significatifs pour la vie privée des Québécois, si on allait dans ce sens-là?

M. Déziel (Pierre-Luc) : Ça dépend comment... Évidemment, ça dépend comment on défendrait... on définirait «significatifs», mais il pourrait y avoir des risques, oui.

M. Nadeau-Dubois : O.K. À la quatrième recommandation, vous dites... vous recommandez que l'application soit désactivée si son efficacité ne peut être scientifiquement démontrée. Je comprends que ce n'est pas votre compétence que de déterminer si l'application... si l'efficacité est scientifiquement démontrée. La grande majorité des experts nous ont fait... vous avez entendu les témoignages comme moi, nous ont donné comme témoignage que l'efficacité n'était pas démontrée. Dans ce contexte-là, qu'est-ce que vous recommandez, qu'on active ou qu'on n'active pas une telle application au Québec?

M. Déziel (Pierre-Luc) : Bien, je pense que la solution fédérale offre quand même une solution qui est assez intéressante. C'est-à-dire qu'il y a une configuration qui est différente, hein, il y a des... peut-être que ça va fonctionner, peut-être que ça ne va pas fonctionner, mais qu'il faut la surveiller très rapidement et désactiver si ce n'est pas nécessaire... bien, si ce n'est pas efficace.

La protection de la vie privée, une des facettes à prendre en considération pour savoir si on va de l'avant ou pas... Donc, ça serait un peu problématique pour moi de répondre en vous disant est-ce qu'on va de l'avant ou pas, en ne regardant que la vie privée, finalement.

M. Nadeau-Dubois : Et, si on... Parce que vous comprenez qu'il peut y avoir aussi un problème de dire : On l'essaie puis, si on voit qu'il y a des problèmes, on la désactive. Est-ce qu'une manière de contourner ce problème-là ne serait pas de procéder à des tests, par exemple, pour s'assurer de l'efficacité puis ensuite généraliser l'application? Est-ce que, du point de vue de la vie privée, ce ne serait pas plus prudent, comme manière de procéder, de commencer par des tests avant de généraliser?

M. Déziel (Pierre-Luc) : Je serais d'accord avec cette affirmation-là, oui.

M. Nadeau-Dubois : Parfait. Merci beaucoup.

M. Déziel (Pierre-Luc) : Ça me fait plaisir. Merci à vous.

Le Président (M. Bachand) : Merci. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup. Donc, à mon tour de vous accueillir. Je voudrais aller rapidement sur la recommandation 8. Vous dites que «le gouvernement du Québec devrait veiller à mettre en place une stratégie efficace de distribution et d'analyse [de] tests à la COVID-19 afin de s'assurer que l'application ne s'avère pas contre-productive». J'aimerais vous entendre sur cette affirmation. Ce n'est pas votre champ d'expertise, mais vous dites : Faites attention, si vous allez de l'avant avec ça, il va falloir qu'on ait des tests, il va falloir qu'ils soient disponibles parce que ça pourrait être contre-productif. J'aimerais avoir votre regard.

M. Déziel (Pierre-Luc) : Bien, effectivement, je m'avance toujours un petit peu en dehors de mon champ d'expertise, mais qui continue sur cette idée de l'application mobile puis de son efficacité, finalement. C'est-à-dire que c'est des choses que vous avez discutées depuis hier, l'application, ce quelle va faire, c'est d'essayer de demander aux gens de les notifier d'une exposition potentielle puis leur demander d'aller se faire tester, leur demander d'aller passer des tests puis d'avoir une réponse rapide aux tests. Et puis donc l'application va être efficace si ce mécanisme-là est mis en place de manière productive, de manière efficace.

Ma crainte, pour en avoir parlé avec d'autres collègues, parce qu'on a travaillé un peu sur les applications de traçage aussi... bien, en fait, beaucoup plus sur les applications de traçage et sur les applications de notification, c'est les dangers relatifs à l'anxiété et à l'inquiétude. Puis, encore une fois, le point sur lequel j'appuie, celui de la confiance. Donc, si moi, je reçois une notification qui dit : Tu es à risque, vas te faire tester, puis j'arrive, je ne suis pas capable de trouver... je ne suis pas capable de me faire tester, les résultats arrivent très rapidement, bien là, peut-être que je commence à perdre un petit peu confiance puis à dire : À quoi elle me servait, l'application, finalement? Donc, c'est un des éléments dans une solution beaucoup plus large, beaucoup plus systémique.

Et puis il y a une interdépendance, à mon sens, entre les différentes efficacités. Donc, l'efficacité de l'application va être... va aller aussi loin qu'il va y avoir une efficacité, finalement, au niveau des tests. Donc, c'est... Et sinon on va commencer à nourrir, peut-être, cette méfiance-là, peut-être nourrir cet inconfort-là, cette anxiété-là puis là on va... ça risque d'être contre-productif, dans une certaine mesure.

M. Ouellet : Donc, si je comprends bien, pour améliorer la confiance des individus dans l'application... ou le désir du gouvernement que les individus téléchargent l'application, le gouvernement devrait affirmer très fermement : Ayez confiance en cette application parce que, si vous êtes notifié, vous aurez accès à un test rapidement qui va vous permettre d'être testé, et donc il n'y aura pas augmentation d'anxiété. Est-ce que vous voulez aller aussi loin que ça? Parce que vous dites «devrait veiller à mettre en place», mais on va un peu plus loin, là. Est-ce que le gouvernement devrait lui-même annoncer que, des tests, il y en aura, la rapidité sera au rendez-vous?

M. Déziel (Pierre-Luc) : Je pense que c'est important, mais je pense qu'il faudrait dire : Puis on est prêts pour les tests aussi. Je ne pense pas, par contre, là — puis je n'ai pas réfléchi à ça avant, on en parle maintenant — qu'il faille dire : Si vous avez l'application, vous allez avoir un accès plus rapide aux tests. Là, on tombe dans des questions que vous avez évoquées jusqu'à hier. Ce n'est pas tout le monde qui va avoir l'application. Est-ce que c'est une voie rapide pour les tests, avec l'application? C'est peut-être jouer un petit peu sur des enjeux qui sont très dangereux. Puis de commencer à mettre des conditions pour... ou en tout cas de «nudger», comme on dit, les personnes de manière peut-être un peu trompeuse vers l'application... Donc, je ne pense pas... je pense qu'il faut être prêts pour la stratégie, mais qu'il ne faut pas dire : Il y a une voie rapide pour les tests quand vous avez l'application. C'est très dangereux, à mon sens.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Effectivement, je vais faire un peu de pouce là-dessus, parce qu'effectivement, dans les milieux urbains, si vous donnez l'impression que, si vous avez l'application vous allez avoir accès à des tests, bon, tous les gens en milieu rural ou en région peuvent se sentir désavantagés.

Vous évalueriez la confiance de la population, au moment où on se parle, là, prête à recevoir une application complémentaire, comme le gouvernement s'apprête à l'appeler, ou il y a encore beaucoup de travail à faire? Parce que, tout le long de votre présentation, la confiance de la population, pour vous, à part de la définition des renseignements personnels, là, c'est le critère numéro un, la confiance de la population. Est-ce que vous évalueriez que la confiance de la population, présentement... la population est prête à ça?

M. Déziel (Pierre-Luc) : Bien, moi, au lieu de m'en remettre à mon intuition, je vais m'en remettre à... Il y a des sondages que je cite dans mon mémoire, un sondage Léger qui est sorti le 11 août, donc avant-hier, finalement, qui montrait, si je me rappelle bien, là, il y a les chiffres dans le mémoire, que c'est... 54 % des Canadiens qui ont été interrogés ne font pas confiance que l'application Alerte COVID ne collecte pas de renseignements personnels. Donc, 54 %, même si on leur dit : On ne collecte pas des renseignements personnels, n'ont pas confiance qu'effectivement l'application ne collecte pas de renseignements personnels.

Donc, je pense qu'il y a un travail à faire. Des gens ont peur, peut-être... c'est des métriques qu'on trouve à travers la littérature sur la protection des renseignements personnels, les gens n'ont ni confiance au gouvernement, ni confiance, de manière générale, aux entreprises, ni aux universitaires ou aux chercheurs aussi. Dans le contexte de la confiance, c'est vrai, il y a tout le temps un travail à faire. Donc, ce 54 % là, pour moi, il est assez significatif, et ça rejoint les enjeux que je discutais un petit peu plus tard de ne pas essayer de cacher qu'on collecte des renseignements personnels, de ne pas leur dire : On ne collecte pas de renseignements personnels, parce que, de toute façon, il y a une majorité de la population qui ne le croit pas. C'est un sondage qui est sorti, Léger, hier. Il faudrait voir la méthodologie aussi, mais ils n'ont pas l'habitude de faire n'importe quoi.

M. Ouellette : Effectivement, il faudrait voir la méthodologie. À plusieurs reprises, j'ai eu l'impression que vous aviez des doutes. Vous nous dites «si on va de l'avant», «si on va de l'avant». Ça pourrait-u arriver qu'on n'en ait pas besoin?

M. Déziel (Pierre-Luc) : Est-ce qu'on n'en a pas...

Une voix : ...

M. Déziel (Pierre-Luc) : Bien, c'est ça, mais ça pourrait tout à fait arriver. Je pense qu'il faut garder... Dans n'importe lequel processus délibératif ou décisionnel, il faut éviter les oeillères puis garder toutes les opinions ouvertes. Je pense que c'est le but de la discussion, aujourd'hui, puis des audiences que vous tenez depuis hier, et de la consultation publique qui a été ouverte. C'est sûr que, si on se dit : C'est sûr qu'il faut aller de l'avant, bien, ce n'est pas peut-être pas l'attitude, en tout cas, qu'il faut adopter quand on réfléchit à ces choses-là. Je pense qu'il faut tout le temps garder un esprit ouvert puis dire : Ça se peut qu'on arrive à la conclusion qu'on n'en a pas besoin, de l'application.

Encore une fois, moi, je pense que ce qui va être important à la fin de tout ça, c'est encore cette question de confiance qui va être importante à travers le processus de la gestion de la crise, au-delà de la question des renseignements personnels, c'est d'expliquer les décisions. Je pense qu'il va falloir que ça soit clair, puis je pense que ça a été précisé ce matin, je pense que c'était peut-être... je ne m'en rappelle plus, qui l'a précisé, mais peu importe ce qu'on va... en tout cas, je parle un petit peu comme ça, je ne veux pas avoir l'air... mais quelle décision on va arriver... il va falloir qu'elle soit justifiée puis qu'on l'explique. Si on prend une application, il faut l'expliquer, expliquer comment elle fonctionne, pourquoi est-ce qu'on l'a choisie, celle-là, pourquoi est-ce qu'on l'a choisie parmi d'autres. Si on arrive à se dire : On n'utilise pas d'application, il va falloir l'expliquer aussi. C'est toute une question de transparence puis de dire : On s'est basés sur tels critères, là on est arrivés à cette décision-là. Puis, à partir de ce moment-là, c'est là qu'on nourrit cette confiance-là aussi.

Le Président (M. Bachand) : Merci beaucoup, M. Déziel, de votre participation, ça a été très intéressant.

Sur ce, je suspends les travaux quelques instants. Merci infiniment.

(Suspension de la séance à 16 h 31)

(Reprise à 16 h 36)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bonjour. La commission reprend ses travaux.

Nous avons le plaisir d'accueillir, maintenant, les représentants de l'Association québécoise des technologies, soit Mme Nicole Martel et M. Alain Lavoie. Comme vous savez, vous avez 10 minutes de présentation, et par après nous aurons un échange avec les membres de la commission. Encore une fois, bienvenue, et la parole est à vous. Merci.

Association québécoise des technologies (AQT)

Mme Martel (Nicole) : Merci. Alors, merci, merci de nous accueillir aujourd'hui. Je suis Nicole Martel, présidente-directrice générale de l'Association québécoise des technologies. Je suis accompagnée de M. Alain Lavoie, qui est président d'une entreprise technologique, Irosoft, également membre de notre conseil d'administration à l'AQT, pour diminuer un peu la longueur du nom.

Alors, ça nous fait plaisir de venir partager nos réflexions par rapport au projet en question, donc le déploiement d'une application mobile pour lutter contre la COVID-19. On espère que nos recommandations, nos positions sont en mesure d'apporter un éclairage à vos réflexions et qu'elles aideront le gouvernement à mener à bien ce projet tout en considérant les préoccupations qui sont perçues par l'industrie.

Sans détour, je dirais que, dans mon quotidien à la tête de l'Association québécoise des technologies depuis plusieurs années, je suis constamment à la découverte de nouvelles solutions qui aident des entreprises qui aident les humains, donc j'ai un a priori favorable face aux technologies et le potentiel qu'elles ont pour aider les individus, bien sûr, si elles sont bien développées et bien encadrées, naturellement.

Donc, jusqu'à maintenant, vous avez reçu plusieurs experts en matière de protection de vie privée, d'éthique, de cybersécurité. On a eu la chance d'entendre quelques-uns de ces témoignages, qui étaient fort éclairants. Nous allons donc concentrer nos recommandations autour de deux grands thèmes, soit la gouvernance et les communications, les communications pour bien expliquer l'outil. Donc, pour nous, il s'agit de mettre en place des conditions qui sont gagnantes pour le déploiement de l'application et faire en sorte que la technologie soit au service de l'humain.

En débutant, peut-être préciser le rôle de l'AQT et la composition du secteur des technologies de l'information. Donc, l'écosystème des TIC, là, est composé d'entreprises de toutes sortes d'expertises. Ça peut être des entreprises en télécommunication, les équipements, les services informatiques, bien sûr, les logiciels. L'expertise québécoise est reconnue, ce n'est pas en reste, elle est reconnue sur la scène mondiale. D'ailleurs, deux tiers des entreprises membres de l'AQT ont des ventes hors Québec. C'est des entreprises qui... une empreinte chez des clients aussi prestigieux que la Maison-Blanche, n'en déplaise à nos voisins, mais, bon, des clients tous plus prestigieux les uns que les autres, signe, dans le fond, de la pertinence de nos produits.

Nos solutions québécoises visent tous les secteurs d'activité économique, que ce soit le secteur financier, la santé, les grandes entreprises manufacturières, la gestion des données, pour n'en nommer que quelques-uns. On utilise ces technologies-là à tous les jours, dans notre quotidien. C'est transparent à nous, et c'est tant mieux, c'est ce qu'on veut. Au Québec, on dénombre près de 2 000 entreprises qui, à leur tour, représentent 150 000 emplois, 150 000 professionnels qui sont dans un secteur qui est toujours en croissance et qui, quand même, se porte bien, malgré toutes les circonstances qu'on connaît actuellement.

Notre mission, à l'AQT, c'est de faire en sorte que l'environnement d'affaires soit favorable à leur croissance, et ça passe notamment par l'accès à des meilleures pratiques et par, aussi, des occasions de partenariats qu'on provoque entre les membres, soit des partenariats technologiques ou des partenariats commerciaux.

• (16 h 40) •

Donc, tel que mentionné au début, si elles sont utilisées de façon éclairée, les technologies représentent un outil de plus dans l'arsenal des moyens à notre disposition pour combattre les fléaux, dont la propagation de la COVID-19. En ce qui a trait à l'actuelle pandémie, l'ère dans laquelle nous vivons permet un avantage lorsque comparée aux époques antérieures où les moyens dont on disposait étaient plus limités. C'est notre opinion. De la façon dont nous sommes... De la même façon, on est convaincus que l'innovation peut très bien cohabiter avec la protection de la vie privée et que l'un ne doit pas se faire au détriment de l'autre. Bien au contraire, les technologies peuvent et, surtout, doivent intégrer les concepts de vie privée dès la conception. Vous avez entendu parler de ce concept-là aussi jusqu'à maintenant. Il faut veiller à ce que les technologies s'arriment aux exigences de nos sociétés. En ce sens, les paramètres technologiques devront correspondre aux plus hauts standards de protection de vie privée. On pense que le gouvernement devra veiller à ce que les conditions dans lesquelles la solution sera offerte n'outrepassent jamais les conditions d'utilisation qui auront été préalablement communiquées, question de conserver la confiance.

D'ailleurs, on profite de l'occasion pour saluer le travail de fond qui a été effectué par les équipes. Le document de consultation démontre qu'il y avait un bon travail de vigie qui avait été réalisé. Les options retenues, Bluetooth, excluant le GPS, et les données décentralisées nous apparaissent comme des choix judicieux également.

Donc, tel que mentionné plus tôt, nos deux recommandations se regroupent en deux thèmes : une gouvernance qui sera irréprochable et multi-expertises et des communications adoptant les plus hauts standards de transparence. Prenant pour acquis que l'utilisation d'une application mobile puisse véritablement aider la Santé publique et, par ricochet, la population, le gouvernement doit prendre tous les moyens pour que l'initiative soit un véritable succès. Pour ce faire, les citoyens doivent avoir une confiance inébranlable face à l'État quant à l'utilisation qui sera faite des données. Le champ d'action de l'application mobile qui sera sélectionnée doit être délimité et clairement communiqué. Le gouvernement ne doit en aucun cas se soustraire à son engagement ou encore étendre l'utilisation de l'outil à d'autres fins.

Parmi les bonnes pratiques pour un succès de projet techno, on parle souvent de bureaux de projets multidisciplinaires. Dans ce cas-ci, on recommande de créer un comité de gouvernance réunissant des membres aux expertises et provenances complémentaires, comité qui comprendrait, bien, des employés de l'État, des professionnels de l'État, des chercheurs, des juristes, des experts en protection de vie privée, des spécialistes en technologie, bien sûr, des professionnels de la santé publique pour qui on développe cet outil. L'AQT pourrait certainement y désigner des représentants. Ce comité devra établir et valider les critères de succès en amont et devra recevoir une rétroaction en continu et fournir des avis tout au long du processus. Parmi son rôle et ses responsabilités, nous recommandons que le comité s'assure, avant le déploiement de l'application, des règles claires d'utilisation, devra aussi veiller à ce que soit envisagées, voire identifiées, les situations qui justifieraient le retrait de l'application, le cas échéant. Le comité devrait aussi faire en sorte que soit précisée la durée projetée de l'application et définir le protocole de mise hors service. Le comité devrait voir au respect des accréditations pour les ressources humaines qui sont autorisées à consulter et traiter les données. Les standards canadiens nous apparaissent des standards mondialement reconnus pour ce faire. Il devrait aussi poursuivre la vigie internationale quant à l'utilisation d'outils comparables pour analyser les écueils et apporter les ajustements nécessaires au besoin.

Sur le plan de l'adhésion, bien, il va sans dire que la situation actuelle, couplée à l'utilisation d'un outil technologique, peut être propice à une augmentation de stress et d'anxiété au sein de la population, on en est bien conscients. Cet enjeu doit être sérieusement pris en compte. C'est pourquoi on recommande qu'il y ait un plan de communication et de mobilisation qui soit mis en place. Le plan devrait voir à vulgariser l'information dans une perspective d'éducation face à la population. Il faudra expliquer les caractéristiques technologiques liées aux préoccupations, qui sont fort légitimes, de la part des citoyens, par exemple que les données sont anonymisées — on l'aime, ce mot-là, «anonymisées» — qu'il y a absence de localisation GPS, que les données résident sur les appareils des utilisateurs, et ainsi de suite. Ce plan de communication pourrait avoir un double objectif et informer la population de leur exposition face à leur utilisation d'outils, je dirais, grand public, qui sont déjà sur leurs appareils, les appareils auxquels ils ont possiblement accordé des autorisations soit de localisation ou autres, bien souvent à leur insu, par méconnaissance ou manque de littératie numérique. L'angle éducatif ne devrait certainement pas être négligé, puisque les projets technologiques seront omniprésents dans le futur, et il est important pour le Québec d'encourager la population à devenir des citoyens numériques plus avisés.

Pour illustrer sa transparence, le gouvernement devrait communiquer les progrès au niveau de la mise en place de l'outil, son adoption, ses retombées, notamment au niveau de la prise en charge rapide des personnes à risque, et des invitations à se faire tester rapidement pour limiter la propagation. Depuis le début de la pandémie, on a pu observer que la population était très intéressée à être informée, puis la population collabore aussi, puis elle ajuste ses comportements en conséquence puis face aux diverses éventualités, donc on pense qu'elle serait réceptive à des messages comme ceux-là. L'objectif ultime sera de mobiliser le plus grand nombre de citoyens, d'organisations qui sont susceptibles d'encourager l'adoption de l'outil par la population.

Donc, en résumé, nous sommes convaincus que l'utilisation des technologies est un outil de plus dans l'arsenal déjà existant des moyens dont on dispose pour lutter contre la pandémie. Ça ne remplace aucun des moyens existants. L'innovation n'exclut pas la protection de la vie privée si les conditions et les paramètres sont bien définis et bien encadrés.

Puis je terminerais en disant que la médiatisation d'écueils survenus dans les grands projets technologiques par le passé... il peut être vrai de penser que la population nourrit un certain cynisme à l'égard d'un tel projet, de projets technologiques en général. Donc, qu'on se le tienne pour dit, le succès de ce projet fera foi des projets à venir. Si le gouvernement va de l'avant, on n'a pas le droit à l'erreur. Advenant qu'on accuse des ratés par rapport à l'application et à l'utilisation des données, ça pourrait avoir des retombées extrêmement négatives sur la confiance de la population et sur la perception de notre industrie et des entreprises qui la composent. Un échec pourrait également compromettre la viabilité d'autres projets numériques d'envergure, qu'ils soient privés ou publics. Bref, nous sommes condamnés à réussir. Nous avons le devoir de tout mettre en place ensemble pour favoriser cette réussite et ainsi permettre d'aider la Santé publique à circonscrire cette crise sanitaire. L'industrie québécoise des technos tend la main, et on espère pouvoir poursuivre les échanges avec vous. C'est le fruit de nos réflexions aujourd'hui.

Le Président (M. Bachand) : Merci infiniment pour votre présentation. Je me tourne vers la députée de... non, de Beauce-Nord, M. le député, pas «la députée». M. le député de Beauce-Nord, pardon.

M. Provençal : Merci, M. le Président. C'est parce que je ne suis pas habitué d'occuper cette place-là, c'est pour ça. Alors, merci beaucoup. Comme l'ensemble des gens qui viennent nous déposer de l'information, c'est très intéressant de regarder la paire de lunettes que vous avez face à ce dossier-là. Il y a différents éléments, et, d'entrée de jeu, vous parlez d'arrimage, dans votre document, en arrimage, technologie, concept de vie privée puis... versus les bénéfices attendus, mais est-ce que vous avez une idée des ficelles qu'on pourrait utiliser pour bien réussir cet arrimage-là? Ça serait ma première question.

M. Lavoie (Alain) : Écoutez, on fait des recommandations, dans le mémoire, par rapport à mettre un comité qui pourrait être en place, qui pourrait faire un suivi en continu par rapport à ça, faire de la vigie au niveau international parce que c'est un «working in progress», excusez l'expression, mais c'est une cible mouvante qui... en continuel. Il faut être alertes, il faut qu'autant du point de vue du gouvernement que du point de vue des comités externes on puisse avoir cette transparence-là puis qu'on puisse agir en fonction de ça. Comme on le dit dans notre mémoire, il faut avoir des règles d'engagement, hein, comment on s'y prend pour le mettre, mais comment on s'y prend pour sortir de là en cas de risque, c'est quoi, les règles de désengagement par rapport à ça. C'est toutes des choses qu'on a mises en place dans les recommandations.

Donc, plusieurs types de comités, là, qu'il pourrait y avoir, des comités interministériels, des comités avec l'externe aussi, avec des spécialistes, comme on le recommande, des comités citoyens qui pourraient être à l'intérieur de ça, mais qu'on ait une grande transparence. Parce que tout le monde est de bonne foi, je pense, à l'intérieur de ça, et ce qu'on veut, le but du jeu, c'est qu'à partir du moment où il y a quelqu'un qui est détecté avec la COVID on puisse retracer le plus rapidement possible les gens qui ont été en contact avec cette personne-là et être en mesure, donc... Mais ça prend des encadrements, ça prend des balises, et on... sans rentrer dans les détails de ça, parce qu'on n'est pas dans tous les détails, mais on pense que le gouvernement et les fonctionnaires ont fait leur job, autant au point de vue canadien que québécois, par rapport à ça et encadrer ça.

• (16 h 50) •

M. Provençal : J'aurais un deuxième élément, parce que, tout à l'heure, dans votre présentation, vous avez dit : On n'a pas le droit à l'erreur. Et d'ailleurs, dans votre mémoire, à un moment donné, vous mentionnez qu'on n'a pas le droit d'avoir un dérapage de ça parce que ça pourrait... on pourrait avoir une perte de confiance énorme envers tout ce qui est de la technologie numérique puis les organisations qui... Et, quand je regarde les recommandations que vous avez mises, entre autres les recommandations n° 5 à 8, est-ce qu'on ne peut pas dire... est-ce qu'on peut dire, excusez-moi, que ces recommandations-là ne pourraient pas être la base pour éviter, justement, un dérapage? Parce que vous parlez de «vulgariser l'information», d'«expliquer les caractéristiques technologiques» — je lis juste le début, là — «communiquer les progrès» au niveau de la technologie puis «mobiliser le plus grand nombre d'organisations», alors, personnellement, quand je lisais l'ensemble de votre document, j'avais l'impression que vous faisiez un lien entre ces recommandations-là, 5 à 8, et la notion des outils qui pourraient nous éviter un dérapage, pour employer le terme que vous aviez dans votre document.

Mme Martel (Nicole) : Bien, je peux répondre. Dans le fond, les recommandations 5, 6 à 8 sont vraiment pour faciliter ou comment engager une meilleure adhésion de la population. Les dérapages, il y a toutes sortes de moyens de se prémunir de dérapages, puis vous avez des spécialistes, aussi, qui sont venus vous le mentionner, donc c'est de faire des tests constamment sur des intrusions, des tentatives d'intrusion, de faire... de tester l'application constamment. C'est ce que toutes les grandes organisations, petites organisations font aussi avec leurs systèmes parce qu'il y a toujours des gens qui seront malveillants puis qui vont essayer de trouver des failles dans le système. C'est d'être très, très, très à l'écoute, très alerte puis de constamment bonifier la solution puis s'assurer qu'elle soit extrêmement robuste. C'est, malheureusement, toujours du «work in progress» aussi... pas malheureusement, mais c'est le propre de l'industrie des technologies, il faut constamment être alertes puis avisés puis surveiller qu'il n'y ait pas de fuite ou de...

M. Lavoie (Alain) : Si je peux compléter, c'est une préoccupation qu'on a, parce qu'il faut se rappeler, là, pour... on est là-dedans depuis longtemps, il faut se rappeler que les technologies de l'information n'ont pas toujours eu bonne presse, on a eu de la misère à aller recruter des gens, à une période. Avec l'avènement de l'intelligence artificielle, ça nous a donné un «boost» dans notre domaine. On a un beau momentum pour les gens pour aller en technologies de l'information et on veut... Puis aujourd'hui on parle de ça, mais, dans trois, quatre, cinq ans, on va parler des voitures autonomes qui s'échange des données qui... plein d'autres choses. Donc, ce qu'on veut, c'est qu'on prenne les... aujourd'hui, c'est la première étape d'une multitude d'étapes qu'on va travailler avec les données, puis il faut prendre des bonnes décisions à ce moment-là. Puis le dérapage, pour nous, serait désastreux, on reviendrait comme cinq ans ou 10 ans à l'arrière, et ça, ça ne serait pas une bonne nouvelle pour notre industrie.

M. Provençal : Dernière question, parce que je veux laisser du temps à mes collègues. Vous mentionnez, dans votre document : «Pour alimenter nos réflexions, il est nécessaire d'établir certaines hypothèses qui nous permettront de bien circonscrire les enjeux», et là vous émettez cinq hypothèses. Quand je lis chacune de vos hypothèses, est-ce que ces hypothèses-là ne définissent pas, en même temps, le profil de l'outil qu'on devrait mettre en place?

Mme Martel (Nicole) : Dans le fond, on est partis aussi de vos... des hypothèses du document de base, c'est-à-dire qu'on prendrait le choix d'une technologie Bluetooth plutôt que d'une technologie qui utiliserait les localisations GPS. Donc, c'est les hypothèses qu'on a reprises aussi. Mais la première hypothèse, pour nous, c'est la plus importante, c'est la définition du besoin par la Santé publique. Donc, il faut que ça serve la Santé publique, donc, pour nous, c'est la base, c'est la base de tout. On souhaite que ces gens-là soient sur le comité de gouvernance également, qu'ils soient aux premières loges pour nous dire est-ce que ça facilite le travail ou pas. Parce qu'en ce moment on travaille peut-être avec des blocs-notes, des listes de numéros de téléphone, mais est-ce que cette application facilite ou non le travail? Donc, c'est les hypothèses avec lesquelles on a bâti les recommandations.

M. Provençal : ...que vous avez défini le tout, au tout départ, comme étant un outil.

Mme Martel (Nicole) : Parmi les autres outils. Donc, on va écouter le Dr Arruda, on va continuer de garder la distanciation, se laver les mains, tousser dans notre coude, mais on va avoir un outil de plus, peut-être, qui va combler... bien, compléter l'arsenal ou, en fait, l'enrichir.

M. Provençal : Merci.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Bonjour, Mme Martel, M. Lavoie. Je suis très contente que vous soyez ici. J'ai trouvé votre rapport très intéressant, parce qu'on entend toutes sortes de groupes, puis ils nous amènent dans toutes sortes de directions, vous, vous êtes très dans le pratico-pratique, très, très concret, surtout au niveau de tous les dispositifs à mettre en place, la gouvernance.

Moi, j'ai souvent des questions par rapport à ça, puis, tu sais, il y a une réflexion, puis comment est-ce qu'on réalise ça, puis ça s'applique à cette application-ci, si... advenant un cas qu'on va de l'avant, ou à d'autres applications futures. Tu sais, c'est des réflexions qu'il faut avoir. Puis, dans les dispositifs à mettre en place, vous avez mentionné un processus de gouvernance de données. Bon, vous avez aussi parlé du protocole de mise hors service, c'est hyperintéressant, mais, le processus de gouvernance de données, est-ce que vous pourriez m'en parler un peu plus? C'est des questions qu'on a.

M. Lavoie (Alain) : Bien, écoutez, c'est un processus qu'on retrouve généralement en architecture d'information — qu'est-ce qu'on va faire de ces données-là? Où ils circulent dans l'appareil? Qui va y toucher? À quel moment il va y toucher? — avoir la chaîne de possession, essentiellement, de savoir qui a fait quoi avec quoi dans ces choses-là. Donc, c'est dans ce contexte-là qu'on parle de gouvernance de données, donc s'assurer qu'on sait qui travaille avec quoi et qui est habilité à faire les choses avec les données, essentiellement, et que ce ne soit pas juste : On capte la donnée puis n'importe qui peut embarquer. Donc, c'est ça, quand on parle de gouvernance de données.

Mme Boutin : Donc, c'est déterminer qui est en charge de la donnée, qui la stocke.

M. Lavoie (Alain) : C'est ça.

Mme Boutin : Puis vous pensez que le gouvernement du Québec devrait faire quoi? Comment on devrait procéder?

M. Lavoie (Alain) : Oh! comment? Bien, comme d'habitude. Le gouvernement a des processus, il y a même une loi qui l'oblige à faire... à s'assurer d'avoir... par exemple, si on regarde au niveau archivistique, savoir quand est-ce qu'on détruit, quand est-ce qu'on garde, comment on le met. Si on regarde au niveau de la Sûreté du Québec, où des choses... ils ont des processus pour savoir comment chemine la donnée. Il y a des normes aussi, essentiellement, pour s'assurer par rapport à ça. Donc, c'est... je pense que le gouvernement est habitué à faire ces choses-là.

Ce qu'on dit, c'est que ça prend un plan de match, là-dessus, et des habilitations. Ce n'est pas juste de la technologie, là, qu'on parle, c'est des humains aussi, c'est qui qui va toucher à ces données-là, puis s'assurer que les personnes qui y touchent, parce que... vont être habilitées, puis on va savoir qu'ils y ont touché. Donc...

Mme Boutin : ...la gestion des accès aussi.

M. Lavoie (Alain) : Pardon?

Mme Boutin : Donc, on parle aussi de la gestion des accès.

M. Lavoie (Alain) : Oui, gestion des accès, mais aussi ça va en amont, à savoir... par exemple, moi, je suis classifié secret, par exemple, au niveau du gouvernement, j'ai le droit de voir de la donnée secrète, donc c'est des types de classifications qui doivent... des habilitations qu'on parle pour avoir accès à cette information-là pour ne pas que ça soit, excusez-moi, un zoo, là, où tout le monde prend la donnée comme il veut, il faut que ça soit encadré. Puis c'est quand on dit : Il faut bien le faire, il faut le faire... oui, le faire mais le faire correctement. Donc, il faut prendre ces dispositions-là, et je suis convaincu, et on est convaincus que le gouvernement a toutes ces habilités-là pour le faire et s'assurer que la donnée va être bien protégée à ce niveau-là.

Mme Boutin : J'ai une autre question par rapport à l'efficacité, puis c'est une question que... tu sais, on peut la réfléchir de manière pragmatique. Est-ce qu'on l'a étudiée au niveau des indicateurs? Puis, dans votre rapport, vous aviez mis... vous avez parlé du Dr Amesh — c'est sûr que je massacre son nom, là, excusez-moi — un chercheur de l'Université Johns Hopkins, qui dit : Il n'y a pas vraiment de chiffre magique qui dit un niveau. Tu sais, à quel moment est-ce qu'une application est jugée efficace? Moi, je me pose la question. Puis là il dit : Quels sont les indicateurs? Est-ce que c'est le nombre de vies humaines? Est-ce que c'est le nombre de personnes qui vont adhérer à l'application? Puis on se pose ces questions-là.

Moi, ma question sur l'efficacité : Est-ce qu'on devrait la tester en amont pour être certains que ça fonctionne puis peut-être perdre du temps avant qu'il y ait des gens qui pourraient l'utiliser... si c'était efficace, ou la tester en temps réel? Tu sais, c'est toutes des questions qu'on doit se poser.

 (17 heures)

M. Lavoie (Alain) : On va revenir sur l'histoire de... le but du jeu. Le but du jeu, c'est de permettre, à partir d'un moment que quelqu'un a été détecté COVID, de trouver l'entourage et de circonscrire ça. Donc, c'est une fonction multi-objectifs. Donc, par exemple, si je pogne la COVID, je vais... il y a quelqu'un qui va me tester, je vais aller voir la Santé publique, puis la Santé publique va dire : Qui tu as vu? À quel moment tu l'as vu?, ainsi de suite. Donc, il y a une enquête qui est faite, essentiellement, par rapport à ça.

Bon, en ce moment, c'est la Santé publique qui le fait. Il y a un outil, qui peut être un cellulaire, mais on pourrait prendre aussi bien... imaginez, là, que Dr Arruda demande à tout le monde de prendre un calepin puis, quand il se déplace, il prend des notes où il se déplace, qui il a vu, à quel moment, puis, quand la Santé publique va m'appeler, bien, on lui dit : Regarde, on prend ça, puis on va essayer de s'en souvenir... parce que moi, je n'ai pas de mémoire, puis je ne me souviens pas, puis je prends mon petit calepin, parce que j'ai été correct puis je l'ai pris. Bien là, on a peut-être une application qui n'est peut-être pas aussi efficace qu'on le voudrait, mais qui est capable de garder... puis, moi, si je suis détecté COVID, bien, on peut l'utiliser comme un outil de plus. Donc, la fonction objective, c'est de trouver à 100 %, avec plusieurs moyens, dont un de ces moyens-là est une application... un autre moyen, c'est peut-être le petit calepin, puis un autre moyen, c'est peut-être une enquête qui est faite autrement, mais l'idée, c'est d'aller vers le 100 % le plus possible.

Bon, ceci dit, il faut s'assurer que, si on y va avec la technologie, ça va beaucoup plus vite qu'avec le calepin, mais ça va beaucoup plus vite s'il y a une fuite de données, ça peut partir très vite. Donc, c'est pour ça qu'on dit, il faut le faire comme il faut, parce que, s'il y a un risque, il y a un balancement à faire entre l'outil qui amène un poids dans la fonction objective qui est de 100 %, qu'on veut amener... qu'on veut maximiser, puis le risque que la donnée soit en fuite, mais il faut prendre les moyens pour s'assurer que les données sont encryptées, que c'est fait selon les règles de l'art, que les spécialistes ont pu voir le code, essentiellement, pour le faire. Donc, il faut aller dans ce sens-là pour être en mesure... puis, en termes d'efficacité, si c'est un pourcentage aussi minime, comme le docteur disait dans sa recherche, bien, c'est déjà du bonus, si ça amène un petit peu plus.

C'est dans ce contexte-là et selon cette hypothèse-là qu'on dit : Si on y va, c'est parce que la Santé publique pense que ça peut l'aider véritablement. Si la Santé publique ne sait pas quoi faire des données que ça va collecter, bien là, on a un problème. Donc, c'est dans ce sens-là que nous, on voit la perspective de ce projet-là en version... Puis en même temps, bien, il y a toute la question... en informatique, tout le monde sait, il y a la gestion du changement. La gestion du changement, bien, il faut s'occuper de la population pour bien les éduquer pour s'assurer qu'ils comprennent ce qu'on est en train de faire. Ça va?

Le Président (M. Bachand) : Mme la députée de Les Plaines, 1 min 20 s.

Mme Lecours (Les Plaines) : Bon, très rapidement, écoutez, bien, justement, quand on parle de gestion du changement, je voulais vous demander par rapport... justement, est-ce que ça pourrait être un frein, le fait qu'il y a des gens... on parle de 77 % de la population qui est munie d'un cellulaire, d'un téléphone quelconque, qui soit... Bon, dans ce 77 %, là, il y en a qui n'utilisent pas beaucoup d'applications, etc. On sait aussi que les gens âgés, qui ont été affectés, n'ont pas de cellulaire. Par contre, les jeunes, beaucoup l'ont et, effectivement, l'utilisent à toutes sortes de... Est-ce que ça pourrait être un frein ou... Le fait qu'il y a des gens qui n'ont pas de cellulaire, donc qui n'utilisent pas nécessairement ces applications-là, est-ce que ça pourrait être un frein ou, au contraire, le fait que ça va se répandre, si la population est bien informée, ça va se répandre sur le type d'utilisation?

Mme Martel (Nicole) : ...vous voulez savoir?

Mme Lecours (Les Plaines) : Oui, oui. On est condamné au succès, vous l'avez dit.

Mme Martel (Nicole) : Oui, c'est ça. Pour nous, il faut toujours le voir comme un des outils dans notre coffre à outils. Donc, on a plusieurs moyens, ça, c'en est un de plus. Je sais, on s'est beaucoup penché sur cette question-là aussi, à savoir les personnes les plus démunies, les personnes âgées, les personnes peut-être un peu plus vulnérables qui n'ont pas d'accès au cellulaire. On pense quand même que, si on arrive à stopper la... freiner la propagation ou, enfin, limiter la propagation, bien, ça va moins affecter, par exemple, les personnes âgées. Parce qu'on le sait, les travailleurs qui rentraient dans les CHSLD sont ceux qui, souvent, ont contaminé les personnes âgées. Donc, si ces personnes-là ont un appareil, qu'ils l'ont téléchargée, qu'ils l'ont mis en application, bien, peut-être que ça va éviter de propager le virus. Donc, pour nous, c'est un moyen qu'on doit conserver.

Il faut quand même trouver d'autres outils. Il faut continuer à chercher. Ce n'est pas une fin en soi, l'outil technologique, parce que, oui, il faut s'occuper de nos personnes les plus vulnérables, puis, en effet, ce n'est pas les personnes qui vont être couvertes par cette technologie-là, mais il faut faire aussi autre chose pour eux.

Le Président (M. Bachand) : Merci beaucoup. Je cède maintenant la parole à la députée de... Saint-Laurent, pardon.

Mme Rizqy : Merci beaucoup. Bonjour et bienvenue. Ça fait quand même plusieurs années que vous existez, n'est-ce pas?

Mme Martel (Nicole) : ...30 ans cette année.

Mme Rizqy : Félicitations! Dites-moi, est-ce que qui que ce soit du fédéral vous a contactés pour, justement, susciter votre expertise ou celle de vos membres? Parce que vous regroupez énormément de personnes. Est-ce qu'il y a eu un réflexe Québec?

Mme Martel (Nicole) : Non. D'ailleurs, je tiens à saluer le fait qu'il y a une consultation qui est faite au Québec, parce que je pense qu'il n'y a pas beaucoup de juridictions qui ont fait des consultations en amont, donc, non, absolument pas.

Mme Rizqy : Dans le fond, c'est que je me demande... c'est que j'ai l'impression que, lorsqu'on parle de technologie, on regarde souvent ce qui est fait ailleurs, mais on ne regarde pas ce qui est fait dans notre cour. Et moi, je suis à Saint-Laurent, comme vous le savez, tout comme vous, et, au niveau des technologies, je comprends que le fédéral est allé, on dirait, de façon très naturelle vers Toronto et que, même — hier, on recevait M. Yoshua Bengio — ça a été écarté. Mais je veux revenir... Au fond, si je comprends bien, on n'a pas eu le réflexe Québec.

Et j'aimerais, une autre affaire, vous demander... Avant de rentrer dans l'application, vous avez parlé d'arsenal. J'ai fait la visite de chez CAE, puis il existe quand même plusieurs autres outils. Notamment, CAE, oui, c'est une grosse multinationale, mais qui fait affaire avec plusieurs fournisseurs québécois. Et, par exemple, au niveau de la gestion de l'équipement, on peut voir très bien que, lorsqu'un employé prend un appareil sanitaire, bien, immédiatement, il y a un compteur, puis on sait d'avance que, O.K., il faut remplir la commande, et ça se fait.

Est-ce que ça serait quelque chose qui aurait pu être utile autant au niveau fédéral, pour la réserve sanitaire fédérale, que même pour chez nous, au Québec, pour un jour savoir, en temps pratiquement réel, ce qu'il nous manque pour préparer en amont une pandémie?

M. Lavoie (Alain) : Vous nous envoyez des... Premièrement, nul n'est prophète dans son pays. Ça, c'est la première chose que je vous dirais. Puis la deuxième chose, je vous dirais, vous nous envoyez une pelure de banane, mais c'est correct, mais, essentiellement, les technologies de l'information, on a beaucoup... moi puis l'AQT, on préconise beaucoup le savoir-faire québécois, tu sais, puis on s'en rend compte, on est à l'international. Moi, personnellement, notre compagnie, on s'en rend compte, on est à l'international et on se rend compte que les gens nous aiment, là. Les gens au Québec, là, on a une bonne expertise.

Puis essentiellement, écoutez, c'est sûr qu'il y a du monde qui peuvent aider, c'est... On n'a pas été impliqués dans le choix, on ne veut pas prendre de position sur qui pourrait le faire ou qui ne pourrait pas le faire, mais, essentiellement, je peux vous dire qu'on a du bon savoir-faire québécois.

Mme Rizqy : On a l'expertise, là.

M. Lavoie (Alain) : Au Québec? Oui.

Mme Rizqy : Parfait. Je vais reprendre la pelure de banane, si vous permettez. Alors, je continue, là, je ne veux pas perdre mon fil conducteur, puis moi, il ne me faut pas grand-chose pour perdre mon fil conducteur. Dites-moi... Je l'ai perdu.

M. Lavoie (Alain) : ...

Mme Rizqy : Quelle morale! Non, le pire, c'est que j'avais vraiment une question spécifique. Ah! ça va me revenir. Bon, alors, je vais aller à ma prochaine question.

Vous avez aussi parlé de bien encadrer pour avoir le lien de confiance et tout ça. Nous, on a eu la Commission d'accès à l'information, la Commission des droits de la personne et des droits de la jeunesse, la Ligue des droits, bref, plusieurs experts nous disent clairement que le cadre législatif actuel, il n'a pas de mordant, là, il nous en manque. On a un projet de loi n° 64 qui s'en vient, qu'on n'a pas encore débattu, qu'on a... mais, clairement, là, c'est clair et unanime de ceux qu'on a entendus, les experts en droit de la protection des renseignements personnels, que ça nous prend un meilleur processus, un meilleur cadre juridique.

Pensez-vous qu'on peut regarder l'Ontario, faire ce qu'ils font, en ce moment, avec l'application, et, nous, peut-être travailler activement, et on peut même... bien, on nous a même dit, ce matin, de procéder par décret pour avoir un cadre juridique avant de lancer une telle application pour, justement, avoir cette confiance tant recherchée? Pas une autre pelure de banane, j'espère?

M. Lavoie (Alain) : Bien, c'est parce qu'on n'est pas juristes, là, non plus, on ne peut pas se prononcer sur la loi, là. Puis on va se revoir en commission parlementaire sur le projet n° 64.

Mme Rizqy : Mais là vous allez devoir aussi vous prononcer. Tôt ou tard, vous allez devoir vous prononcer. O.K. D'accord.

Bien, ma question de tantôt, j'ai oublié. Donc, il n'y a pas eu de réflexe Québec. Là, présentement, on comprend que le fédéral lance une application Alerte COVID qui est développée par des employés de Shopify. Nous, Shopify, évidemment, on a tenté tant bien que mal de les avoir, ils ne sont pas là. Trouvez-vous que, si jamais on va de l'avant, il ne serait pas impératif d'avoir, justement, des entreprises qui, lorsqu'elles lancent des applications, elles viennent nous jaser et nous expliquer leurs applications? Et, par conséquent, est-ce qu'on devrait exclure ce type d'entreprises étrangères qui ne sont pas devant nous aujourd'hui pour s'expliquer?

Mme Martel (Nicole) : Bien, c'est absolument impératif, c'est une relation de confiance qu'on doit avoir avec le fournisseur. Est-ce que c'est dans le cadre d'une commission? Ça aurait été bien parce que ça aurait permis d'éduquer les parlementaires puis la population aussi, c'est de l'information publique. Donc, oui, absolument, puis il faut avoir des échanges comme on aurait avec tout autre fournisseur.

M. Lavoie (Alain) : ...des recommandations de communication.

• (17 h 10) •

Mme Rizqy : Vous avez parlé d'éducation, j'adore ça, de littératie numérique. Présentement, moi, je cherche et je fouille, et il n'y en a pas beaucoup, de littératie numérique et aussi accessible pour le grand public. Est-ce que c'est quelque chose que vous êtes capables de développer? Je connais déjà la réponse, là, mais je vous laisse quand même répondre.

Mme Martel (Nicole) : Bien, oui, on pourrait certainement collaborer. Il y a d'autres organismes, aussi, qui peuvent le faire puis avec... J'ai vu que les campagnes qu'on a lancées récemment avec la COVID étaient de nature beaucoup à se rapprocher des citoyens. C'est beaucoup d'illustrations, et tout ça, puis les citoyens sont réceptifs.

La période dans laquelle on vient de passer, le dernier trois mois, on a fait un bond de géant de presque deux ans d'avancées en matière d'utilisation des technologies de l'information. Donc là, il y a une certaine avidité à mieux comprendre les technologies puis il y a beaucoup de choses qui se font à l'insu des usagers. C'est allé vite, là. On a des appareils mobiles, on télécharge une application de restauration rapide, là, woups! on passe devant un restaurant, on a un rabais, on dit : Ah! c'est le fun. Mais il y a des impacts à ça, puis je pense qu'il faut que les gens comprennent les impacts de leur utilisation de leur téléphone puis des réseaux mobiles, et tout ça.

Donc, oui, il faut créer des citoyens numériques responsables. Les jeunes à l'école, au secondaire, qui disposent d'appareils électroniques, c'est aussi la vocation des professeurs, donc, absolument.

M. Lavoie (Alain) : Puis notre industrie est déjà impliquée dans ça puis qui essaie de faire des choses. Je nommerais pour ça CyberCap, qui est une autre organisation pour laquelle je me suis impliqué pendant de nombreuses années, qui va chercher des jeunes au secondaire puis qui essaie... et au primaire puis qui fait des séances pour les amener à s'éduquer là-dessus, Academos, que peut-être que des gens connaissent aussi.

Donc, notre industrie s'implique, et l'industrie est très, très, très préoccupée aussi par les talents. Donc, on veut les... on veut, dès le jeune âge, les préparer, pas juste pour notre industrie, mais pour que ça puisse s'imprégner, parce que plus il va y avoir de monde qui va utiliser le numérique, plus ça va être bien pour l'industrie des technologies.

Mme Rizqy : Je me demande... Il ne me reste pas beaucoup de temps, donc je vais poser mes deux questions rapidement. Est-ce que vous avez pu observer l'Australie, l'Islande, le Singapour et la France, qui ont utilisé la technologie Bluetooth et que, finalement, ont arrêté, notamment en Australie, parce que, même, ça interférait avec le travail déjà fait par la Santé publique? Est-ce que vous avez pu observer, là-bas, pourquoi ils se sont arrêtés et voir quelles lacunes qu'on doit vraiment avoir devant nous pour s'assurer de ne pas reproduire les mêmes erreurs? Premièrement.

Et, deuxièmement, vous avez parlé d'un protocole de mise hors service. Qu'est-ce qu'il devrait absolument contenir?

Mme Martel (Nicole) : Bien, d'abord, c'est la Santé publique, je pense, qui doit être celui qui... comme, quand ils annoncent les confinements, les déconfinements, c'est la Santé publique qui doit déterminer c'est quoi, le protocole de mise hors service. Ce qu'il devrait contenir, c'est des critères... Est-ce qu'on est à la fin de la pandémie? Est-ce qu'on rencontre ou non les objectifs attendus?

M. Lavoie (Alain) : Est-ce que ça génère trop de faux positifs? Ça peut être un paquet de facteurs, mais je pense que c'est aux experts de déterminer c'est quoi qui... à quel moment, puis on est... Nous, on est au niveau de la technologie, mais on n'est pas au niveau de la Santé publique. C'est eux, les experts qui vont nous dire...

C'est un outil, là, hein, c'est un outil d'aide à la décision. Peu importe ce que vont faire les outils alentour de ça, ça va être un humain qui va prendre les décisions, à la fin. Et donc c'est... il faut que la Santé publique s'assoie avec des experts, avec des gens pour leur dire : Bien, voici les critères de désengagement qu'aussitôt on va prendre. Le gouvernement pourrait en décider un autre aussi, la population pourrait en suggérer, mais essentiellement il faut qu'il y ait des critères de désengagement, parce que, nous, ce qui nous préoccupe, c'est le dérapage, et ça... Et, à partir du moment où on sent qu'il y a un dérapage potentiel, bien, il faut regarder comment on s'y prend puis mettre ça dans la balance avec la Santé publique, avec les gens qui peuvent mourir. Essentiellement, c'est ça, et aussi la protection des renseignements personnels, les développements économiques, tout ça est ensemble, mais c'est des experts du gouvernement et de la Santé publique qui prendront les décisions.

Mme Martel (Nicole) : Juste pour revenir un petit peu sur votre question sur l'international, on a vu, je pense, un... je ne me souviens plus dans quel pays à l'international, on avait une application de base qui avait certaines fonctionnalités, puis le pays a décidé que, ah! ça serait le fun si elle faisait ça aussi, là, la reconnaissance visuelle, et tout ça. Donc, c'est pour ça que nous, on dit : Il ne faudrait jamais, au grand jamais, qu'une application qui soit proposée à la population outrepasse le champ... le carré de sable, le champ d'expertise ou le champ d'application qui était préalablement mentionné. Donc, cette application x là va faire ça, puis, si on veut faire autre chose plus tard, on fera autre chose.

Le Président (M. Bachand) : Parfait. Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, monsieur. Bonjour, madame. Merci d'être avec nous cet après-midi.

J'ai peu de temps. J'ai, essentiellement, une question pour vous. Vous vous êtes dit, puis je le comprends bien, préoccupés par la confiance des gens envers votre industrie. Puis j'ai lu dans votre mémoire... puis, Mme Martel, vous l'avez mentionné, vous avez dit que vous redoutez que, si ça se passe mal, il y ait des contrecoups, en anglais on dirait un «backlash», puis que votre industrie en soit la victime. Et un des critères que vous établissez, dans votre mémoire, pour que ça se passe bien, puis c'est à la page 8 de votre mémoire, c'est repris à la recommandation, également, numéro 8, vous dites : «[L'importance de] mobiliser le plus d'acteurs de la société possible [...] de façon à appuyer l'initiative[...], obtenir le plus grand consensus.»

Ça fait l'objet d'un vif débat, une potentielle application, là, depuis plusieurs mois. La Ligue des droits et libertés a fait signer une déclaration par une centaine d'organisations syndicales, communautaires, sociales, citoyennes. Il y a la... Je vous dirais que, du côté de la deuxième opposition, on a beaucoup de questions. Si ces oppositions-là se maintiennent et si... et j'ajoute une hypothèse, si un ou plusieurs partis d'opposition s'opposent clairement à la recommandation d'une telle application, est-ce que vous jugez qu'il y a... ce serait trop controversé et que, donc, on devrait peut-être se garder de mettre en place une telle application ou est-ce qu'au contraire le gouvernement pourrait, malgré cette opposition, aller de l'avant? Qu'est-ce qui serait le mieux pour votre industrie, une application fortement controversée et on se retient ou une application controversée et on va de l'avant?

M. Lavoie (Alain) : En fait, la première chose qu'il faut dire, c'est que ce n'est pas qu'est-ce qui est le mieux pour notre industrie, ce qui est mieux pour la Santé publique. Ça, c'est la première réponse qu'on donnerait. Et que... Et ensuite ce qu'on veut, c'est que les décisions qui seront prises feront que notre industrie va pouvoir évoluer dans le futur. Mais la première chose, le premier objectif : Est-ce qu'on va sauver des vies? Est-ce qu'on va aider la Santé publique à ça? C'est ça qui est plus préoccupant pour nous dans le contexte actuel.

M. Nadeau-Dubois : ...qui mettez dans votre mémoire ce critère d'un plus large consensus possible. Je vous dis, on peut douter que ce critère-là, aujourd'hui, soit rempli. Si je vous dis : Il y a des bonnes chances qu'on ne le remplisse pas, ce critère du consensus large, comment vous réagissez à ça?

Mme Martel (Nicole) : Bien, je vais vous dire, on a des technologies québécoises qui sont utilisées sur la planète Mars, en orbite un peu partout, donc on est capables de respecter les plus hauts standards de confidentialité, tous les outils le permettent. Donc, je pense qu'il faut s'assurer de bien communiquer cette information-là. Il faut rassurer la population que ça peut être fait, avoir toujours les garde-fous pour dire : Bien, s'il y a méprise ou quoi que ce soit...

M. Nadeau-Dubois : ...malgré tout ça, on n'y arrive pas puis que les oppositions se maintiennent?

M. Lavoie (Alain) : Écoutez, c'est très hypothétique, d'une part. Puis, d'autre part, je vous dirais que — mon petit hamster va très, très vite dans ma tête — ça va dépendre de la deuxième vague. Je vous dirais que, écoutez, sincèrement, là, c'est un outil dans le coffre à outils qui peut aider, puis même si les gens se mettent... mais qui peut aider, mais qui peut éviter... qui peut aider à éviter une autre catastrophe, si on repart sur une deuxième vague, puis que le développement économique tombe, puis que... Ce n'est pas juste notre industrie. C'est la Santé publique, c'est l'industrie, c'est un balancement qu'il faut trouver et il faut le trouver, cet équilibre-là, puis on trouve que...

Moi, là, je prends... on prenait l'exemple de l'égoïne, là, pour construire sa maison, bien, si tu prends l'égoïne, ça va aller plus lent pour la construire que si tu prends une scie électrique, mais tu peux te blesser avec la scie électrique. Ça peut arriver que tu te blesses aussi, mais l'idée, là-dedans, c'est que la technologie peut aider à sauver des vies.

M. Nadeau-Dubois : Merci beaucoup. Vous mettez, dans votre mémoire, le critère du...

Le Président (M. Bachand) : Désolé, M. le député de Gouin. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup. À mon tour de vous saluer. Je veux vous remercier pour la qualité de votre mémoire. Vous prenez... Vous avez pris le temps de mettre une annexe qui résume les faits saillants et le fonctionnement de plusieurs applications à travers le monde, et surtout vous avez produit... en tout cas, vous nous présentez un tableau, je ne sais pas si c'est vous qui l'avez produit, SensorTower, sur l'adoption des contacts de traçage par les pourcentages de population, puis on a, en un coup d'oeil, qu'est-ce qui a été fait ailleurs au pays, puis on voit qu'on est en bas de 21 %; notamment, en Australie, c'est plus élevé, à 21,6 %.

Donc, est-ce que, pour vous, ça serait important que le gouvernement du Québec... parce que vous faites référence... puis le collègue de Gouin en faisait référence, tout à l'heure, l'importance de votre industrie, d'avoir un... pas nécessairement une bonne image, mais il ne faut pas se tromper, si on lance quelque chose, pour que ça fonctionne parce que ça pourrait effectivement faire reculer votre industrie.

Donc, ma question : Est-ce qu'il serait pertinent que le gouvernement annonce déjà ses couleurs en disant : Pour aller de l'avant, pour que ça fonctionne puis pour que les gens aient confiance, voici le chiffre qu'on aurait besoin d'avoir, c'est-à-dire il faudrait un taux d'approbation, ou de téléchargement, ou de mise en application à l'application de 50 %, 60 %, 70 %? Est-ce que vous voudriez que le gouvernement annonce ses couleurs pour ce qui est de son indication à aller de l'avant ou pas avec une application?

• (17 h 20) •

Mme Martel (Nicole) : Juste avant de répondre précisément à cette question-là, je veux juste ouvrir une parenthèse. C'est vrai qu'on a peur que ce soit dommageable pour notre industrie s'il y avait un écueil, mais on a peur pour les avancées, aussi, pour la profession, pour les avancées, parce que, bon... tu sais, on n'a qu'à penser au système de paye Phénix. Tu sais, on nourrit un cynisme par rapport aux technologies puis on a les technologies constamment avec nous. Donc, je pense qu'il faut avoir des gains, des succès pour éviter de continuer à nourrir le cynisme. Je voulais juste faire cette parenthèse-là. Puis nos entreprises ne sont pas concentrées exclusivement sur leur image, là, ce n'est pas ça du tout, du tout que je voulais qui transparaisse par mes propos.

Par rapport à l'indicateur, que le chiffre devrait être annoncé, et tout ça, ça revient un petit peu à la question de la députée de Jean-Talon, je crois, au début, il doit y avoir un certain nombre d'indicateurs. Nous, on aime beaucoup les tableaux de bord. Donc, est-ce que la mesure devrait être le nombre d'alertes qu'on a réussi à intercepter ou le nombre de propagations qu'on a réussi à intercepter? C'est peut-être ça, l'indicateur, ce n'est peut-être pas le taux d'adoption, parce que ça dépend dans quelle région c'est fait. Si l'adoption se fait en Gaspésie, bon, puis on a un 80 % d'adoption en Gaspésie, on n'aura pas les mêmes résultats que si on a 20 % d'adoption à Montréal. Donc, je pense... et c'est peut-être un mélange de quelques chiffres, mais, dans le fond, ce qu'on veut, ultimement, c'est bloquer des propagations.

M. Ouellet : ...ce qui est important, c'est que, au-delà de la gouvernance qui devrait être mise en place, ces indicateurs-là, ce fameux tableau de bord du succès ou de ce que l'application peut nous dire soit divulgué pour dire : Voici ce que ça donne, voici les informations qu'on a réussi à obtenir, voici la complémentarité de cet outil à travers tout ce qu'on fait, et ça, ça pourrait travailler sur la confiance et peut-être amener d'autres utilisateurs à télécharger l'application pour dire : Bien, écoutez, quand je vois ce que ça donne, ce que ça fait, j'ai confiance, donc j'embarque dans ce grand consensus.

Mme Martel (Nicole) : Oui, c'est ce qu'on pense.

Le Président (M. Bachand) : M. le député de Chomedey.

M. Ouellette : Merci. Bien, bonjour à vous deux. Effectivement, si on parle du tableau de bord, il faudra que ça soit basé sur la science. Vous avez une confiance très grande — je ne dirais pas «illimitée», mais je dirais «très grande» — à la Santé publique, puis la Santé publique, c'est basé sur la science. Normalement, plusieurs décisions gouvernementales sont, malheureusement, basées sur des sondages. Le tableau de bord, il faudra qu'il soit factuel et basé sur des données scientifiques de la Santé publique. C'est parce qu'on peut bien avoir la solution qu'on voudra, si on n'a pas les bonnes prémisses de base, on risque de se ramasser devant un mur ou on risque, un moment donné, d'avoir certains problèmes.

Vous avez une appréhension, et on la sent, on la sent en vous lisant, on la sent dans vos propos, pas sur des dommages directs — ça ne sera pas de votre faute directement, l'application ne vient pas de chez vous, ne vient pas de vos gens ou des gens de l'industrie, elle vient d'ailleurs — c'est des dommages collatéraux que vous allez avoir ou que vous pourriez avoir et, particulièrement, une perception que la population va avoir, si ça ne marche pas.

Tous les experts qu'on a eus depuis hier, là, à date, on n'en a pas, de place où ça a marché. Je ne vous dis pas que ça ne marchera pas, parce qu'on va être défaitistes, là, mais tous les experts qu'on a eus depuis hier, toutes les applications ont toutes des problématiques, puis on n'a pas trouvé la solution miracle encore.

M. Lavoie (Alain) : O.K. Je vais me permettre... je m'excuse, le pourcentage, là, que ça marche ou ça ne marche pas, là, ça, c'est... on l'a dit, là, c'est... tout ce qui va être positif va être positif, O.K.? Ça, c'est la première chose qu'on amène.

Ce qui risque... par rapport à ce que vous avez dit par rapport à ce qui pourrait être dommageable, c'est plus le dérapage. C'est que ce n'est pas... dans la fonction objective qu'on disait, ce n'est pas que ça ait mené à un 3 %, ou un 5 %, ou un 10 %, c'est qu'il y ait eu une catastrophe, une fuite de données, qu'il y ait eu de quoi qui fait que ça paraît très mal. C'est plus ça qui nous préoccupe plus.

Quand on dit : Il faut faire bien les choses, il faut s'assurer que la confiance, surtout que c'est fait par le gouvernement... un lien de confiance, quand même, un gouvernement, bien, c'est... Donc, il faut que ça... il ne faut pas qu'il y ait des erreurs à ce niveau-là. Puis à la suite de ça vous comprenez que, s'il y a un dérapage, quand on va tomber... dans deux, trois ans, quand on va tomber à d'autres choses, ça peut avoir des effets collatéraux importants sur le développement économique, c'est ça qu'on dit.

Le Président (M. Bachand) : Sur ce, je tiens à vous remercier infiniment pour votre participation à la commission, ça a été très intéressant.

Alors, je suspends les travaux quelques instants. Merci beaucoup.

(Suspension de la séance à 17 h 25)

( Reprise à 17 h 30)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Merci.

Donc, je souhaite la bienvenue à M. Steve Waterhouse, expert en sécurité informatique, que plusieurs connaissent. Je vous rappelle, M. Waterhouse, que vous avez 10 minutes de présentation, et après ça on aura un échange avec les membres de la commission. Merci beaucoup d'être présent aujourd'hui. La parole est à vous.

M. Steve Waterhouse

M. Waterhouse (Steve) : M. le Président, merci beaucoup. Messieurs dames, c'est un honneur et privilège de me présenter... présenter le contenu ici puis parler un peu du gros bon sens avec la technologie. Je vais passer l'introduction parce qu'on veut aller au vif du sujet. Vous avez tous devant vous le mémoire, avec d'où est-ce que je proviens, de la Défense... et maintenant que je suis consultant et formateur dans la vie de tous les jours.

Alors, 2020 a débuté sans que tout le monde ne se doute qu'elle marquerait l'évolution de notre société. Tous les scénarios que j'ai déjà étudiés pour préparer des systèmes d'information, ou des entreprises, ou des ministères que j'avais sous ma responsabilité, bien, celui de la fonction bactériologique, de se préparer contre ça, a toujours été sous-considéré et sous-estimé. Et, tel que constaté ces derniers mois, il y a des pratiques de base qui doivent être maintenues, telles que la gestion sécuritaire de l'information, et peu importe le contexte.

À partir de Tel-Aviv, en Israël, à la fin 2020, j'étais avec une délégation internationale de journalistes et de professionnels en sécurité de l'information, et peu se souciaient comment se développait la situation en Chine, qui dégénérait à chaque jour. Il était facile à comprendre qu'à moins de fermer toutes les frontières terrestres, aériennes et maritimes, tous les pays seraient affectés en peu de temps, ce qui est arrivé, d'ailleurs. À mon retour au pays, devant le «buildup» de la situation en février, peu, aussi, se préoccupaient de cette continuité des opérations en cas d'isolement total, le scénario extrême, et surtout comment continuer le travail au quotidien.

Dans un contexte nucléaire, bactériologique, radiologique et chimique, que j'ai travaillé dans le passé, bien, la détection de contextes extrêmes de destruction avec du radiologique, du nucléaire ou du chimique, c'est plus facile à documenter, à discerner. Mais, en plein hiver, durant la saison de la grippe et du rhume, le bactériologique est quand même moins évident à percevoir. Alors, comment anticiper et documenter ce nouveau risque, et surtout comment continuer à travailler malgré cela?

Au début mars, alors que tous les cas en Europe se multipliaient rapidement, les pays avec une gouvernance plus ferme se sont tournés vers le service policier ou de renseignements pour voir comment suivre les infectés et ceux considérés non infectés, qui sont difficiles sans les tests, car peu ou pas de signes apparents. Les outils de traçabilité de première instance considérés à ce moment sont, évidemment, le thermomètre frontal à l'arrivée à l'aéroport, mesure utilisée lors des cas de contamination passés par le SRAS, le MERS et d'autres, le suivi par GPS, par téléphone cellulaire puis la caméra thermique, comme on a vu apparaître dans les épiceries ici, à Québec, d'ailleurs. Or, l'efficacité de ces moyens est limitée. Les thermomètres ont été prouvés et classés comme inefficaces à détecter les asymptomatiques. Quelqu'un peut ne pas faire de température et être porteur d'un virus, quel qu'il soit, et, après coup, même chose avec les caméras thermiques.

Cependant, les autorités de la Santé publique, devant aucun moyen de détection, ont choisi l'isolement, bien sûr, et les mesures de quarantaine. Dès le début, la question essentielle était sur toutes les lèvres : Comment assurer que les gens en quarantaine ou qu'un moyen... c'est-à-dire qu'un citoyen déclaré positif COVID-19 demeure isolé tout en respectant la confidentialité des renseignements personnels et sa vie privée? Alors, qu'est-ce qui devrait être fait? La commission d'éthique des sciences et des technologies a publié un rapport, à la fin avril, élaborant bien les considérations fondamentales en matière de protection de la vie privée et de la protection des renseignements personnels. Ce sont là des très bonnes bases pour le développement éventuel d'applications de recherche numérique de contacts, aussi appelées, comme vous le savez, de notification d'exposition. En partant de cette réflexion, les programmeurs ont des lignes directrices raisonnables pour démarrer la conception.

Cependant, la technologie étant ce qu'elle est, il y a matière à bien comprendre les enjeux quant aux limites de cette technologie. Sans dériver trop dans le catastrophisme,il y a quelques préoccupations quant aux limites des applications de recherche numérique de contacts ou bien, encore là, de notification d'exposition énumérées par le Canadian Medical Association Journal, qui sont résumées en cinq points, qui sont : un, l'efficacité des applications, qui dépend de leur adoption par la population — puis on parlera des chiffres tout à l'heure; les technologies qui sous-tendent les applications comportent des erreurs de mesure qui limitent l'efficacité à identifier les contacts; trois, les approches basées sur la technologie Bluetooth, qui n'utilisent pas le système Apple-Google — ou GAEN — seront limitées par les restrictions de balayage Bluetooth pour les téléphones intelligents fonctionnant avec iOS; quatre, de manière générale, par rapport à la recherche manuelle de contacts, la surveillance constante à grande échelle au moyen d'applications de recherche de contacts soulève plus de problèmes en ce qui concerne la protection des renseignements personnels; et, cinq, même si des études de modélisation ont laissé entendre que les applications de recherche de contacts permettaient de réduire la transmission, aucune étude n'a été publiée à ce jour.

Or, la Linux Foundation a colligé une majorité des méthodes de conception des applications et des documents de données, ainsi que les pays qui les utilisent, tel qu'illustré à l'annexe A, qui est ce tableau, ici. Certains de ces pays se sont pourvus de la méthode GPS pure et dure, comme le Bahreïn, le Koweït, la Norvège, l'Israël, même certains autres, comme l'Inde, ils en faisaient partie, et la Corée du Sud — j'allais l'oublier — alors que certains modèles plus orientés vers la protection de la vie privée et du renseignement personnel sont développés dans le cadre de GAEN, donc Google-Apple Exposure Notification. Malgré les différentes méthodes employées, seulement 9,3 % de la population parmi les 13 pays les plus populeux de la planète a adopté une application soit de suivi, de notification ou d'exposition. Certains scientifiques ont avancé qu'il doit y avoir un taux d'adoption entre 60 % et 70 % dans la population pour avoir un résultat efficace, alors que certains autres mentionnent que seulement 15 % à 20 %, c'est suffisant. Les faits sont quand même éloquents, alors que seulement cinq pays des 22 sondés, selon la référence, ont franchi la barre du 15 % d'adoption.

Le 31 juillet dernier, l'application canadienne COVID Alert a vu le jour... est un produit développé à partir du cadre GAEN et du code COVID Shield, contrairement à l'application albertaine ABTraceTogether, déployée le 1er mai, qui, elle, est basée sur le modèle déployé au Singapour, appelé TraceTogether, utilisant le protocole BlueTrace, donc Bluetooth avec une autre façon de le documenter. Comme vous avez pu voir aussi, le 9 août dernier, bien, l'Alberta va canner, comme on dit, son application et va s'en remettre à l'application canadienne. Le taux d'acceptation lorsque l'application de l'Alberta est sortie, c'était 5,3 % après trois mois d'opération, alors que COVID Alert, après six jours, était de 4 %. Le choix que l'Ontario et le gouvernement du Canada ont fait d'utiliser la technologie GAEN et COVID Shield semble rencontrer ce que désirent les citoyens et les commissaires à la protection de la vie privée et des renseignements personnels, c'est-à-dire de réduire au minimum les risques de fuites d'informations personnelles et d'identification des utilisateurs.

Alors, qu'est-ce qui peut mal aller? Bien, la fiabilité du signal Bluetooth, comme vous avez parlé ardemment depuis les deux derniers jours, est à retenir comme étant peu exemplaire en termes de précision, considérant l'emplacement de l'appareil et de par la nature de la transmission omnidirectionnelle du Bluetooth. Il y a quelques mois, le collège de Trinity, à Dublin, en Irlande, a produit deux évaluations qui démontrent comment le signal se propage et la précision des résultats dans des environnements variables, incluant à l'intérieur de bâtiments, de pièces et même dans des autobus. La fiabilité du signal Bluetooth est à retenir... Oups! Excusez, ça, je l'ai lu.

Outre l'imprécision qu'offre la technologie Bluetooth, fondamentalement, les appareils opérant à partir des systèmes d'exploitation Android ont été démontrés... avec des façons de faire innées dans ce système d'exploitation laissant couler de l'information qui permet d'identifier l'utilisateur plus facilement. Ces failles, reconnues par Google, ne seront corrigées qu'à la prochaine version, soit Android version 11, vers la fin du mois de septembre. Il s'agit d'un facteur quand même assez important à considérer, car cela représente près de la moitié des utilisateurs au pays et à peu près 80 % des utilisateurs au monde... qui permettrait de les identifier dans l'utilisation de... avec cet appareil-là et qui seront, à ce moment-là, plus accessibles... moins identifiables, c'est-à-dire, avec les appareils iOS d'Apple.

Il y a aussi des considérations de nuisance malicieuse, évaluées à peu probables, qui pourraient se produire avec la technologie Bluetooth par induction d'interférence, puis ça, c'est au quotidien que vous avez du wifi qui... 2,4 gigahertz, des moniteurs de bébé, des caméras de surveillance, qui peuvent venir rendre la bande du 2,4 difficile à utiliser par le Bluetooth à cause de cette fréquence à 2,4 gigahertz et qui est toujours susceptible d'être interférée n'importe où.

On parle des attaques de personnification, appelées BIAS, envers son protocole, évaluées aussi à peu probables, tout comme l'exploitation de la vulnérabilité du protocole Bluetooth, Bluetooth Low Energy, elle aussi évaluée à peu probable de se matérialiser. Par contre, tous les protocoles, les attaques avec les vieux protocoles, comme Bluebug, Bluesnarfing, Bluejacking ou Bluesmack, sont à toutes fins impraticables depuis la version 4 de Bluetooth sur les appareils modernes. Donc, les risques sont faibles de voir réussir des attaques avec ces vulnérabilités-là.

Alors, je propose que... Selon mes recherches, il y a trois choix qui s'offrent : un, développer, pour le MSSS, le service de santé, une application ou s'arrimer avec un modèle d'application déjà en production, tout en demeurant indépendant — ce choix implique l'isolation des données en provenance de l'extérieur, puisque les citoyens qui visitent d'autres lieux ou des pays auront à utiliser d'autres applications; b, de joindre l'initiative fédérale afin d'assurer la continuité d'échange des données, surtout pour l'interopérabilité entre les provinces; et, c, bien, simplement ne pas investir dans le développement et l'administration d'applications de notification d'exposition et continuer le suivi manuel comme c'est actuellement.

• (17 h 40) •

Une note comme ça, la Norvège, en juin dernier, a suspendu l'usage de son application sur les bases de faible taux d'infection dans le pays et du risque élevé de compromission à la vie privée citoyenne, tout comme le Royaume-Uni, l'Allemagne et l'Australie, qui vivent des difficultés techniques avec ces applications, remettent en question les résultats perçus.

Considérant l'absence de moyens fiables pour détecter ledit virus COVID-19, préalablement mentionnée, en considérant les besoins de connaître les tendances immédiates à anticiper ce qui est à venir, et considérant les cinq facteurs énoncés par le CMAJ, et surtout en considérant les failles technologiques présentes et à venir... pour miner la vie privée et les renseignements personnels du citoyen, je suis d'avis pour opter pour l'option c.

Dans l'éventualité que le choix d'utiliser une application de notification d'exposition soit considéré et décidé, je recommande l'option b, qu'elle soit retenue afin de rapidement effectuer le déploiement et assurer aux Québécois et aux autres citoyens du pays l'échange d'information nécessaire afin que tous soient avisés de leur niveau de risque d'infection.

En conclusion, ma crainte la plus grande dans la mise en circulation de ces applications demeure la diminution de la vigilance des gens, qui ne voudront se fier que sur l'avertissement procuré par l'application de notification d'exposition lors de contamination possible et qui vont, à ce moment-là, laisser tomber leurs bonnes pratiques de mesures d'hygiène de base, telles que le port du masque, le lavage des mains et la distanciation physique. L'application ne sera alors qu'une source de distraction davantage qu'une source d'information utile. Je suis disponible pour répondre à vos questions.

Le Président (M. Bachand) : Merci pour votre présentation. Mme la députée de Jean-Talon, s'il vous plaît.

Mme Boutin : Merci beaucoup, M. Waterhouse, d'être ici, d'être le dernier, aujourd'hui, et non le moindre. Vraiment, j'apprécie beaucoup votre travail.

Premièrement, bien, moi, je veux aller sur deux angles, là, les risques, puis après ça sur votre choix, le choix c. On s'est beaucoup questionnés puis on a eu des préoccupations, tout le monde, ici, sur les risques de la technologie Bluetooth, parce que... bien, en fait, vous le savez, là, le gouvernement, même, fédéral, si... advenant qu'on aille dans une application, c'est le choix pour assurer la plus grande protection de vie privée, comparativement, mettons, à une technologie qui utiliserait le GPS ou autre technologie plus invasive au niveau de la vie privée. Vous en pensez quoi? Parce que, là, nous, on n'est pas des techniciens puis on n'est pas des experts en informatique non plus, là. Tu sais, j'écoutais, puis j'ai lu, puis... tous les types d'attaques potentielles, puis là ils disent... C'est BlackBerry qui dit que ça va être réglé plus vers fin septembre, les failles?

M. Waterhouse (Steve) : Aucunement. C'est Google qui est à la base du système d'exploitation Android dans toutes les... la majorité... la moitié des téléphones cellulaires sur le marché, actuellement, et ils l'ont même signifié le 31 juillet, lorsque l'application est sortie au fédéral, réaffirmant qu'ils ont la problématique en main et qu'ils vont la traiter rapidement, mais ils vont la traiter dans le prochain déploiement, soit la version 11.

Pour revenir à Bluetooth, qu'est-ce que c'est? C'est un protocole de proximité, comme les autres collègues ont déjà dit par le passé, et c'est au détriment de prendre du wifi, que... Le wifi, lui, il a une portée beaucoup plus grande en termes de collectivité, mais le Bluetooth sert bien cette fonction-là de proximité, encore là, pas juste faire une détection, mais mesurer avec un autre appareil, s'il le détecte bien. Mais, fondamentalement, ce n'est pas un protocole qui est fait pour faire de la mesure. Et, quand je dis le terme «omnidirectionnel», c'est que ça transmet 360 degrés. Donc, le téléphone peut être ici, puis j'ai le bloc de bois qui va venir atténuer le signal, tout comme j'ai du métal qui va venir réfléchir le signal dans une autre direction. Donc, c'est là que ça rend impraticable, quasiment, de faire une détection pure et simple avec garantie de qu'est-ce que ça peut donner comme résultat.

Mme Boutin : Puis qu'est-ce qui pourrait arriver de pire, admettons, en termes de piratage informatique, avec du Bluetooth, là? J'imagine que ça dépend des données qui sont... Si les données sont encryptées, c'est des données plus comme des codes aléatoires. Bien, ce qui a été développé par le fédéral, là, qu'est-ce qui pourrait arriver, là, le pire, quel scénario?

M. Waterhouse (Steve) : Bien, premièrement, les données sont déjà anonymisées. La façon que le modèle de travail... Le concept d'opération de Google, le GAEN, le Google-Apple Exposure Notification, dans ce protocole-là, les données sont anonymisées, donc, s'il y a exposition des données, c'est du code, c'est du n'importe quoi. Par contre, ce qui est le danger, c'est de venir commencer à piéger l'appareil et de faire parler l'appareil, amener l'appareil à aller sur des sites malveillants et amener l'utilisateur à donner des fausses... donner de l'information à partir d'un faux site. Donc, ce n'est pas l'application comme telle qui peut être exploitée pour deviner c'est qui, la personne, et de prendre le contrôle de ses données personnelles, mais bien les appareils eux-mêmes, qui, eux, demeurent vulnérables.

Mme Boutin : ...comme ça nous arrive tous, là, je pense que... peut-être c'est juste à moi, mais des fois on reçoit comme un faux texto, là, de Revenu Canada...

M. Waterhouse (Steve) : Mais ça, ça n'a pas rapport avec le protocole Bluetooth.

Mme Boutin : Non? Bien, ce n'est pas comme ça, dans le fond, qu'ils pourraient hacker?

M. Waterhouse (Steve) : Ça, c'est le Bluesnarfing, si mon souvenir est bon, qui est le type d'attaque qui pourrait, à ce moment-là, lancer à proximité de quelqu'un un message en provenance d'un autre téléphone sous Bluetooth. Mais ça, à partir d'une certaine version, la version 4 de Bluetooth, ça a été corrigé pour empêcher qu'il y ait des connexions indues de cette nature-là. Ça fait que, là-dessus, s'il y a à avoir de l'usurpation, du «phishing» qui peut arriver par message texte, ça n'a aucun rapport avec l'application. Par contre, on en a vu, présentement, des applications aller dans les dépôts de logiciels, le Google Play Store, l'App Store, qui étaient des fausses applications de notification, que les gens étaient appelés à «downloader» ça puis qu'ils commettent de l'information personnelle, mais l'application officielle demeure intouchée encore, là.

Mme Boutin : J'ai une question par rapport à votre décision, parce que, tu sais, nous, on pense plus en politique publique, puis à chaque fois qu'on prend une décision, c'est toujours un coût d'opportunité, on pèse le pour et le contre, on mesure les risques. Admettons, l'application peut avoir, bon, un certain risque ou un certain niveau d'efficacité, il n'y a pas d'étude qui a été prouvée... puis, bon, nous, on a décidé de consulter quand même. Il y a plusieurs pays qui ont décidé d'y aller de l'avant rapidement en prévision d'une deuxième vague, parce qu'ils se sont sûrement dit : Écoute, ça peut peut-être contribuer à sauver quelques vies humaines, puis ils n'ont jamais testé l'efficacité. Ils doivent, j'imagine, la tester. Je ne peux pas croire que certains pays ne sont pas en train... Il y en a qui ont reculé également. Là, je me dis : Soit on a une application qui est imparfaite, qui comporte certains risques, puis, d'un autre côté, quel est le plus grand risque, d'y aller ou de ne pas y aller? Si, admettons, on décide de ne pas y aller... Puis là je réfléchis, là, comme politique publique, puis peut-être que ce n'est pas une bonne réflexion, mais moi, je me la fais, cette réflexion-là. On décide de ne pas y aller, puis il y a une deuxième vague, puis on se dit — puis il y a beaucoup de cas : Ah! peut-être que ça aurait pu aider, peut-être que ça aurait été efficace, peut-être que non aussi. Est-ce que... Tu sais, si on soupèse les risques, quel est le plus grand risque, d'y aller ou de ne pas y aller?

M. Waterhouse (Steve) : Le plus grand risque, c'est d'avoir de la mauvaise information puis prendre une mauvaise décision à ce moment-là. Ça fait que, tant qu'à prendre une mauvaise décision avec des fausses informations ou des informations qui sont mal corroborées, j'ai pour mon dire de ne pas utiliser un outil comme ça au lieu d'y aller avec les rapports de la Santé publique, puis, à ce moment-là, ça, c'est de l'information qui est vérifiable.

Mme Boutin : Puis qui devrait décider d'y aller ou pas?

M. Waterhouse (Steve) : Bien, ceux et celles qui ont mis le Québec en quarantaine.

Mme Boutin : La Santé publique?

M. Waterhouse (Steve) : Pardon?

Mme Boutin : La Santé publique?

M. Waterhouse (Steve) : C'est la Santé publique, à date, qui tire les ficelles sur comment on vit, présentement. Ça fait que c'est le Dr Arruda et son équipe qui devraient, à ce moment-là, selon moi, prendre la décision dans ce sens-là.

Mme Boutin : O.K. Puis j'ai juste une dernière petite question. Advenant que le gouvernement décide d'y aller, parce qu'on a parlé beaucoup de gouvernance, de mesures d'atténuation, et tout, qu'est-ce qui devrait être mis en place en amont, au niveau de la sécurité, au niveau de la gouvernance? On a parlé de comité d'experts indépendants, on a parlé de mesures de sécurité, d'audits, de mettre en place un processus d'évaluation en continu. Est-ce que vous avez des recommandations en ce sens-là également?

M. Waterhouse (Steve) : Bien, c'est certain que ça va créer de l'emploi pour bien du monde, puis il y a bien des gens qui vont être occupés à observer ça. Mais j'ai pour mon dire, oui, si on a à développer une application, s'il y a développement de l'application, bien, il faut que ça soit fait en milieu clos, puis après ça ne pas se servir de la population comme rats de laboratoire. Excusez de dire ça comme ça, mais, présentement, c'est ça qu'on a vu et observé dans le monde.

L'Angleterre, c'est le premier exemple qui me vient en tête où est-ce que le NHS ont déployé une application puis ils se sont crucifiés du reste du monde. Puis là, après ça, le consortium Apple-Google, ils sont arrivés avec quelque chose qui respecte la vie privée des gens, puis ils ont dit : Non, non, non, ça ne vaut pas de la schnout, pour être très poli, et après ça ils sont revenus sur leur idée, ils ont dit : Bien, finalement, ça a de l'allure.

Ça fait que, donc, il faut arrêter de regarder juste dans sa petite cour et dire qu'il n'y a rien qui est bon ailleurs, oui, peut-être considérer d'autres options puis, après ça, les travailler et les essayer. Mais actuellement, avec tous les pays qu'on peut voir et la liste de tous ceux qui se sont engagés à mettre quelque chose à la population, présentement, c'est pour donner quelque chose que les gens puissent regarder. Ça fait que les statistiques qui ont passé, et passé, et repassé à la télévision, les gens en ont soupé, puis là ça serait peut-être le temps de leur servir quelque chose d'autre — c'est une réflexion comme ça, il faut comprendre — d'avoir une application. Ça fait qu'il y en a, des pays, je crois que c'est comme ça qu'ils l'ont apporté.

Si je prends, par exemple, la Corée du Sud, qui, eux, ils ont vécu beaucoup d'infections dans leur population, bien, ni une ni deux, eux autres, ils ont amendé leur constitution en 2015, puis, lorsque ça a été le temps de travailler ça au mois de mars, bien, ils ont fermé boutique puis ils ont dit : Vous installez l'application, personne ne pose de questions. Ils l'ont fait parce que la population a été non pas juste rassurée, mais ils savaient que, dès les premiers temps, c'est ça qui pourrait, à ce moment-là, être le premier canal de communication pour connaître le reste.

Mme Boutin : Eux, c'était obligatoire?

M. Waterhouse (Steve) : Comme dans beaucoup d'autres pays, comme la Chine. Bien là, la Chine, on ne parlera pas de ça, c'est un autre cas extrême.

Mme Boutin : Ce n'est peut-être pas un exemple à prendre.

M. Waterhouse (Steve) : Puis, après ça, bien, si on prend juste Israël, là, d'où j'arrivais, bien, eux autres, ils se sont tournés vers les services de renseignements. Heureusement, le Parlement ne leur a pas donné un deuxième mandat, puis, après coup, bien, au mois d'avril, ils sont revenus, ils ont retravaillé leur formule puis ils ont dit : Oui, on n'a pas le choix, Santé publique avec services de renseignements, ils vont faire le travail qui s'impose. Donc, ceux qui sont identifiés, pour la COVID, positifs, le service de renseignements connaît leurs noms, les adresses, ils font la vérification en arrière-plan. Mais il reste toujours bien qu'ils sont en deçà de 20 % d'adoption de l'application de la population. Ça fait que c'est pour ça qu'ils ont été avec un modèle de suivi par GPS, pour être capables de s'assurer que ça ne va pas nulle part. Mais ça, c'est une culture, dans ce pays-là, que ça ne leur dérange pas d'être suivis comme ça parce qu'ils sont déjà dans un contexte quasi de conflit permanent.

Mme Boutin : Je peux-tu poser une dernière petite question? Là, c'est plus fort que moi. C'est quasiment... Ce n'est pas une pelure de banane du tout, O.K., vraiment pas, mais je me pose la question, parce que vous avez basé votre mémoire, tu sais, sur le document de consultation, qui proposait seulement une technologie, mais vous, si vous aviez carte blanche, compte tenu de votre expertise, là, en crise sanitaire, et tout, est-ce que vous utiliseriez la technologie? Si oui, quel type de technologie?

M. Waterhouse (Steve) : Pour être capable d'aider la population, je veux dire, ce serait à développer... ce serait intéressant de regarder une technologie qui serait capable d'aller davantage à marier... de comprendre certaines régions géographiques qui sont impactées, parce que d'avoir une carte... le service de Santé publique, d'avoir une carte au mur et dire : Bien, voici une éclosion qui se déclare dans une région plus qu'une autre, comme ça a été proposé dans l'application initiale à Ottawa, de juste avoir les trois premières lettres du code postal pour comprendre dans quelle région que ça commence ou c'est plus... que ça rentre plus dans l'équation, ça a été rejeté parce que, encore une fois, il y avait une possibilité d'aller encore cibler la personne. Mais, parce qu'on veut respecter la vie privée des gens, l'anonymisation, à date, c'est la seule voie que je vois possible.

Mais, autre que ça, marier le GPS... Déjà là, je l'ai mentionné dans mon mémoire, il transpire de l'information, actuellement, avec Google, c'est-à-dire avec les... Android. Ça fait que, donc, dès que ça soit colmaté, cette brèche-là, est-ce que ça va être complètement hermétique? Il va toujours y avoir quelque chose qui va ressortir. Donc, il n'y a pas de solution magique, il n'y a pas de solution exacte, mais ça serait intéressant de développer davantage là-dessus, oui.

Mme Boutin : O.K. Merci.

Le Président (M. Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Merci, M. le Président. Merci, M. Waterhouse. Petite question pour vous, là, peut-être en lien avec ce que la collègue de Jean-Talon disait : Est-ce qu'il y a une application qui se rapproche de ce que vous décrivez comme l'idéal qui est soit en développement ou qui est développée?

M. Waterhouse (Steve) : Bien, il y a présentement une douzaine d'autres pays qui sont dans le même cas que nous autres : le Danemark, l'Allemagne, l'Irlande, l'Italie, le Japon, la Lettonie, la Pologne, l'Espagne, la Suisse, l'Uruguay, le Brésil, l'État de Virginie, aux États-Unis.

M. Lévesque (Chapleau) : Oui. Est-ce qu'un de ces pays-là a une application qui ressemble plus à votre idéal?

M. Waterhouse (Steve) : Ça répond présentement à comment l'application COVID Alert du Canada a été développée, ça prend le COVID Shield en arrière-plan, que les deux gars de Spotify ont développé, et ça utilise le Google-Apple... GAEN. Ça fait que c'est les mêmes concepts d'opération avec lesquels nous autres, on évolue, présentement, au Canada, et après ça, bien, ils ont développé juste la devanture, que j'appelle. Ça fait que n'importe qui va développer une nouvelle devanture qui prend les mêmes moteurs en arrière, ça va donner pas mal le même résultat.

• (17 h 50) •

M. Lévesque (Chapleau) : Le même résultat? O.K. Dans l'éventualité où le gouvernement décidait, justement, de mettre en application une telle application, je vois qu'il y a un principe-phare, là, qui semble guider votre réflexion, notamment en lien avec une instance indépendante qui assurerait, dans le fond, la surveillance du déploiement. Qui vous voyez dans cette position-là? Et quel serait son rôle, vraiment, là, de façon générale?

M. Waterhouse (Steve) : De surveiller le développement ou de surveiller le déploiement?

M. Lévesque (Chapleau) : Le déploiement.

M. Waterhouse (Steve) : Bien, le déploiement, je veux dire, c'est pas mal automatisé, d'où est-ce que... alors que c'est déposé vers Google et Apple, puis après ça les usagers, d'eux-mêmes, téléchargent les applications.

De surveiller, après ça, n'importe quelle organisation qui voudrait juste faire un suivi, que ça soit par sondage, faire du suivi actif, bien là, à ce moment-là, on sonde directement les personnes. On va un peu sur la ligne difficile à franchir, d'aller directement vers l'usager. Ça va faire perdre confiance parce que, là, les personnes vont se sentir épiées, vont se sentir avec un message dirigé vers eux, ils vont dire : Bien là, ça ne vaut pas la peine, ils vont faire aussitôt «delete», puis il n'y en aura plus, de téléchargements. Ça fait que les statistiques de téléchargement vont être là, il va y avoir eu des millions de téléchargements, alors qu'il va y avoir juste des centaines de personnes qui vont s'en servir.

M. Lévesque (Chapleau) : O.K. Maintenant, vous avez également abordé, là... La Commission de l'accès à l'information sont venus nous parler ce matin. Vous dites qu'elle devrait avoir une capacité de vérification accrue. Peut-être nous parler de ça, là. En termes de réglementation, qu'est-ce qui manque? Est-ce qu'il manque quelque chose, premièrement?

M. Waterhouse (Steve) : La seule référence que j'ai faite avec la commission... des technologies... C'est bien qu'ils ont élaboré les lignes directrices, les cinq points principaux avec lesquels les programmeurs peuvent développer le matériel pour faire une application qui respecte... Ça fait que le premier papier qu'ils ont... le premier jet de papier qu'ils ont fait, c'était envers l'application COVI, de Mila, et, après coup, les travaux se sont poursuivis, comme M. Maclure a précisé. Mais, après coup, moi, je verrais toujours qu'ils soient, justement, l'émetteur de lignes directrices, en collaboration avec la Santé publique, pour être capables d'avoir ça dans le respect de qu'est-ce qu'on veut, c'est-à-dire la protection de la vie privée et des renseignements personnels.

M. Lévesque (Chapleau) : Ils ont réclamé peut-être plus de pouvoirs, plus de ressources. Est-ce que c'est quelque chose qui serait envisageable, qui serait pertinent, pour vous, pour faire ces suivis-là?

M. Waterhouse (Steve) : Un pouvoir de recommandation, je crois que c'est totalement adéquat. Ce que j'aimerais beaucoup mieux voir avec un plus grand mordant, plus de pouvoirs officiels, bien, c'est la Commission d'accès à l'information.

M. Lévesque (Chapleau) : O.K. Donc, c'est là où j'allais, justement, quels pouvoirs vous envisageriez pour eux?

M. Waterhouse (Steve) : Bien, au même titre que le commissaire Therrien, du Canada, le dit souvent, je veux dire, aussitôt qu'il y a enquête, puis il trouve qu'il y en a qui ont mal fait... autrement dit, ils ont contrevenu à des lois et règlements puis ils ont été à l'encontre du sens de la loi, bien, il n'a pas de pouvoir d'accusation, il n'a pas de pouvoir de punition. Oui, le projet de loi n° 64 s'en vient, ça va aider. Mais, en même temps, si la CAI pourrait avoir ce levier-là, bien, déjà là, ça ferait réfléchir certains malfaisants, surtout des compagnies qui, eux autres, davantage, collectent beaucoup d'informations et qui s'en sortent toujours sans aucune impunité.

M. Lévesque (Chapleau) : O.K., parfait. Maintenant, je vous amènerais peut-être sur le code source ou, du moins, l'application en développement. Vous dites que ça devrait être rendu public pour permettre à des experts indépendants, donc, d'évaluer ce code source là. On a eu la proposition peut-être que des hackeurs pourraient... disons, amicaux, là, viendraient tester ces applications-là pour essayer de trouver les failles, les vulnérabilités. Est-ce que, vous, par expérience, c'est une solution, c'est un élément de... une piste à envisager?

M. Waterhouse (Steve) : Bien, c'est la marche à suivre, parce que ce qu'on appelle des «white-hat hackers», donc des hackeurs à bonnet blanc, qui sont légitimes et ils travaillent avec un cadre légal, et tout, bien, à ce moment-là, ils vont utiliser des techniques vues... comment est-ce que les malfaisants peuvent utiliser contre ce genre d'application là et dans des simulations réalistes, de ce qui se rapproche de la vraie vie... que les malfaisants vont pouvoir les exploiter. Donc, dans la communauté... puis je pense, en disant ça, à la communauté du Hackfest, qui est ici, à Québec, qui est quand même le plus grand festival de hackeurs, ici, de l'est de l'Amérique du Nord, pourrait venir faire ce travail-là, peut avoir ce mandat. Puis la communauté se sentirait... justement, d'avoir un travail communautaire à rendre à la population, puis ça serait un méchant beau programme à partir. Et, de cette façon-là, bien, il y aurait beaucoup plus en termes de retour sur la vérification, et surtout la validation du contenu.

M. Lévesque (Chapleau) : O.K. Puis ce n'est pas ce qui a été fait. Est-ce qu'il y a des pays dans le monde où est-ce qu'ils ont réussi à faire ça?

M. Waterhouse (Steve) : Pas à ce que je sache. De tout ce que j'ai pu lire et documenter, c'est vraiment dans un circuit fermé, pour ne pas dire universitaire, que le travail s'est fait, de recherche, et officialisé.

M. Lévesque (Chapleau) : O.K., parfait. Merci beaucoup. C'est tout pour moi. Merci.

Le Président (M. Bachand) : Merci beaucoup, M. le député. Mme la députée de Saint-Laurent, s'il vous plaît.

Mme Rizqy : Merci beaucoup. Bonjour. Merci d'être présent. 23 ans au service des Forces armées canadiennes et à la Défense, merci pour vos services. Merci à ceux, aussi, qui sont venus nous prêter main-forte durant la pandémie dans nos CHSLD, on avait eu bien besoin d'eux.

Alors, moi, je veux aussi vous dire que je vous écoute très souvent à la radio. Vous vulgarisez super bien vos propos pour ceux qui sont comme moi, qui ne connais pas grand-chose en cybersécurité. Et vous avez bien expliqué, tantôt, au niveau des... que même... vous avez du bois devant vous, ça peut bloquer la technologie Bluetooth, mais vous pouvez avoir du métal qui va pouvoir augmenter le signal. Derrière vous, il y a un homme qui est derrière une vitre — je vais reprendre mon exemple que j'ai utilisé hier — si l'homme en question télécharge l'application, prenons celle d'Alerte COVID, et que nous tous, on a téléchargée, et que lui, il a un diagnostic positif, est-ce qu'il est peut-être possible que nous, malgré qu'il y a un mur vitré, on reçoive aussi cette notification et qu'on nous demande d'aller nous faire tester?

M. Waterhouse (Steve) : La façon que l'application fonctionne avec le protocole Bluetooth, c'est toujours par une proximité. Donc, au-delà de 15 minutes, à deux mètres près, c'est comme ça qu'il est évalué. Donc, en arrière, la magie, comment elle s'opère, c'est avec la mesure du signal, donc avec... Le signal, si on est près, il devrait nous indiquer une valeur... Si c'est une valeur en haut de moins 50 dBm, ça va être très près. Donc, si la personne à l'arrière est détectée à une force de signal de moins 80, bien, ça n'a pas rapport... ce n'est pas aussi près qu'on s'attend.

Donc, l'atténuation peut se créer aussi... Quand je disais... l'exemple, tantôt, avec les murets... chaque matériau, lorsqu'il y a transmission d'un signal radiofréquence, va créer une atténuation. Donc, si on est deux personnes et qu'il y a une cloison de gypse... Donc, une maison mitoyenne, par exemple, deux cloisons de gypse, ça fait à peu près un pouce, et du matériau, ça va créer une atténuation d'à peu près 10 dBm, mais c'est peut-être assez près parce que les deux... les têtes de lits sont à proximité, le signal va être très près l'un de l'autre. Et, oui, ils vont être, à ce moment-là, identifiés comme étant... ils ont été 10 heures un à côté de l'autre, ça fait que, oui, le facteur de risque, pour eux, va augmenter. Mais c'est la façon que la technologie RF fonctionne.

Mme Rizqy : Mais, dans ce cas-ci, ça fait à peu près 27 minutes qu'il est derrière vous, même un peu plus longtemps que ça, donc ça serait possible, et par conséquent nous, on pourrait recevoir, par... pas par erreur, mais on pourrait être notifiés d'y aller, alors qu'on n'a jamais été en contact avec cette personne. Et, si on se rappelle bien, au mois de mars et au mois d'avril, le Dr Arruda, à ce moment-là, voulait vraiment tester les bonnes personnes, car, à ce moment-là, on n'avait pas assez de tests, il manquait même un ingrédient pour le test, et on n'avait pas assez de ressources, aussi, humaines pour tester. Alors, est-ce que ça pourrait aussi avoir comme effet qu'il y ait trop de monde qui reçoive une notification et faire un effet d'étranglement dans le système de santé, cette technologie?

M. Waterhouse (Steve) : ...par l'imprécision de la technologie, que, là, à un moment donné, pour ne pas nommer une compagnie, tout le monde se retrouve à un Costco un dimanche après-midi puis que, là, le lundi matin, tout le monde apprend qu'il faut qu'il se présente, justement, à la Santé publique pour se faire tester. Ça, ça peut être des milliers de personnes, multiplé par le nombre de Costco. Je donne le nom, encore une fois, mais sans nommer cette cible-là. Mais ça veut dire que, oui, ça peut créer un goulot d'étranglement puis créer un épuisement des ressources, aussi, qui n'était pas nécessairement voulu, de tester tout ce monde-là.

Mme Rizqy : Puis on sait que, le test, plus il va y avoir du monde qui sont testés en grand nombre, le résultat peut prendre du temps avant de l'avoir, et les gens doivent rester à la maison, ainsi que les membres de leur famille, à la maison, en confinement, et là il peut aussi y avoir d'autres impacts comme l'absence au travail.

M. Waterhouse (Steve) : Oui, puis ça va aussi jammer, excusez le terme, tous les laboratoires avec lesquels les résultats soient pondus, là. Ça fait que c'est là que... Il faut-tu créer d'autres laboratoires? On va demander plus de gens qui sortent du cégep ou de l'université en microbiologie pour faire de l'analyse en laboratoire juste parce qu'on va créer ce genre de situation là. Ça fait que c'est pour ça que j'ai pour mon dire que, par cette imprécision technologique là, ce n'est peut-être pas tout aussi indiqué que de se fier là-dessus.

Mme Rizqy : Donc, c'est pour ça que vous arrivez avec, probablement, la conclusion c. Et, pour que les gens comprennent bien, ceux qui nous écoutent à la maison, c'est quoi... pouvez-vous nous dire c'est quoi, la conclusion c?

• (18 heures) •

M. Waterhouse (Steve) : Bien, l'option c, c'est ne pas, tout simplement, s'embarquer dans le développement d'une application puis de continuer... et emphaser le traitement actuel, manuel, le suivi manuel par les autorités de la santé. Actuellement, si le besoin est, que les gens ne se sentent pas bien, encore une fois, qu'ils se présentent à aller faire le test. De cette façon-là, les résultats, encore une fois, vont être réels, ils vont être mesurés, et il n'y aura pas, à ce moment-là, de demi-mesures.

Le seul facteur qui demeure, présentement, c'est peut-être le temps d'attente, mais qui, à ce moment-là, peut être, je crois, amélioré avec un temps... et non pas qui pourrait être, à ce moment-là, impacté par une surenchère de la demande de faire des tests avec une application qui, là, demanderait à tout le monde d'aller se présenter du jour au lendemain.

Mme Rizqy : J'ai une question, puisque vous êtes un expert de cybersécurité, je vais me permettre d'aller un peu plus loin avec vous. Identité numérique, c'est quelque chose qui est aussi discuté, en ce moment, au Québec, par le ministre délégué à la Transformation numérique. Est-ce que vous savez si, oui ou non, il existe des organismes, soit gouvernementaux ou paragouvernementaux, qui peuvent tester ces différentes applications d'identité numérique?

M. Waterhouse (Steve) : De tester l'identité numérique, premièrement, il faut que le cadre soit compris, il faut que le cadre soit défini, et, à ce moment-là, oui, il existe plusieurs organisations. Autant il y a des organisations officielles... je reviens avec l'exemple qu'on mentionnait tout à l'heure, d'utiliser des organismes comme... un hackfest, là, ça a l'air drôle comme expression, mais c'est une communauté de personnes avec des techniques de... qui sont des gens techniques avec lesquels ils pourraient justement s'adonner à un projet puis dire : Bien, voici, on fait de l'identité numérique, donnez-nous qu'est-ce que vous avez sous la main, que ça fonctionne ou que ça ne fonctionne pas.

Comme souvent j'ai dit, à la Défense, j'utilisais ce système-là d'infrastructure avec les publics. Il y a 20 ans, j'ai aidé à l'implémentation à Montréal, en 1999. Puis là on est en 2000, on s'en vient... en 2020, c'est-à-dire, on s'en va en 2021, puis on n'a toujours pas rien. Pourtant, c'est toujours en fonction au gouvernement fédéral, à la Défense. Ça fait que c'est pour dire qu'il y a eu des erreurs, par le passé, je crois, d'orientation, qui auraient dû être considérées, mais on est rendus aujourd'hui qu'on peut toujours l'anticiper puis le considérer, oui, pour l'implanter. Est-ce que c'est le même genre d'affaire qui devrait être fait? Beaucoup d'administrations américaines se servent de la même chose. Je veux dire, ce n'est pas que ce n'est pas disponible, c'est là, puis il faut juste l'utiliser pour qu'on puisse, à un moment donné, faire quelque chose de tangible.

Mme Rizqy : Puis tantôt vous avez parlé de Singapour. Singapour a obligé l'application qu'on appelle soft, c'est-à-dire Bluetooth, qu'elle soit téléchargée par leurs citoyens. Par la suite, Singapour, les autorités ont dit que ça n'a pas été très efficace et ils sont allés beaucoup plus loin, ils ont dit : Nous, ça va être la géolocalisation et carrément aller avec le bracelet pour ceux qui sont infectés pour s'assurer qu'ils restent confinés. C'est bien ça qui est arrivé là-bas?

M. Waterhouse (Steve) : Et aussi, à ceux qui n'avaient pas... qui n'ont pas de téléphone intelligent, bien, ils se sont fait remettre un appareil complètement... j'appelle ça «dummy», qui n'a aucune intelligence et qui, à ce moment-là, fait tout simplement répondre en radiofréquence avec le réseau cellulaire pour dire où est la présence de la personne, c'est un petit peu un dérivé du bracelet. Ce n'est pas pour l'accrocher avec un «dummy», mais ça donne ça.

Une voix : ...

M. Waterhouse (Steve) : Un appareil dépourvu d'intelligence, voilà. Protection de la vie privée, on garde ça là. Et par ça, donc, ils ont voulu vraiment contourner... pas contourner, mais c'est-à-dire contenir la situation dans la population et éviter tout débordement. C'est un peu le même concept que la Corée du Sud, j'ai pu lire, a pu faire, donc d'imposer à chaque visiteur tout comme citoyen d'implanter une application de notification, même de suivi de traçabilité par GPS, dans leur téléphone à l'arrivée dans le pays. Donc, ils ont pris les moyens qu'ils croyaient, à ce moment-là, justes et équitables pour, justement, contenir la situation, tout comme la Nouvelle-Zélande a fait aussi.

Mme Rizqy : D'accord. Je vais essayer de garder mon sérieux, mais j'ai vraiment envie de rire à cause de l'expression utilisée. Dites-moi, il y a quand même une fracture numérique qui existe au Québec. Si jamais le gouvernement décide de ne pas entendre la majorité des experts qui disent de ne pas aller de l'avant et décident, eux autres, d'aller de l'avant, est-ce que le gouvernement devrait s'engager alors de fournir des téléphones «dummy» aux gens qui n'ont malheureusement pas les moyens ou qui n'ont même pas accès, nécessairement, à ce type de téléphone?

M. Waterhouse (Steve) : Ce serait une belle opportunité, justement, d'avoir, à ce moment-là, un autre point de vue sur... Justement, on disait, je crois, le... vingtaine de pour cent qu'il y a n'a pas de... de personnes qui n'ont pas de cellulaire. Ça serait significatif, à ce moment-là, d'aller chercher ce 20 % là pour compléter la documentation. Les gens vont-tu embarquer? Parce que les gens vont-tu dire : Ah! c'est ça, là, ils mettent un tag puis ils vont me chercher? Le GPS, c'est toujours une question de perception. Et, s'il n'y a pas d'adoption parce que les gens n'ont pas confiance, ça va aller aux poubelles, tout simplement. Ça fait que c'est là qu'il faut qu'il y ait un travail de fond qui soit fait, c'est-à-dire d'apporter l'information à la population et de les convaincre, vraiment, les informer correctement dans quoi que le gouvernement... avec quoi le gouvernement peut les aider.

Mme Rizqy : Tantôt, vous avez dit que la Santé publique devraient être ceux en charge de décider d'aller de l'avant ou de ne pas aller de l'avant. Lorsqu'on est dans un état d'urgence sanitaire qui est décrété, à ce moment-là, beaucoup de... en fait, nous, on n'existe à peu près... à toutes fins pratiques, presque plus, donc on ne siège pas. Est-ce que vous êtes d'avis qu'on devrait quand même avoir d'avance un protocole de sortie qui soit clairement établi pour ne pas, justement, que le décret d'urgence sanitaire soit prolongé inutilement?

M. Waterhouse (Steve) : Bien, je ne connais pas tous les tenants et aboutissants de la question, mais j'ai pour mon dire, oui, d'avoir des plans avec révision annuelle ou semi-annuelle, selon l'importance du plan, c'est toujours une question de travail, oui. Déjà là, j'en faisais l'expérience avec la première politique de cybersécurité, l'année passée, puis je suis content d'avoir contribué à ce qu'il y ait un début, comme ça, de nouveaux documents pour que ça puisse orienter le gouvernement à travailler avec des valeurs du XXe siècle, alors qu'il n'y a même pas de classification d'information.

Ça fait que, tu sais, là, dans cette optique-là, je dis : Oui, il faudrait peut-être se faire un petit cartable, puis, si jamais il arrive tel incident... comme j'ai déjà travaillé, exemple, sur un plan de recouvrement en exercice, même, avec la ville de Baie-Comeau si Manic-5 aurait à briser. Donc, ça créerait, une situation x, y, z, c'est quoi, le plan d'urgence, c'est quoi, le recouvrement, etc. Donc, dans cette optique-là, oui, c'est bon de faire des scénarios de ce sens-là et d'être prêts pour, après ça, s'en servir et d'avoir au moins des lignes directrices sur lesquelles s'aligner.

Le Président (M. Bachand) : Merci beaucoup. Malheureusement, le temps est écoulé, je suis désolé. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour. Merci d'avoir pris de votre temps pour partager votre expertise et votre expérience avec nous. J'ai très peu de temps, je vais aller droit au but. Est-ce que la technologie Bluetooth a été inventée pour mesurer les distances?

M. Waterhouse (Steve) : Aucunement.

M. Nadeau-Dubois : Est-ce que cette technologie est précise et fiable pour mesurer des distances?

M. Waterhouse (Steve) : Aucunement.

M. Nadeau-Dubois : Est-ce qu'on peut donc en conclure qu'il y a de fortes chances qu'une application basée sur la technologie Bluetooth génère beaucoup de cas de faux positifs, des notifications injustifiées?

M. Waterhouse (Steve) : Les deux. Il y a de fortes chances que ça ne donne pas des bons résultats et ça va créer, justement, des fausses situations.

M. Nadeau-Dubois : Merci. Vous êtes expert en cybersécurité — vous êtes le premier cybersoldat, d'ailleurs, que je rencontre, je suis un peu stressé — diriez-vous que vous êtes technophobe, quelqu'un qui a des préjugés contre la technologie?

M. Waterhouse (Steve) : Aucunement.

M. Nadeau-Dubois : Diriez-vous que vous êtes un peu dogmatique puis antitechnologie?

M. Waterhouse (Steve) : Aucunement.

M. Nadeau-Dubois : Pourtant, vous nous recommandez, aujourd'hui — c'est votre première recommandation au gouvernement du Québec — de ne pas opter pour une application de notification d'exposition.

M. Waterhouse (Steve) : Exact.

M. Nadeau-Dubois : Merci.

Le Président (M. Bachand) : C'est ce qu'on appelle des réponses claires. M. le député de René-Lévesque.

Une voix : ...

M. Ouellet : Écoute, moi, comme député de René-Lévesque, Baie-Comeau, je veux savoir il se passe quoi si le barrage Manic-5...

Des voix : Ha, ha, ha!

M. Ouellet : Juste de même...

Une voix : Sais-tu nager?

M. Ouellet : Oui, je sais nager, ça va. Je vais utiliser un peu votre expérience et votre champ d'expertise, notamment sur Bluetooth, parce que vous avez donné un peu, tantôt, je vous dirais, un tableau de ce qui pourrait se passer avec les notifications, mais vous avez insisté sur le fait que le Bluetooth, pour la notification dans l'application COVID-19, il faut qu'on soit ensemble pendant 15 minutes. C'est ça que j'ai compris?

M. Waterhouse (Steve) : Oui, c'est ça, le paramètre.

M. Ouellet : Donc, le téléphone va interagir avec l'autre téléphone pendant 15 minutes, puis, quand ça, ça va être franchi, ils vont dire : Là, j'ai une situation de 15 minutes de proximité, je l'archive. Et si, effectivement, il y a COVID, cette proximité-là de plus de 15 minutes sera notifiée. Comment ça marche? Il faut que ce soit 15 minutes dans les mêmes distances? Parce que le collègue de Gouin, tout à l'heure, parlait un peu de la... le manque de précision de Bluetooth, mais j'essaie juste de comprendre, là. 15 minutes, là, on est ensemble, je me rapproche, je me recule, tu sais, ce n'est pas fiable.

M. Waterhouse (Steve) : Sur un téléphone intelligent, il y a trois radios, là-dessus : il y a un radio cellulaire, un radio wifi Bluetooth puis un autre pour faire le paiement de proximité, donc trois champs de fréquences différents. Celui du Bluetooth va... il a son identifiant, ce qu'on appelle une «MAC Address», donc une identité unique pour le transmetteur, et c'est cette adresse unique là qui fait en sorte qu'ils vont mesurer une adresse unique là, là et là et, de cette façon-là, vont enregistrer la force du signal. Donc, oui, on s'approche, on s'éloigne, la force du signal va varier. C'est là où je parlais, tantôt, du moins de x nombre de dBm, là, à proximité de tout ça, puis les interférences qu'il peut y avoir, un mur, on se revire de bord, parce que le «body», le corps est un atténuateur, on est 80 % d'eau, donc le signal ne percera pas le corps directement, mais il va être dirigé dans d'autres lieux, c'est comme ça que ça rend le système imprécis. Là, présentement, il va mesurer d'une telle façon. Je le mets dans ma poche, il va mesurer d'une autre façon, parce que, là, je suis positionné différemment et je me tourne, etc. Ça fait que c'est tous ces facteurs-là qui vont faire en sorte que ça va donner des lectures assez mitigées.

Mais, si on est deux personnes en face de l'autre à deux mètres près pendant 15 minutes, là, la force du signal devrait être assez constante pour dire : Oui, c'est pas mal ça, 15 minutes, check. Là, à ce moment-là, le message va partir disant que les deux appareils avec tel identifiant, voici la signature, puis le message va partir, puis là tout le monde, à ce moment-là, va être mis en notification comme quoi que, potentiellement... pas tout le monde, c'est-à-dire, nous deux, on devrait se présenter pour se faire tester parce qu'on a été potentiellement à risque. Et, si un de nous deux devient positif COVID, on rentre notre code, et là ça part, puis tout le monde va être notifié.

M. Ouellet : Donc, c'est 15 minutes et plus à moins de deux mètres. À plus de deux mètres, techniquement, on ne peut pas...

M. Waterhouse (Steve) : Ça serait une folie.

• (18 h 10) •

M. Ouellet : O.K., c'est ça, ça ne fonctionnera pas.

M. Waterhouse (Steve) : Bien non, toute la pièce ici serait notifiée, il faudrait peut-être qu'ils se fassent tester, là.

M. Ouellet : O.K. Donc, si on se croise moins de 15 minutes, mais que vous avez la COVID, à moins d'un mètre et demi, je me suis mis à risque quand même. Tu sais, je veux dire, je ne serais pas notifié, mais je serais à risque quand même.

M. Waterhouse (Steve) : Oui, mais le téléphone ne sait toujours pas qu'on porte un masque. Ça fait que, déjà là, il y a une grosse atténuation, côté risque de contamination. Ça fait que c'est un élément technologique qui va juste nommer... nominativement indiquer qu'on a été dans un contexte favorable à l'infection, c'est tout.

M. Ouellet : Et, en terminant, pour la technologie Bluetooth, il faut que je l'active, mon... Même si j'ai l'application, il faut que je l'active.

M. Waterhouse (Steve) : Oui.

M. Ouellet : Moi, il m'arrive de ne pas l'activer parce que ça cherche mes appareils constamment dans la maison, je le ferme. Donc, même si l'application... je peux penser être protégé, mais, si je n'ai pas activé la notification Bluetooth, je ne serai pas notifié parce qu'elle ne sera pas en fonction.

Le Président (M. Bachand) : Merci, M. le député. Je dois passer la parole à M. le député de Chomedey, s'il vous plaît.

M. Ouellette : Mon collègue de Baie-Comeau est tout excité parce qu'il vient juste d'avoir l'Internet, là, ça fait que c'est pour ça...

Des voix : Ha, ha, ha!

M. Ouellette : C'est un sentiment... Je comprends que son appareil le cherche partout, là, parce que ça vient d'arriver.

M. Waterhouse (Steve) : Voilà, ça vibre tout le temps.

Une voix : ...

M. Ouellette : Ça aussi. Ah! moi, je ne sais pas nager, ça fait que c'est... Garde-le, ton barrage.

M. Ouellet : Bien, je vais te couper le courant...

M. Ouellette : Oui, oui, c'est ça. Bien, bienvenue. Je pense que vous nous avez... Vous êtes notre neuvième audition aujourd'hui, puis je pense que, pour les citoyens qui nous écoutent, là, vous avez vulgarisé très bien les petits bogues qu'on peut avoir ou les petites appréhensions qu'on peut avoir.

Le Pr Gingras, hier, a été le premier à venir nous dire : Bien, peut-être qu'on n'en a pas besoin, mais il n'a pas eu le temps de nous expliquer pourquoi peut-être on n'en aurait pas besoin, ce que vous avez fait après-midi. Et je pense que ça pourrait être... vous pourriez... on pourrait prendre plusieurs segments de votre présentation et les faire écouter aux gens pour leur faire apprécier.

Si jamais... parce que tout va être basé sur la science et non pas sur les sondages, si jamais le gouvernement décidait d'aller dans un sens, bien, vous avez... vous nous avez démontré des arguments, je pense, très factuels, pourquoi vous en êtes arrivé à la recommandation c, qui est ne pas investir puis d'aller beaucoup plus sur des choses qui sont mesurables puis des choses que... bien, je vous dirais, des choses factuelles. Parce que le Québec est grand, la moitié de la population est concentrée... ce n'est pas à vous que je vais apprendre ça, mais qui est concentrée dans la région de Montréal, Laval, la Montérégie, et ça va être plus difficile en région. Ça ne veut pas dire qu'il n'y a pas autant de cas de COVID qu'il peut y en avoir dans une région plus urbaine.

Bien, merci de cet exposé qui va aider plusieurs citoyens à bien comprendre. Puis là, avec ce que vous nous avez démontré, que tout ce que c'est qu'on a là-dessus, là... déjà, on était stressés par le Bluetooth, mais on a deux autres affaires qu'il faut se stresser aussi, ça fait que... Bien, merci.

M. Waterhouse (Steve) : Ça fait plaisir.

Le Président (M. Bachand) : Sur ce, au nom de la commission, merci beaucoup, M. Waterhouse, d'avoir été ici.

Et la commission ajourne ses travaux jusqu'à demain, vendredi 14 août, à 9 heures. Merci beaucoup.

(Fin de la séance à 18 h 14)

Document(s) related to the sitting