(Neuf heures deux minutes)
Le
Président (M. Bachand) :
Bonjour. À l'ordre, s'il vous plaît! Ayant constaté le quorum, je déclare la
séance de la Commission des institutions ouverte. Je vous souhaite la bienvenue
et, comme vous le savez, je demande à toutes personnes présentes présentes dans
la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.
La commission est réunie afin de procéder aux consultations
particulières au sujet d'outils technologiques de notification des contacts ainsi que sur la pertinence de ce type
d'outils, leur utilité et, le cas échéant, les conditions de leur
acceptabilité sociale dans le cadre de la lutte contre la COVID-19.
Avant de débuter, Mme la secrétaire, y a-t-il
des remplacements?
La
Secrétaire : Oui, M. le Président. Mme Lachance
(Bellechasse) est remplacée par M. Provençal (Beauce-Nord); M. Lamothe (Ungava) est remplacé par
Mme Boutin (Jean-Talon); Mme Robitaille (Bourassa-Sauvé) est
remplacée par Mme Nichols (Vaudreuil); M. Tanguay (LaFontaine)
est remplacé par Mme Rizqy (Saint-Laurent); M. Fontecilla
(Laurier-Dorion) est remplacé par M. Nadeau-Dubois (Gouin) et
M. LeBel (Rimouski) est remplacé par M. Ouellet (René-Lévesque).
Auditions (suite)
Le
Président (M. Bachand) :
Merci beaucoup. Ce matin, nous entendrons les personnes suivantes : M.
Stéphane Roche, professeur titulaire de
sciences géomatiques de l'Université Laval; Mme Castets-Renard,
professeure titulaire de la Faculté de droit civil de l'Université
d'Ottawa; Mme Guliani, première conseillère législative de l'American
Civil Liberties Union; et aussi M. Claude Sarrazin, qui sera notre premier
intervenant, spécialiste en cybersécurité.
Je vous informe
par ailleurs que les auditions de M. Sarrazin, Mme Castets-Renard et Mme
Guliani se feront par visioconférence, et, pour cette dernière, il y
aura interprétation simultanée.
Donc, M.
Sarrazin, bienvenue. Bon matin. Merci d'être avec nous. Alors, je vous laisse
la parole pour 10 minutes, et, après ça, nous aurons un échange
avec les membres de la commission. Alors, la parole est à vous.
M. Claude A. Sarrazin
(Visioconférence)
M.
Sarrazin (Claude A.) : Merci beaucoup. Bien, écoutez, je vous
remercie de m'avoir invité pour cette
analyse. Je suis fondamentalement un
enquêteur. Depuis plus de 30 ans, je travaille dans le domaine des
enquêtes et j'ai développé une
spécialité au point de vue de ce qui s'appelle la cybercriminalité. Cette
perspective-là m'a permis d'élaborer certaines façons de faire ou de
développer une approche quant à la protection des informations par la suite. Je l'enseigne également à l'UQAM, à l'École des sciences de la gestion, au
niveau de la maîtrise, dans un cours que je désigne, non officiellement,
Cybercrime 201.
Donc, si vous
me permettez, j'ai un court préambule sur l'analyse, un peu, de la situation.
Un associé de recherche principal au
Citizen Lab de l'Université de Toronto, Christopher Parsons, mentionne un seuil
de 65 % à 80 %
d'utilisation de l'application pour que
celle-ci ait un impact majeur sur la propagation du virus. Cependant, il faut
prendre en compte que ce n'est pas
100 % de la population qui possède un téléphone intelligent. Donc, afin
d'obtenir un seuil d'utilisation de près de 60 % de la population, il faut qu'une grande majorité des
utilisateurs de téléphones intelligents utilisent l'application de
notification de contacts.
Le fait que l'application canadienne
COVID Alert ne fonctionne que sur les appareils intelligents utilisant les
systèmes Apple ou Android de fabrication
récente, avec mise à jour du système d'exploitation, soulève une
importante préoccupation. En effet, les communautés les plus à risque et qui
bénéficieraient le plus de l'utilisation d'une telle application se trouveront
donc à être celles qui n'y ont pas accès. Il s'agit des communautés les plus
démunies, des personnes sans domicile fixe,
des enfants et des personnes âgées. En effet, il n'y a aucune étude empirique
indiquant qu'une application de suivi de contacts serait efficace pour
lutter contre la pandémie si ce n'est pas la grande majorité de la population
qui l'utilise. Et, si, de ce fait, la grande majorité le fait, ceci pourrait
amener un intérêt renouvelé d'autres types d'utilisateurs, ce qui m'amène à ma
propre spécialité, le cybercrime.
Il importe de
souligner que le modus operandi des cybercriminels ne correspond pas à celui
des criminels traditionnels. Ces derniers
cherchent généralement une cible potentielle avant de définir leur plan. Les
cybercriminels, dans bien des cas,
identifient les vulnérabilités pour par la suite commettre un délit. Les
cybercriminels collaborent généralement à distance avec un réseau, selon leur spécialité et leur capacité à
exploiter les failles. Ils ne cherchent pas l'opportunité, ils la créent. Comme démontré dans les dernières années, les
nouvelles technologies comportent souvent d'importantes vulnérabilités. Par contre,
les vulnérabilités Bluetooth sont rarement discutées, et c'est la
base du système qui est mis de l'avant par le fédéral.
Bien
qu'il soit vrai que l'utilisation du Bluetooth soit moins intrusive que la technologie de géolocalisation et ne collecte
pas directement de données personnelles, elle comporte des vulnérabilités permettant à certains cybercriminels d'avoir accès à ces données. Il appert que le Bluetooth soit réputé pour
n'être détectable que sur de courtes distances et qu'il soit difficile d'en extraire des informations. Cependant,
il n'est pas impossible, pour des pirates informatiques, d'utiliser le
«reverse engineering» pour obtenir l'accès aux données d'un tiers en utilisant
les failles de sécurité.
Certains
outils ont été développés afin d'obtenir accès aux échanges entre les appareils
utilisant Bluetooth, tels qu'un téléphone
et une paire d'écouteurs, permettant ainsi à une tierce personne d'écouter une
conversation téléphonique. En effet, il est possible d'étendre la portée
de détection d'un appareil Bluetooth en utilisant d'autres appareils ou des
balises Bluetooth. Des vulnérabilités Bluetooth connues portent le nom de
BlueBorne. Cette collection de failles permettait à des pirates informatiques
d'installer des «malware» et d'effectuer des attaques sur les autres appareils
en utilisant le Bluetooth.
Ce
qu'on appelle le «Bluetooth Mesh Networking» rend cette vulnérabilité encore
plus grave puisque les pirates pourraient sauter d'un appareil à l'autre
facilement avec BlueBorne. L'attaquant commence par détecter un appareil Bluetooth à proximité avant d'identifier son adresse
MAC. Cette dernière lui permet d'identifier le système d'exploitation de
l'appareil et d'ajuster son attaque avant de la déployer.
Une
autre vulnérabilité connue est
BleedingBits, des puces électroniques
installées dans plusieurs types d'appareils. Celles-ci permettaient des attaques sans même que l'attaquant ne soit
jumelé avec l'appareil en question. Donc, on n'attaque pas directement
la fonctionnalité Bluetooth, mais bien le hardware, si on veut, qui permet
l'utilisation de Bluetooth.
Certaines vulnérabilités
permettent d'obtenir la clé d'encryption utilisée par un appareil et de
l'utiliser afin d'obtenir des données et de falsifier certaines informations.
Des chercheurs en sécurité de l'Université de Boston, notamment, ont découvert
qu'ils pouvaient identifier les appareils utilisés lors d'une connexion par
technologie Bluetooth malgré que les
identifiants étaient cryptés par l'appareil. De plus, lorsque le niveau de
sécurité Bluetooth n'est pas maximal, certaines informations sont
échangées sans encryption entre les différents appareils, ce qui accroît les
risques puisque l'information n'a pas à être
hackée, mais elle peut plutôt être déduite à partir de l'information
interceptée par un tiers.
La
sécurité standard de la technologie Bluetooth inclut deux étapes
d'authentification, soit «legacy authentification procedure» et «secure authentication procedure». Celles-ci utilisent une clé
d'encryption. Ces mesures sont supposées empêcher les attaques par usurpation, aussi appelées BIAS, «Bluetooth
Impersonation Attacks». Une équipe de chercheurs européens provenant d'Oxford et de l'école polytechnique de Lausannea
démontré que même la technologie la plus récente de Bluetooth était vulnérable à ce type d'attaque. Cette équipe a
attaqué différents types d'appareils possédant des puces électroniques des systèmes d'exploitation
différents les uns des autres afin de démontrer que ceux-ci ne sont pas à
l'abri des attaques par Bluetooth.
• (9 h 10) •
Bien
que BlueBorne et Bleedingbits soient les vulnérabilités les plus connues et
qu'elles aient été corrigées, elles ne sont
pas les seules qui ont été détectées. Effectivement, en février dernier,
BlueFrag, une nouvelle vulnérabilité critique, a été détectée. Celle-ci a également été corrigée peu de
temps après sa détection, mais elle démontre que de nouvelles mises à jour des systèmes d'exploitation des appareils
électroniques peuvent toujours introduire de nouvelles vulnérabilités.
En effet, Niels Schweisshelm, directeur du
programme HackerOne, estime que le Bluetooth et ses futures utilisations ne
seront jamais à l'abri de nouvelles failles.
Pour
le chercheur Jan Ruge, de la Technische Universität Darmstadt, le meilleur
moyen de se protéger contre des attaques
utilisant le Bluetooth est de désactiver celui-ci lorsqu'il n'est pas en
utilisation. Cette méthode de sécurité, bien entendu, irait à l'encontre
de toute utilisation d'un système de traçage.
Par
contre, comme l'application Alerte COVID utilise le Bluetooth, il serait
nécessaire de laisser le Bluetooth de l'appareil
activé en tout temps, ce qui accroît les risques d'exploitation d'une faille.
Et, à partir du moment que les fraudeurs potentiels
démontrent un intérêt pour cette technologie-là et que le seuil d'utilisation
dépasse le 60 %, on accroît considérablement le risque.
Il faut être d'autant plus vigilant avec les
appareils mobiles fournis par l'employeur afin de ne pas mettre à risque
le système également de l'employeur, parce qu'à travers ces différentes attaques là ce
n'est pas nécessairement l'individu qui l'utilise qui peut être ciblé, mais bien l'employeur où il y a une
connexion avec l'appareil de l'employé en question. Qu'en est-il
également des outils utilisés par certains employeurs pour
contrôler l'utilisation de leur matériel? De plus, est-ce que ceux-ci
pourraient être tentés d'accéder aux informations personnelles à d'autres fins?
Il
est important de noter que nous n'avons pas présentement accès à tous les
détails concernant les protocoles de sécurité et le niveau d'encryption
utilisé présentement par les outils proposés. De plus, Stas Protassov,
cofondateur et président de la technologie
d'Acronis, émet une mise en garde puisqu'il croit que certaines applications
malveillantes imitant l'application officielle pourraient être mises en
circulation.
Il
est donc primordial que seule l'application officielle soit téléchargée afin
d'assurer la confidentialité des données personnelles des utilisateurs. On l'a vu pendant le COVID, il y a
beaucoup de fraudeurs qui ont profité, comme ils le font généralement, de cette situation-là pour leur
permettre d'avoir un motif, justement, d'effectuer des attaques. On l'a
vu notamment dans le cas du PCU.
En
conclusion, le succès d'une application de notification des contacts ou de
suivi de contacts dépend en grande partie
de la confiance du public envers la fiabilité de l'outil et du gouvernement ou
de l'organisme qui le met en oeuvre. Il est primordial de ne pas
sacrifier le droit à la vie privée et la sécurité pour un outil technologique
dont les bienfaits ne sont pas garantis.
Si,
toutefois, une application est utilisée afin de protéger les données
personnelles, celle-ci devrait être analysée localement dans le
téléphone de l'usager et, idéalement, ne pas centraliser l'ensemble de ces
données-là. Si une application plus
intrusive était utilisée et que les données des usagers étaient stockées dans
un serveur localisé, il est certain que
plusieurs réseaux criminels seraient intéressés à accéder à ces
informations-là. On l'a vu, on l'a su, la concentration d'une grande
quantité de données attire de nombreuses attaques.
Et puis,
puisque l'application proposée par le gouvernement canadien n'est pas
accessible à tous, et si on la rend disponible aux versions antérieures
des systèmes d'opération pour pouvoir aller chercher un maximum d'utilisateurs,
nous courrons donc le risque de nous rendre
collectivement vulnérables à une autre forme de virus qui est très
intrusive et qui pourrait nous amener de Charybde en Scylla.
Le Président (M.
Bachand) : Merci beaucoup pour votre présentation. On débute la
période d'échange. Mme la députée de Jean-Talon, s'il vous plaît.
Mme Boutin : Bonjour, M. Sarrazin.
Merci beaucoup de votre présence. C'est vraiment très apprécié, là. La cyberdéfense, ça m'intéresse particulièrement, là.
Je dois vous avouer, je suis très au fait qu'il y a eu plusieurs...
Bien, il y a plusieurs attaques en tout
temps dans le monde... plusieurs institutions. Puis je ne veux pas faire peur
aux gens qui nous écoutent, là. Il y
a des mesures qui sont en place pour contrer ça. Même le gouvernement a
renforcé ses mesures dans la dernière année, parce qu'on était assez
conscients de ça.
Là, on parle
de quelque chose de très différent, puis je trouve intéressant... parce que ça
parle de nos appareils directement. Moi-même, j'ai quelques inquiétudes
parce que je suis une utilisatrice de beaucoup d'applications. Mon Bluetooth est activé en tout temps, mon wifi. Je
suis probablement une des personnes les plus à risque ici, dans la
salle, pour vrai, puis, en le disant, bien, peut-être qu'il y a des pirates qui
vont attaquer mon téléphone cellulaire.
Donc, ma
première question tourne autour de la sécurité, puis j'aimerais savoir, tu
sais, concrètement, comment ça se
passe. Est-ce que des gens pourraient... Même, là, si jamais j'ai des
applications, parce que j'en ai beaucoup, puis ça doit rouler en tout temps, est-ce qu'un pirate
malveillant, tu sais, actuellement, qui m'entend pourrait décider de
venir et saisir, admettons, mes données
bancaires ou quelque chose comme ça, tu sais, des données très personnelles?
Parce que je ne pense pas qu'il
s'intéresserait aux données aléatoires ou si j'ai le COVID ou non. Je pense
plutôt qu'il irait chercher des
données qui seraient utiles, dont mes données bancaires, mes numéros, mon
adresse, toutes les données que j'ai mises sur mon téléphone cellulaire,
ainsi que ma reconnaissance faciale. J'ai tout mis ça, moi. Est-ce que moi, je
peux me faire pirater, ou d'autres personnes?
M.
Sarrazin (Claude A.) : Bien,
la question est très large. La réponse l'est tout autant. Oui, tout le monde a
le potentiel d'être victime d'un piratage de données.
Maintenant,
ça dépend beaucoup des vulnérabilités individuelles, donc, les mises à jour qui
sont sur votre téléphone. Comme je le
mentionnais tout à l'heure, il y a beaucoup de menaces qu'on connaît par
rapport à Bluetooth, par exemple, qui ont été corrigées, sauf que ce
qu'on sait également, c'est que les hackeurs, eux, vont aller faire du «reverse
engineering» pour aller voir comment que la
patch a été corrigée et appliquée, et là ils vont trouver ou ils vont tenter
de trouver de nouvelles vulnérabilités pour pouvoir les exploiter.
Donc, les
mises à jour sont hyperimportantes. À partir de ce moment-là, on est à risque
en tout temps par rapport à nos
appareils de communication. On ne peut pas arrêter de penser à la sécurité,
mais un des risques très importants... Et le plus grand risque est probablement l'utilisateur lui-même qui, par
erreur... Et, on l'a vu, les attaques de «phishing» qui sont... Ça se
fait maintenant par texto. Ça se fait maintenant par téléphone. Ça se fait par
courriel, bien entendu. Il y a des méthodes spécifiques.
Et on connaît
également des méthodes qui ciblent des gens particulièrement. On l'a vu notamment
aux États-Unis. C'est ce qu'on
appelle... Au lieu du «phishing», c'est le «whaling», où est-ce qu'on va cibler
des gens par exemple, qui ont un poste important, qui sont impliqués au
point de vue politique, et, ça, on va cibler ces gens-là de façon spécifique
pour aller chercher leurs informations et non pas l'information de n'importe
qui. Ça fait que, donc...
Mme Boutin : O.K. Donc, il faut que
je clique sur des liens ou les gens peuvent carrément aller dans mon téléphone
puis prendre contrôle de mon téléphone?
M.
Sarrazin (Claude A.) : Bien,
c'est sûr que les attaques, au point de vue du «phishing», le «whaling»,
tout ça, il y a généralement un lien ou une action à prendre. Ce n'est pas
nécessairement un lien, mais ça peut être une action à prendre, qui permettra, à ce moment-là, à la personne d'accéder aux
données de différentes façons. Et il y a une multitude de moyens par
lesquels ça peut se faire. Et malheureusement la réalité, c'est que l'Internet,
l'Internet des choses et l'Internet de façon
générale, ce qu'on en connaît, c'est un peu le far west, parce que l'aspect législatif...
Et j'ai travaillé... J'ai tenté de faire faire une modification au Code
criminel, il y a cinq ou six ans maintenant, justement pour répondre à cette
réalité-là. On n'a pas de loi qui couvre l'ensemble des actions qui sont posées
justement par ces criminels-là.
Mme
Boutin : Je suis d'accord
avec vous, puis, bien, mon collègue va sûrement vous en parler après. C'est
pour ça aussi qu'on a déposé le projet de loi n° 64.
On est très au fait que plusieurs lois ont été écrites avant l'évolution du
numérique puis, bon, il faut les revoir.
Moi,
j'ai une question, puis c'est un scénario. Admettons qu'on est 60 % de la population, qu'on «downloade»
une application sur un Bluetooth, outre
l'efficacité qui n'a pas encore été vraiment démontrée, c'est quoi, le pire
scénario qui pourrait arriver au niveau de la sécurité,
qu'il faut garder en tête, toujours voir quel est le pire scénario versus les bénéfices? Admettons, je vous dis le pire
scénario, est-ce qu'il pourrait y avoir une fuite de données massive? Parce
qu'on parle souvent des fuites de données
qu'il y a eu chez Desjardins, Revenu Québec, mais, souvent, c'était la gestion
des accès qui était peut-être désuète, puis
c'est des gens, tu sais, mal intentionnés qui ont volé. C'est vraiment une
erreur humaine, là, des gens qui sont
allés par eux-mêmes chercher des données. Mais, sur des téléphones
intelligents, admettons, parce que je ne
sais pas si ça s'est fait ailleurs, dans les expériences, dans les autres pays,
mais qu'est-ce qu'il faut garder en tête dans le pire scénario? Est-ce que c'est une fuite de données massive ou est-ce
que ce serait plutôt que ça ne fonctionne pas finalement?
M. Sarrazin (Claude A.) : Bien, je crois qu'ici je ne parlerais pas
nécessairement de fuite de données massive. C'est sûr que les gens qui feraient ces attaques-là sont malveillants.
Ça fait que, donc, ce qui serait le pire cas, c'est qu'on se ramasse avec 60 % de la population qui a
installé un outil de protection qui s'avère être une porte d'entrée pour des
attaques sur les systèmes informatiques des gens. Ça fait que, donc, ça veut
dire que, la personne, si on réussit à infecter son téléphone, on pourrait réussir à également infecter les ordinateurs. On
peut cumuler des données informatiques. Et, pour vous donner une idée,
là...
Mme Boutin :
Un par un. Dans le fond, un individu par un et non tous ensemble.
M. Sarrazin (Claude A.) : Exact, exact. Si on utilise une technologie
décentralisée, ça pourrait être ça. Le pire cauchemar, ça serait ça, et,
à partir de ça...
• (9 h 20) •
Mme Boutin :
Des pirates très motivés.
M. Sarrazin
(Claude A.) : Pardon?
Mme Boutin :
Des pirates très motivés.
M. Sarrazin (Claude A.) : Oui, exactement, mais, généralement, ils le sont
parce que c'est excessivement payant. C'est
inimaginable, les sommes d'argent que ces gens-là font avec... et de la façon
qu'ils achètent des outils. C'est sûr qu'il
y a des vulnérabilités partout, là, parce que la problématique en devient une à
très long terme. Si quelqu'un se fait voler son identité et que l'identité est valide, donc est utilisable par les
fraudeurs, nous, on calcule, en moyenne, que ça a une durée de vie, cette problématique-là, de cinq à
10 ans. Et, la semaine dernière, j'ai vu un cas qui durait depuis
17 ans. Et là on parle de gens qui ont des mandats d'arrestation
pour des contraventions impayées, et ces personnes-là se sont fait complètement
voler leur identité.
Mme Boutin : ...à quelqu'un que je connais bien. C'est ça, on se fait voler notre
numéro d'assurance sociale ou des informations. Après ça, bon, tu sais,
ça impacte beaucoup dans notre vie.
J'aimerais
vous amener sur un autre point, puis je sais que mes collègues vont vouloir
poser des questions, là, parce que moi, j'essaie de soupeser toujours le
risque, le pire risque versus le bénéfice potentiel. C'est malheureux parce
qu'il n'y a pas encore d'études qui ont sorti, qui ont été publiées sur
l'impact réel. Plusieurs pays sont allés de l'avant souvent en se disant :
Bon, bien, en prévision d'une deuxième vague, peut-être qu'on pourrait sauver
quelques vies, peut-être qu'on pourrait désengorger les systèmes de collecte
d'information manuelle.
Tu
sais, la réflexion se fait beaucoup dans ce sens-là, je pense, par les
responsables de la Santé publique également, de dire : Comment est-ce qu'on pourrait libérer quelques... Est-ce
qu'on pourrait libérer quelques ressources qui font la collecte de
contacts manuellement, avec des applications comme ça, puis mettre ces
ressources humaines là, qui sont limitées, pour s'occuper, donc, des
populations plus vulnérables qui n'ont pas nécessairement accès à des
téléphones intelligents? Ils se posent cette question-là.
Est-ce
que vous pensez que, si on mettait toutes les mesures... Parce qu'il n'y a pas
de décision qui a été prise, là, encore,
vraiment, là, mais, si on mettait toutes les mesures de sécurité, des audits de
sécurité, de la surveillance, un stockage décentralisé, sur des téléphones,
de données anonymisées — j'ai
de la difficulté à dire ça — est-ce
que vous pensez que ça pourrait
potentiellement, parce qu'il n'y a rien de prouvé, libérer un peu des
ressources, faciliter le travail de la Santé publique, lors de la
collecte manuelle, ou non?
M. Sarrazin (Claude A.) : Bien, écoutez, je ne suis pas un spécialiste en
santé publique. Bien humblement, je vous dirais que, si on fait une
analyse logique, oui, ça devrait normalement libérer l'utilisation. S'il y a
suffisamment d'utilisateurs, ça pourrait
libérer des ressources pour être utilisées ailleurs. C'est la logique à
laquelle on pourrait penser.
Maintenant, quel
fardeau ça peut représenter, puis tout dépendant de la solution qui est... Il y
a beaucoup d'éléments qu'il reste à
déterminer là-dedans et qui sont difficiles à évaluer. Justement, c'est un peu
la difficulté que j'ai eue quand j'ai
analysé le projet. Il y a beaucoup d'éléments qu'il nous manque. Il y a
beaucoup d'inconnues là-dedans, et c'est ce qui m'inquiète aussi, c'est de voir jusqu'à quel point on tombe dans
des nuances de gris qui peuvent être problématiques. Est-ce que ça va être plus avantageux d'avoir
cette ressource-là? Peut-être, malgré le risque. Est-ce que ça va être... Est-ce que ça ne sera pas efficace?
C'est possible aussi. Puis est-ce que ça va nous aider? C'est également possible. À ce stade-ci, c'est difficile à dire.
Mme Boutin : Bien, je pense que tout
le monde est d'accord. Puis c'est pour ça qu'on prend le temps de consulter,
pour prendre une décision relativement éclairée. Malgré tout, tout n'est pas
blanc ou noir.
Puis
là ma dernière question, puis certains n'aimeront peut-être
pas mon raisonnement, mais, tu sais, quand on soupèse le risque, le plus grand risque est peut-être
d'avoir une augmentation du piratage, peut-être une efficacité qui
forcerait le gouvernement à retirer l'application, donc, à, tu sais, admettre que, finalement, ça ne fonctionnait
pas comme certains pays, versus un
bénéfice potentiel qui n'est pas encore démontré, mais qui existe peut-être,
de libérer certaines ressources pour éventuellement contribuer à contrer
la pandémie.
Et, ultimement,
l'objectif, c'est de sauver des vies humaines puis c'est
de... Soupeser, là, tu sais, les risques, la valeur des risques versus la valeur des bénéfices, c'est une question
qui est difficile à se poser, parce
qu'on a, comme vous avez dit,
des inconnues par rapport à ça. Mais vous, vous iriez quand même dire que les
risques d'efficacité, c'est plus important qu'un bénéfice potentiel de sauver
des vies?
M.
Sarrazin (Claude A.) : Encore une fois, comme je vous dis, c'est le risque à long terme. Comme je vous
disais tout à l'heure, le vol d'identité, là, ça a une durée de vie, là, de
cinq à 10 ans. Ça fait que, donc, si les informations personnelles de ces gens-là sont dérobées et
qu'ils se retrouvent dans des problématiques qui vont durer
potentiellement, et ça non plus, on ne le sait pas, beaucoup plus
longtemps que la durée du COVID, bien, il faut vraiment analyser cette
perspective-là. Est-ce que c'est un outil qui est utile? Je pense que oui. S'il
est bien fait et s'il protège l'information personnelle,
c'est sûr que ça peut être intéressant. Et, sur papier, ça peut être miraculeux
comme solution. Est-ce que ça va livrer ça en bout de ligne? Je ne suis
pas certain.
Mme Boutin : Bien, merci.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous
plaît.
M. Lévesque
(Chapleau) : Merci, M. le Président. Merci, M. Sarrazin. C'est un peu
là-dessus que je voulais vous amener.
D'ailleurs, on parle... Bien, vous parlez souvent, donc, de failles de
sécurité, de vulnérabilité en lien avec certaines applications. Dans le fond, auriez-vous peut-être
des pistes de solution, des améliorations qu'il faudrait mettre de
l'avant sur ces applications-là? Si jamais
le gouvernement décidait d'aller de l'avant, quelles étapes il y aurait et
qu'est-ce que ce serait, les points à avoir de façon prioritaire?
M.
Sarrazin (Claude A.) : Bien,
c'est une très bonne question. Encore une fois, sans savoir les détails de ce
qui a été mis en place en matière de
sécurité, c'est un peu difficile... mais, toutefois, c'est sûr que la première
condition, c'est que ça prend une
capacité d'analyse presque en temps réel. Et ça, c'est un couteau à deux tranchants, parce que ça demanderait une
centralisation au moins d'une partie des données pour permettre de répondre à
d'éventuelles tentatives d'attaque, parce que c'est sûr que, s'il y a des
attaques, les cybercriminels ne font pas ça d'un trait.
Généralement,
ils y vont graduellement. Il y a des expériences, eux aussi, qu'ils font de
leur côté pour prendre connaissance
et apprendre l'utilisation de ces systèmes-là. Ça fait que ça, ça demande
énormément de capacité de détection. Si on n'a pas de centralisation,
c'est un peu difficile à faire. Ça fait que... Et, si on centralise, on sait
qu'on se rend plus vulnérables. Ça fait que, donc, il y a un certain bémol à
apporter à ce niveau-là.
Ceci étant
dit, si on est capables de sécuriser l'application, si on est capables de
trouver une façon de faire pour obtenir
un niveau de sécurité qui permettrait d'avoir une certaine sûreté par rapport à ça, bien là, à partir de ce moment-là, O.K., là, on pourrait penser à aller de l'avant. Mais il faut absolument
qu'on continue la surveillance de notre système pour permettre la détection des tentatives d'intrusion
dans ces systèmes-là pour protéger le citoyen, parce que, trop souvent,
on met en place des, et je ne parle pas nécessairement
du gouvernement, mais de l'entreprise et de l'ensemble de
l'oeuvre, là, de tous les utilisateurs,
solutions, puis, vous l'avez tous vu, vous l'avez tous vécu, il y a un
fournisseur qui met en place une solution, l'offre à tout le monde,
c'est un miracle, et là, tout d'un coup, la solution, on se rend compte qu'il y
a des vulnérabilités importantes quelques mois plus tard.
M.
Lévesque (Chapleau) :
Rapidement, là, on a entendu la solution des pirates informatiques à bonnet
blanc, les fameux «white cap», «white hat hackers», est-ce que ça, ça pourrait
être une option à envisager pour, dans le fond, améliorer ce type d'application
là?
M.
Sarrazin (Claude A.) : Oui,
ça peut être une façon de faire. Il y en a plusieurs. Oui, l'utilisation des
«white hat», ça peut être intéressant, mais
non seulement les «white hat». Mais il y a des universités au Québec qui font
de la recherche en matière de cybersécurité, l'Université de Montréal,
l'UQAM. Ça peut être intéressant de les joindre, justement, à ce processus-là.
Maintenant,
la réalité, c'est que, malgré tout ce travail-là... Et il y a des gens
brillants qui travaillent chez Bluetooth. Il y a des gens brillants qui travaillent chez Apple. Il n'y a aucun
doute là-dessus. Malgré ça, il y a une multitude de gens qui travaillent à défaire ce qu'ils font. Ça fait que,
donc, il faut continuer la surveillance en temps réel. Il faut être
proactif pour pouvoir détecter et réprimer les tentatives d'accession aux
données des utilisateurs.
• (9 h 30) •
Le Président (M.
Bachand) : Merci beaucoup. Alors, Mme la
députée de Saint-Laurent, s'il vous plaît.
M. Lévesque (Chapleau) : Ah!
merci, excusez-moi.
Le Président (M.
Bachand) : Pardon, désolé, M. le député de Chapleau. Mme la
députée, s'il vous plaît.
Mme Rizqy : Merci,
M. le Président. Bonjour,
M. Sarrazin. Bienvenue parmi nous. Dites-moi, au XXIe siècle,
là, est-ce qu'il y a une donnée, un renseignement personnel qui ne vaut
absolument rien ou est-ce qu'il y a toujours une valeur rattachée à chacune des
données personnelles des gens?
M. Sarrazin (Claude A.) : Écoutez, il y a une valeur d'attachée à ça.
Maintenant, la valeur n'est pas nécessairement celle qu'on pense. Et ce qu'il faut voir, c'est qu'en matière de
cybercrime, souvent, ces gens-là vont être très créatifs sur la façon qu'ils peuvent utiliser ces données-là. Ça
fait que, donc... Et on va voir... Il y a une multitude de types de
crimes, qui sont vraiment ahurissants, sur
la façon qu'ils vont développer justement... Comme je le disais, la grosse
différence, puis le meilleur exemple, c'est que, traditionnellement, un voleur,
il identifiait une banque, puis là il trouvait la façon par laquelle il était
pour aller voler la banque. Il savait à quoi il s'attaquait.
Ici,
on n'a pas la même... on n'a pas cette même façon de faire là. Ils vont
innover. Ils sont très créatifs. Et, à partir du moment qu'ils voient apparaître une porte, en quelque part, ou une
opportunité, ils vont, par la suite, trouver une façon d'utiliser cette
information-là. Ça fait que j'ai vu des bases de données vendues pour
0,10 $ le nom comme j'ai vu des bases de données vendues pour des milliers
de dollars par identifiant. Ça dépend d'une multitude de facteurs.
Mme Rizqy :
Donc, à peu près tous les renseignements personnels peuvent avoir une valeur,
que ce soit de 0,10 $ par nom
jusqu'à... Par exemple, le numéro d'assurance sociale a une plus grande valeur,
j'imagine. Dites-moi, vous avez plusieurs
années d'expérience, des décennies d'expérience. Alors, à ce jour, lorsqu'il y
a une fuite de données, c'est quoi, au niveau
criminel... Je ne veux pas cibler d'entreprises. Je pense que, dans les
dernières, il y en a eu qui ont eu leur lot, mais c'est quoi, au niveau criminel, aujourd'hui, là,
pour une entreprise qui n'est pas capable... Prenons un géant tech qui a
une fuite de données. Qu'est-ce qui arrive pour cette entreprise au Québec puis
au Canada?
M. Sarrazin (Claude A.) : Bien, je vous dirais que la grosse problématique,
c'est que ça dépend où le crime est commis,
parce que les crimes virtuels ne sont pas nécessairement tous commis sur le
territoire du Québec ou du Canada. Ça fait
que, donc, ce qu'on va avoir et ce qu'on voit maintenant beaucoup plus comme
problématique, c'est que les victimes sont
ici, le criminel est à l'étranger, en quelque part, et là on doit définir où le
crime a été commis, et le stockage des données n'est pas nécessairement
local non plus. Les transactions qui ont été faites ou, en tout cas, toutes les
différentes possibilités en matière de crime, ça peut avoir été commis
n'importe où.
Et
maintenant on va aller plus loin que ça. On peut se poser la question si, même
dans ce pays-là où se trouve le cybercriminel, si ce qu'il a fait
représente un crime, parce que, dans certains pays, il y a certains types de
crimes qui n'existent pas. Ça fait que,
donc, à partir de ce moment-là, on ouvre... Ça devient des situations
excessivement complexes. On réussit à collaborer entre pays, mais,
parfois, pour toutes sortes de raisons, il y en a un qui n'embarquera pas.
On
l'a vu, dans le cas de l'Europe, dans le cas d'EncroChat, EncroChat qui était
une méthode de communication que les
criminels utilisaient, les criminels, les terroristes utilisaient. Pendant
plusieurs années, ils ont utilisé cette méthode de communication là, encryptée, qui était totalement
sécuritaire, jusqu'à tant qu'elle ne le soit plus, soit dit en passant.
Et donc les policiers, pendant deux ans, ont réussi à intercepter les
communications de ces gens-là en temps réel et d'avoir les communications entre criminels. Ça fait que, donc...
Mais ça, ça a demandé une collaboration entre plusieurs pays qui ont collaboré pour pouvoir étendre leurs recherches et
leurs analyses et ça a mené à des milliers et des milliers
d'arrestations, là.
Mme Rizqy :
...dans cet autre pays, mais pas ici?
M. Sarrazin (Claude A.) : Mais pas ici, exactement, exactement, malgré le
fait qu'EncroChat était au Canada aussi, soit dit en passant.
Mme
Rizqy : Oui, mais eux... Ça
n'a pas mené à d'arrestations ici, pas de condamnations ici et pas de
pénalités non plus ici. Et le commissaire à
la vie privée... Vous êtes bien au courant et au fait que ça fait quand même
plusieurs années que le commissaire à la vie privée, au fédéral, se bat
dans l'eau bénite pour avoir des lois avec du mordant, c'est-à-dire un vrai bâton pour courir. Ne trouvez-vous pas
qu'on ne devrait pas mettre la charrue devant les boeufs puis plutôt
avoir des lois avec plus de mordant? Parce qu'on
a eu, hier, l'occasion d'entendre la Commission
d'accès à l'information, donc,
au niveau du Québec, qui, eux, nous
réclament d'abord et avant tout un cadre juridique robuste. Est-ce que vous
devriez... Pensez-vous qu'on devrait
attendre, au Québec, d'abord, d'avoir cette vraie discussion sur un cadre
juridique robuste avant d'aller de l'avant avec ce type de technologie
qui... Même pour le secteur privé, là, en ce moment, eux autres aussi
développent leurs propres technologies de traçage.
M. Sarrazin (Claude A.) : Oui, tout à fait. Bien, écoutez, c'est sûr qu'il
y a un cadre juridique qui est existant. Il n'est pas... Au Québec, ça nous permet de faire un bout de chemin. Moi,
je travaille plus au niveau du Code
criminel. Donc, au point de vue du
Code criminel, on est limités, quand même. Ça fait que, donc, justement, le
p.l. n° 210, sur lequel j'avais travaillé, modifications au Code criminel, était
justement pour établir le lieu où se commet une infraction. Ça fait que, donc,
ça nous permettait un champ beaucoup plus large pour pouvoir accuser des gens ici, au Canada,
en vertu du Code criminel, même si, physiquement, ils n'étaient pas là, un
petit peu sur le modèle suisse.
Maintenant, oui, effectivement,
ça prend des lois, mais ça prend des lois... Et là il faudrait le regarder dans
un contexte peut-être autre que celui du
COVID, mais ça nous prend des lois, des règlements en place pour
pouvoir contrôler un peu ce qui se
passe au point de vue du Web. Il faut toujours faire attention entre
l'information et l'utilisation
légitime de l'information. Il y a parfois des moments où est-ce qu'il peut y avoir
une intrusion dans la vie privée des gens, pour toutes sortes de raisons, mais c'est l'utilisation illégale ou interdite dans le cadre de la commission
d'un acte qui devient importante.
Ça
fait que, donc, c'est vraiment là qu'il faut se pencher, pas juste sur la
protection de la vie privée comme telle. Oui, effectivement, je suis
entièrement d'accord, et ça peut paraître drôle venant d'un enquêteur, où
est-ce que, quotidiennement, nous, on porte
atteinte à la vie privée des gens, mais on est enchâssés par des règles qui ont
été établies, des jugements de la Cour suprême notamment, qui viennent nous dire que, oui, vous avez droit
à une vie privée. Toutefois, à partir
du moment... selon les actes que vous commettez, bien, cette vie privée là peut
être réduite en fonction de la nature des
actes que vous avez commis. Et c'est juste à ça qu'il faut faire attention, là.
Ça fait que, oui, effectivement, ça nécessite une loi. Allez-y,
excusez-moi.
Mme Rizqy : Non, mais c'est parfait...
parce que je sais que, des fois, le temps file...
Alors, si on revient à la technologie, la
quasi-totalité des experts que nous avons entendus jusqu'à ce jour nous disent que l'application Alerte COVID
lancée par le fédéral, ce n'est pas très efficace. Ils ont regardé ce qui se
passe ailleurs dans le monde, que ce soit
l'Islande, l'Australie, Singapour, Angleterre, la France, et plusieurs de ces
pays ont même finalement mis ça au rancart. Et ils ont aussi mentionné que
cette technologie n'était pas... En fait, le risque était beaucoup
plus grand. Hier, même Steve Waterhouse nous
mentionnait qu'on serait, en fait, exposés 24 heures par jour avec le...
pour avoir le Bluetooth allumé pour que ça soit efficace.
Et là je sais
que vous n'êtes pas un expert de santé publique, mais vous me semblez une
personne qui fait preuve de gros bon
sens. Lorsqu'on a d'autres exemples
mondiaux qui ont déjà essayé cette technologie et qui sont
arrivés, là, avec même à Singapour...
avec plus de 1 million de personnes qui l'ont utilisé, puis, finalement,
ça n'a pas marché, trouvez-vous qu'on devrait peut-être attendre voir ce
qui se passe ailleurs dans le monde puis se dire : Bien, si ça n'a pas
marché chez eux, peut-être que ça ne marchera pas plus chez nous?
M.
Sarrazin (Claude A.) :
Potentiellement. Et d'ailleurs, dans mon mémoire, ma conclusion personnelle
n'est pas différente de celle de M. Waterhouse.
Mme
Rizqy : ...pour les fins...
Pour ceux qui n'ont peut-être pas suivi hier, c'était l'option c, qui était de
ne pas aller de l'avant avec ce type
d'application, et d'investir davantage dans un réseau de santé publique robuste, et de s'assurer de continuer
à faire le testage que, présentement, la santé
publique fait, c'est-à-dire manuel, on appelle les gens, ou même au niveau... par courriel.
C'est bien ça, votre position?
M.
Sarrazin (Claude A.) : Oui,
sensiblement, c'est la conclusion à laquelle j'arrive aussi. Au point de vue du traçage, le traçage est quand
même efficace. Si on avait une
solution miracle qui serait excessivement sécuritaire, ça serait
fantastique, mais ce n'est pas le cas. Ça n'existe pas, malheureusement, que
sur papier.
• (9 h 40) •
Mme Rizqy : Merci beaucoup.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de
Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M. le
Président. Bonjour, M. Sarrazin. Merci de prendre du temps avec nous cet
avant-midi. J'ai peu de temps. Je vais être direct. Est-ce que vous diriez que
le risque d'attaque ou de piratage d'une application qui fonctionne par
Bluetooth... est-ce que vous qualifieriez ce risque-là de réel?
M. Sarrazin (Claude A.) : Oui.
M. Nadeau-Dubois : Vous diriez qu'il
est significatif?
M. Sarrazin (Claude A.) : Absolument.
M. Nadeau-Dubois : Est-ce que vous
diriez que les bénéfices liés à l'utilisation d'une telle application sont
assurés? Est-ce que l'efficacité de la...
M. Sarrazin (Claude A.) : Je ne peux
pas me prononcer.
M.
Nadeau-Dubois : Pardon, je...
Peut-être plus pour être dans votre champ d'expertise,
est-ce que vous diriez que, d'un point de vue technologique, ces
applications-là, leur efficacité est démontrée?
M.
Sarrazin (Claude A.) : De ce
que j'ai pu lire ou de ce que j'ai pu consulter comme analyse jusqu'à
date, il semblerait que non.
M.
Nadeau-Dubois : Parfait.
Donc, vous nous dites : Il y a des risques réels... En
fait, non, vous dites : Des risques significatifs qu'il y ait
piratage ou attaque. Et, de l'autre côté, vous nous dites : Les bénéfices,
eux, ne sont... en fait, l'efficacité de tels outils, elle n'est pas démontrée.
Si jamais il y avait piratage ou attaque, fuite de données, qui serait
imputable, responsable de cette faille de sécurité? Vers qui les gens
pourraient-ils se tourner?
M. Sarrazin (Claude A.) : Écoutez,
ça dépend c'est qui qui promulgue et c'est qui qui fournit le service.
M.
Nadeau-Dubois : Donc, ce n'est pas clair, à ce stade-ci, qui, exactement,
serait responsable.
M. Sarrazin
(Claude A.) : Tout dépendant de la solution choisie par le gouvernement,
mais, à partir de ce moment-là, on pourra définir qui est responsable, ultimement.
M.
Nadeau-Dubois : Dans le cas
de l'application Alerte COVID, qu'on peut penser qui fait partie des choix
du gouvernement du Québec, qui serait responsable?
M. Sarrazin
(Claude A.) : Le gouvernement du Canada.
M.
Nadeau-Dubois : Le gouvernement du Canada. Parfait. Si le Québec modifiait cette
application un peu, est-ce que ça rendrait le gouvernement du Québec
responsable?
M. Sarrazin
(Claude A.) : Potentiellement. Il faut voir la nature de l'attaque. Ça
peut être le fournisseur des logiciels qui sont utilisés ou des technologies
qui sont utilisées également. Ça peut être une responsabilité partagée.
Disons-le comme ça. On ajoute des joueurs.
M.
Nadeau-Dubois : Vous avez
fait une revue extensive de littérature. Dans la revue de littérature que vous
avez faite, quelle est la proportion d'experts dans votre champ d'études, dans
votre champ d'expertise qui juge que ces applications-là sont efficaces,
sécuritaires, et qu'on devrait aller de l'avant?
M. Sarrazin
(Claude A.) : Ce n'est pas énorme. Je ne pourrais pas vous sortir un
chiffre.
M.
Nadeau-Dubois : C'est minoritaire?
M. Sarrazin
(Claude A.) : Pardon?
M.
Nadeau-Dubois : Est-ce que vous diriez que c'est minoritaire?
M. Sarrazin
(Claude A.) : Oui.
M.
Nadeau-Dubois : C'est
minoritaire. Donc, l'opinion majoritaire dans votre champ d'expertise est que
le jeu n'en vaut pas la chandelle.
M. Sarrazin (Claude A.) : C'est qu'il n'y a pas de solution qui est
suffisamment sécuritaire, à ce stade-ci, pour pouvoir répondre au
besoin.
M.
Nadeau-Dubois : Merci beaucoup, monsieur.
Le
Président (M. Bachand) : Merci. M. le député de René-Lévesque, s'il
vous plaît.
M. Ouellet : Bonjour. Merci à vous, M. Sarrazin, de
prendre du temps ce matin avec votre expertise pour nous éclairer.
Je
vais revenir sur des passages clés de votre mémoire. Vous avez dit, dans votre
mémoire, après que vous avez consulté
la littérature, qu'il n'existait aucune étude empirique sur l'efficacité de ces
technologies Bluetooth quant à la capacité de traçabilité adéquate des
cas. C'est bien ça?
M. Sarrazin
(Claude A.) : Oui, exact.
M. Ouellet :
Vous avez aussi, dans votre mémoire, dénoté d'importantes vulnérabilités sur la
technologie Bluetooth. Vous avez fait état
de vulnérabilités, par le passé, qui ont été réglées, mais vous indiquez aussi
qu'il y aurait une vulnérabilité potentielle qu'on ne connaît pas, qui
pourrait exister dans le futur.
M. Sarrazin
(Claude A.) : Oui, exact.
M. Ouellet :
Vous soulignez, dans votre mémoire, l'importance de ne pas prioriser la
rapidité du lancement plutôt que la sécurité.
M. Sarrazin
(Claude A.) : Tout à fait.
M. Ouellet : Donc, la prémisse de base à votre réflexion, c'est que, si on veut que
ça fonctionne, il faut que ça repose sur la confiance.
M. Sarrazin
(Claude A.) : Oui.
M. Ouellet : Donc, si aucune étude ne nous dit que c'est bon
pour tracer les gens et obtenir des cas véridiques, donc ça a un impact sur la lutte à la pandémie.
Si, deux, vous nous dites que, cette technologie, elle n'est pas fiable,
mais surtout elle est vulnérable, comment
peut-on donner confiance aux citoyens, aux citoyennes du Québec
pour dire : Go, allez de
l'avant, avec cette application, vous allez faire partie d'une chaîne humaine
qui va nous permettre de se protéger devant cette pandémie?
M. Sarrazin (Claude A.) : C'est un gros contrat de vente. Et, là encore, on
me sort de mon champ d'expertise. Mon
objectif, moi, aujourd'hui, c'était de présenter la réalité telle que moi,
je la perçois, et tel que j'ai pu analyser les résultats de différentes
recherches qui ont été effectuées, et par rapport à ce que je connais du
terrain, par rapport à ce que je connais de la part des cybercriminels.
Maintenant,
le fait de donner confiance nécessite que ça ne soit pas quelque chose qui est intangible. Il faut que les gens aient confiance. Pour que les gens aient confiance, il faut que
la sécurité de ces outils-là soit démontrée clairement et non pas une
promesse faite dans le vide, finalement. Ça fait que, donc, c'est un élément
essentiel. Et tout outil informatique qui est sorti rapidement, en utilisant des technologies déjà connues, reste un outil qui est vulnérable, et
c'est mon inquiétude principale.
Le
Président (M. Bachand) : Merci beaucoup. M.
le député de Chomedey, s'il vous plaît.
M.
Ouellette : M. Sarrazin, bonjour.
M. Sarrazin
(Claude A.) : Bonjour, M. Ouellette.
M. Ouellette :
Ça va bien?
M. Sarrazin
(Claude A.) : Ça va très bien. Vous-même?
M.
Ouellette : Bien oui. C'est
très intéressant, ce que vous nous apportez comme réflexion ce
matin. J'entends de la part du gouvernement que, dans le fond, ils n'ont rien à perdre. Si ça marche, ça
marche. Si ça ne marche pas, bon, on l'enlèvera. Je pense qu'on doit
pousser la réflexion un petit peu plus loin que ça, et le degré d'imputabilité
est, je pense, majeur.
Vous
avez parlé de confiance. Puis je sens, dans vos propos ce matin, que, si le gouvernement décidait quand même
d'aller de l'avant, avant d'aller de l'avant, il faudrait que des experts comme
vous, M. Waterhouse et d'autres, soyez consultés
et soyez mis à contribution pour qu'on assure les citoyens
du Québec, là, qu'on ne les met pas à risque. À
moins que je sois complètement à côté de la track, là, c'est ce que j'ai senti
dans vos propos.
M. Sarrazin (Claude A.) : Écoutez, que ça
soit moi ou que ça soit n'importe qui, je le mentionnais tout à l'heure, il y a plusieurs chaires d'études en matière de
cybersécurité au Québec qui existent. Ces gens-là pourraient travailler activement
à tester ce genre de solution là, mais la portion... Et c'est toujours la
problématique.
Il
y a quelques années, il y a un gouvernement local, ici, au Québec, qui a sorti
une solution technologique. J'avais participé
à certaines discussions concernant ce projet-là. Et ce qu'on avait présenté aux
élus à ce moment-là, c'était que la solution technologique serait
sécuritaire pendant au moins cinq à 10 ans, ça fait que, donc, que ça serait...
C'était une solution qui était inviolable.
Nous, on a continué nos recherches et nos analyses. Deux semaines avant la mise
en place de cette technologie-là, on
savait déjà que les hackeurs avaient en main et vendaient les outils pour
pouvoir hacker le système qui, je
vous rappelle, était supposé être jugé inviolable pendant cinq à 10 ans. Ça fait que, donc, avant même sa mise en application, la vulnérabilité avait déjà été exploitée, et c'est ce qui m'inquiète dans
cette situation-ci. Ça
fait que, donc, votre analyse
de mes propos est exacte.
M. Ouellette : Donc, effectivement, pour... Quand on parle... Quand on regarde la
balance des inconvénients, présentement, là, il
y a trop de zones grises. Et, un peu
comme vous, vous n'avez pas toutes les données, on ne les a pas. On n'a
même pas les données de la consultation en ligne même si on les a demandées. Je
pense qu'on est à la même place. Merci de vos commentaires. C'est éclairant
pour les membres de la commission.
Le Président (M. Bachand) : Merci,
M. le député. Et à mon tour de vous
remercier, M. Sarrazin, de votre participation
à la commission. Ça a été fort intéressant, et puis on vous souhaite un super
vendredi. Merci beaucoup et à bientôt.
M. Sarrazin
(Claude A.) : Merci.
Le
Président (M. Bachand) : Et je suspends les travaux quelques
instants.
(Suspension de la séance à
9 h 49)
(Reprise à 9 h 52)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît!
Merci. La commission reprend ses travaux. Alors, nous souhaitons la bienvenue à M. Stéphane Roche, professeur
titulaire de sciences géomatiques de l'Université Laval. Alors, comme vous savez,
vous avez 10 minutes de présentation, après ça, un échange avec les membres de
la commission. Alors, encore une fois, bienvenue et la parole est à
vous.
M. Stéphane Roche
M. Roche
(Stéphane) : Merci beaucoup.
Mmes et MM. les députés, merci. Merci pour l'invitation. Merci pour l'organisation de cette consultation et de ces auditions qu'on
était un certain nombre à appeler de nos voeux depuis un certain nombre
de semaines, voire de mois. Je ne vais pas être très long parce que je vais essentiellement
redire les trois choses qui me semblent être les plus importantes au regard des
questions qu'on se pose ici.
La première,
c'est qu'il y a une seule étude, pour l'instant, hein, qui a été réalisée de
façon sérieuse et qui montre un peu
quelles seraient les conditions dans lesquelles ce type d'application pourrait
avoir des effets positifs. C'est une étude
qui a été publiée au courant du mois d'avril, dans la revue Science, par une
équipe de l'Université d'Oxford, vous devez
la connaître, et qui dit, grosso modo, que ça peut être efficace à certaines
conditions, sinon il y a des risques de faux positifs et faux négatifs très nombreux... à condition que 60 % à 70 %, vous le savez, de la
population adopte ce genre de technologie, ce qui pose, au Québec, et au
Canada en général, un problème, parce qu'on sait que c'est à peu près ce pourcentage-là de la population qui possède un
téléphone cellulaire. Donc, il faudrait que la totalité des gens qui
utilisent un téléphone cellulaire acceptent d'utiliser l'application.
Le deuxième,
c'est qu'il faudrait que des tests, de façon massive, soient faits de façon
beaucoup plus importante qu'ils ne le
sont faits aujourd'hui, de façon, évidemment, à ce que les cas puissent
apparaître et rentrer dans la chaîne de contacts. Il faudrait que les
recommandations... que les notifications ne ciblent que les personnes qui sont
vraiment concernées pour éviter d'alerter une part importante de la population
sans raison. Il faudrait que, dans les chaînes de contacts, les gens utilisent évidemment... enfin, non seulement
téléchargent cette application, mais l'utilisent de façon... jouent le
jeu, je dirais, de façon très active en s'engageant. Et, dans ces
conditions-là, et pour peu que les verrous technologiques,
et je vais y revenir rapidement, soient levés, alors, éventuellement, ce genre
d'application pourrait constituer non pas la solution, mais une solution
parmi un ensemble, une boîte à outils que l'on pourrait utiliser, et dont
certains outils sont déjà utilisés.
Donc, pour
moi, ça soulève deux enjeux qui sont en lien avec mon expertise. Le premier,
c'est celui de... Comment est-ce
qu'on qualifie un contact de façon pertinente? Comment on est capables
d'identifier le contact qui va être virosensible de celui qui ne l'est pas? Et aujourd'hui les applications qui
fonctionnent sur la base du protocole Bluetooth, qui est une onde radio en réalité, n'ont pas la capacité à
déterminer précisément si un contact vaut la peine d'être notifié ou s'il
ne vaut pas la peine d'être notifié.
Pour ça, il
faudrait que le contexte dans lequel le contact a été... s'est produit soit
évalué et quelle est la distance réelle — ça, le Bluetooth n'est pas capable de le
faire — dans
quel contact, y avait-il un masque, y a-t-il une visière de protection, combien de temps a duré le contact,
etc. Et, ça, il n'y a aucune
application basée sur le protocole Bluetooth. Et, si on écoute même,
d'ailleurs, les deux créateurs de ce protocole-là, ils sont assez clairs en
disant qu'ils ne voient pas comment leur... cette onde radio pourrait renvoyer
un signal suffisamment précis.
Donc, ça ne
veut pas dire qu'il n'y a pas d'utilité possible, mais ça veut dire qu'une
application comme celle que le Canada a
choisie, par exemple, à mon avis, ne sera pas utile. Ça ne sera pas utile même
si elle était utilisée par 70 % de la population, ce qui semble assez improbable. Et puis toutes les autres
applications qui ont été développées sur ce modèle-là dans le monde ont
montré... Il n'y a aucune preuve probante que ça ait fonctionné nulle part
ailleurs.
Ça ne veut
pas dire que je suis contre ce genre d'application. Ça veut dire que, si on
veut que ce genre d'application soit
utile, il va falloir rajouter des fonctionnalités.Il va falloir les rendre,
donc, beaucoup plus intrusives. Il va falloir faire en sorte qu'on mixe beaucoup plus de données. Il va
falloir éventuellement utiliser la géolocalisation. Il va falloir
utiliser, pourquoi pas, l'intelligence artificielle. Mais là on rentre dans un autre type
d'application qui nécessite beaucoup plus de précautions. Et, si jamais
le Québec allait dans cette direction-là, alors il faudrait, à mon avis, deux
choses.
La première,
c'est que ça se fasse main dans la main avec les utilisateurs. Et on a les
moyens de le faire. Je l'ai écrit
dans mon rapport. On a les moyens de
le faire, parce qu'il y a beaucoup d'expériences qui sont menées dans
d'autres domaines, dans le domaine des sciences citoyennes, des initiatives qui
permettent d'engager les utilisateurs comme producteurs
actifs. Et là on pourrait imaginer
que les utilisateurs soient engagés dans une vraie stratégie pour
produire des traces, qu'ils soient
conscients de ce qu'ils fassent, qu'ils le fassent de manière explicite, et
qu'on les accompagne pour le faire. Et, pour ça, ça veut dire que le
Québec doit s'engager lui aussi avec un certain nombre de garanties qui doivent
être données à ces utilisateurs-là.
Évidemment,
personne ne peut garantir l'anonymisation complète des données si jamais on
mixe un certain nombre de données,
personne. Il n'y a aucune garantie. Vous avez eu des spécialistes comme... le
premier jour, je crois, sur les enjeux de l'intelligence artificielle ou
les enjeux tout simplement d'analyse de données. Personne ne peut garantir l'anonymisation complète des données, surtout
quand on utilise la géolocalisation, qui est un des meilleurs moyens
pour rematérialiser des données qui ont été dématérialisées.
Mais il reste que des engagements peuvent être
pris. Tu sais, des engagements peuvent être pris, comme dans beaucoup d'autres
domaines, et, en particulier, il y a un engagement qui me semble essentiel,
c'est celui de l'obsolescence programmée de
ce genre d'application et de la destruction des données une fois qu'on serait
sortis de cette période de pandémie. Il n'y a pas eu à peu près aucun exemple
jusqu'à présent de technologies qui ont été déployées pour répondre à des
crises et qu'on n'a pas vues perdurer au-delà de la crise. Moi, c'est ma
préoccupation principale.
Alors,
je vais terminer là-dessus. Oui, pour des applications de traçage. Inutile,
à mon avis, si elles sont ne sont basées
que sur le Bluetooth. Donc, nécessité d'intégrer d'autres technologies, mais là
grand risque, et donc engagement nécessaire
non seulement de la population, pour qu'elle soit consciente de ce qu'elle va
faire et de ce qu'on attend d'elle... et
engagement de l'État pour garantir que ces technologies, ces données ne seront
pas utilisées à d'autres fins et mettre tout en oeuvre pour protéger au
mieux l'anonymisation et l'anonymat des utilisateurs. Merci beaucoup.
Le Président (M. Bachand) : Merci
beaucoup pour votre présentation.
Alors, période d'échange maintenant
avec la députée de Les Plaines, s'il vous plaît.
Mme
Lecours (Les Plaines) : Merci beaucoup, M. le Président. Merci,
M. Roche, de votre présence aujourd'hui. Merci d'avoir pris le temps de regarder l'ensemble du défi, hein? Moi,
j'aime mieux dire «défi» que «problématique», parce qu'effectivement il n'y a aucune solution parfaite. On l'a vu en
cours de route. La grande majorité des experts ont parlé de la
technologie Bluetooth. Vous l'expliquez très bien aussi.
Par
contre, c'est la technologie qui, à l'heure actuelle, est la moins intrusive.
Il n'y a pas... Comme on l'a dit, ce n'est
pas parfait, mais c'est celle qui pourrait s'apparenter à la moins intrusive
actuellement. Vous parlez d'une nécessité d'un taux d'adoption de
60 % à... Vous avez dit 60 %, il me semble. Actuellement, il n'y a
pas... On a tenté... On a posé la question à plusieurs personnes qui n'ont pas
pu l'évaluer à ce point. Vous le dites, vous vous basez sur...
• (10 heures) •
M. Roche (Stéphane) : Je me base sur la seule étude qui a été publiée dans la revue Science
par une équipe de l'Université
d'Oxford, une équipe pluridisciplinaire d'informaticiens, de spécialistes
d'analyse de données, d'épidémiologistes. Elle a été publiée quelque
part en avril, et eux annoncent ce chiffre-là. Je sais qu'il est très discuté,
et puis il est certainement discutable,
parce que c'est une étude, mais c'est la seule dont on dispose aujourd'hui. Il
est assez clair que... Tu sais, je ne
veux pas m'avancer dans des chiffres parce que je ne peux pas dire autre chose
que ça, mais je ne vois pas comment
on pourrait obtenir des résultats probants avec un taux d'adoption qui ne
serait pas un taux d'adoption majeur.
Après, le risque, à
mon avis, et puis ça, c'est un autre risque qu'on n'a pas évoqué, c'est celui
de l'exclusion, les enjeux d'inclusion
sociale. C'est-à-dire qu'on risque de tracer, éventuellement, et d'avoir des
résultats assez intéressants pour
certaines catégories socioprofessionnelles, certaines catégories de population,
certaines zones... D'ailleurs, on peut déjà les déterminer, à mon avis,
hein, sur le plan géographique, là, mais certaines zones dans lesquelles
l'adoption va être peut-être très importante
et d'autres dans lesquelles on va avoir des déserts de données, ce qui... Ça
existe déjà, les déserts de données.
Donc, ça, c'est une autre préoccupation, c'est qu'on risque de protéger
certaines catégories, certaines zones au détriment des autres, dans
lesquelles il faudra, à ce moment-là, développer des stratégies autres que
celle-là.
Mme Lecours (Les
Plaines) : C'est ce qu'on appelle la fracture numérique.
M. Roche
(Stéphane) : Oui, oui, absolument.
Mme
Lecours (Les Plaines) : Là-dessus, en fait, on est pleinement
conscients. Après tous les questionnements qu'on a eus et les réponses qu'on a eues, on est pleinement conscients
qu'évidemment ce n'est pas tout le monde qui est doté d'un appareil
numérique intelligent, et ce n'est pas tout le monde non plus qui utiliserait
l'application.
Par
ailleurs, si moi, j'utilise l'application et que j'ai une notification, c'est
sûr que je vais faire attention. Je prends mon exemple à moi, mais c'est l'exemple de bien des gens. Je fréquente
des gens âgés de par ma mère. Donc, c'est sûr qu'en ayant ça je peux décider, un, d'aller me faire tester ou je peux
décider de me retirer aussi pendant deux semaines, le temps de voir si,
les symptômes, je les ai vraiment, etc., bon.
Donc, c'est aussi...
Puis je vous pose la question. Est-ce que vous considérez que c'est aussi... ce
pourrait être également utile, dans un cas
comme ça, même si les gens âgés que je fréquente, eux, n'en ont pas, là? On
parle de ça ou des milieux moins bien nantis qui n'en ont pas aussi.
Est-ce que ça pourrait quand même être utile? Parce que vous dites que ce n'est
pas que c'est complètement inutile, donc, dans un cas comme ça.
M. Roche (Stéphane) : Oui. Je veux dire, tout ce qui peut nous donner éventuellement... Tout ce qui peut apporter un
complément d'information sur la situation dans laquelle on se trouve est utile. Mais,
après, ce qu'il faut
comprendre, c'est que c'est l'espèce de
balance, là, le prix à payer pour le résultat obtenu. Puis, tu sais, même avec
le Bluetooth, là, qui est peu
intrusif, peu invasif, tu sais, on pourrait discuter longtemps
du type, comment dire, d'application ou du type de traçage que ça va mettre
en place et que ça risque de laisser,
ce type d'usage, ce type de technologie dont on sait qu'il y en a déjà beaucoup,
des technologies très intrusives et qui collectent nos données. Donc, ce n'est,
de toute façon, pas neutre complètement.
Donc,
moi, ce que j'essaie de comprendre, c'est, comment dire, tu sais, la balance
entre les deux. Est-ce que ça vaut la
peine, alors que moi, je continue à être très sceptique sur la qualité de l'information
et de la notification qui va vous être
envoyée? Parce que peut-être... mais personne ne peut garantir que cette
notification, elle sera pertinente. Peut-être
que ça
va être une notification qui va vous
effrayer pour rien. Peut-être qu'elle va vous alerter pour rien. Il y a
de grandes chances que ce soit un
faux positif, puis on n'a pas les moyens de le mesurer. Est-ce qu'on est prêts
à vivre ça pour le peu que ça
apporte, l'énergie que ça prend, les moyens que ça demande de déployer, alors
qu'on pourrait sans doute utiliser d'autres formes, ne serait-ce que le
traçage manuel, qu'on pourrait développer davantage, ne serait-ce que de faire davantage
de tests, beaucoup plus, alors qu'on n'a toujours pas la quantité de tests qu'on
devrait avoir?
Il
me semble qu'il y a d'autres solutions à développer que celle-là si
on reste à une application de type Bluetooth, mais ça ne veut pas dire que c'est complètement inutile. Peut-être
que, dans certains cas, ça va fonctionner, mais c'est un peu demander à la population de signer un chèque
en blanc, là. C'est un peu lui demander... C'est un acte de foi qu'on
lui demande sur la base de résultats dont l'efficience n'a jamais été prouvée
encore. Donc, c'est ça qui me gêne un peu.
Mme Lecours (Les Plaines) : Mais ce serait — je dis bien «ce serait» — un
outil complémentaire, parce que le traçage
manuel va demeurer également, mais il fait appel à la mémoire des gens. Moi,
si on me pose la question, cette semaine,
je sais pas mal tout qu'est-ce que je fais. Je suis pas mal ici, là. Mais, tu
sais, la semaine passée, qui t'as fréquenté... oui, les gens que j'ai fréquentés directement, je le sais, mais
qui j'ai pu passer à côté pendant au moins cinq, 10 minutes, c'est ça, c'est... Est-ce que ce pourrait être, justement,
dans cette utilisation, quelque chose de complémentaire? Parce que c'est comme
ça qu'actuellement l'outil qui pourrait être appliqué serait vu.
M. Roche (Stéphane) : Bien oui, encore une fois, je le dis, c'est que, dans une boîte à outils
globale, ça pourrait être... Je ne
suis pas, comment dire, technophobe
du tout, au contraire, mais c'est juste qu'encore une fois je... Tu
sais, vous êtes quelqu'un de raisonné puis
vous allez prendre la notification avec le recul nécessaire, ce qui n'est pas
forcément le cas de tout le monde,
alors même que, cette notification, la probabilité qu'elle soit fausse est
grande, est très grande. Ce n'est pas
parce que vous êtes passé... Imaginez, là, imaginez que... La personne qui est
derrière le guichet à l'IGA, derrière la
caisse à l'IGA, elle va être notifiée combien de fois, cette personne-là? Tu
sais, je veux dire, elle va être notifiée. Le risque qu'elle soit
notifiée est grand, tu sais?
Donc,
c'est pour ça que, dans la mesure où l'application ne va pas être capable de
faire la différence, ne va pas être capable
de déceler le contact ou la proximité qui fait sens par rapport, tu sais, à
l'enjeu qu'elle est supposée adresser versus celle qui est complètement
bénigne, bien, tu sais, il y a... Je veux dire, il n'y a pas beaucoup d'autres
domaines dans lesquels on serait prêts à prendre ce risque-là. Il n'y a pas
beaucoup de domaines dans lesquels on serait prêts à faire des tests
massivement.
Si
vous allez chez votre médecin et que vous lui dites : Ah! je voudrais que
vous me testiez ça, ça, ça et ça, il va vous prendre pour un hypocondriaque. Il ne vous testera pas parce qu'il
dira : Il n'y a pas de raison probante pour qu'on déploie, vous voyez, cette technique-là sur vous
dans le contexte actuel. Donc, c'est ça qui me gêne un peu. C'est ça qui
me gêne un peu, mais je ne peux pas vous dire non. C'est complémentaire,
potentiellement, à ce qui existe.
Mme Lecours (Les
Plaines) : Donc, dans la balance des inconvénients, vous, vous vous
situez où?
M. Roche (Stéphane) : Bien, moi, dans la balance des inconvénients... parce qu'il y a
d'autres choses qu'on n'a pas
abordées, qui peuvent être des inconvénients assez graves. On voit déjà comment un certain nombre de mesures
sont considérées ou pourraient être
considérées, comme par exemple, je ne sais pas, nécessaires à l'autorisation
d'accéder à tel service, se déplacer,
ne pas se déplacer. Moi, ma crainte, c'est qu'à terme telle compagnie aérienne
décide, et elle a le droit de le
faire, une entreprise privée pourra le faire, de dire : Bien, si
vous n'avez pas l'application, pas de service pour vous. Puis ça, vous
ne serez... Personne ne sera en capacité réellement d'interdire une entreprise
privée...
Mme Lecours
(Les Plaines) : J'aurais une
petite question, parce
que je sais que mon collègue
a des questions aussi à vous poser. Vous avez utilisé... Vous dites que
ce serait... Bien, en tout cas, ça serait une des possibilités, d'utiliser l'obsolescence programmée pour mettre fin à...
Donc, pour une fois, elle servirait à quelque
chose, c'est ce que je comprends.
M. Roche
(Stéphane) : Pour une fois quoi?
Mme Lecours
(Les Plaines) : L'obsolescence programmée serait dans des bons termes,
selon...
M. Roche (Stéphane) :
Mais c'est toujours une bonne chose, l'obsolescence programmée.
• (10 h 10) •
Mme Lecours
(Les Plaines) : Ça dépend comment c'est utilisé, là.
M. Roche
(Stéphane) : Oui, oui, oui.
Mme Lecours
(Les Plaines) : Donc, c'est ce que vous... Ça pourrait être une
condition à...
M. Roche (Stéphane) : Oui, bien, moi, ça me semble être un élément
important parce que... pour éviter que, si jamais
la décision était prise de déployer une technologie de ce genre-là,
elle survive à la situation pour laquelle elle aurait été déployée. Et puis c'est un genre de garantie
ou d'assurance donnée aux utilisateurs qu'au-delà... Si c'est vraiment...
Si la pandémie justifie que ce genre d'application soit déployée, à ce
moment-là, ça doit être la seule justification.
Le
Président (M. Bachand) : Merci. M. le député de Chapleau, s'il
vous plaît.
M. Lévesque
(Chapleau) : Oui, merci, M. le Président. Merci, Pr Roche, d'être ici avec nous, là. Vous
semblez peut-être critiquer, là, dans ce que vous avez écrit, la
façon, la manière dont le gouvernement
du Canada, là, aurait choisi l'application COVID Shield. Bon, vous dites... Bon, il n'y a
pas eu d'audits ouverts. Il n'est pas nécessairement transparent pour l'ensemble des solutions
technologiques disponibles. Bon, vous dites : Ça crée un doute sur la
pertinence des critères qui ont guidé leur
décision. D'ailleurs, nous, on... Le gouvernement du Québec n'a pas
pris la décision encore puis ne sait
pas s'il va aller de l'avant avec ça. Qu'est-ce
qu'il faudrait faire pour éviter de
tomber dans, disons, les pièges, ces pièges-là que vous mentionnez dans
votre mémoire?
M. Roche (Stéphane) : Bien, moi, je pense que, déjà, ce
qui se passe, aujourd'hui, ici... Puis la consultation est quand même un préalable, à mon avis, nécessaire,
peut-être pas suffisant. Ce qu'il faudrait faire ensuite, à
mon avis, là, c'est que, si jamais...
Tu sais, entre... Tu sais, il y a... Il
faut être quand même
clair. Dans les solutions technologies existantes, là, dans les familles, il y en a deux ou trois qui existent aujourd'hui, bien, on pourrait
s'attendre à ce que le processus de choix, si choix il devait y avoir,
soit documenté et transparent, et que les personnes à qui on va demander,
c'est-à-dire la population, d'utiliser
l'application, on puisse leur dire pourquoi on a choisi celle-là, pourquoi on a
choisi cette... c'est quoi, les
forces, c'est quoi, les faiblesses, c'est quoi, les risques, et qu'est-ce qu'on
met en face des risques pour garantir, nous, aux utilisateurs qu'on a
mis tout en oeuvre pour les protéger, d'une certaine manière. Donc, ça, ce
serait, à mon avis, un élément, tu sais, important du dispositif général.
M. Lévesque
(Chapleau) : Puis, avec ces éléments-là qu'on mettrait de l'avant,
disons, qu'on retient vos recommandations, ça rendrait, donc, l'application
déployable puis ce serait pertinent de le faire à ce moment-là?
M. Roche (Stéphane) : Bien, ça ne lève pas les enjeux technologiques que j'ai évoqués.
C'est-à-dire, que, tu sais, je veux
dire, on peut... C'est pour ça que j'insiste sur le fait qu'à mon avis les deux
ou trois propositions que je fais ne sont pas totalement, mutuellement
exclusives. C'est-à-dire que, pour qu'elles aient du sens, il faut qu'elles
soient déployées ensemble. C'est-à-dire qu'il faut à la fois qu'on trouve le
juste milieu de façon à faire en sorte que, la technologie, on améliore son
efficacité, qu'on évite qu'elle envoie des notifications farfelues et massives
dans la nature.
Il
faut que les personnes à qui on demande de s'engager s'engagent et que ce ne
soit pas juste des utilisateurs passifs à qui on dit : Allez, installez ça, et puis soyez des bons
citoyens, et, si vous ne l'utilisez pas, vous serez des moins bons
citoyens. C'est ce qu'on entend aussi par la bande. Donc, ça, ce serait assez,
à mon avis...
Et
puis, la troisième chose, c'est les engagements, effectivement, de
transparence, d'ouverture que le gouvernement du Québec devrait prendre pour... C'est son rôle. C'est-à-dire que son
rôle, c'est à la fois, effectivement, de mettre en place les mesures, les outils pour protéger la
population d'un virus dont on connaît la dangerosité, mais aussi en
s'engageant, dans la mise en oeuvre de mesures de protection, que ces
mesures-là ne sortent pas d'un chapeau, et puis donc comme... c'est très
critique, mais comme le gouvernement du Canada l'a fait.
Le
Président (M. Bachand) : Merci beaucoup. Mme la députée de
Saint-Laurent, s'il vous plaît.
Mme Rizqy :
Ce serait à ma collègue...
Le
Président (M. Bachand) : Parfait. Mme la députée de Vaudreuil,
pardon.
Mme
Nichols : Oui, merci, M. le Président. On avait oublié de vous faire
un petit signe. Alors, merci beaucoup d'être
parmi nous. Vos propos sont très enrichissants. En fait, ça va dans la ligne de
ce qu'on a entendu, mais dans un vocabulaire très différent et quand
même assez précis.
Quand vous nous
parlez que ce genre d'application est inutile même quand elle est utilisée par
70 % de... quand il y a 70 %
d'utilisateurs, pouvez-vous élaborer un peu? Parce que c'est sûr qu'il y a...
Tu sais, cette application-là... Si,
éventuellement, le gouvernement va de l'avant avec cette application-là,
j'imagine, on va essayer de la vendre, cette application-là, aux gens, là, en disant : Il faut la télécharger,
il faut aller de l'avant. Puis on est... Est-ce que ça peut sauver des
vies? Pouvez-vous nous élaborer un peu là-dessus, sur le 70 %, là, que
vous nous avez mentionné?
M. Roche
(Stéphane) : Bien, ce n'est pas moi qui le mentionne.
Mme Nichols :
Oui, en référence.
M.
Roche (Stéphane) : Je ne fais que relater une étude, comme je le
précisais au début, d'un groupe de chercheurs qui a mis en place une expérimentation statistiquement viable ou
statistiquement... en tout cas, qui a du sens sur le plan statistique et qui évoque ce seuil-là. Je n'ai pas
dit qu'elle n'était pas utile et efficace, même à 60 %, 70 %. Le
Bluetooth reste une technologie qui n'a pas
été faite... Bien, c'est une onde radio, et une onde radio qui n'a pas été
faite pour mesurer des distances, ou évaluer la pertinence d'une
proximité, ou quoi que ce soit. Tu sais, c'est juste une onde qui permet de
transférer de l'information entre des technologies, tu sais, et de faire en
sorte que mon casque d'écoute fonctionne avec mon téléphone, etc.
Donc,
ça n'a pas été fait pour ça, mais c'est sûr qu'il est capable de déceler...
Pour faire ça, la technologie Bluetooth doit repérer, dans son environnement, les autres technologies avec
lesquelles elle va se mettre en interaction. Donc, c'est là-dessus que les spécialistes comptent en
disant : Bien, on est capables de déceler la présence d'autres téléphones
qui portent la... qui ont la même... avec la
même technologie installée, la même application, de les détecter, mais on ne
sait pas s'ils sont à 50 centimètres, à trois mètres, s'il y a quoi que ce
soit entre... Bon, on ne le sait pas.
Pourquoi
c'est plus efficace avec 60 % ou 70 %? Bien, c'est parce que plus on
multiplie, comment dire, les utilisateurs
et... C'est un peu comme dans le domaine de la statistique, hein? Plus
l'échantillon est grand et plus on va éliminer
aussi... C'est comme dans des mesures. Plus on fait des mesures, plus le nombre
de mesures est grand et plus les erreurs
systématiques, on peut les éliminer par calcul. Ce n'est pas forcément la
meilleure métaphore, mais moi, je suis arpenteur-géomètre
de formation, puis plus on mesure la même distance et meilleure la précision qu'on
va obtenir sera grande, parce qu'on
va éliminer un certain nombre d'erreurs liées à la mesure et à l'appareil, des
erreurs systématiques. C'est un peu le même principe.
Mme
Nichols : Encore, si 70 % des gens l'ont téléchargé, ça ne veut
pas dire qu'ils l'utilisent puis...
M. Roche
(Stéphane) : Non, ça ne veut pas dire...
Mme Nichols :
Exactement.
M. Roche (Stéphane) : ...d'où l'importance de sensibiliser les gens pour que, s'ils la
téléchargent et s'ils l'utilisent, ils
l'utilisent de manière proactive, tu sais, qu'ils n'essaient pas de jouer... Je
ne dis pas que les gens vont jouer avec, mais que, tu sais... puis ne pas la désactiver quand tu n'as pas envie
qu'elle soit activée, tu sais, je veux dire, parce que, sinon...
Mme
Nichols : Bien, vous avez aussi parlé que ça pourrait être un outil
complémentaire. Quand vous parlez de complémentarité,
comment ça peut être complémentaire si... C'est ça, comment ça peut être
complémentaire, dans le fond, si ça ne fonctionne pas? Dans quel but ça
pourrait être complémentaire si l'objectif n'est pas atteint? Ça veut dire
qu'il y aurait un objectif de complémentarité?
M. Roche (Stéphane) : ...parce que je... La complémentarité, elle serait celle d'un
outil qui dépasserait les limites techniques du Bluetooth. C'est ça que
je dis. C'est-à-dire que je ne suis pas contre les technologies de traçage si
elles peuvent sauver des vies. Personne ne peut être contre ça, évidemment.
Mais je crois que, pour qu'elles puissent être efficaces, alors il va falloir qu'elles soient plus riches sur le plan
technologique et sur le plan des données que ce que les applications de base fonctionnant selon le
protocole Bluetooth permettent d'obtenir. Mais là, là, il y a un grand
risque... Puis ce n'est pas à moi de prendre
la décision... pas la prendre, mais ce que je veux dire, c'est que, si jamais
on met de l'intelligence artificielle...
Je
ne veux pas revenir sur l'application COVI, là, du Mila. Tu sais, j'ai eu des
grandes discussions avec Yoshua Bengio puis avec les
équipes là-bas, puis c'est un chercheur que j'apprécie beaucoup, puis une
personne que j'apprécie beaucoup.
Leur application, à mon avis, aurait... sur le plan de l'efficacité, serait
certainement plus efficace. Mais là on met le bras dans un engrenage et
dans un tordeur dont il faut qu'on soit conscients. C'est-à-dire que, tu sais,
la fiducie de données, on ne sait pas trop
comment ça fonctionne. C'est encore très en balbutiement, l'effet boîte noire
de l'intelligence artificielle, son prédicteur, comment il fonctionne.
On ne sait pas comment il fonctionne.
Alors,
on sait que ça utilise beaucoup de données, incluant la géolocalisation.
Personne ne peut garantir que tout ça, que
l'anonymisation... que ça ne sera pas hacké. Tu sais, on l'a vu, là. Je veux
dire, il y a... Desjardins a été hacké, tu sais. Donc, il n'y a aucune garantie, mais est-ce qu'on est prêts à prendre ce
risque-là et est-ce que la situation le justifie? Je n'ai pas les compétences pour... mais ce que je
dis, c'est que, si on veut que cette technologie-là, à mon avis, soit
efficace, il faut qu'elle dépasse les limites techniques du Bluetooth.
• (10 h 20) •
Mme
Nichols : Vous avez parlé...
Bien, on a pris connaissance de votre mémoire, puis, entre autres, vous...
c'est basé sur les enjeux techniques, les
enjeux éthiques, l'enjeu humain en lien avec le traçage, puis évidemment avec
votre formation, vos intérêts, le consentement. Puis j'aimerais bien vous
entendre un peu sur votre position en lien avec le consentement, et cette application-là qui... Selon moi, avoir un
consentement libre et éclairé... Il y a beaucoup de pédagogie qui doive
accompagner le consentement, et j'aimerais vous entendre sur le consentement.
M. Roche (Stéphane) : Absolument. Bien, tu sais, oui, on est dans une situation dans laquelle
il y a... comment dire, une situation
de crise, une situation de pandémie. Il y a beaucoup de pression de toutes
sortes. On le voit autour du port du
masque. C'est une situation très anxiogène déjà. Et donc, là, si jamais on
arrive avec une application comme le gouvernement
du Canada l'a fait, qu'on rend disponible cette application-là, et qu'on part
du principe qu'à partir du moment où les personnes vont la télécharger
ils ont toutes les informations pour le faire, et que leur consentement sera
libre et éclairé, à mon avis, on fait une erreur, parce que...
Puis
je reviens sur les enjeux de pression sociale aussi qui ont été évoqués comme
étant bénéfiques par certains, que moi, je trouve très dangereux. Dans
bien d'autres domaines, on le voit, comment la pression sociale peut générer
des clivages, peut générer des dissensions.
On n'a pas besoin de ça dans une période de pandémie, au contraire. Donc,
oui, je suis préoccupé par ces enjeux-là.
Je
crois que, pour obtenir un consentement éclairé, ça prend de la pédagogie,
ça prend de la transparence. Ça prend, du côté du gouvernement,
vraiment une ouverture, ce qu'on
évoquait tout à l'heure. S'il y
a une application, il faut
que les règles soient présentées, comment
elle a été choisie, pourquoi celle-là a été choisie, c'est quoi, les risques
que vous prenez en l'utilisant, mais c'est quoi, les gains que vous
pouvez obtenir à la fois sur le plan individuel et plus sur le plan collectif, parce
qu'on ne peut pas juste non plus partir du point de vue personnel dans cette
affaire-là, et puis jusqu'à quand elle sera utilisée.
Est-ce qu'on peut garantir, contrairement à tout ce qui a été mis en place après les
attentats du 11 septembre ou les attentats dans les aéroports en
Europe il y a quelques années, où toutes ces technologies-là continuent à être
utilisées, elles sont encore plus déployées... Donc, est-ce que c'est ça qu'on...
Il y a une partie de la population qui risque, dont moi, de se dire : Non,
là, si je n'ai pas de garantie, je ne vais pas aller là-dedans, compte tenu de...
Le Président (M. Bachand) : Merci
beaucoup, M. Roche. Je dois céder
la parole à Mme la députée de Saint-Laurent. Pardon.
Mme Rizqy : Merci. Bonjour. Vous êtes ingénieur et, en plus
de ça, vous avez un doctorat. Et le gouvernement fédéral ainsi que le gouvernement
du Québec nous disent toujours : Bien, le code source est public. Moi, là, je ne suis pas du
tout ingénieure. Alors, pour moi, que le code source soit public ou pas, ça
change quoi dans ma vie, qu'il soit public?
M. Roche (Stéphane) : Bien non, pour un utilisateur... Mais même moi,
je ne suis pas un codeur chevronné. Donc, quand je le regarde, je
comprends à peu près, mais...
Mme Rizqy :
Donc, ce n'est pas une garantie de sécurité de dire : C'est un code source
public?
M. Roche (Stéphane) : Non, ce n'est pas... Bien, c'est-à-dire que c'est une condition, à
mon avis, nécessaire, mais pas
suffisante. C'est nécessaire. Je crois que ça montre une ouverture, une transparence, que le code soit ouvert. Et puis on s'inscrit, tu sais, dans la
tendance des données ouvertes, du code ouvert, etc. C'est une bonne chose, mais
ce n'est certainement pas ça qui va permettre à l'utilisateur lambda de se
faire une tête.
Mme Rizqy : Et est-ce
que ça se peut aussi même que des développeurs de... des codeurs peuvent prendre ce
code source que moi, je... D'ailleurs, je ne
suis pas très favorable qu'il soit ouvert, mais, dans votre milieu, vous avez
différents types d'ingénieurs, dont des
architectes, qui, eux, vont créer ces pare-feux en cybersécurité, et c'est
peut-être ça que, nous, il nous manque, ici, au gouvernement du Québec,
d'avoir davantage d'architectes pour nous protéger davantage.
M. Roche
(Stéphane) : Oui, bien, enfin, je ne sais pas s'il en manque au
gouvernement du Québec.
Mme Rizqy :
...l'expertise interne.
M. Roche (Stéphane) : Mais, oui, il y a un enjeu. Je ne suis pas un
spécialiste de cybersécurité. Vous en avez rencontré. C'est tellement mieux que moi. Ils ont pu vous expliquer les
enjeux dans ces termes-là. Mais personne ne peut garantir... Une chose est certaine, là, c'est que personne ne peut
garantir une protection absolue des données. Tu sais, ça n'existe pas, ça. Donc, il y a toujours un risque.
Donc, il faut que ce risque soit géré d'une autre façon qu'en disant :
Ah non! Mais ne vous inquiétez pas, sur le
plan technique, tout est O.K. Ça ne marche pas comme ça. Donc, c'est une bonne
chose que ce soit ouvert. Moi, ce qui me
gêne là-dedans, c'est qu'effectivement c'est utilisé comme un argument
suffisant, mais ce n'est pas suffisant. C'est nécessaire, mais ce n'est
pas suffisant.
Mme Rizqy :
Merci.
Le Président (M. Bachand) : Merci beaucoup. J'avais oublié de mentionner que notre collègue
de Chomedey va être absent pour le
témoignage de M. Roche et pour la personne suivante. Alors, si vous êtes
d'accord, comme on a déjà fait, s'il y avait consentement pour répartir
le temps du collègue de Chomedey entre les porte-parole du deuxième et du troisième
groupe d'opposition... Consentement. M. le député de Gouin, s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, M. Roche. Merci d'être avec nous aujourd'hui. J'ai un peu plus de temps que d'habitude, mais pas tant que ça, ça
fait que je vais procéder rapidement. M. Roche, vous êtes spécialiste des technologies géospatiales. J'aimerais qu'on parle de ça
ensemble aujourd'hui. J'ai une série de questions pour vous.
Est-ce que la technologie Bluetooth a été inventée pour mesurer des distances?
M. Roche
(Stéphane) : Non.
M.
Nadeau-Dubois : Est-ce que
c'est une technologie qu'on peut caractériser de fiable pour mesurer
des distances?
M. Roche
(Stéphane) : Non.
M.
Nadeau-Dubois : Est-ce que
c'est une technologie qui nous permet de détecter la présence d'un
masque ou d'une vitre, par exemple, entre deux personnes?
M. Roche
(Stéphane) : Non.
M.
Nadeau-Dubois : Est-ce que,
donc, on peut conclure qu'il y a un risque élevé qu'une application basée sur cette technologie Bluetooth génère un nombre important
de faux positifs?
M. Roche (Stéphane) :
Oui, absolument.
M.
Nadeau-Dubois : C'est un risque qui est élevé, vous diriez?
M. Roche
(Stéphane) : Ah oui! Je le qualifierais de très élevé, oui.
M. Nadeau-Dubois : Est-ce que je
peux même vous demander si vous pensez que c'est plutôt une assurance plutôt
certaine que ça va générer des faux positifs?
M.
Roche (Stéphane) : Ah oui! C'est certain que ça va générer des faux
positifs.
M.
Nadeau-Dubois : Parfait. Est-ce
que, donc, on peut redouter raisonnablement que ça provoque un
engorgement au niveau de notre capacité à tester des gens?
M. Roche
(Stéphane) : C'est un risque, oui.
M.
Nadeau-Dubois : Un risque réel et significatif?
M. Roche (Stéphane) : Je suppose que oui. Je ne connais pas la capacité de tests existante aujourd'hui, mais c'est sûr que si... Puis plus le nombre de personnes, ce
qui serait une bonne chose... Plus le nombre d'utilisateurs sera grand,
et donc plus le nombre de notifications sera
important a priori, et donc plus le nombre de personnes qui souhaiteront
être testées sera grand, et quelle sera la capacité à le faire? Je ne sais pas.
M.
Nadeau-Dubois : Autrement dit, le succès de l'application, le trop
grand succès de l'application pourrait nuire à notre capacité de tester
en vue de la deuxième vague?
M. Roche (Stéphane) : Oui. D'ailleurs, c'est pour ça que l'étude que je mentionne toujours,
publiée dans Science, là, met
en parallèle le fait que, pour atteindre l'efficacité, il faut un nombre
important d'utilisateurs, mais il faut aussi une capacité à tester qui soit... qui tienne le choc, qui soit capable de
suivre, parce que, sinon, on va créer plus d'anxiété parce qu'on va devoir refuser à certaines personnes de
les tester — sur
quelle base, pourquoi plus une que l'autre? — alors que la notification ne nous donnera
pas plus d'informations dans un cas de contact que dans un autre.
M.
Nadeau-Dubois : Est-ce que
ces effets pervers là qu'on vient de mentionner ensemble... est-ce que ces
effets pervers là seraient également
présents si on préférait à l'application une stratégie massive d'enquête
épidémiologique manuelle?
M. Roche (Stéphane) : Je ne suis pas un spécialiste d'enquêtes épidémiologiques. Donc, je
vais avoir du mal à répondre de façon
aussi précise. Je suppose que, tu sais, dans le cas d'une enquête
épidémiologique, on est capables de qualifier
de façon plus précise la sensibilité des contacts, et donc on doit... a priori,
on devrait générer moins de faux positifs, et donc, dans ces termes-là,
vraisemblablement, moins d'engorgement, peut-être, oui.
M.
Nadeau-Dubois : En posant la
question à une personne, on est capables de savoir s'il y avait port du
masque, par exemple, alors que la technologie Bluetooth, elle ne nous permet
pas de le faire.
M. Roche
(Stéphane) : Oui, absolument.
M.
Nadeau-Dubois : Si je vous comprends bien, vous nous dites : En
voulant choisir une technologie moins intrusive,
le gouvernement du Québec, au fond, se retrouve avec un dispositif basé sur
Bluetooth, qui est, en fait, inefficace. Et la seule autre option serait d'aller vers d'autres technologies, mais
qui, elles, auraient comme défaut d'être beaucoup plus intrusives. Ce qui nous permet d'éviter ces deux
écueils là, ce serait de miser avant tout sur du dépistage manuel
massif.
M. Roche
(Stéphane) : Oui, ça, c'est une alternative. C'est-à-dire que
l'alternative, c'est soit d'aller vers du dépistage
manuel massif, d'investir davantage là-dedans, soit, à mon avis, d'aller vers une
technologie plus intrusive, avec les risques que ça pose et les engagements
qui devraient être pris dans ce cas-là.
• (10 h 30) •
M.
Nadeau-Dubois : Donc, de
votre point de vue, l'option d'une application basée sur Bluetooth
est la pire des trois options?
M. Roche (Stéphane) : Bien, moi, je pense que c'est une... oui, parce que je pense que c'est...
Je le maintiens, ça ne veut pas dire
qu'elle ne va pas être... Ça ne veut pas dire qu'à un moment donné ça ne va pas
détecter un cas ou un autre, je le
dis encore une fois, mais la probabilité...
Tu sais, on n'a pas beaucoup de poignées pour s'assurer que les
notifications vont avoir du sens.
M.
Nadeau-Dubois : Donc, c'est la pire des trois options.
M. Roche
(Stéphane) : D'une certaine manière, oui.
Le
Président (M. Bachand) : Merci beaucoup. Je cède la parole
maintenant au député de René-Lévesque.
M. Ouellet : Merci d'être avec nous aujourd'hui. Je vais aller... J'aimerais ça avoir votre
opinion sur la question suivante.
Comme la technologie, puis le collègue en a fait mention avec le dernier échange,
n'est pas fiable, Bluetooth, comme on n'est pas certains que ceux qui vont la
télécharger vont l'utiliser, donc, et même ne pas la désinstaller...
Vous faites référence à l'étude publiée dans
Science, qui nous amène à penser qu'un taux d'adoption de 60 % à
70 % serait la formule adéquate.
La question que j'ai pour vous, c'est : Est-ce que le gouvernement du Québec, pour mettre en place la technologie, va devoir former des gens, va devoir
former Info-Santé, va devoir former des gens qui vont devoir
traiter cette information-là? Est-ce que je suis positif
ou pas? Tu sais, quand on va déployer, là, la technologie, là, grosso modo, il
va y avoir des ressources qui seront attitrées à traiter cette nouvelle
information là?
M. Roche (Stéphane) : Bien, c'est difficile de vous répondre. Je ne connais pas l'état des
compétences qui sont présentes au gouvernement du Québec pour répondre à ça, donc, mais une chose est
sûre, c'est qu'il va bien falloir qu'il
y ait des ressources dédiées à ça. Est-ce
qu'il va falloir les former parce qu'elles ne sont pas compétentes? Je ne
sais pas, mais des ressources dédiées pour
être capables... En fait, ça dépend comment vont fonctionner les notifications.
Ça veut dire... Il y a différentes...
Je reprends au début.
Il y a plusieurs manières de notifier. Il y a les notifications qui se
passeraient entre les personnes sans même
que ça aille directement... que ça soit centralisé et que la direction de la
Santé publique, par exemple, reçoive
l'information, puis, à ce moment-là, ce serait sur une base volontaire que les
personnes ayant été notifiées diraient, un peu comme Mme la députée le
disait tout à l'heure : Je devrais... ça serait plus prudent que j'aille
me faire tester, et puis peut-être que je dois prendre du recul et moins voir
les personnes avec qui je suis en contact régulier.
Puis, à ce moment-là,
il n'y a pas de gestion, au niveau du gouvernement, à assurer, si ce n'est de
recevoir la demande de certaines personnes
qui vont vouloir être testées. Puis là on revient à ce qui a été évoqué par
votre collègue, c'est : Si jamais les demandes sont massives,
quelle sera la capacité à le faire? Et est-ce qu'on ne va pas gérer de la frustration et de la crainte si jamais on dit aux
gens : Bien non, là, attendez, là, ne virez pas fous, on ne va pas tester
tous ceux qui arrivent avec une notification positive?
M. Ouellet : Oui. Puis, par la suite, si jamais on est positif, il va falloir entrer
un code pour notifier les autres. Donc, il y a quelqu'un qui va donner
un code à quelque part...
M. Roche (Stéphane) : Bien, ça, ça pourrait être très simple. Ça pourrait être l'utilisateur
qui, à partir du moment où il est
notifié, ait juste à aller cocher : J'ai été notifié. Donc, tous ceux avec
qui j'ai été en contact au cours des 15 derniers jours vont recevoir une notification comme quoi
ils ont été en contact avec quelqu'un qui a été notifié puis... qui a
été notifié, pas qui a été testé positif.
Donc, tu sais, il y a aussi deux choses. Est-ce que le fait d'avoir été notifié
comme ayant dans sa chaîne de
contacts quelqu'un qui pourrait être porteur, ça... Tu sais, c'est très
compliqué. Quel type de notification va être envoyé? Est-ce que c'est une notification qui dit : Dans votre
chaîne de contacts, vous avez été en contact avec quelqu'un qui a été testé positif ou alors est-ce que vous
êtes notifié parce que quelqu'un, dans votre chaîne de contacts, a été
notifié?
M. Ouellet :
C'est exponentiel.
M. Roche
(Stéphane) : Bien, potentiellement, oui.
M. Ouellet : Donc, lorsque la collègue de Jean-Talon faisait référence, tout à l'heure, à... Si on peut... Si cette technologie nous
permet de libérer des ressources attitrées au traçage manuel pour travailler à
cette application... pas travailler, mais à
répondre à cette demande d'application là, avec l'échange qu'on a, ce ne sera
pas le cas. C'est-à-dire que les
ressources devront quand même travailler sur le traçage manuel. Et on ne peut
pas faire l'équation à savoir que, si on utilise cette technologie-là, moins de ressources seraient utilisées à
faire du traçage manuel parce qu'on aura du traçage informatique qui va
nous amener à être plus outillés pour identifier les gens.
M. Roche
(Stéphane) : Je ne suis pas sûr d'avoir saisi votre question.
M. Ouellet :
Bien, ce que je veux savoir, c'est que la technologie devrait, si elle est bien
utilisée, avoir moins de manutention humaine, et donc nous permettrait de
dédier les ressources à faire autre chose que de la manutention d'information
manuelle.
M. Roche (Stéphane) : Bien, encore une fois, ça dépend. Est-ce que c'est une solution
complètement décentralisée ou
partiellement décentralisée? Si c'est complètement décentralisé, et qu'à la
limite la Santé publique n'est même pas au courant de ce qui se passe dans les chaînes de traçage, et que, sur une
base volontaire, les utilisateurs qui seraient notifiés vont, eux,
demander à être testés, par exemple, là, il n'y a pas d'enjeu, si ce n'est que sur
la capacité à tester.
Maintenant,
si c'est centralisé, c'est-à-dire que l'information... Lorsqu'une personne,
dans une chaîne, est testée positive
et qu'elle l'indique, là, l'information est renvoyée au central, à la Santé
publique, par exemple, qui, elle, redéploie ça à toutes les personnes de la chaîne de contacts. C'est une autre
manière de procéder. C'est toujours sur la base de la technologie Bluetooth, mais c'est soit centralisé
soit décentralisé. Puis là, évidemment, les enjeux de ressources nécessaires
au niveau de l'État ne sont pas les mêmes.
Le
Président (M. Bachand) : Merci beaucoup. C'est tout le temps
qu'on a. Merci beaucoup, M. Roche, de votre participation.
M. Roche
(Stéphane) : Merci à vous.
Le
Président (M. Bachand) : Cela dit, je suspends les travaux
quelques instants. Merci.
(Suspension de la séance à 10 h 36)
(Reprise
à 10 h 47)
Le Président (M. Bachand) : Alors, à
l'ordre, s'il vous plaît! La
commission reprend ses travaux. Il nous fait plaisir d'accueillir Mme Castets-Renard, professeure titulaire de
la Faculté de droit civil de l'Université d'Ottawa. Alors, bienvenue. Bon vendredi. Merci beaucoup d'être ici. Alors, on débute avec vous. Vous avez 10 minutes de
présentation, après ça, un échange avec les membres de la commission. Alors,
encore une fois, bienvenue. La parole est à vous.
Mme Céline Castets-Renard
(Visioconférence)
Mme Castets-Renard (Céline) : Merci
beaucoup, M. le Président. Merci beaucoup, Mmes et MM. les députés. Il me fait plaisir... C'est un grand honneur d'être
parmi vous. Et je vous remercie d'avoir accepté une visioconférence
pendant ma quarantaine. Mon nom est Céline
Castets-Renard. Je suis professeure à l'Université d'Ottawa, à la section de
droit civil, et je suis titulaire d'une chaire de recherche sur l'intelligence
artificielle, responsable à l'échelle mondiale.
J'ai écouté
attentivement les auditions et les consultations particulières qui ont eu lieu jusqu'à
présent — très
passionnantes — et j'aimerais revenir sur trois enjeux principaux,
un enjeu concernant la vie privée et les renseignements personnels,
un enjeu social concernant l'acceptabilité, dont il a beaucoup
été question. Et je me permettrais de parler aussi de
la réforme du cadre légal puisqu'en tant que juriste je ne résiste pas à la
tentation d'étendre la question posée au-delà du mandat de la commission.
Donc,
pour le premier enjeu, concernant la vie privée et la protection des renseignements personnels, je rejoins parfaitement ce que le Pr Pierre-Luc Déziel a
dit hier, s'agissant de la nécessité d'intégrer les débats et les analyses
dans le cadre de la protection des
renseignements personnels et de la vie privée. Même si l'interprétation même de
la notion de renseignements
personnels pourrait faire croire que l'on est en dehors du champ de cette
protection puisqu'il s'agit... le renseignement
personnel est un renseignement qui permet d'identifier la personne, et qu'on
nous dit que les applications de notification de traçage qui pourraient
être choisies ou l'application qui pourrait être choisie ne collecteraient pas
de renseignements personnels, il y a
toujours un risque de réidentification que nous a rappelé le Commissariat à la
protection de la vie privée du Canada et,
également, le commissariat à l'information et à la protection de la vie privée
de l'Ontario, et, même si ce risque est minime, il n'est pas nul, et il
me semble que le gouvernement du Québec doit en tenir compte, qu'il faut
effectivement considérer la protection des renseignements personnels et les
lois québécoises en la matière.
Et,
au-delà de cette interprétation extensive, hein, il faut le dire, je pense
qu'il s'agit aussi de l'occasion de réfléchir à la définition même de ces renseignements personnels, en particulier
dans le cas du projet de réforme du projet de loi n° 64. Simplement, à titre d'exemple, je voudrais
signaler qu'en droit de l'Union européenne, depuis 1995, depuis la
directive de 1995, et ça a été réitéré par
le règlement général de protection des données en 2018, la notion de données
personnelles intègre les données qui
permettent d'identifier, mais qui rendent aussi identifiable directement ou
indirectement, si bien que, si on a
une réidentification plus tardive dans le temps, par croisement de fichiers,
par exemple, on peut tomber sous le coup de la loi sur la protection des données personnelles. Donc, je pense que
c'est l'occasion d'avoir une réflexion sur cette notion au-delà de la
question des applications de traçage ou de notification des contacts.
• (10 h 50) •
Et il en est de même aussi des notions de
pseudonymisation et anonymisation, parce qu'effectivement le commissariat
à la vie privée l'a signalé, il ne s'agirait
pas de données anonymisées, mais pseudonymisées. Ça a l'air d'être un
débat technique, mais en fait ça fait une
grande différence juridique aussi, puisque les données, même pseudonymisées,
doivent encore être protégées par la loi sur
les renseignements personnels, ce qui ne serait pas le cas des données
anonymisées, puisque, par définition, on ne peut plus réidentifier la personne.
Donc,
je pense que toutes ces notions
doivent être approfondies au-delà, encore
une fois, du débat sur les applications de notification des contacts, mais aussi dans le cadre du projet de
réforme de la loi n° 64. J'aimerais aussi ajouter que, si le gouvernement du Québec décide
d'aller de l'avant avec cette application, il est fort probable qu'il n'y ait pas d'expérimentation ou que l'expérimentation soit limitée puisqu'il y a une certaine urgence, si bien qu'il devra y avoir un contrôle a
posteriori de la mise en oeuvre de cette application.
Et, à titre d'exemple,
je voudrais parler de la France et de l'application de StopCovid. Même si la
CNIL, la commission nationale informatique et libertés, à deux
reprises, au mois de mai et au mois de juin, a appuyé cette application et a considéré qu'elle était conforme au règlement
général de protection des données et à la loi française, à la loi
nationale, Informatique et Libertés, ça n'a pas empêché de faire un contrôle et
de mettre en demeure le ministère de la Santé, le 15 juillet dernier, parce que
certaines dispositions ne se conformaient pas parfaitement aux réglementations.
Donc, je pense que ce
serait important d'avoir un contrôle étroit et rapide, finalement, à partir du
moment où l'application serait déployée, si elle l'est. Et, si on fait
l'analogie, même si la CAI, la Commission
d'accès à l'information du Québec,
donne... Admettons qu'on considère que l'application est conforme, il faudra qu'elle puisse faire un
contrôle a posteriori.
J'aimerais,
évidemment, aussi évoquer les enjeux sociaux assez rapidement.
La question de l'acceptabilité
sociale, le taux d'adhésion a déjà beaucoup
été mis de l'avant hier par les autres experts. J'ai un peu l'impression aujourd'hui qu'on est un
petit peu dans une opposition : soit on choisit une application volontaire, et auquel cas le risque est que
l'adhésion soit faible, et donc qu'elle ne
soit pas efficace, soit on l'impose, ce qu'ont fait certains États
totalitaires, et évidemment on
porte atteinte aux libertés individuelles.
La réconciliation entre les deux est possible.
On peut faire une balance des intérêts, il en a déjà été question, entre la santé publique et la vie privée. Mais
encore faut-il qu'il y ait un gain pour la santé publique, ce qui n'a pas
encore été démontré.
Et, même si on considère que, bien, il
faut déployer la solution pour le
savoir, finalement, c'est tout
à fait possible de l'envisager. La
vie privée n'est pas un droit... c'est un droit fondamental, mais pas absolu.
On peut y porter atteinte, mais, quand même,
il faut faire un strict contrôle. Il doit y avoir des critères de cette balance
des intérêts, des critères de nécessité, de légitimité, finalité, proportionnalité, efficacité,
minimisation des risques. Et cette analyse doit se faire in concreto, en
considération de l'application. Donc, la réconciliation est possible. La
balance est possible, mais il faut faire une analyse.
Et, au-delà
de cette analyse d'experts, j'aimerais évoquer tout de même les enjeux
sociaux et l'intégration de toute la population par
rapport à l'utilisation de cette technologie. Il faut faire preuve d'inclusion sociale, de
pédagogie, parce que, pour l'instant, on est toujours
face à une fracture numérique, hein, au-delà de ces applications. Donc, il faut l'avoir à l'esprit. Le gouvernement doit faire
ce travail, je pense, de pédagogie, et on doit contribuer à l'aider. Et je
voudrais dire que l'OBVIA, l'observatoire
sur les impacts sociétaux de l'IA et du numérique, au Québec,
fait ce travail. Les chercheurs de l'OBVIA
font ce travail de pédagogie et de débat public. Et je vous remercie de nous donner l'occasion d'en parler, d'avoir fait cette consultation
d'experts et cette consultation au public en même temps.
Je voudrais
ajouter que je ne suis pas d'accord avec l'idée qu'il suffit d'aller de l'avant, de
déployer la technologie, et, si ça ne
marche pas, ce n'est pas grave, on la retire. Je pense que ce n'est pas neutre
et ce n'est pas pas grave, parce que soit ça va entraîner un rejet de la
technologie parce qu'on dira : Ça ne marche pas, ça ne sert à rien, et je
trouverais ça dommageable parce qu'il y a
des applications qui sont utiles pour la société et qu'il faut déployer, ou ça
pourrait entraîner une banalisation
de la technologie, et on dirait : Bon, ce n'est pas grave, on abandonne un
peu sa vie privée. Et c'est un peu le
discours de la société de surveillance, de la Quadrature du Net, et ce discours
aussi me paraît... cet écueil me paraît dangereux aussi. Donc, je pense qu'entre les deux il y a évidemment des
voies à trouver, mais qu'il faut trouver ensemble et pas simplement
entre experts.
Et, pour
finir, je pense que, ce débat, on doit l'avoir plus globalement, comme je le
disais, dans le cadre d'une réforme
légale. Il me semble que le Québec doit se doter d'un cadre légal robuste, que,
pour l'instant... bien, dont on ne dispose
pas pour l'instant. Les lois sur les renseignements personnels ont une
vingtaine d'années. Il est temps d'adapter ce schéma. L'Union européenne
l'a fait et prévoit d'aller encore de l'avant.
Et je
voudrais finir avec... en soulignant que le Québec est une plateforme de... une
place forte de l'intelligence artificielle,
mais que le Québec ne déploiera tout son talent que si son cadre légal est
robuste. Et j'ajouterais que la loi n'est pas là pour contraindre l'innovation, mais, au contraire, pour
l'accompagner, la promouvoir et surtout la sécuriser. Et je vous
remercie de m'avoir permis d'avoir ces propos introductifs.
Le
Président (M. Bachand) :
C'est nous qui vous remercions. Donc, nous allons débuter la période
d'échange avec le député de Chapleau. M. le député, s'il vous plaît.
M.
Lévesque (Chapleau) : Merci beaucoup, M. le Président. Bonjour, Pre
Castets-Renard. Un plaisir d'échanger avec vous aujourd'hui. Merci de
votre présentation fort intéressante.
D'abord, tout simplement pour clarifier avec
vous, vous vous inscrivez également, là, un peu dans ce que le Pr Déziel disait hier, là, que le débat et
l'analyse de l'application devaient se faire dans le cadre juridique actuel,
donc, que ça soit inclus dans les lois
visant la protection de la vie privée et également des renseignements
personnels. C'est bien cela?
Mme
Castets-Renard (Céline) :
Oui, oui, c'est tout à fait ça. Et le Commissariat à la protection de la vie
privée a un peu un double discours, a un
discours juridique et un discours, je dirais, un peu plus politique.
Le discours juridique est de dire qu'éventuellement il n'y a pas de renseignements personnels, mais le discours politique
est de constater que, partout dans le monde, le débat se fait dans le
cadre des lois de renseignements personnels et vie privée. Et donc le Québec ne
pourra pas passer à côté, je pense.
M.
Lévesque (Chapleau) : Non, tout à fait. Puis je pense que, si jamais le gouvernement décidait d'aller
de l'avant, ce serait son intention,
là, d'offrir le maximum de sécurité et de protection, là, aux citoyens
québécois. Faisons un peu de droit comparé, là. Vous avez mentionné le droit européen, notamment
sur la définition de renseignements personnels. Est-ce que ce serait la
définition qui devrait être appliquée ou si on fait, dans le fond, un peu de
projection? Ce serait ça qu'on voudrait comme définition ou en auriez-vous une
autre à proposer?
Mme
Castets-Renard (Céline) : Je
vais vous en donner les avantages et les inconvénients, et puis il
appartiendra évidemment au législateur de trancher.
L'avantage, je rappelle très rapidement... Donc,
en droit de l'Union européenne, donc, depuis déjà 25 ans, on considère
qu'une donnée personnelle est une donnée qui permet d'identifier ou de rendre
identifiable directement ou indirectement. Donc, c'est une définition très large. Les
avantages, c'est qu'effectivement on peut anticiper toute évolution technologique. Et on peut aussi avoir une
projection dans le temps, une projection dynamique de la donnée, parce que, même si la donnée n'est pas... On n'identifie pas aujourd'hui la personne. On peut l'identifier demain. Donc, cette action
dynamique permet d'anticiper les risques futurs. Donc, ça, c'est l'avantage.
L'inconvénient, il faut quand même le souligner,
c'est que la définition est très large et que, du coup, les entreprises, les organismes qui doivent
respecter la loi nous disent : Mais toutes les données personnelles... Et
donc il faut le respecter partout.
C'est un petit peu la tendance dans l'Union
européenne et avec le règlement général de protection des données
qui a renforcé énormément cette protection. Oui, ça a été un grand branle-bas
de combat partout, dans toutes les organisations
en Europe et ailleurs, avec toutes les entreprises qui travaillent aussi avec
l'Europe et qui échangent des données personnelles avec l'Europe. Oui, aujourd'hui, je pense qu'il n'y a
quasiment pas de bases de données sans données personnelles. Et donc,
oui, il faut respecter ce cadre.
• (11 heures) •
M.
Lévesque (Chapleau) : D'accord, excellent. Vous avez parlé qu'il
pourrait y avoir, notamment en lien avec l'acceptation sociale... l'acceptabilité sociale, pardon, un gain pour
la santé publique. Toutefois, ça prendrait une balance. Puis vous avez nommé, là, de nombreux critères, notamment la nécessité... et plusieurs autres, notamment,
avec une analyse d'experts. Est-ce qu'actuellement vous avez constaté ça dans
une juridiction ou, même au Canada, est-ce que ça a été fait? Puis, sinon, comment vous envisageriez cela, soit
en amont, en aval, un peu, votre perception sur ces différents critères
là, puis comment on les met en application?
Mme Castets-Renard (Céline) : À ma connaissance, ça n'a pas été fait par une
juridiction, mais c'est, en principe, l'objet
d'études d'impact, des études d'impact de... ou ce qu'on appelle les
évaluations des facteurs de vie privée au Canada et au Québec et ce qu'on appelle étude d'impact ou analyse d'impact des
données personnelles en France ou en Europe, mais c'est la même logique.
D'essayer
de faire une étude en amont, ça rejoint un peu l'idée de «privacy by design»,
la protection de la vie privée en amont dès la conception, avant le
déploiement, pour essayer justement de minimiser les risques, de respecter le principe de nécessité, de finalité, etc. Et cette
évaluation est faite précisément... a été faite par le Commissariat à la
protection de la vie privée du Canada et par l'Ontario. Et la Commission
d'accès à l'information du Québec se propose aussi de faire cette analyse quand
une application sera sur la table officiellement, on va dire.
Donc, c'est une
analyse qui est faite jusqu'à présent par les autorités de protection des
données, donc par les autorités
administratives. Mais, sinon, par analogie, ce type de critères, on les
retrouve aussi quand les juridictions font des balances des intérêts, comme la Cour européenne des droits de
l'homme, la cour de justice de l'Union européenne. Et toutes les cours un petit peu partout dans le
monde font très souvent ces balances d'intérêts entre deux droits
fondamentaux puisque ce n'est pas une situation nouvelle que d'avoir à faire ce
genre de balance.
M. Lévesque
(Chapleau) : O.K., merci beaucoup. Vous avez également parlé du cadre
légal qui devrait être robuste. C'est-à-dire
qu'actuellement, avec les lois, au Québec, que nous avons, je sais qu'elles
n'ont pas été dépoussiérées depuis
une vingtaine d'années, là, mais notre gouvernement a, bien entendu,
l'intention d'aller de l'avant et de renforcer ces lois-là, parce que
c'est une priorité, pour nous, et c'est un engagement bien important. On veut
protéger la vie privée des Québécois et
également les renseignements personnels. Actuellement, le cadre que nous avons
pour déployer une application, est-ce
que vous voyez des risques? Est-ce que vous voyez des failles, des
vulnérabilités? Quelles sont-elles?
Mme Castets-Renard
(Céline) : À l'heure actuelle, les lois sont incomplètes. Par rapport
aux définitions qui peuvent être données,
j'ai cité la définition de renseignement personnel. Ça me paraît aussi assez
incomplet par rapport aux droits
accordés aux personnes, par rapport à l'étude d'impact aussi, et surtout par
rapport aux sanctions et moyens qui seraient
accordés à la Commission d'accès à l'information du Québec. Je sais que, dans
le projet de loi n° 64, on va de l'avant par rapport à tous ces objectifs-là.
Donc,
ça, je trouve ça vraiment essentiel et fondamental à faire. Mais, si je peux me
permettre d'aller au-delà de ce cadre-là,
toutes les questions liées aux technologies ne se limitent pas à la protection
des renseignements personnels et de la vie privée. On a beaucoup
d'autres enjeux, de droit de la concurrence, de droit de la consommation. On a
aussi, bien sûr, des enjeux de discrimination. Et tous ces enjeux-là doivent
aussi être adressés, me semble-t-il, et ça dépasse le cadre de ce type de
réglementation.
M. Lévesque
(Chapleau) : D'accord, mais, pour, donc, peut-être prendre la balle au
bond avec le projet de loi n° 64, je vois que vous êtes bien informée. On
pourrait peut-être élargir justement la discussion. Est-ce qu'au niveau
des sanctions, au niveau des pouvoirs qui pourraient être donnés, notamment, à
la commission, ce sont des éléments, des pistes de solution qui sont
intéressantes? Est-ce qu'on va assez loin? Est-ce que c'est un bon projet de
loi?
Mme Castets-Renard (Céline) : Oui. Je pense que, de ce point de vue là, il faut
aller loin sur les sanctions. Ça a déjà été mentionné. On a affaire à
des grands acteurs du numérique, au fameux GAFA : Google, Apple, Facebook,
Amazon. Donc, on a affaire à des grands
joueurs qui doivent effectivement se rendre compte de leurs responsabilités
et doivent rendre compte de leurs actes. Et je pense que des sanctions doivent
être suffisamment crédibles pour que la menace soit crédible.
L'Union européenne a mis du temps à le faire, mais le fait sur le fondement des
renseignements personnels, le fait sur le fondement du droit de la
consommation et de la concurrence. Et le débat paraît... Je ne dirais pas qu'on
est très crédibles ou qu'on est à égalité, mais le débat a quand même pris une
autre ampleur depuis qu'on a, la Commission européenne
en particulier, commencé à envisager des sanctions un peu plus lourdes et
depuis aussi que ces sanctions sont médiatisées. Et on a parlé hier de
la sanction de réputation, et je pense qu'elle n'est pas négligeable.
M.
Lévesque (Chapleau) :
D'accord. Dernière petite question, là, spécifiquement sur la Commission d'accès à l'information. Ils sont venus témoigner hier... Elle est venue, c'est-à-dire,
témoigner hier, demandant peut-être plus de ressources et également, là,
peut-être plus de mordant dans leur réglementation. Est-ce que c'est une voie
qui serait envisageable pour vous et, si oui, ça irait dans quel sens?
Mme
Castets-Renard (Céline) : Je
soutiens absolument cette demande. Et, pour vous donner un exemple, en France, pendant très longtemps, on a... La loi sur
la protection des données personnelles date de 1978, et avant le RGPD 2018, on ne prenait pas du tout au sérieux cette
réglementation parce qu'il n'y avait pas de sanctions ou qu'elles
étaient minimes. Donc, je pense que prendre
au sérieux le suivi va avec des sanctions et va avec des pouvoirs forts de ces
autorités de protection, des pouvoirs de
contrôle, des pouvoirs indépendants et, bien sûr, des pouvoirs financiers, des
ressources financières. Ça me paraît
absolument essentiel. Et, quand on compare, dans l'Union européenne, on a des
situations très variées, et ça a été
un des points majeurs de la réforme par le RGPD que de doter toutes les
institutions de ces ressources.
M.
Lévesque (Chapleau) :
Parfait. Merci beaucoup. Je pense que mon collègue de Beauce avait des
questions.
Le Président (M.
Bachand) : Merci. M. le député de Beauce-Nord.
M. Provençal : Merci,
M. le Président. Bonjour, madame.
Merci beaucoup de contribuer à l'évolution de nos travaux.
Écoutez,
je vais revenir sur un point qui a été soulevé par mon collègue.
Quand, dans votre mémoire, vous parlez «de faire une balance des intérêts en présence et reconnaissance [des]
droits fondamentaux à concilier plutôt qu'à opposer», mais,
dans ça, là, pouvez-vous clarifier et puis élaborer un petit peu plus, s'il
vous plaît? Parce que je pense que vous soulevez quand même des enjeux majeurs,
là.
Mme
Castets-Renard (Céline) :
Quand on fait cette balance des intérêts, donc, on va... Si on prend
l'exemple, effectivement, de l'application de notification et si on considère deux intérêts,
santé publique et vie privée, on peut être amené à privilégier l'un ou l'autre. Mais, si on privilégie l'un, ça ne veut
pas dire qu'on abandonne complètement
l'autre et qu'il faut...
Donc, en
clair, ici, s'il fallait en exiger un, ce serait la protection
de la vie privée au profit de la santé publique. C'est cette balance-là
qui a été faite, par exemple, par la CNIL, en France, hein, par la Commission
nationale de l'informatique et des libertés,
en disant : D'accord, la protection des renseignements personnels et de la vie privée, ce sont des droits fondamentaux, mais qui ne sont
pas absolus. Donc, on peut réduire, finalement, le niveau de protection, mais, pour autant, il faut des garanties, et ce sont les
garanties par rapport aux droits fondamentaux, en faisant les
critères que je viens de... que j'ai déjà exposés, en rapport avec les
critères que j'ai déjà exposés. Et, par exemple, l'anonymisation des données,
ça veut dire qu'il ne faut collecter que les données qui vont être nécessaires
à une finalité.
Donc, tout est lié, en fait : la finalité,
la nécessité de l'application, la nécessité de la mettre en oeuvre et, évidemment, son efficacité. Et donc toutes ces contraintes doivent
s'entendre ensemble. Et on peut considérer que, s'il y a une faille, finalement,
dans l'un de ces critères, bien, par répercussion, on risque de ne pas pouvoir
atteindre les autres ou, en tout cas, on aura un niveau qui va s'affaiblir. Clairement, si on considère qu'il n'y a pas d'efficacité ou de nécessité avec cette application, on
ne va pas pouvoir justifier l'atteinte à la protection de la vie privée et des renseignements
personnels. Ça, c'est un arbitrage politique à faire aussi collectivement, me
semble-t-il.
M. Provençal :
Donc, vous énoncez clairement que la protection de la vie privée doit être
prioritaire par rapport à la santé.
Mme Castets-Renard (Céline) :
Ça n'est pas ce que j'ai dit.
M. Provençal :
C'est ce que j'ai perçu.
Mme Castets-Renard
(Céline) : Non, non. Je dis
que, dans la balance, ça voudrait dire qu'on... Si on considère la santé dans l'équilibre, on baisse le
niveau de protection de la vie privée, mais on ne doit pas le baisser
trop et on ne le baisse que si on a
un gain significatif. C'est ça, une balance, c'est que si on a un gain
significatif en santé publique, qui n'a pas encore été démontré, à ma connaissance.
M.
Provençal : Merci. J'aurais
un deuxième point. Vous écrivez : «L'opportunité d'une telle application
n'est-elle pas perdue d'avance? Peut-on
réconcilier droit, éthique et efficacité?» J'aimerais ça que vous me clarifiiez
ce que vous venez... ce que je viens d'énoncer, s'il vous plaît.
Mme Castets-Renard (Céline) : Ça
fait écho à ce que je disais dans ma présentation. Ça fait quand même plusieurs semaines qu'on réfléchit collectivement
et individuellement à tous ces sujets-là, peut-être depuis le mois de
mars, avril, et moi personnellement, je n'ai
pas l'impression d'avoir avancé dans la réflexion parce qu'à chaque fois je me
dis : C'est important que ça reste volontaire parce que je tiens à nos
libertés. Et, en même temps, moi, la première, je n'ai peut-être pas
spécialement envie de télécharger une application si je ne vois pas
l'efficacité ou si je ne vois pas un gain collectif, sans parler d'un cas
personnel, mais si je n'en vois pas l'utilité, et je pense que beaucoup de
personnes raisonnent comme ça.
Et d'après ce
que je perçois de ce qui s'est passé en France avec StopCovid, avec seulement
4 % d'adhésion, c'est que, tout simplement, personne n'a vraiment
compris que ça pouvait être utile. L'utilité sociale, c'est quand même quelque chose d'important. Et, du coup, j'ai
l'impression que, pour que ça marche, que ça ait un effet, il faudrait le
rendre obligatoire, que ce soit très contraignant, un peu comme ce qu'on a vu
dans certains États en Asie, plutôt avec une démarche totalitaire, et on
comprend bien que personne ne veut ça dans nos sociétés démocratiques.
Donc, c'est en cela que je n'ai pas
d'issue, je n'ai pas de solution à cette, ce que j'ai dit, quadrature du
cercle. Je ne vois pas bien comment en sortir.
• (11 h 10) •
M.
Provençal : Je vous remercie beaucoup.
Le
Président (M. Bachand) : Merci. Mme la députée de Jean-Talon,
il vous reste une petite minute.
Mme Boutin : ...simplement une question. J'en aurais eu plusieurs, mais c'est
vraiment très intéressant. Merci d'être
là. Vous avez mentionné dans votre présentation qu'il y a des exemples de
technologies qui pourraient être utiles à la Santé publique. Avez-vous
des exemples concrets?
Mme Castets-Renard (Céline) : Bien sûr. L'intelligence artificielle et le
«machine learning» sont beaucoup utilisés
en ce moment autour de la pandémie, par exemple, pour la recherche des vaccins,
pour accélérer le temps et le «process». Donc là, on peut penser que
c'est utile pour la société, hein, même à l'échelle mondiale. Également, aussi,
il y a eu du «machine learning» qui est
utilisé, ne serait-ce que dans les travaux, dans les études, parce
qu'énormément de travaux sont faits par de nombreuses communautés partout dans
le monde.
Donc,
c'est très difficile d'agréger les informations, les données. Donc, on utilise
aussi, bien sûr, des bases de données, mais du «machine learning» aussi
sur ces bases de données pour agréger l'information et même pour faire fonctionner ensemble des laboratoires un petit peu
partout dans le monde. Donc, pour moi, ça, ce sont des usages utiles.
Et je ne sais pas si
je peux me permettre d'évoquer ce sujet, mais vous avez auditionné, mercredi,
M. Yoshua Bengio du MILA. Le MILA a fait
beaucoup de travaux et beaucoup de recherches épidémiologiques. Les modèles épidémiologiques
aussi font partie de l'utilisation... enfin, de ces exemples positifs
d'utilisation de l'IA. Et c'est vrai qu'il y a des aspects dans ces recherches qui sont forcément intéressants pour
la société. Même s'il y avait... Dans ces recherches, il y a une partie
recherche épidémiologique et une partie «contact tracing» ou notification des
contacts. Donc, il y a plusieurs enjeux, plusieurs finalités, mais il y a des
aspects qui sont utiles pour la santé et la société.
Mme Boutin : J'espère sincèrement que vous allez être invitée dans le cadre des
consultations particulières du projet de loi n° 64,
Mme Castets-Renard.
Mme Castets-Renard
(Céline) : Ce serait avec plaisir. Merci beaucoup.
Le
Président (M. Bachand) : Merci. Mme la députée de Vaudreuil, s'il
vous plaît.
Mme
Nichols : Merci, M. le Président. Merci d'être parmi nous. Bienvenue à l'Assemblée nationale en
virtuel.
Alors,
vous avez parlé, là, dans vos recommandations, que, si l'application devenait inutile, évidemment, là, de la retirer. Puis on a entendu plusieurs experts aussi
à cet effet-là, de même inclure une clause, là, dans le législatif, là, à
cet effet-là, parce que ça ne sert à rien de la laisser perdurer inutilement.
Et vous faites mention que de revenir en arrière pourrait avoir des séquelles...
pas avoir des séquelles, mais vous avez dit : Ce n'est jamais neutre.
Alors, moi, je vais y aller avec les séquelles. Je me dis : Où vous voyez
la problématique si on revenait en arrière?
Mme Castets-Renard (Céline) : Bien, je pense qu'on ne pourra pas se contenter
de dire : On a essayé, ça n'a pas marché,
ce n'est pas grave, parce qu'il y va du crédit de la technologie de manière
générale. Une prochaine problématique, une
prochaine technologie pourrait tout à fait être très bien et très utile pour la
société, mais on aura ce mauvais souvenir, hein? Collectivement, on peut tout à fait se dire : Ah! non, mais
on a déjà essayé la technologie, ça ne marche pas, ce n'est pas bien. Donc, il faudra refaire des efforts de
conviction, d'adhésion, d'explication, alors que ça pourrait être tout à fait
utile.
Donc,
ça, c'est la question du rejet de la technologie en tant que telle, et de
mettre un petit peu tout dans le même panier,
et de jeter le bébé avec l'eau du bain. Ce serait quand même un peu dommage,
alors que, comme je le disais, en santé,
on a des avancées extraordinaires. Le «machine learning», ça marche très bien
sur l'imagerie médicale et ce serait quand même dommage de s'en priver
au prétexte que toute technologie est mauvaise.
Mais,
à l'inverse, il y a aussi un autre problème, c'est que, si on fait un petit peu
l'apprenti sorcier et qu'on sort des applications un peu à tort et à
travers, si je puis dire... Je caricature, hein, un petit peu, mais, si on le
fait de manière excessive, sans se laisser
beaucoup de temps de réflexion... Les gens s'habituent un petit peu à avoir des
bracelets, des choses sur leur téléphone qui sont déjà des mouchards,
hein? Ces téléphones nous dévoilent déjà beaucoup. Il y a une banalisation, une
habitude qui ne me paraît pas non plus utile, qui me paraît aussi préjudiciable
pour la société, parce que je pense qu'il faut qu'on reste vigilants et
critiques, hein? C'est toujours ce que je dis à mes étudiants : Restez toujours
à l'écoute et en éveil.
Mme Nichols :
Mais vous faites référence, là, à des conséquences en lien avec la réputation
qu'on pourrait rattacher à la technologie,
mais il y a sûrement aussi, là, des conséquences auprès des citoyens,
auprès des utilisateurs, des personnes
qui l'auront utilisée tant au niveau des données, mais aussi, là, au niveau
plus humain, à cet effet-là aussi. Par rapport
au consentement, vous faites... Vous êtes professeure. Vous faites du droit
civil. Donc, j'imagine que la notion du consentement est importante pour
vous.
Mme Castets-Renard
(Céline) : Oui, elle est importante et elle est affirmée dans les lois
de protection des renseignements personnels et davantage encore dans la réforme
du projet n° 64. Elle est très fortement affirmée
aussi dans le règlement
général de protection des données personnelles en Europe. Mais, en même temps,
on voit beaucoup de limites et on voit bien aujourd'hui qu'on nous
demande d'accepter tout, de cocher des cases, et on a des images qui
surgissent, des messages interstitiels qui surgissent tout le temps à notre
écran pour dire : O.K., oui, j'accepte, oui, je veux les cookies, oui, tu
peux me tracer, etc., parce que, sinon, de toute façon, on n'a pas accès aux
services.
Et
donc le problème aujourd'hui, c'est que la façon dont ce consentement se
matérialise est que, finalement, on est un
petit peu prisonnier. Même si on doit avoir... on est censé avoir un
consentement éclairé, explicite et avoir une certaine qualité de consentement, dans les faits, ce n'est
pas vraiment ce qui se passe en matière technologique. Et là
je me permets de vous renvoyer aux travaux de mon collègue et ami, le Pr
Vincent Gautrais, qui travaille beaucoup sur la question du consentement.
Mme
Nichols : Merci. Au niveau
du cadre légal... Je sais qu'on l'a abordé un petit peu plus tôt avec les
collègues, mais on parlait du cadre légal.
Il n'y a pas vraiment... Présentement, comme on le dit depuis plus de deux jours, là,
c'est qu'il n'y pas de mordant. Il n'y a pas
de conséquences, là, à tout ça. Votre position... Qu'est-ce que vous
recommanderiez comme conséquences? Des
conséquences pécuniaires, des conséquences... parce qu'il y a les conséquences,
évidemment, pour les entreprises, mais il y a un lien avec l'imputabilité
aussi.
Mme Castets-Renard (Céline) : Oui, bien, je pense qu'il va falloir... Alors,
sauf erreur de ma part, et vous me corrigerez,
c'est peut-être parce que j'ai mal compris le projet de loi n° 64, il me semble qu'on fait un peu un effort de clarification sur
qui doit faire quoi, qui doit être responsable de quoi, mais il y a quand même,
dans... On est dans des écosystèmes numériques très complexes, et ça, c'est mon
collègue Sébastien Gambs qui le disait hier, en disant que, derrière une application,
il y a tout un écosystème et il y a tout un tas d'acteurs en arrière-plan.
Et
c'est un petit peu pour tout dans l'économie
numérique. Il y a toujours des courtiers de données. Il y a toujours d'autres acteurs en arrière que l'utilisateur
final ne voit pas forcément. Et donc les données personnelles circulent, et
il faut quand même clarifier le rôle
de chacun et la responsabilité de chacun. L'Union européenne a répondu à
cette question en créant un nouveau statut de sous-traitants de la
donnée et en les rendant responsables au même titre que les responsables de
traitement.
Et
donc je pense qu'il faut avoir cette réflexion-là. Je ne sais
pas si c'est forcément le modèle pour le Québec, mais, en tout cas, tenir compte de tout l'écosystème, et de rendre chacun responsable, et
avec des sanctions fortes, hein, des sanctions
pécuniaires en particulier, et doter, encore
une fois, la Commission d'accès à l'information du Québec de ces pouvoirs de sanction et de ces
ressources financières, toutes ces mesures iraient vraiment dans le bon sens, je
pense.
Mme Nichols :
Merci.
Le
Président (M. Bachand) : Merci beaucoup. Mme
la députée de Saint-Laurent, s'il vous plaît.
Mme
Rizqy : Merci beaucoup. Bonjour. Merci d'être parmi nous. Le fédéral a commencé avec Alerte
COVID en mentionnant la chose suivante,
c'est qu'elle était totalement confidentielle et totalement anonyme, et le
commissaire à la vie privée, le 31 juillet, rectifiait le tir en
disant que c'était inexact. Partagez-vous le même avis?
Mme Castets-Renard
(Céline) : Oui, je partage cet avis et je pense que c'est la
différence entre les données pseudonymisées
et anonymisées, comme je le disais tout
à l'heure. Bien sûr que des
précautions sont prises, et qu'on parle de code, et qu'on ne parle pas
de l'identité des personnes, et qu'on parle même de mesures de chiffrement,
mais il est toujours très difficile, et je pense que tous les spécialistes de
la sécurité vous le diront, de garantir l'anonymat parfait et la sécurité
parfaite et garantir que...
Mme
Rizqy : Mais je vais aller
vers le consentement, si vous me le permettez, parce que le temps file. Je
vais aller vers le consentement, étant donné que, lorsqu'on a le premier
ministre du Canada
qui affirme quelque chose qui peut être erroné, la population... Lorsqu'on parle de consentement, il faut que
ça soit libre et éclairé sur de l'information juste. Est-ce qu'on devrait tous faire très attention dans notre
choix de mots et vraiment s'assurer que les gens comprennent que ce
n'est pas totalement confidentiel et pas totalement anonyme? C'est bien ça?
• (11 h 20) •
Mme Castets-Renard (Céline) : Alors, je ne veux pas rentrer dans un débat politique,
vous vous en doutez, mais je pense qu'effectivement le choix des mots
est important, et surtout l'explication derrière les mots, parce que, quand je
dis «pseudonyme», «anonyme», je ne suis pas sûr que ce soit clair pour
l'ensemble de la population, donc.
Mme
Rizqy : Je partage le même avis que vous là-dessus. Dites-moi, le
fédéral a aussi commencé la discussion en disant qu'il ne considérait pas que l'information était un renseignement
personnel, et ça, ici, il y a une distinction très claire, c'est que, lorsqu'on ne catégorise pas ce type
d'information comme un renseignement personnel, bien, à ce moment-là,
les cadres juridiques ne peuvent pas trouver
d'application. Vous avez mentionné qu'en Europe ça fait déjà 25 ans que
même les données qui peuvent être...
permettre la réidentification, mais même le croisement de données en d'autres
mots, étaient jugées, en Europe, depuis maintenant plus de 25 ans,
comme un renseignement personnel. Est-ce que le Canada et le Québec devraient
emboîter le pas à l'Union européenne?
Mme Castets-Renard
(Céline) : Je pense vraiment, très sincèrement, que le Québec devrait
y réfléchir sérieusement. Alors, est-ce
que c'est exactement
cette définition qu'il faut retenir? Pas nécessairement, mais, en tout
cas, il faudrait
essayer d'intégrer ces nouvelles pratiques qui, bien, sont l'utilisation des
données aujourd'hui. C'est exactement ces pratiques-là. Donc,
il faut bien en tenir compte, je pense. Et, quand je parle d'un cadre légal
robuste, c'est aussi un cadre légal adapté aux technologies d'aujourd'hui.
Mme Rizqy : Merci. Et on regarde beaucoup
ce que le gouvernement fait, mais j'aimerais aussi m'attarder sur
ce que l'industrie fait en parallèle.
Plusieurs ont développé leurs propres applications et même maintenant leurs propres bracelets. Le projet de loi
n° 64 n'est pas encore étudié, n'est
pas encore appelé à l'étude. Pensez-vous qu'on devrait, à l'instar de ce qui a été discuté hier par la Commission d'accès à l'information, même si on n'a pas un projet de loi, à tout le moins avoir un décret pour dire : Calmez-vous, l'industrie,
voici maintenant un cadre dans l'attente d'un projet de loi? Pensez-vous que ce
serait une avenue qui serait souhaitable, d'agir vraiment rapidement, d'avoir
ce décret?
Mme Castets-Renard (Céline) : Si on veut agir dans l'urgence et se concentrer
sur les applications de notification de contact, oui, il faut un cadre. Alors, comme Mme Poitras disait
hier, un cadre légal serait préférable, mais un décret suffirait, à l'évidence, d'un point de vue juridique. Et, pour vous donner l'exemple de la France, StopCovid a fait l'objet d'un
décret.
Mme Rizqy :
Ah! merci beaucoup. C'est tout le temps qui me restait.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Gouin,
s'il vous plaît.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour. Bonjour,
professeure. Merci d'être avec nous en cette fin d'avant-midi. J'ai peu
de temps. Je vais aller droit au but.
Vous
avez formulé certaines de vos revendications puis de vos remarques, là, ici, en disant :
Si le gouvernement va de l'avant, il
faudrait mettre tel garde-fou, telle précision, tout ça. Par contre,
officiellement, c'est ce qu'on nous dit, la décision n'est pas prise. Donc, il
y a encore moyen, je pense,
puis c'est encore pertinent, de se questionner sur la pertinence de même aller de l'avant avec une telle application, puis c'est sur ce terrain-là que j'aimerais vous
amener. Jugez-vous qu'en ce moment le cadre juridique québécois est adéquat pour protéger les droits et libertés
des Québécois, Québécoises, advenant le déploiement
d'une application pour lutter contre la COVID-19?
Mme Castets-Renard (Céline) : Sous réserve d'avoir un décret, comme on vient de
le dire, oui, parce que même
le cadre français, qui est un cadre relativement récent et relativement robuste avec le règlement général de
protection des données, au niveau de l'Union européenne, plus la loi informatique et de libertés... On a quand même
dû ajouter un décret parce qu'il y a quand
même des spécificités liées au
déploiement de ce type d'application. Donc, il me paraîtrait vraiment
souhaitable de renforcer ce cadre légal sans même considérer une éventuelle
réforme des lois.
M. Nadeau-Dubois :
O.K., mais ma question, c'était : Est-ce que le cadre actuel est adéquat?
Mme Castets-Renard (Céline) : Bien, a fortiori... Enfin, a contrario, non, et
je pense qu'effectivement il faudrait un décret pour accompagner l'application.
M.
Nadeau-Dubois : Iriez-vous jusqu'à dire que, pour vous, c'est un peu
une condition à ce qu'une telle application soit respectueuse de la vie privée?
Mme Castets-Renard (Céline) : Disons que le décret permettrait justement
d'intégrer dans un cadre légal clair et précis les contraintes et les conditions que j'ai posées dans la balance
des intérêts et que les autorités de protection des données, hein, le commissariat
à la vie privée du Canada, le commissariat de l'Ontario, et la Commission
d'accès à l'information du Québec posent, et puis toutes les autorités partout
au Canada... Les positions de nécessité, finalité, proportionnalité, etc., il me paraîtrait souhaitable que ces
conditions-là soient posées dans un décret, en effet, et contrôlées par
la commission.
M.
Nadeau-Dubois : Quelques intervenants, notamment la Commission des
droits de la personne, la Commission d'accès
à l'information, sont venus nous dire qu'à l'heure actuelle il n'y a rien dans
les lois québécoises qui interdirait à un employeur ou à un locateur
d'exiger qu'un locataire ou un employé télécharge et utilise l'application.
Comment vous réagissez quand vous entendez de tels témoignages?
Mme Castets-Renard (Céline) : Alors, pour être tout à fait claire, je ne suis
pas du tout spécialiste de droit du travail.
Donc, il faudrait quand même regarder si, en droit du travail, il n'y a pas des
contraintes par rapport aux informations
que l'employeur a le droit de collecter sur ses salariés. En tout cas, si je
fais le parallèle avec ce que je connais ailleurs, en particulier en
France, l'employeur ne peut pas collecter des données de santé qui n'ont pas un
lien direct avec son travail.
Donc,
par exemple, très clairement, si vous contractez la COVID, mais que vous êtes
en télétravail, vous n'êtes pas un danger pour l'entreprise et pour vos
collègues. Donc vous n'êtes pas... Vous ne serez pas obligé de le signaler, par
exemple. En revanche, si vous présentez des
symptômes et que vous arrivez au travail, vous avez l'obligation de vous
protéger, et de protéger les autres
salariés, et l'employeur lui-même a l'obligation de protéger. Donc, il peut
vous demander un certain nombre de renseignements.
M.
Nadeau-Dubois : Mais ça, c'est... Là, vous parlez du cadre juridique
français, actuellement.
Mme Castets-Renard (Céline) : Oui. C'est pour vous donner... faire une
analogie, parce que... pour vous dire que,
les solutions, on les trouve en droit du travail. Je ne suis pas du tout une
spécialiste de droit du travail. Donc, c'est pour ça que je vous
dis : Il faudrait regarder quand même si, en droit du travail, l'employeur
n'est pas limité dans la collecte d'information.
M.
Nadeau-Dubois : Merci. Diriez-vous que vous êtes... Prenons comme
exemple l'application fédérale. Diriez-vous
que le gouvernement fédéral a procédé dans les règles de l'art et de manière
adéquate au niveau du respect de la vie privée dans le déploiement de
son application? Est-ce que tout a été bien fait? C'est ça, ma question.
Mme Castets-Renard (Céline) : Je dirais que, compte tenu des technologies...
enfin, des propositions du marché que
nous avons en ce moment... Je ne les connais pas toutes et je suis loin de
pouvoir faire le point, mais, en tout cas, par rapport aux différents critères qui ont déjà été signalés, GPS, Bluetooth, centralisé, décentralisé, le gouvernement fédéral a pris toutes les
mesures possibles pour avoir la moins pire application, comme il a déjà été
dit.
M.
Nadeau-Dubois : Parfait. Merci beaucoup.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de René-Lévesque,
s'il vous plaît.
M. Ouellet :
Merci beaucoup. Merci. À mon tour de vous saluer directement d'Ottawa.
Vous
avez parlé dans votre mémoire, à la recommandation 3, de faire attention,
à savoir que, si on faisait un retour en
arrière, il y aurait un coût à ça. Et j'aimerais avoir l'échange suivant avec
vous. Le gouvernement n'a pas fait sa niche encore. En tout cas,
c'est ce qu'il nous dit. Il n'y a pas de décision qui a été prise. En début de
consultation, il y a des fuites dans les médias qui nous ont rapporté que, lors
de la consultation Web, 17 000 personnes qui ont participé, 12 000 personnes semblaient être
enclines à télécharger cette application. Lorsqu'on écoute d'autres entrevues
aussi du ministre de la
Transformation numérique ici, au Québec, il semblerait que le gouvernement va y aller par sondages aussi pour aller voir si, effectivement,
il y a de l'appétit au Québec...
Mais,
quand je lis votre mémoire, ce que vous nous dites... Même
si le gouvernement juge qu'il y a suffisamment d'intérêt pour la lancer et... excusez-moi
l'expression anglophone, mais gamble sur le fait qu'il y ait plusieurs
personnes qui pourraient la télécharger, ce que vous nous dites, c'est : Faites
attention avant de la lancer, parce qu'une fois que c'est fait et que, si, au final, comme d'autres pays
ailleurs, on décide, après une semaine, deux semaines, de reculer, il y a un
coût à ce recul. Et peut-être que, lorsqu'il
viendra le temps d'adopter une technologie qui sera beaucoup plus fiable,
beaucoup plus utile et nécessaire
pour lutter peut-être... pour une autre crise sanitaire, notre population aura
été fragilisée par rapport à cette situation-là. Et, dans ce temps-là,
on va nuire ou on pourrait nuire, dans le futur, au déploiement d'une
technologie beaucoup plus fiable, beaucoup plus sûre, beaucoup plus appropriée
et acceptée. C'est ce que vous nous dites dans votre mémoire. C'est bien ça?
Mme Castets-Renard (Céline) : Oui, c'est ce que je dis. Et je ne suis pas
sociologue, mais la mémoire collective et la mémoire positive, comme
négative, peut jouer parfois en défaveur de nouveautés.
M. Ouellet : Donc, comme législateurs, ce que vous nous dites, c'est : Il n'y a
pas de certitude qui existe, mais, avec
les indications que vous avez ici, collectivement, en consultations, avec tout
ce qu'on a entendu, si vous avez un doute, faites attention, parce que,
si vous faites un pas par en avant, le pas subséquent que vous devriez
peut-être franchir ultérieurement ne pourrait jamais être franchi parce que la
population ne vous suivra pas.
Mme Castets-Renard (Céline) : Ça pourrait arriver. Effectivement, je pense que
c'est une grande responsabilité que de décider de déployer ce genre
d'outil. C'est loin d'être neutre.
M. Ouellet : Donc, il y aurait une banalisation de la technologie. Mais aussi vous
faites référence à cette fracture numérique
qui fait que, si le gouvernement va de l'avant avec cette technologie et qu'il
y a des gens qui n'en ont pas accès, ils
seront laissés de côté. Pensez-vous que, pour le futur, si on déploie encore
d'autres technologies pour une deuxième fois, ces populations-là auront l'impression d'être laissées de côté, et donc,
effectivement, il y aura un clivage et, malheureusement, pas une
adhésion totale à toute autre mesure qui pourrait être influencée par le
gouvernement et être mise de l'avant?
• (11 h 30) •
Mme Castets-Renard
(Céline) : Oui, oui. Je pense qu'il faut probablement travailler d'abord
ces questions d'acceptabilité sociale, cette pédagogie, avec la technologie, de manière générale, et d'inclusion avant même, finalement,
d'avoir une technologie et un usage à évoquer en particulier. Je pense, ça me
paraîtrait assez intéressant d'être proactif plus que réactif.
M. Ouellet :
Merci.
Le
Président (M. Bachand) : Merci beaucoup.
Alors, Mme la professeure, merci beaucoup d'avoir participé à la commission. Et
je vous souhaite, au nom de la commission, deux choses : un bon week-end
et une bonne fin de quarantaine. Alors, merci beaucoup de votre participation.
À bientôt. Merci.
Mme Castets-Renard
(Céline) : Merci beaucoup. Merci à vous. Au revoir.
Le Président (M.
Bachand) : Alors, je suspends les travaux quelques instants.
Merci.
(Suspension de la séance à 11 h 31)
(Reprise à 11 h 43)
Le
Président (M. Bachand) : À l'ordre, s'il
vous plaît! La commission reprend ses
travaux. N'oubliez pas que vous avez le système d'interprétation, de
traduction instantanée.
Alors donc, il me fait plaisir, au nom de la
commission, d'accueillir Mme Guliani à la commission ici. Alors, bienvenue
à la commission. Comme vous savez, vous avez 10 minutes de présentation,
et, par après, nous aurons un échange avec
les membres de la commission. Les membres de la commission sont libres de
parler français ou anglais, à leur besoin. Alors, Mme Guliani, merci beaucoup
de votre participation, et je vous cède la parole. Merci.
Mme Neema Singh Guliani
(Visioconférence)
Mme Singh
Guliani (Neema) : Great. Thank you so much for having me. Thanks for the opportunity
to present on behalf of the American Civil Liberties
Union.
The American Civil Liberties
Union is a U.S. based nationwide organization. We have more than 3 million
members, activists and supporters that work to preserve individual rights and
liberties. We're also a member of the International
Network of Civil Liberties Organizations, where we also work with the Canadian
Civil Liberties Association.
COVID-19
has upended the lives of millions, resulting in hundreds of thousands of deaths
worldwide and severe economic
toll. And, to address these challenges, many governments are considering
exposure notification apps or contact tracing
apps, with the hope that they'll help combat the pandemic. However, right now,
we don't know whether these contact tracing apps are practical, will
work and will be worth the trade-offs.
First,
there's the question of the technology
itself and whether it can accurately track when someone is at risk of being infected with COVID-19.
This is still very much an open question, but, even if we overcome the
technical hurdles, there are still
other barriers. Individuals must have the trust and confidence to use an app
for it to be effective, and there must be
a comprehensive public health infrastructure in place that meets the needs of
those most vulnerable. For example, what good is an exposure
notification alert if someone can't stay home from work, can't get a COVID-19
test and can't self-isolate? And how useful
will an app be if those most likely to be infected don't have the smartphone to
download it?
Given
these issues, at the ACLU,
we believe that we must approach the deployment of any app with caution to ensure that it does not
inadvertently make things worst. My written briefing provides more information
about the necessary safeguards that must be adopted as part of any
contact tracing app, but I want to highlight five in particular that are very
critical.
One,
any deployment of an app must be accompanied by clear benchmarks for efficacy
that are evaluated independently and reflect public
health and civil liberties expertise. Globally, we have already seen the
deployment of technologies that have had questionable efficacy.
For
example, in the U.S., an app deployed in Utah, that was intended to help ensure
that individuals entering the State of Utah quarantined, was shut down after just 72 hours because it
was sending alerts mistakenly to the wrong people. The app wasted thousands of dollars and created
confusion for the public. In North Dakota and South Dakota, a Care19 app, which relies on location data, was found to be sending personal
information to private companies and reportedly has yet to identify a single asymptomatic carrier. Similarly,
in Australia, local health authorities have said that the country's
COVID app has yet to identify otherwise unknown contacts, though some have
suggested that it's due to the country's low coronavirus rate.
Given
these examples, it is positive that, in Canada, there's an external advisory council that can help... metrics to assess the efficacy
of the proposed COVID Alert app. If this app does not meet these metrics, it
should be discontinued or modified
accordingly. In addition, these metrics must be fully transparent and include
an analysis of not just whether the technology
works, but whether it meaningfully contributes to positive health outcomes. For
example, it should measure whether
individuals who had not otherwise have been notified or... and it should also
assess whether these individuals do, in fact, take steps to prevent
further spread of the disease.
Two,
it's essential that additional health resources be targeted specifically at
vulnerable communities, including those who may not be able to use an app. The
consequences of COVID-19... disproportionately on already vulnerable communities. For example, for Ontario, studies
have found a strongest association between high coronavirus rates and
low-income conditions of work, visible minority status and low levels of
education. This mirrors data in Montréal, which shows that immigrants,
refugees and lower income individuals live amongst the hardest hit regions. It
also reflects our experience in the U.S., where Blacks and Hispanics are
dying at a disproportionate rate.
We ignore these vulnerable populations
at our own peril. Examples in Singapore and the United States offer a cautionary tale about ignoring the public health of particularly
high-risk communities. For example, in Singapore, a resurgence of infections
earlier this summer was driven in part by poor conditions in migrant
communities, where individuals
face difficulties social distancing and where there was not large scale
testing. Similarly, in the United States, public officials have warned that failing to take steps to address
spread in jails and prisons could results in 100,000 more deaths than
already projected.
Already vulnerable communities are
also the ones who may be unable to use an app. For example, in Canada, only 74% of households
of incomes less than $20,000 and only 80% of individuals over 60 report having
a smartphone, and even smaller
numbers of these populations may have a smartphone that is actually capable of
operating a contact tracing app. Thus,
to insure these populations are not left out of any solutions, it's essential
that there be a broader manual contact tracing and health plan targeted
at providing health resources to these communities. In addition, there must be
investments to provide technical and other systems to people who seek to use
this technology.
Three, it is essential that any app
deployed minimizes the collection of personal data, and the use of such data should be limited to public
health. The best way to insure limited data collection use is through the
design of the app itself. On this...
positively, this COVID Alert app cannot collect detailed location data of
users. Collection of GPS location data is not accurate enough for contact tracing and poses significant privacy risks.
Instead of location data, the COVID Alert app collects random user ID's that can be used to notify someone who may
have come in proximity with an infected individual. Provinces should further commit to minimizing the
collection of personal data by not requiring individuals to provide any
additional information as a condition of using the app. They should also insure
that any data, like IP addresses, are not retained by the government.
• (11 h 50) •
There must also be clear safeguards to
ensure that any data collected is not used for punitive purposes, like criminal or immigration
enforcement. Reports like those in Ontario, where lists of infected individuals
were provided to the police, are
already cause for concern, and such concerning practices should not be extended
to data collected through a contact tracing
app. Moreover, any data that's collected should be promptly destroyed when it's
no longer epidemiologically useful for
contact tracing purposes. And it's also important that individuals have a
mechanism to enforce their rights and seek redress in cases where such
restrictions are not followed or the app doesn't work
as promised. There may be the need for additional legislation
to provide these enforceable rights.
Four, as the World Health Organization
has advised, any use of an app should be completely voluntary. Public health experts have found that coercive health tactics often
backfire, sparking counterproductive efforts to resist
and undermine health outcomes. For contact
tracing in particular, voluntariness is essential. We want individuals to work
with public health authorities to fill in
the blind spots from digital data. For example, we want people to provide
contacts they may have had when they were not carrying a phone or
provide information about when they may have been wearing protective gear, and
thus were unlikely to transmit the disease.
Given this, for any app to have
efficacy, it is essential that it be completely voluntary. At a practical
level, what this means
is the Government will have to make clear that
employers, landlords, business owners and others cannot make use of an app in condition of
employment, tenancy, public benefits or access to basic necessities, like
visiting a grocery store. These restrictions have to be accompanied by
appropriate channels for individuals to lodge complaints and obtain redress in
cases where these entities do not comply with these limitations.
Finally, it's critical that details
related to an app be completely transparent and accompanied by robust oversight. Public release of the
source code for Canada's alert app is a strong first step and
a good model. In addition to this, however, any memorandums related to how the apps are being
deployed in specific provinces should also be released, along with the result of audits and copies of information sharing
agreements. Moreover, there needs to be more clarity about who will be primarily responsible for conducting oversight on
an ongoing basis to make sure that policies are followed, benchmarks are
met, and that the app is being integrated into a broader public health
strategy.
Given the seriousness of the pandemic,
we should surely not dismiss outright any technology that might help. But, given the uncertainties, it's critical that any deployment of
an app be accompanied by strong safeguards or we risk both compromising our
liberties and undermining existing public health efforts. So, I look forward to
answering any questions that you may have.
Le Président (M. Bachand) : Merci
beaucoup pour votre présentation. Alors, la période d'échange
débute avec le député de Chapleau. M. le député, s'il vous plaît.
M. Lévesque
(Chapleau) : Merci, M. le Président. Bonjour, Mme Guliani. Merci
beaucoup d'être avec nous aujourd'hui. Quelques petites questions.
D'abord,
peut-être un petit rappel sur, disons, ce qui est envisagé ou ce qui est
discuté, là, en termes de principes, autour
de l'application. Bien entendu, là, elle serait gratuite. Elle serait faite sur
une base... installée sur une base volontaire des citoyens. Il n'y
aurait pas de géolocalisation GPS ni de recours à la biométrie, si jamais
c'était envisagé par le gouvernement. Et l'application,
bon, fonctionnerait certainement avec... sûrement avec l'application Bluetooth,
la technologie Bluetooth,
décentralisée, pour qu'il n'y ait pas justement de stockage de données ou de
collecte d'informations personnelles, avec évidemment une volonté de
protéger la vie privée et les renseignements personnels de la population
québécoise.
Une question pour
vous. En termes de... Donc, vous avez dit qu'effectivement il y a certains
groupes qui ne pourraient pas avoir accès à
l'application, bon, parce qu'ils
n'ont pas la technologie nécessaire, ou le téléphone, ou quoi que ce soit. Est-ce que, pour vous, par contre, puis,
peut-être, avec l'expérience américaine, vous allez pouvoir nous
éclairer, il y a eu justement certains
groupes qui ont pu la télécharger, et il y a eu, à ce moment-là, des gains ou
il pourrait y avoir des gains
justement sur le fait qu'on réussit à tracer une ou deux personnes qui auraient
la COVID-19? Et ces personnes-là ne viendraient
pas nécessairement infecter d'autres personnes même si... Donc, globalement,
socialement, la société pourrait bénéficier de ça. J'aimerais peut-être
avoir un peu votre opinion puis votre perception par rapport à ça.
Mme Singh Guliani (Neema) : So, within the U.S., we don't have a
nationwide app. Each State is sort of deciding on their own about how they will deploy apps. And
we don't have a State yet that's had an app that has been widely adopted
and where we can say with certainty that it
has had a positive effect in helping to track the disease. That is very
similar, I think, to the experience
globally, where, even in countries where there has been broader adoption, we
simply don't have the data yet to
know whether it's actually had efficacy, because efficacy is not just whether
the technology works, it's also whether people actually take action in
response to an alert.
And so something public health
officials have said is they're not sure whether people will actually take action when they receive an
alert on their phone or whether they may receive so many, for example, that
they ignore it. And so one of the reasons
I think that metrics and benchmarks are so important is that we still don't
know whether these apps will actually work
and whether they'll be worth the money and the effort that is used to deploy
them. And, given that we know for a certainty
that many people will not be able to take advantage of them, it must be
integrated into a broader health strategy that addresses particularly vulnerable
communities.
M.
Lévesque (Chapleau) : Donc,
si je comprends bien, vous dites que ça pourrait être un outil qui s'ajouterait
à d'autres mesures sanitaires qui seraient, dans le fond, déployées par la
Santé publique. Est-ce que c'est bien ça que je comprends?
Mme Singh Guliani
(Neema) : Yes, so, I guess I would say a couple of things.
One is that it must be integrated into
a broader public health strategy and it shouldn't be diverting resources from manual contact tracing
efforts. One of the concerns that has come up and has been raised in the United States is this idea that, you know, we'll focus all of contact tracing
through these digital mecanisms, and that will leave out many people. So
it shouldn't supplant manual contact tracing.
And then, too, you know, this should be looked at as something that may
have possible efficacy, and looked at closely. It may turn out that, once we look at the
data... it turns out that the health benefits are marginal or
nonexistent. And, if they are marginal or nonexistent, then the app should be
discontinued.
And then, finally, certainly, it has
to, you know, be pushed out along with other health resources. As I mentioned it, it's not very good
for someone if they receive an alert, but they still have to go to work, and
they don't have access to testing, and they don't have access to a place
where they can self-isolate. So, at a practical level, for it to be helpful, we
also need to make sure that all of those other health resources are being
provided.
M.
Lévesque (Chapleau) : Merci. Peut-être,
en lien avec les lois, justement, sur la vie privée puis les renseignements personnels... peut-être
nous faire une petite présentation ou nous brosser le portrait, si jamais vous
être capable de le faire, là, aux États-Unis,
si ça a été considéré, justement, dans certains États ou dans tous les États
qui ont décidé de mettre en place une
application. Est-ce que ces lois-là ont été, disons, considérées,
appliquées? Est-ce que ça a
été important pour ces États-là? Et, si c'est le cas, peut-être nous donner la
marche à suivre qui a été faite, parce qu'évidemment
on veut offrir, si jamais le gouvernement
voulait aller de l'avant avec l'application, la plus grande protection possible sur la vie privée et les
renseignements personnels.
Mme Singh Guliani (Neema) : Well,
in the U.S., there was a national privacy legislation proposed to address COVID-19 specifically, but that
legislation has not passed. In order to protect personal data, you know, I
would recommend a couple of steps.
One is... a positive aspect of the
COVID Alert model is that
it does minimize data collection, right? We're not collecting location data and GPS data, which is a
good thing. I would also encourage provinces who move forward to also
not require individuals to, for example, provide demographic data or contact
data as a condition of using the app or downloading the app. So minimize the
data collection... something that's very important.
Two, robust safeguards to make sure
that even the minimal data that is collected is, you know, not retained for more than, you know, 30
days, or two weeks, or the minimum amount of time that is necessary for contact
tracing purposes, and limits to make sure that that data is not used for
anything other than public health.
And then, finally, what I'll say is,
you know, having an independent, you know, overseer who's looking at this on an ongoing basis. What
we've seen in other contexts with technology in the U.S. is, often, there are
policies and plans, and those
policies and plans aren't always followed. And, so, having an independent
oversight mechanism to make sure that data is being secured, is being,
you know, deleted appropriately and is not being shared is essential to give
the public the confidence to even download and use the app. What we don't want
is a situation where people are afraid to use it because they're worried about
their privacy and their civil liberties concerns.
• (12 heures) •
M. Lévesque
(Chapleau) : Merci. Une petite dernière question. Vous avez parlé des
tiers, justement, qui pourraient, bon,
exiger, pour pouvoir accéder à un service, ou à un commerce, ou même, dans le
fond, un employeur qui exigerait
l'application, est-ce que vous avez vu de telles pratiques aux États-Unis, dans les États où il y avait déploiement d'une application? Donc, un employeur aurait refusé justement à un travailleur d'accéder à son lieu de
travail parce qu'il n'avait pas
l'application. Et il y a eu d'autres groupes qui sont venus nous parler d'une
possibilité, peut-être, d'un décret et de,
donc, un changement législatif par rapport à ça pour justement protéger la vie
privée et, justement, la possibilité que les tiers, dans le fond,
retirent la fonction volontaire de l'application.
Mme Singh Guliani
(Neema) : So I lost connectivity for a moment,
but I think what you were asking is about requirements from employers. Did
I get that right?
M. Lévesque (Chapleau) : ...question des tiers. Donc, est-ce qu'il y a des exemples
aux États-Unis où est-ce qu'il y a un employeur aurait
interdit justement à un employé de pouvoir accéder à son lieu de travail sans
avoir l'application?
Mme Singh Guliani (Neema) : One of the things that has not
happened in the U.S. that is necessary is for, in a space that... you know, employers, landlords and
others requiring use of the app as a condition of, let's say, a job or
entering your grocery store. We haven't seen
widespread requirements for mandatory use of an app just because we haven't
seen, you know, widespread deployment of an app in the United States.
In
other countries, we have seen that. So, for example, in places like India, using the metro and other
things, you know,
people have required... download an app. I'm generally concerned about any sort
of mandatory regime, both because we
really need individuals to participate in a contact tracing effort for it to be
successful, and what public health experts have advised is that, when you make something mandatory and you make it
coercive, you know, public willingness to participate and provide
accurate data is minimized, and that's what I think we don't want.
And,
so, I would say, if you do choose to move forward with an app, it's important
to consider policies and laws that discourage employers
and others from making use of an app mandatory, because I suspect that what
that will do is undermine your broader public health efforts by engendering
distrust among the population.
M. Lévesque (Chapleau) : Merci
beaucoup.
Le Président (M.
Bachand) : Merci. Mme la députée de Jean-Talon, s'il vous plaît.
Mme Boutin : Bonjour, Mme Guliani.
Merci beaucoup de votre présence. J'aime beaucoup plusieurs de vos recommandations qui vont quand même
dans le sens de plusieurs experts, d'ailleurs. Pour rebondir rapidement, là...
Le caractère volontaire de cette
application-là est très important, et puis je pense que tout le monde a pris en
considération, là, le risque d'avoir des tiers ou un employeur qui force un
employé à «downloader» une application, là. Personne n'est pour ça, je crois.
J'ai une question par rapport à ce que vous avez
dit par rapport au traçage manuel. Peut-être que l'expérience américaine, sur certains États, a déjà des données
ou peut-être pas, mais on se pose toujours la question de l'utilité de
la technologie au service de la santé
publique, parce que la technologie ne va pas remplacer le traçage manuel. Puis
est-ce que vous croyez que, potentiellement,
un outil technologique comme une application pourrait avoir un effet positif
pour contribuer, dans le fond, à faciliter
le travail manuel de collecte de contacts, d'identification de contacts, et pas
de remplacer, mais peut-être
rediriger certaines de ces ressources humaines là vers des populations qui
n'ont pas accès à la technologie ou qui
sont plus vulnérables? Est-ce que vous croyez que ça pourrait potentiellement
avoir un effet positif et est-ce que... Si oui, est-ce qu'il y a des
exemples concrets ou pas encore?
Mme Singh Guliani (Neema) : We really don't know yet, right? So we
don't know whether the apps will actually be useful or, for example, whether they'll lead to
a lot of false notifications that actually waste health resources
because you'll have people quarantining or
seeking testing when, in fact, they don't need that... we have right now is really one of the reasons why investments... we know work, like manual
contact tracing, are important... we'll need those manual mechanisms. It's not
a replacement to get information on your phone versus having an individual talk
to a health professional, receive
information about how to get testing or how to receive health access. What
we're hearing from public health professionals is that there's just a
difference in the individual response when they're faced with an electronic notification versus an actual human contact where
they can get the help they need. And so, you know, the hope is that
these apps will help, but we just don't know
whether they will, in fact, prove to be fruitful or whether they'll waste
health resources.
Mme
Boutin : Et, selon votre
expérience, est-ce que vous savez si d'autres technologies à travers les
juridictions à travers le monde sont
disponibles pour faciliter le travail de la Santé publique puis mieux contrer
la pandémie ou est-ce qu'on est mieux de se concentrer seulement sur les
méthodes traditionnelles?
Mme Singh Guliani
(Neema) : So there are various technologies
that have been proposed, right? There's examples
where different governments have tried to put out information to help people
assess their own symptoms, like symptom
trackers. There have also been, for example, in Rhode Island and also in
Singapore, efforts that would... have apps that would let somebody, you know, store their location data and then,
if they were, in fact, infected, they could voluntarily choose to
provide that information to a public health authority.
So there are things that may
help and may augment manual methods and may augment, you know, different public health mechanisms, but, I would say, with
all of these
proposals, there really isn't solid data. And we need
metrics to assess the trade-off because all
of this requires resources, and we want to make sure that these resources are
actually going to the most high-risk
populations. And a challenge with technology writ large is, often, the most
high-risk populations are not the ones who are going to have access to
technology. And so that, I think, is one of the challenges with using
technology. I'm not saying that we should ignore it. I'm not saying we
shouldn't look at it. We should just be really practical about what it can
actually help with and what its gaps are going to be.
Mme
Boutin : Je comprends très
bien. Vous venez de mentionner
l'importance des indicateurs de mesure. Est-ce que... J'imagine, malgré qu'il n'y a
pas d'étude encore sortie, qu'il y a des juridictions... certains pays sont en train
de mesurer ou ont mesuré avec des
indicateurs l'efficacité de ces technologies-là et même l'atteinte à la vie
privée. Est-ce qu'il y a déjà du «benchmark», excusez l'anglicisme, là, des
indicateurs... I could
switch in English, but I'm in Québec, so I prefer to speak in French. Est-ce que vous savez s'il y a déjà des
indicateurs de performance pour mesurer l'efficacité de ces
applications-là, de certaines juridictions, qui pourraient inspirer le Québec
avant même de la mise en place... avant même le développement d'applications?
Mme Singh Guliani (Neema) : So there haven't been standard
benchmarks that have been widely accepted, that have been put out. I think there are various
things to measure. One is the technology itself. There has been some
analyses that suggest that there are just
technical challenges, with Bluetooth being sort of used as for proximity. So, for example, whether you have your phone in
your pocket affects the signal and may actually affect whether you get a
notification.
And so what we need to do is
understand the extent of that issue, right, and how much it results in either
false positives or false negatives. But that
information has to be looked at in the specific context of the overall public
health strategy. How does that fit into what
the availability of testing might be in a particular region or for particular
populations? How does that fit into what the
follow-up is? Is it a case where individuals receive an alert? And there's also
no public health education that
provides information about what an individual should do or... connects them to
other health resources.
So
I don't have sort of standard benchmarks. But what I would say is that it's a
combination of the technology, what people are doing, and what the broader public health infrastructure
is providing, and assessing how that applies, and, you know, what you would do instead, what those resources could be used
instead for to assess whether it's something that you want to continue
encouraging people to use and continue to invest in.
Le Président (M. Bachand) : Merci
beaucoup. Je cède maintenant la parole à la députée de Saint-Laurent, s'il vous
plaît.
Mme Rizqy : Thank
you for joining us, Mrs. Guliani. It's a real pleasure having you with us.
I
want to address with you some questions regarding people of color, more
specifically the Black Community, but also the Brown-skinned people. Unfortunately, we
don't have data here, in Québec, despite the
Québec Public Health...
said they will collect data to see how people of color are more infected by or
more affected by COVID-19. I believe that, actually, the United States... I
believe it was in Chicago where you actually conducted a study regarding
COVID-19 and the impact on the Black Community. Can you tell us more about
that?
• (12 h 10) •
Mme Singh Guliani (Neema) : Sure. So particular States have released
information and data about what populations are most affected, and, you know, as you've
highlighted, it's become very clear in the United States that already vulnerable populations are the ones that are being hardest
hit by COVID. So, in certain parts of the United States, for example, the death
of Black People is three times their proportion of the population, right? And,
in places like New York, we are
definitely seeing that Hispanic and African-American communities are hard hit.
You
know, it's not 100% clear as to what are the main drivers of these disparities.
It's probably a combination of pre-existing health
conditions, you know, individuals in those communities potentially having jobs
that require them to have more actions that put them at higher risk of
contracting the disease, lack of health access and lack of sort of community
resources.
And
so I think, you know, what we're really seeing is a very complex problem that,
in fact, reflected problems that we had before COVID-19, and COVID-19 is shining a
light and making all of those existing health disparities and racial
disparities... making these things much worse.
Mme
Rizqy : Is it
fair to say that minorities, especially immigrants, when they come either in
the United States or, let's say here, for instance, Québec, they usually don't live in the most expensive neighborhood? They
will... more likely to live in a neighborhood with more density. And I can give you an example.
Here, in Québec, we have some districts that people... they don't have
the Internet. Like, 30% of them with lower income, they don't have access to
the Internet. Do you think that the
apps can actually help them or, at the contrary, it will actually put them back
on the line to be tested?
Mme
Singh Guliani (Neema) : So, in terms of immigrant communities, you know, there's obviously very different experiences in the U.S. There are, you know, populations
and, you know, high-density populations of immigrants in various cities. I
think the challenges of an app, in those contexts, could be significant for a
couple reasons.
One,
just the technology. So, one of the things we have to assess is how does the
technology really operate in a place that's densely populated. So, for example, if you're in an
apartment building, I might be in close proximity to you, but we might
have a wall between our apartments, and so how does the app operate in those
circumstances? Does it provide false positives and false negatives?
The
second thing I would say is it's important to assess what are the other health
resources being provided to that community. So, if I
receive an alert, do I have the economic assistance so that I don't have to go
to work and I can self-isolate? Do I have an extra bedroom or an extra place to
go so that I'm not interacting with other members of my family or friends who can possibly be infected? Am I sort of already...
and have other health issues that may have been untreated, right,
diabetes, hypertension, other pre-existing health conditions that have been
shown to be correlated with the worst COVID outcomes?
And so, you know, all of those things
very much work in tandem, and, with an app, we're layering that on top of the fact that we may be
dealing with a situation where high percentages of the people
can't even use it because they don't have a smartphone, they don't have connectivity or
they have an old smartphone that doesn't operate. And so that's one of the reasons, I think...
Before you deploy the app, these are the questions... There has to be a plan to
address these very real problems. Otherwise, you'll just leave large
segments of the population out
of the solution.
Mme Rizqy : Thank you. I know we invited you
regarding the app, but I saw you in front of the U.S.
Congress about facial recognition and I
really want to hear about it, because, right now, the State police, Sûreté du Québec, without any public hearing, without any public consultation,
decided to go ahead and to buy the application with facial recognition.
Can you tell us what are your concerns about it?
Mme Singh Guliani (Neema) : There are significant concerns with
facial recognition, both in terms of individuals' right
to free speech, also their privacy concerns.
So, as an initial matter, you know,
what you're describing that occurred in Québec is similar to what happened in the United States, where we had... a lot of police departments
deployed facial recognition. They didn't receive
authorization from their legislature. They
didn't, you know, require a public consultation or comments to talk to those
communities most impacted. And the result of that process has become very
clear.
Number one, the technology, even in
the most recent studies, has been shown to be definitely inaccurate on certain subgroups, so
individuals with darker skin, women. It doesn't work as well on people who look
like me versus, for example, a light-skinned male. You know, the ACLU
represented an individual named Robert Williams, who was actually mistakenly arrested in part because
of an error with face recognition, and he only found out that face recognition
was used, in his case, really on accident. The police let it slip, when they
were interrogating him, that they had used face recognition.
So there's very real consequences,
but, even beyond the accuracy, let's say the technology was, in fact, accurate, which it's not, there
are also fundamental concerns about the effect that it has on the population writ
large. I mean, it's the power, for
the Government, to track an individual as they go to a protest, as they go to a
doctor, as they go to a place of worship,
and that's something that communities are very concerned about. And we've
actually seen those deployments in concerning
ways. In the most recent protests, we've seen reports of face recognition as
being used at protests to identify individuals. In Baltimore, years ago,
police were found to be looking at pictures posted to social media of a protest,
you know, protesting police brutality. The police were looking to identify
individuals so that they could be arrested.
And so those raise fundamental
concerns about whether the technology is being used in a way that violates First Amendment rights and really
creates a situation that is not tenable for the public.
And, you know, I think also, increasingly, we're
thinking about face recognition in the U.S. in the context of broader policing
problems, and really seeing surveillance and
face recognition as part of the problem with overpolicing, and a need to shift
those resources to, you know, other
types of interventions that can help, you know, prevent crime and also to
enhance public safety for all communities.
Mme
Rizqy : Do you believe that facial recognition
can actually replicate systematically more bias issues and discrimination?
Mme
Singh Guliani (Neema) : Absolutely. I mean, we
can't look at the technology in isolation. We have to consider the technology based on who is going to be using that
technology. And, in the United States,
there are systemic and historical discrimination built into policing systems. You know,
African-Americans are more likely to be shot by the police. They're more
likely to be stopped by the police and they're more likely to be arrested by
the police. And so we can't pretend that
those historical problems don't exist. You know, what face recognition does is
provide the opportunity to supercharge
and to enhance those existing biases and those existing problems. And so we
very much have to look at not just, you know, the data, how the
technology might work in perfect conditions, but how they will work in real
life, given the existing problems with policing.
Mme Rizqy : I've been following your work for
quite a long time now and I just want to say thank you for all the issues that you raise, especially for minority groups. Thank
you.
Mme Singh Guliani
(Neema) : Thank you.
Le
Président (M. Bachand) : Il reste deux
minutes. Mme la députée de Vaudreuil, allez-y.
Mme
Nichols : Merci, M. le Président. Merci beaucoup. Merci. Bienvenue à l'Assemblée nationale du Québec.
En
effet, vos travaux sont très intéressants, très pertinents. Parfois, la
distance nous empêche de pouvoir vous suivre. Donc, on doit faire des recherches pour pouvoir s'y connecter. On s'en
sert souvent, là, à titre comparatif, puis évidemment on essaie de regarder la législation, mais on sait
bien qu'il y a, des fois, là, des milieux qui nous séparent au niveau
des comparaisons quant à la législation, mais est-ce qu'en lien, peut-être,
plus avec le traçage, moins la reconnaissance faciale... mais est-ce qu'il y a
une législation autour de cette application-là et est-ce que c'est une
législation détaillée qui prévoit des conséquences?
Mme Singh
Guliani (Neema) :
Are you asking with relation to the contact tracing apps within the United States?
Mme Nichols :
Oui, pas la reconnaissance faciale, avec le... oui.
Mme Singh Guliani (Neema) : So there's no legislation governing use
of the app or, you know, privacy specifically with regards to COVID-19. Each State
is essentially, you know, charting their own path and no State has
passed specific COVID-19 legislation or
privacy legislation. So it is a broader problem that we don't have clear
guidelines and it's a broader problem
that the U.S. still lacks strong data privacy legislation writ large to, I
think, address what we're now seeing as very clear privacy problems that
have become enhanced during the pandemic.
Mme Nichols :
C'est quand même préoccupant qu'il n'y ait pas des normes, là, qui encadrent
tout ça. Je vous remercie beaucoup de votre intervention.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin, vous avez la
parole. Merci.
M. Nadeau-Dubois :
Merci, M. le Président. Hello, Mrs. Guliani. It's a pleasure to have you here, at the National Assembly. I will resume my questioning in French. I find
it important for my fellow countrymen here to understand me and follow our
discussion.
J'aimerais vous entendre en tant qu'experte des
libertés civiles. Dans le contexte où les risques pour la vie privée et
les libertés civiles des applications pour lutter contre la pandémie sont bien
réels et que les bénéfices, eux, sont non démontrés,
voire purement hypothétiques, jugez-vous que, du point de vue des droits et
libertés, le jeu en vaut la chandelle et que c'est une bonne décision
que de mettre en place de telles applications?
Mme Singh Guliani (Neema) : What I would say is that I think it's
important to approach it with a lot of caution. And so, you know, from my perspective, if you are
going to consider apps and these technologies, testing them first before
you are making a significant investment and widespread deployment is important,
and considering what we know are going to be
the risks and dangers, right, minimizing the data collection, addressing the
privacy concerns, acknowledging the populations that will not benefit
and having a strategy to deal with these populations. So I would say testing
before widespread deployment and then having those metrics developed on the
front end.
• (12 h 20) •
M. Nadeau-Dubois : Est-ce que
ce serait une bonne idée de les déployer sans les tester auparavant?
Mme Singh Guliani (Neema) : I don't think it's a good idea to
deploy it before there has been some sense or some indication that it will have some efficacy and
before the policies are in place. But I think the real risk is that, if you
don't...
M. Nadeau-Dubois : Merci.
Mme Singh Guliani (Neema) :
Sorry.
M. Nadeau-Dubois :
Je suis désolé. J'ai très peu de temps. Je vais être obligé de vous bousculer
un peu. Ça sera probablement ma dernière question, d'ailleurs.
Jugez-vous que de telles applications peuvent avoir comme conséquences
d'augmenter les inégalités en matière de santé?
Mme Singh Guliani (Neema) : If the apps are deployed in isolation,
without a broader public health strategy, what you do risk is creating those inequities. For
example, if you've deployed an app and you didn't have the policies to
make sure that an employer wasn't able to
force somebody to use the app, what you could end up with is a situation where,
let's say, individuals are being coerced into using an app. That's not good for
that individual. It's not also good for your broader public health, you know,
strategy, when you're trying to get the public to have confidence. So what I
would say is those are policies that should be put out concurrently with an app
and thought about on the front end to avoid potential negative consequences.
M. Nadeau-Dubois : Thank you very much. Merci beaucoup.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de René-Lévesque, s'il
vous plaît.
M.
Ouellet : ...de vous saluer,
Mme Guliani. Vous avez parlé beaucoup de l'importance, effectivement, de
l'équité, qu'il y ait un traitement juste,
si on déploie cette application, et qu'on ait des services sanitaires qui
puissent aller dans les communautés
les plus fragiles et ceux et celles... les communautés, pardon, qui sont les
plus touchées. Mais la véritable conversation,
c'est que, même si on ne déploie pas cette application, cette prémisse de base,
de donner du support et du service
dans les communautés qu'on sait qui ont été plus touchées, devrait guider les
législateurs. Donc, on ne devrait pas attendre nécessairement de
déployer cette technologie pour dire qu'en la déployant il y aura une iniquité
entre ceux qui y ont accès et ceux qui ne
l'ont pas. Mais notre véritable enjeu devrait être plutôt de s'assurer que les
communautés qui sont plus fragiles et qu'on sait qui ont été plus contaminées
devraient mériter l'attention du gouvernement. Est-ce que vous êtes d'accord
avec ça?
Mme Singh Guliani (Neema) : So I
lost the audio for a brief moment. I think your question was
about provision of services to already vulnerable populations. Did I get that
right? I lost it for a couple of minutes while you were speaking.
M. Ouellet : ...résumé très court. Si on doit déployer
l'application, vous faites référence à l'importance d'avoir des mesures sanitaires qui seraient déployées dans les
communautés les plus fragiles. Or, la véritable question, c'est que, si
ne nous déployons pas cette application, ne
devrions-nous pas... assurer quand même de déployer des ressources dans
les milieux les plus fragiles... et ceux et celles qui, par le passé, par les
études qui ont été faites, ont été les plus touchés?
Mme
Singh Guliani (Neema) : Yes, I mean, absolutely. What we're seeing with COVID-19 is a need for targeted health resources at
high-risk communities, and especially those high-risk communities that have
already experienced a disproportionate
share of infections and death and that we know are being hardest hit by the
pandemic. I think that, with the app,
one of the things to think through is how you're going to fit that app into
your broader public health system. How does it work? Is it that you have an app, and that's a separate stream, and
then you also have manual contact tracers? Is it that manual contact tracers are being diverted to only
provide services to maybe people who have been notified through the
alert system? That's what you would not want.
And so I think that making sure that
those resources are not being diverted from those communities and making sure that there will be particular extra health resources,
given that those populations will not be able to use an app, is essential. But, you know, to answer your question, I guess,
very shortly, yes, absolutely, we need more health resources targeted at vulnerable communities.
M. Ouellet :
Merci beaucoup, Mme Guliani.
Le
Président (M. Bachand) : Merci beaucoup, M.
le député. M. le député de Chomedey, s'il vous
plaît.
M. Ouellette : Mrs. Gulianl, thank you for being with
us today, truly appreciated. It's also to give us really good information. I
may continue in French also, because, like my other colleague mentioned, we're
in Québec.
Vos
conclusions, il y a beaucoup de points d'interrogation. Vous avez répété
souvent : «We don't know». Il n'y a pas d'études ou de littérature positive sur l'utilisation d'applications comme ça. Et je pense que la confiance du public,
la confiance des citoyens dans les décisions de leur gouvernement est très
importante. Est-ce que vous êtes d'accord avec moi là-dessus?
Mme Singh Guliani (Neema) : Yes,
100%, public health and confidence in the public health authorities is
absolutely essential if we are going to have positive health outcomes.
M. Ouellette : Ce qui est arrivé dans l'État de l'Utah, où le gouvernement a décidé d'aller de l'avant avec une application et de la fermer
72 heures plus tard, croyez-vous que ça peut avoir un impact sur la
confiance des citoyens de l'Utah et le désintéressement sur les prochaines
mesures gouvernementales?
Mme
Singh Guliani (Neema) : I think there are a couple of things that really affect what the public confidence and the public reaction...
One is just the transparency, right,
and clear information, and
none of this should be hidden. People should know what data is being collected. They should know what's being shared, how
it's being shared, and all of that data should be made public. I think
that that's very helpful in retaining public confidence.
The second thing I will say is we've
heard concern from communities, particularly many high-risk communities, about sharing of
information with law enforcement or immigration enforcement authorities. And so
I think education restrictions you
can have to prevent those fears is very important, because people quite simply
won't use an app if they're worried that the information could be
funneled to police or other people and could be used against them.
And
then, finally, I think it's very important for the public to know, you know,
that the Government is making sound decisions. And what helps with that
is, you know, not having a situation like Utah, where, clearly,
something was pushed out without proper
testing, and without proper evaluation, and, frankly, without even the policies
in place to make sure that privacy
and civil liberties are respected. So, to maintain the public trust, there are
things that can be done, but you have to approach things with caution
and address the problems on the front end, not the back end
M.
Ouellette : Thank you, Mrs. Guliani.
Le Président (M. Bachand) : Merci
beaucoup pour votre participation à
la commission aujourd'hui. C'est très, très apprécié. Et vous serez toujours
la bienvenue au Québec et à Québec. Merci beaucoup.
Mme
Singh Guliani (Neema) : Thank you so much. It
was my pleasure.
Mémoires
déposés
Le
Président (M. Bachand) :
Merci. Cela dit, avant de conclure les auditions, je procède au dépôt des
mémoires de personnes et organismes qui
n'ont pas été entendus lors des auditions publiques, soit le mémoire de
Mme Maroussia Lévesque, le Barreau du Québec et la Centrale des syndicats
du Québec.
Cela dit, le député
de Chapleau, vous avez demandé la parole.
M.
Lévesque (Chapleau) : Merci beaucoup, M. le Président. J'en comprends
qu'il y a eu entente entre les leaders des différents partis politiques,
formations politiques, pour que nous tenions une séance de travail à
14 heures cet après-midi. Également, il
y avait entente pour remise des observations et recommandations de la part des
différents partis politiques. J'ai des copies à remettre de notre parti.
Donc, voilà, je ne sais pas si on veut procéder avec la remise.
Le Président (M.
Bachand) : Merci beaucoup. Voulez-vous en faire un dépôt
officiel?
M. Lévesque (Chapleau) : J'en fais
un dépôt officiel.
Le
Président (M. Bachand) :
Donc, j'autorise le dépôt officiel du document. Est-ce qu'il y a d'autres
interventions avant la... Mme la députée de Vaudreuil.
Mme
Nichols : Oui, merci, M. le Président. Alors, en effet, là, il y avait
une séance qui avait été demandée en vertu de l'article 176 du règlement. Le gouvernement a fixé, là, à cet
après-midi, 2 heures, la séance. Et nos recommandations seront
faites en séance tenante, là. Il est quand même 12 h 30. Alors, on
sera présents à la rencontre de 14 heures.
Le Président
(M. Bachand) : Parfait. Merci
beaucoup. Alors, c'est noté. La demande est notée. Donc, la commission
fera parvenir les détails dans les plus brefs délais.
Cela dit, je vous remercie infiniment de votre
contribution. La commission ajourne ses travaux sine die. Merci beaucoup.
(Fin de la séance à 12 h 30)