(Quinze heures vingt-huit minutes)
Le
Président (M. Bachand) : À
l'ordre, s'il vous plaît! Bon
après-midi. Ayant constaté le quorum, je déclare la séance de la Commission des institutions
ouverte. Je vous souhaite la bienvenue, encore une fois, et je vous
rappelle, bien sûr, de bien vouloir éteindre la sonnerie de vos
appareils électroniques.
La commission
est réunie afin de procéder aux auditions publiques dans le cadre des
consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection
des renseignements personnels.
Avant de débuter, Mme la secrétaire, y a-t-il
des remplacements?
La Secrétaire : Oui, M. le
Président. M. LeBel (Rimouski) sera remplacé par M. Ouellet
(René-Lévesque) et M. Fontecilla (Laurier-Dorion), par M. Nadeau-Dubois
(Gouin).
Le
Président (M. Bachand) :
Merci. Là, j'ai une petite question. Sur la question des votes par procuration, est-ce qu'on a,
oui, la liste? Oui?
• (15 h 30) •
La Secrétaire : Oui, M. le
Président. Pour les votes... les droits par vote de... par procuration,
M. Lévesque (Chapleau) pourra voter
pour M. Lafrenière (Vachon), pour M. Martel (Nicolet-Bécancour), pour
M. Lemieux (Saint-Jean) et M. Tanguay (LaFontaine) pourra
voter pour M. Birnbaum (D'Arcy-McGee) et Mme Ménard (Laporte).
Remarques préliminaires
Le
Président (M. Bachand) :
Avant de débuter les présentations d'Élections Québec et par Me Éloïse
Gratton, nous allons précéder... procéder,
pardon, par les remarques préliminaires. Alors, j'invite maintenant le ministre
de la Justice et ministre responsable
de l'Accès à l'information et de la Protection des renseignements personnels à
faire ses remarques préliminaires. M. le ministre, vous disposez de
5 min 34 s. Bienvenue.
M. Simon Jolin-Barrette
M. Jolin-Barrette : Merci, M. le
Président. Un plaisir de vous retrouver. J'étais heureux enfin de revenir au Parlement. Salutations à Mme la secrétaire,
heureux de vous retrouver. M. le Président, je suis accompagné de
Me Martin-Philippe Côté, secrétaire
associé au Secrétariat à l'accès à l'information et à la réforme des
institutions démocratiques, ainsi que
de Me Miville-Deschênes, qui nous accompagnera lors des travaux du
Secrétariat à l'accès à l'information. Je tiens à souligner également la présence de Mme la députée
des Plaines, de M. le député de Chapleau, de saluer mon collègue le
député de LaFontaine, ma collègue, également, de Notre-Dame-de-Grâce et du
député de Gouin, présents ici.
Alors, M. le
Président, il me fait plaisir d'entamer
aujourd'hui les consultations particulières sur le projet de loi n° 64, Loi modernisant
des dispositions législatives en matière de protection des renseignements
personnels. Il s'agit d'une
étape importante, au cours de laquelle nous
aurons l'occasion d'entendre plusieurs organismes, groupes et experts avec
divers points de vue sur les différentes mesures contenues dans le projet de
loi.
En tant que nouveau ministre responsable de
l'Accès à l'information et de la Protection des renseignements personnels,
j'aborde cette étape législative en mode écoute. Et c'est dans un esprit
d'ouverture que je vais prendre connaissance
des suggestions et des commentaires pouvant bonifier cette pièce législative.
Cette consultation représente une opportunité
unique d'échanger sur les règles dont le Québec doit se doter pour renforcer la
protection des renseignements personnels de ses citoyens, une rare
occasion de moderniser les deux principales lois qui encadrent la gestion par
les organismes publics et les entreprises
des renseignements personnels des Québécois et des Québécoises, soit la Loi
sur l'accès aux documents des organismes publics et sur la protection des
renseignements personnels et la Loi sur la protection des renseignements
personnels dans le secteur privé.
La protection des renseignements personnels est
encore plus importante aujourd'hui avec les innombrables avancées technologiques et compte tenu aussi des
fuites de renseignements personnels qui compromettent la vie privée des citoyens et des citoyennes du Québec. Ces lois
n'ont pas fait l'objet de réforme d'envergure depuis leur adoption et
sont devenues, de l'avis d'une majorité
d'experts, désuètes et inadéquates. L'objectif du projet de loi n° 64 est de définir un
encadrement moderne, évolutif et équilibré. Il introduit également un encadrement
strict pour les partis politiques provinciaux à l'égard des renseignements
personnels des électrices et des électeurs.
Ce
projet de loi tient compte de plusieurs recommandations émises par la
Commission d'accès à l'information dans ses rapports
quinquennaux. Il s'inspire également d'un des régimes juridiques les plus
protecteurs à l'égard des renseignements
personnels, soit le Règlement général sur la protection des données, de l'Union
européenne. Ce projet de loi a aussi été rédigé dans l'optique d'assurer
une cohérence avec les règles prévues à la législation fédérale. À ce sujet, il importe de souligner
que la réforme proposée par le projet de loi n° 64 est la plus ambitieuse
des révisions d'une loi sur la protection des renseignements personnels
au Canada.
De ce
fait, M. le Président, il est certain que les obligations et les droits qu'il
prévoit se distinguent de ceux des autres lois canadiennes. Cette distinction ne représente pas un fardeau supplémentaire pour le Québec, mais plutôt une avancée en
matière de protection des renseignements personnels, en responsabilisant les organismes publics et les entreprises. Nous estimons que ce projet de loi servira de phare pour les autres juridictions canadiennes et contribuera
à élever la protection des renseignements personnels des citoyennes et des citoyens pour l'ensemble du pays.
Même
si l'ensemble des acteurs s'entendent sur la nécessité de procéder à une
révision en profondeur des lois sur la protection des renseignements personnels,
lesquelles ont été adoptées bien avant les nombreux développements technologiques qui
meublent notre quotidien, tous ne s'entendent pas nécessairement sur les
modifications à y apporter. Je souligne que c'est dans un souci d'équilibre,
avec une volonté ferme de rehausser la protection et le contrôle des personnes
sur leurs renseignements personnels, et aussi avec une sensibilité à l'égard du
fardeau que pourraient faire peser sur les organisations les nouvelles
obligations, que nous conduirons la suite des travaux.
En terminant, M. le Président, je tiens à
remercier à l'avance les divers intervenants qui participeront à cette consultation. En bénéficiant de vos commentaires
avisés ainsi que de votre expertise, nous pourrons adopter un projet de
loi qui assurera un juste équilibre entre la
protection des renseignements personnels des Québécoises et des Québécois
et la capacité des entreprises et des
organisations publiques à bénéficier des développements technologiques pour
améliorer notre qualité de vie, l'efficience de leurs opérations
et assurer leur compétitivité face aux acteurs internationaux, M. le
Président. Alors, je vous remercie.
Le
Président (M. Bachand) :
Merci beaucoup, M. le ministre. J'invite maintenant le porte-parole de
l'opposition en matière de justice et en matière d'accès à l'information, le
député de LaFontaine... pour 3 min 43 s. M. le député, s'il vous
plaît.
M. Marc Tanguay
M. Tanguay :
Oui, merci beaucoup, M. le Président. D'abord, vous saluer, vous remercier de
présider nos travaux, heureux de vous retrouver; saluer le ministre
également, avec les collègues qui l'accompagnent, et les femmes et les hommes qui l'accompagnent, également, de son
cabinet et du ministère; saluer mon collègue de la deuxième opposition, député de Gouin; et prendre le temps, tout
particulièrement, M. le Président, de saluer ma collègue de Notre-Dame-de-Grâce,
avec laquelle, personnellement, j'adore
travailler, une députée qui a été, sous la 41e législative, notons cela au
passage, ministre responsable de l'Accès à
l'information et ministre responsable de la Réforme des institutions
démocratiques.
Et je sais que la collègue de
Notre-Dame-de-Grâce a eu à jouer avec ces concepts-là, accès à l'information, protection des renseignements, et aussi était
présente lorsqu'est venue toute l'interaction de la protection, et de la
quantité, et de la qualité... la nature des
informations que les partis politiques ont à l'intérieur de leurs... des
données, des bases de données. Et nous
allons entendre tout à l'heure le Directeur général des élections. Nous aurons
donc l'occasion de lui poser des
questions. Alors, j'aimerais saluer et remercier la collègue de
Notre-Dame-de-Grâce d'être présente, la collègue de Saint-Laurent également, M. le Président, je tiens
à la saluer, qui aura l'occasion aussi de s'inscrire dans le débat,
notamment, bien évidemment, lorsque nous serons à la phase d'article par
article.
J'ai
3 min 44 s, projet de loi important. On aura l'occasion
d'échanger sur le fond des choses, M. le Président. Mais, comme
parlementaire, vous allez me permettre, ici, à ce stade-ci, de dire un élément,
puis je veux le dire de façon respectueuse, mais mon message se veut être très
clair et qu'il ne saurait souffrir d'aucune ambiguïté.
Comme
parlementaire, M. le Président, moi, quand j'entends un organisme comme la
Commission des droits de la personne
et des droits de la jeunesse se désister, le 15 septembre dernier, pour...
et je le cite : «Compte tenu des délais trop courts pour produire notre mémoire sur ce projet
de loi...» — fin de
la citation — quand le
Barreau du Québec se désiste, le lendemain,
en disant, et je cite : «Compte tenu du délai très serré...» — fin de la citation — et que, finalement, hier, la Protectrice du citoyen nous a écrit ce qui
suit : «Au moment où cette invitation a été reçue, l'analyse du projet de
loi n'était pas complétée» — fin de la citation — et
qui ne participe pas à nos travaux...
Alors, M. le
Président, lorsque l'on voit qu'à cause des délais, à cause du calendrier, on
n'aura pas la Protectrice du citoyen,
on n'aura pas le Barreau du Québec, on n'aura pas la Commission des droits de
la personne et des droits de la jeunesse, moi, comme député, puis, je
pense, c'est le forum approprié, puis je le fais dans mon droit, en respectant
la dignité et les droits des autres
parlementaires, moi, je trouve ça déplorable. Je le déplore. Le mot n'est pas
trop fort. Le mot est particulièrement ajusté. Premier élément.
Deuxième
élément, M. le Président. Trois plages sont toujours libres, sont toujours
disponibles dans l'horaire suite à des
désistements. Bien, il y a huit organismes qui ont levé la main, huit
organismes pour lesquels nous avons appuyé la demande d'être entendus, notamment : l'Association canadienne des
compagnies d'assurances de personnes, l'Institut généalogique Drouin,
l'Association pour la santé publique du Québec, consortium pour l'accès aux
données en santé du Québec, Commissaire à la
santé et au bien-être, Association canadienne du marketing, Conseil canadien du
commerce de détail et L'Orange bleue, affaires publiques inc..
Quand ces
organismes-là lèvent la main, disent : On veut participer, puis qu'on dit
non et qu'on va laisser les plages libres, M. le Président, comme
parlementaire, moi, je ne trouve pas qu'on est efficaces. Je ne trouve pas que,
comme Assemblée nationale, on est dignes du
travail important de réflexion et d'aller chercher... Et je trouve qu'en étant
compressés comme ça... Je pense qu'il faut
le déplorer. Je le fais en tout respect, mais c'est un message important.
On va quand même faire le travail, mais dans
des conditions qui sont loin d'être optimales et que je déplore. Merci, M. le
Président.
Le Président (M. Bachand) : Merci, M. le député. Je passe maintenant la
parole au député... le porte-parole du deuxième groupe d'opposition, le
député de Gouin. M. le député de Gouin, pour 56 secondes.
M. Gabriel
Nadeau-Dubois
M. Nadeau-Dubois : Très rapidement.
Bonjour, d'abord, M. le Président. Bonjour à tous et toutes. Je veux également... Je veux reprendre l'esprit de la
dernière intervention du député de l'opposition officielle. Il est question
ici d'un projet de loi fondamental pour le respect de ce qu'on pourrait appeler
les droits et libertés numériques des Québécois et des Québécoises. On a une
institution, au Québec, qui s'occupe de protéger les droits et libertés de nos concitoyens, c'est la commission des droits de la
personne et de la protection de la jeunesse du Québec. Ils ne seront pas
là à cause des délais de convocation. C'est un problème. Même chose pour le
Barreau du Québec, c'est un problème. Ils auraient
dû, ces groupes, participer à nos auditions. Ils ne seront pas là. Ça va rendre
cet exercice moins instructif qu'il aurait dû l'être.
Ceci étant
dit, on va travailler très fort du côté de Québec solidaire sur ce projet de
loi, parce que dire que c'est important, ce serait ici un euphémisme,
là. La question de la protection des données personnelles, c'est un des enjeux politiques qui va être déterminant pour les
prochaines décennies. Tous les gouvernements dans le monde sont en train
de faire, d'une manière ou d'une autre,
l'exercice qu'on fera avec ce projet de loi là. Il est absolument essentiel
qu'on aille au fond des choses puis
qu'on adopte un projet de loi qui protège le plus possible les Québécois puis
les Québécoises, qui protège leurs
données personnelles, mais qui les protège aussi dans leur droit à la vie
privée puis leur droit à ce que leurs données personnelles ne soient pas
exploitées par des organisations qui ont fait, on le sait, de l'exploitation de
ces données personnelles leur modèle d'affaires. Ça nous inquiète et on va
avoir beaucoup de questions sur ce sujet-là.
• (15 h 40) •
Le Président (M.
Bachand) : Merci beaucoup, M. le député. M.
le député de René-Lévesque, s'il vous plaît, pour 56 secondes.
M.
Martin Ouellet
M. Ouellet : Oui, merci
beaucoup, M. le Président. Donc, à mon tour de saluer les membres de la commission. Et
j'aimerais saluer aussi la présence du nouveau ministre à l'Accès à l'information.
J'ai l'impression qu'on sera, les quatre
belligérants ensemble, ce nouveau quatuor que nous avions déjà
formé avant la pandémie. Et donc on a déjà
travaillé ensemble. J'espère qu'on aura la même approche pour les prochains
jours, les prochaines semaines.
Évidemment,
c'est un projet de loi qui est hyperimportant, qui est attendu. Ça fait
plus de 20 ans qu'on n'a pas modernisé
plusieurs lois qui touchent l'accès à l'information. Donc, les citoyens et citoyennes du Québec nous regardent et nous observent. On doit faire un travail correct, mais surtout adéquat,
considérant que ça a touché beaucoup de Québécois et de Québécoises, la fuite
de données. Plusieurs personnes ont vécu des préjudices et en vivent encore.
Donc, j'invite l'ensemble de mes collègues à travailler pour améliorer ce
projet de loi là. Merci, M. le Président.
Auditions
Le Président (M.
Bachand) : Merci beaucoup. Nous allons maintenant commencer nos
auditions. Alors, on souhaite la bienvenue
aux représentants d'Élections Québec. Alors, vous connaissez bien le processus.
Alors donc, je vous rappelle, vous
avez 10 minutes de présentation, et, après ça, on aura un échange avec les
membres. Donc, je vous invite à débuter, d'abord à vous présenter, et
présenter aussi la personne qui vous accompagne. M. Reid, s'il vous plaît.
Élections Québec
(Visioconférence)
M. Reid
(Pierre) : Oui, bonjour.
Pierre Reid, Directeur général des élections du Québec. Je suis accompagné
de Mme Catherine Lagacé, qui est secrétaire générale et responsable de
l'accès aux documents et de la protection des renseignements personnels à
Élections Québec.
M. le
Président, Mmes, MM. les membres de la commission, je tiens d'abord à vous
remercier de votre invitation à prendre part aux travaux des
consultations particulières sur le projet de loi n° 64. Le projet de loi
n° 64 propose d'assujettir les entités
politiques autorisées à certaines dispositions de la Loi sur la protection des
renseignements personnels dans le
secteur privé. Le Québec deviendrait ainsi la deuxième province, après la
Colombie-Britannique, à se doter d'un régime d'encadrement législatif en
matière de protection de la vie privée qui s'applique aux partis politiques.
Depuis 2013,
Élections Québec recommande de réviser en profondeur les différentes lois
électorales en matière de protection
des renseignements personnels des électeurs. En 2019, nous avons déposé une
étude à l'Assemblée nationale afin de
fournir un éclairage sur ces enjeux. Cette étude contient neuf recommandations,
dont l'une est d'assujettir les partis politiques
provinciaux et municipaux à un encadrement législatif en matière de protection
des renseignements personnels. Je
vous invite à prendre connaissance du mémoire que j'ai déposé devant cette
commission, qui détaille mon analyse du projet de loi n° 64 et qui
inclut certaines recommandations.
Ce
projet de loi propose d'obliger les partis politiques provinciaux à mettre en
place des mesures de gouvernance pour
assurer la protection des renseignements personnels qu'ils détiennent. Je dois
dire que les mesures proposées répondent à plusieurs de nos recommandations. Dans sa forme actuelle, le projet de loi ne vise que les partis politiques provinciaux. Or, les partis politiques municipaux, qui ont eux aussi accès aux données
des listes électorales et qui en font une utilisation similaire, ne sont pas visés par le projet de loi n° 64. Je suis donc d'avis que les obligations devraient être les mêmes
pour les partis politiques de tous les paliers électifs.
Par
ailleurs, tous les renseignements personnels détenus par un parti politique
devraient, à mon avis, être protégés par
la Loi sur la protection des renseignements personnels dans le secteur privé. Au lieu de cela, le projet de loi n° 64 crée un régime d'exception
pour les partis politiques. Il prévoit des obligations particulières et
certaines exclusions qui seraient inscrites
dans la Loi électorale. Les renseignements personnels détenus par les partis
politiques seraient donc sujets à des mesures de protection différentes
de celles qui s'appliqueraient aux entreprises privées.
La
Loi sur la protection des renseignements personnels dans le secteur privé est
un régime d'encadrement général qui
s'applique à toute personne qui exploite une entreprise au Québec, peu importe
sa taille, la nature de ses activités ou la catégorie de renseignements
personnels qu'elle détient. En Colombie-Britannique, les partis politiques sont
soumis à toutes les règles de la loi
encadrant la protection des renseignements personnels détenus par les
organisations privées. Il en est de
même au Royaume-Uni et dans les pays membres de l'Union européenne, où les partis politiques ne bénéficient
d'aucun régime d'encadrement particulier.
L'encadrement
proposé serait limité aux renseignements personnels des électrices et des
électeurs, alors que les partis
politiques détiennent également des renseignements sensibles sur leurs
candidates, leurs candidats, leurs membres, leurs donateurs. Les partis politiques recueillent des renseignements
sur leurs militants, leurs bénévoles et leurs employés. Il ne s'agit
donc pas seulement de renseignements portant sur des électeurs puisque
certaines de ces personnes peuvent avoir moins de 18 ans et ne pas être de
citoyenneté canadienne.
Le projet de loi n° 64 exclut aussi les partis politiques de certaines
dispositions de la Loi sur la protection des renseignements personnels dans le
secteur privé, notamment les dispositions qui visent à informer les électrices,
les électeurs des raisons précises qui
justifient la collecte de leurs renseignements personnels ou à leur permettre
de contrôler l'utilisation qui en sera faite. Les renseignements personnels
recueillis et utilisés par les partis politiques devraient simplement
s'inscrire à l'intérieur de la large catégorie des renseignements nécessaires à
des fins électorales ou de financement politique, une catégorie qui recouvre
plusieurs finalités.
Par exemple, des
renseignements sur une personne ayant appuyé une candidature pourraient-ils
être utilisés ultérieurement pour alimenter une base de données électorales
dans laquelle cette personne serait une sympathisante politique? Est-ce qu'il
serait nécessaire, pour un parti politique, d'obtenir un consentement
supplémentaire de cette personne, et quelle
serait la forme du consentement qu'un parti politique devrait alors obtenir? Un
parti politique pourrait-il alimenter
sa base de données électorales avec des informations recueillies à l'occasion
d'une pétition sans devoir obtenir un consentement supplémentaire de la
part des personnes concernées? Je suis d'avis que les renseignements révélant
des opinions politiques des personnes sont de nature sensible et justifient
qu'un consentement explicite soit exigé.
Par
ailleurs, qu'en serait-il d'informations recueillies à l'occasion d'une
pétition deux ans avant la prochaine période électorale? Un parti politique devrait-il considérer que ces
renseignements concernent un électeur? Est-ce qu'une pétition liée à une
cause particulière peut servir à des fins électorales ou de financement
politique? Si ces renseignements recueillis
dans un tel cadre ne sont pas considérés comme des renseignements qui
concernent les électeurs ou les électrices, les partis politiques pourraient recueillir et utiliser des
renseignements sensibles sur des personnes sans que cette pratique soit
encadrée par la loi.
De
plus, contrairement aux renseignements protégés par le cadre général proposé
pour les entreprises privées, les données
recueillies par les partis politiques pourraient être conservées indéfiniment.
Les personnes concernées n'auraient pas le droit de demander la
destruction des informations qui les concernent même si ces informations sont
inexactes, périmées ou qu'elles ne sont plus
utiles aux activités du parti. Je tiens à souligner qu'une conservation
prolongée d'un renseignement
personnel augmente le risque de porter atteinte à la vie privée des personnes
concernées si un incident de sécurité
survenait. Les partis politiques devraient avoir l'obligation, tout comme les
entreprises et les organismes publics, de détruire les renseignements
qu'ils détiennent lorsqu'ils n'en ont plus besoin.
Cela
me semble d'autant plus important que les partis politiques obtiennent le nom,
l'adresse, le sexe et la date de naissance
de plus de 6,2 millions d'électrices, électeurs sans leur consentement, ce
qui m'amène à vous faire part de mes préoccupations
concernant la confidentialité des listes électorales, que le projet de loi
n° 64 n'aborde pas, mais qui ont été soulevées dans l'étude sur la protection des renseignements personnels
détenus par les partis politiques, que j'ai déposée en février 2019. Je suis d'avis que les lois
électorales devraient être modifiées pour que la date de naissance et le sexe
des électrices et des électeurs soient
retirés des listes électorales transmises aux députés, aux candidats et aux
partis politiques, renseignements
sensibles qui ne devraient être obtenus qu'à la suite d'un consentement
explicite de la part de l'électrice ou de l'électeur concerné. La
communication de ces renseignements augmente les risques d'atteinte à la vie
privée, telle une usurpation d'identité qui pourrait survenir à la suite d'une
perte, d'une fuite ou d'un vol de données.
Les
listes électorales pourraient, par ailleurs, être transmises une fois par année
au lieu de trois. Les partis politiques du Québec reçoivent les listes électorales plus fréquemment que les
autres partis politiques canadiens. Je tiens à réitérer aussi notre
recommandation de ne plus fournir aux candidats des renseignements qui
permettent d'identifier des électrices et
des électeurs vulnérables, ceux qui ne peuvent se déplacer en raison de
problèmes de santé et qui se sont inscrits eux-mêmes pour voter à
domicile ou à un bureau de vote itinérant en installation d'hébergement. Je
recommande également de cesser de transmettre l'adresse temporaire des
électeurs admis à exercer leur droit de vote à l'extérieur du Québec.
Ces divulgations risquent de causer des préjudices aux personnes concernées et
dépassent le besoin des partis de communiquer avec les électrices et les
électeurs pour solliciter leur appui.
En conclusion,
je suis convaincu que l'assujettissement des partis politiques
à la Loi sur la protection des renseignements personnels dans le secteur
privé permettrait d'assurer une gouvernance responsable et renforcerait le contrôle des citoyens
et des citoyennes de leurs renseignements personnels. Toutefois,
je suis préoccupé par la mise en place
d'un régime d'exception à l'intention des partis politiques. Ce régime ferait
en sorte que certains renseignements ne seraient pas protégés de la même
manière que les données détenues par les entreprises privées. Les renseignements
personnels de tous les citoyens et de toutes les citoyennes du Québec méritent
d'être protégés.
Je recommande
donc que les dispositions de la Loi sur la protection des renseignements
personnels dans le secteur privé
s'appliquent à l'ensemble des renseignements personnels détenus par les partis politiques.
Je souhaite que le projet de loi n° 64 devienne aussi le véhicule des changements que
nous recommandons depuis plusieurs années afin d'assurer une meilleure protection des renseignements personnels
qui sont transmis aux entités politiques en vertu de la Loi électorale. Et, en terminant, je profite de cette tribune pour
rappeler aux membres de cette commission l'importance de moderniser de manière cohérente les lois électorales afin
qu'elles s'adaptent aux enjeux émergents et qu'elles répondent aux
attentes de la société québécoise.
Je tiens à vous remercier de votre attention.
Le Président (M.
Bachand) : Je vous remercie beaucoup pour votre exposé. Nous
allons débuter la période d'échange avec M. le ministre pour une période de
17 minutes. M. le ministre, s'il vous plaît.
• (15 h 50) •
M.
Jolin-Barrette : Merci, M. le Président. Écoutez, quelques commentaires préliminaires, avant
d'aller de l'avant avec Me Reid,
suite aux commentaires du député de LaFontaine, là. Lorsqu'on a convoqué les groupes, là, j'ai
entendu les oppositions nous dire qu'ils souhaitaient qu'on étudie rapidement le
projet de loi n° 64. J'ai exaucé leur souhait. À mon retour à l'Assemblée nationale, c'est ce qu'on
fait. 15 des 19 groupes qu'on va entendre proviennent du Parti
libéral. On s'est montrés extrêmement
flexibles et, même, on a pris des engagements avec eux de remplacer les
groupes... une liste de trois
groupes. M. le Président, si on n'a pas réussi à s'entendre avant, c'est parce
qu'il y a des négociations entre les partis, M. le Président. Alors, on
fait ce qu'on peut avec les collègues que nous avons, M. le Président.
Cela étant
dit, Me Reid, bonjour. Merci d'être présent avec nous. C'est toujours un
plaisir de vous retrouver. On avait eu beaucoup de plaisir ensemble sur
le projet de loi n° 101 il y a quelques années. Donc,
je suis heureux de vous retrouver.
Écoutez,
d'entrée de jeu, je comprends que vous voudriez qu'on resserre les règles
associées au projet de loi en lien avec les partis politiques, en lien
avec les entités, notamment, aussi, avec les députés, là. Les députés reçoivent
la liste électorale, et vous recommandez de cesser cette pratique-là.
M.
Reid (Pierre) : Oui, en
effet, parce que... C'est que la liste électorale qui est transmise aux
députés... C'est qu'on se demande à
quoi peut servir l'envoi de la liste électorale aux députés. De toute façon, les partis politiques la reçoivent, et le député, comme tel,
dans ses fonctions parlementaires, normalement, n'aurait pas à utiliser cette
liste électorale pour communiquer avec les électeurs ou les électrices.
M.
Jolin-Barrette : Justement,
le rôle du député, c'est de représenter ses électeurs, de pouvoir communiquer
avec eux. Si jamais le député
qui est élu par ses commettants n'a pas le moyen de rejoindre ses électeurs,
comment le ferait-il, à ce moment-là, dans sa circonscription? Parce que le député est un peu le
dépositaire, dans le fond, durant quatre ans ou durant la durée du
mandat, des intérêts des électeurs.
M.
Reid (Pierre) : Oui, mais
c'est parce que la Loi électorale,
telle qu'elle est rédigée, c'est qu'elle prévoit que les renseignements
des listes électorales... La liste électorale elle-même doit être utilisée à
des fins électorales, donc, ou à des fins
prévues dans le cadre de la Loi électorale. Donc, pour le député, normalement,
ce n'est pas... L'élection est terminée.
Il n'y a plus de fin électorale comme telle. Donc, on ne voit pas pourquoi le
député devrait recevoir ces renseignements.
Et, je dois vous dire, comme information, actuellement, c'est seulement
20 députés sur les 125 qui ont demandé la liste électorale.
M.
Jolin-Barrette : Donc, c'est
le 1/6 environ, donc, un petit peu moins que 20 %. Donc, vous trouvez que
ça justifie le fait de supprimer cette possibilité-là?
M.
Reid (Pierre) : Oui, et
d'autant plus que ça ne répond pas à l'objectif qui est prévu dans la Loi
électorale, où ça doit servir à des activités ou à des fins prévues dans
la Loi électorale.
M. Jolin-Barrette : Autre question.
Tout à l'heure, vous disiez : Bon, les partis politiques conservent les renseignements. Bon, je comprends, de ma
compréhension, que quelqu'un peut faire retirer les renseignements, à l'exception de ce qui est prévu par la Loi
électorale. Les données qui sont accumulées, là, par les formations
politiques, là, un électeur... Un citoyen peut s'adresser aux partis politiques
pour dire : Je veux retirer ces informations-là que vous détenez sur moi,
à l'exception de ce qui est déjà écrit sur la liste électorale.
M.
Reid (Pierre) : Bien, en
fait, sur la liste électorale, pour que ces renseignements-là soient retirés de
la liste électorale, il faudrait que la personne demande d'être radiée
de la Loi électorale, là.
M.
Jolin-Barrette : O.K. Là,
dans la loi, on vise les partis politiques provinciaux, ces entités-là
autorisées. Quels sont vos commentaires relativement au volet municipal?
M. Reid (Pierre) : Bien, les commentaires, je
pense que... Comme je l'ai dit dans
mon allocution, je pense qu'il
ne devrait pas y avoir d'exception. On
devrait viser également les partis politiques municipaux. C'était notre
recommandation dans notre étude
déposée en 2019. Et ils reçoivent les mêmes données des listes électorales et
ils en font le même usage. Donc, on ne voit pas de distinction entre les
partis municipaux et les partis provinciaux à ce niveau-là.
M. Jolin-Barrette : O.K. Puis, dans
votre mémoire, là, à la recommandation 7, là, vous dites : On est le
seul endroit au Canada où la date de naissance, elle est transmise. C'est bien
ça?
M.
Reid (Pierre) : Oui,
effectivement, oui, c'est le seul endroit où que les partis politiques au
Canada reçoivent, là, la date de naissance et le sexe. Et je vous dirais
que, pour le sexe, seulement le Nouveau-Brunswick prévoit envoyer l'information concernant le sexe des électeurs,
des électrices. Donc, il n'y a aucune
autre... Nulle part ailleurs ne peuvent être transmis la date de
naissance et le sexe, exception faite pour le Nouveau-Brunswick.
M.
Jolin-Barrette : O.K.
Donc, vous nous invitez à retirer également ces renseignements-là sur la liste électorale, bien, en
fait, que ça ne soit pas transmis.
M. Reid (Pierre) :
Oui, bien, effectivement, ce seraient des renseignements qui seraient retirés
de la liste électorale pour les envois aux partis politiques, parce que, de toute façon, c'est des renseignements qui peuvent
être obtenus en s'adressant directement aux électeurs, aux électrices.
Et, pour nous, ça paraît important que ces renseignements-là fassent l'objet
d'un consentement explicite de la part de la personne concernée.
M.
Jolin-Barrette : Et puis
comment vous le voyez, le consentement explicite? Comment vous
l'opérationnaliseriez, ce consentement explicite là?
M.
Reid (Pierre) : Bien, en
fait, c'est un... Bien, pour moi, c'est un contact direct avec la personne
afin de savoir est-ce que
vous consentez à ce qu'on puisse conserver ces renseignements, comme la date
de naissance et votre sexe, et de savoir également qu'est-ce que... et à
quelles fins vous voulez... que nous allons les utiliser.
M. Jolin-Barrette : Est-ce que, pour
vous, un consentement oral serait valide lors d'un appel téléphonique?
M. Reid (Pierre) :
Bien, je pense que oui. Je pense qu'un consentement oral pourrait suffire, mais
il resterait à vérifier, là.
M. Jolin-Barrette : O.K. M. le
Président, je vais céder la parole à mes collègues qui souhaitent poser des
questions.
Le Président (M.
Bachand) : ...Chapleau, s'il vous plaît.
M.
Lévesque (Chapleau) : Ça fait plaisir de vous retrouver. Bonjour, tout
le monde. Bonjour. Je salue le ministre également, les collègues de la banquette gouvernementale, les collègues,
également, de l'opposition. M. Reid, bonjour. Merci de votre
présentation.
Peut-être un
petit questionnement en lien justement aux renseignements sensibles qui sont
collectés par les partis politiques, sur les gens qui les composent, donc, toute la question
des militants, également, là, les sympathisants, peut-être, les députés, les anciens candidats. Vous dites
que, bon, il y a des renseignements sensibles qui sont accumulés, peut-être un peu vous entendre sur ce sujet-là, voir ce que vous percevez, puis, la
notion de consentement, dans ces cas-là, ce serait quoi, selon
vous, là?
M. Reid
(Pierre) : Bien, exemple,
si vous prenez les employés, là, le personnel des partis politiques, bien, justement, pour les rémunérer, on va leur demander des renseignements personnels, que ce
soit leur numéro d'assurance sociale ou d'autres renseignements vraiment
rattachés à l'emploi. Et donc, dans ce contexte-là, ce seraient des renseignements, donc, qui ne sont pas à des fins électorales, qui ne seraient
pas protégés comme le prévoit... tel que c'est prévu dans le projet de loi
n° 64.
M. Lévesque
(Chapleau) : C'est ça, mais
ça, ça serait dans le cadre d'un emploi. Donc, tout employeur pourrait à
ce moment-là... Habituellement, un employeur va demander ce type d'information
là.
M. Reid (Pierre) :
Oui, puis...
M.
Lévesque (Chapleau) : Est-ce que vous avez d'autres exemples au sein de partis politiques ou c'est
vraiment la question de l'employé-employeur, cette relation-là, qui vous
inquiète?
M. Reid
(Pierre) : Bien, en fait, ça
peut être des renseignements qu'ils peuvent obtenir. Par exemple,
des candidats ou des candidats
potentiels, toutes les vérifications, les informations qu'ils peuvent obtenir sur un candidat ou une
candidate, pas certain que c'est relié directement à des fins électorales, là, comme telles. Donc là, encore, pour éviter
toute ambiguïté et
tout doute, pour que les gens disent : Est-ce que c'est couvert, pas
couvert?, c'est pour ça qu'on se dit : Bien, la façon la plus facile, bien, c'est que tous ces renseignements-là que détiennent les partis
politiques soient couverts par la Loi
sur la protection des renseignements personnels dans le secteur privé.
M. Lévesque
(Chapleau) : ...peut-être vous amener sur la notion... Durant une campagne électorale, bon,
souvent les candidats vont être appelés à
faire du porte-à-porte, vont faire des appels pour discuter avec les électeurs.
Et là, lorsque, justement, un électeur dit : Bon, bien, moi, je suis
sympathisant à votre cause, peu
importe, et là, bon, il prend une
note que cette personne-là aimerait, bon,
voter pour nous, ça, est-ce que vous considérez que ce sont des renseignements personnels, donc, le fait que la personne dise : Bon, on
est sympathisant envers votre cause? Évidemment, le parti en prend note, là.
• (16 heures) •
M. Reid
(Pierre) : Bien, c'est un renseignement... Bien, le parti en prend note, puis c'est l'utilisation... Bien
là, encore, ce que vous avez... Le consentement sur l'utilisation qu'on fera de ce renseignement-là, il n'est peut-être
pas clair. Si je prends l'exemple de
la Colombie-Britannique, même la façon de... parce qu'il y a eu quand même, je dirais, un audit qui a été fait par le commissaire de l'accès à l'information, et, dans ses recommandations, entre
autres, c'était d'obtenir un consentement clair de la personne à qui vous vous adressez. Donc, ce que la personne
peut vous dire... Donc, je suis un sympathisant...
La personne peut vous le dire. Est-ce qu'elle est d'accord pour que ça puisse
être utilisé par la suite?
C'est là que c'est peut-être important d'obtenir un consentement clair sur ce
que la personne vous livre comme information.
M.
Lévesque (Chapleau) : Ah! d'accord. Donc, disons que moi, je suis
candidat aux prochaines élections puis, dans Chapleau, je me promène, je cogne à une porte ou, du moins, selon
les règles de la Santé publique. Rendu là, là, on verra bien, là, mais... Et là je dis, bon, à la
personne : Bon, voici, j'aimerais être votre candidat avec la Coalition
avenir Québec, j'aimerais pouvoir continuer
à vous représenter, à mériter votre confiance. Et la personne dit : Oui,
moi, je suis sympathisant, j'ai envie
que vous, M. Lévesque, député de Chapleau... de continuer à me
représenter. Est-ce que je devrais demander également le consentement
pour lui dire : Bon, est-ce que vous consentez à ce que, le jour de l'élection,
du vote, soit par anticipation ou le jour
même de l'élection... qu'on puisse vous rappeler, mon équipe et moi-même,
pour pouvoir aller de l'avant, là, avec...
justement demander que... de faire sortir le vote, en quelque sorte? Est-ce que
ça, ce serait une formule qui serait... que vous envisageriez?
M.
Reid (Pierre) : Bien,
probablement que ce serait une information que vous voudriez obtenir, et, à ce
moment-là, si la personne consent à cela, il n'y aurait pas de problème, là.
M. Lévesque
(Chapleau) : Donc, il y
aurait une notion de consentement même lors d'un échange de porte-à-porte?
M.
Reid (Pierre) : Bien oui, et
je pense que c'est important, parce que les gens peuvent livrer des choses,
mais aussi c'est de dire des choses, et je
pense que la préoccupation que peuvent avoir les gens par après, c'est
l'utilisation qui va être faite de
cette information-là. Là, on se limite peut-être à cette information, qui est
quand même, là, d'indiquer la sympathie
à l'égard d'une formation politique, mais c'est un peu la même chose par
rapport à l'exemple que je donnais tantôt.
Vous signez une pétition par rapport à une question particulière, là, bien,
l'information que vous donnez, que ce soit
votre nom, votre adresse, numéro de téléphone, est-ce que le parti politique
peut récupérer ça pour les utiliser à d'autres fins, alors que la
personne n'a fait que signer une pétition?
M.
Lévesque (Chapleau) : Je comprends. Peut-être en lien avec
l'obligation de destruction dont vous avez fait mention, de mémoire, également, à quel moment vous pensez qu'un parti
politique devrait avoir cette obligation-là de détruire les
renseignements qui ont été recueillis?
M. Reid (Pierre) :
Bien, en fait, c'est... il appartiendrait d'abord aux partis, dans le fond, de
prévoir quels renseignements... de lister
les renseignements ou les informations qui sont encore utiles, nécessaires,
puis c'est... Quand on regarde pour
ce qui est demandé pour les entreprises privées, c'est un peu dans ce sens-là,
c'est qu'à un moment donné ils doivent
savoir est-ce qu'il y a des renseignements qui n'ont plus leur utilité ou bien
que la fin pour laquelle étaient utilisés ces renseignements est accomplie. Alors, à ce moment-là, les
renseignements... En fait, l'obligation qu'on impose... qu'on va imposer
aux entreprises, ça va être de les détruire, ces renseignements-là, mais ce qui
n'est pas prévu pour les partis politiques.
M.
Lévesque (Chapleau) : Mais disons qu'un parti politique détermine que
ces renseignements-là lui seront utiles à perpétuité, parce que, bon, c'est un cycle qui se répète, là. On le sait, qu'élection après élection les partis politiques vont tenter de convaincre les gens et la population
de les appuyer. Donc, avec ces informations-là, ça leur permet justement de faire
leur travail et d'obtenir l'appui du plus grand nombre. Et donc, disons,
prenons l'exemple qu'un parti politique détermine
que ces informations-là n'ont pas... lui sont encore utiles à perpétuité, et
donc l'obligation de destruction ne s'appliquerait pas, est-ce qu'il n'y
aurait pas une proposition que vous auriez en ce sens-là?
M. Reid (Pierre) : Bien, il resterait à voir comment ça pourrait
être modulé, mais, là encore, comme le projet de loi prévoit que la
disposition de la loi ne s'applique pas aux partis, je pense qu'il faudrait, à
un moment donné, peut-être regarder quels
renseignements qui pourraient avoir une durée. En fait, il s'agirait de
savoir... d'identifier les règlements pour lesquels il pourrait y avoir une durée. Mais, en même temps, vous avez
des électeurs, des électrices qui peuvent donner des informations, des renseignements pour la...
puis, pour eux, c'est de donner, pour la période électorale... Mais il
faut toujours revenir, je pense, à la question par rapport à l'ensemble des
renseignements que peut détenir un parti. Bien, pourquoi est-ce nécessaire de
conserver tous ces renseignements-là?
M.
Lévesque (Chapleau) : D'accord. Merci. J'aimerais peut-être vous
amener, là, sur un élément que vous avez mentionné lors d'un vote, d'une
élection. Certaines personnes, justement, indiquent qu'ils auront certains
besoins de transport ou qu'ils ont de la
mobilité réduite, puis donc ces informations-là sont divulguées, là. Vous avez
affirmé ça. Est-ce que... bien, peut-être vous entendre sur ce volet-là,
là.
M.
Reid (Pierre) : Sur...
M.
Lévesque (Chapleau) : Le volet des personnes à mobilité réduite qui
disent : Bon, j'aurais peut-être besoin d'un transport pour aller voter, et, à ce moment-là, c'est divulgué aux
partis politiques. Est-ce que c'est la nature de votre propos que vous
avez fait tout à l'heure?
M. Reid (Pierre) : Non. Moi, ce que je disais tantôt, c'est que les
listes qui sont... des personnes qu'on qualifie de vulnérables parce qu'elles ont des difficultés de
déplacement ne devraient... Ces listes-là ne devraient pas être
transmises aux partis politiques parce que,
de toute façon, ce sont des gens qui ont demandé une modalité particulière pour
voter. Ils sont en installation d'hébergement ou bien ils votent à domicile.
Donc, ils n'ont assurément pas besoin de transport.
M. Lévesque (Chapleau) : Ah! d'accord. Donc, ce n'était pas la notion du
transport, parce que certaines personnes, à l'occasion, vont avoir besoin d'un transport, puis les partis
politiques vont offrir, s'il y a lieu, là, du transport, mais ce n'était
pas du tout le volet qui était visé.
M.
Reid (Pierre) : Non, ce n'était pas ça, non.
M.
Lévesque (Chapleau) : Parfait. Moi, ça me convient. Je pense que ma
collègue des Plaines, M. le Président...
Le
Président (M. Bachand) : Merci. Il reste un peu plus qu'une
minute. Mme la députée de Les Plaines, s'il vous plaît.
Mme Lecours (Les
Plaines) : Merci, M. le Président. Bonjour, M. Reid. Bienvenue à
cette commission.
M.
Reid (Pierre) : Oui, bonjour.
Mme
Lecours (Les Plaines) : Merci de votre mémoire. Relativement à ce que
mon collègue disait... En fait, quand vous
parlez de l'utilisation de la liste électorale par les députés, quelle
utilisation ils en feraient, selon vous... On vient de vivre... On est encore... Et on la revit... On vit
une deuxième vague d'une crise mondiale.
L'utilisation de la liste électorale pour appeler, par
exemple, les personnes de 70 ans et plus, est-ce que c'est une bonne utilisation,
selon vous?
M. Reid (Pierre) : Vous l'avez fait, il y a... au mois de mars
dernier, effectivement, et le problème que ça posait, justement,
c'est une utilisation de la liste qui n'était pas à des fins
électorales. Moi, dans le fond, par
rapport à ça, j'ai dit : Écoutez,
je vous rappelle que la loi est précise en ce sens-là. Mais l'utilisation que...
oui?
Mme Lecours (Les
Plaines) : Est-ce que vous considérez que c'est abusif?
M. Reid (Pierre) : Abusif? Là, vous aviez un contexte bien
particulier, mais il appartenait aux partis
politiques à ce moment-là de prendre la décision en conséquence, là.
Mme
Lecours (Les Plaines) : Et
il me reste... rapidement, qu'est-ce
que, dans les renseignements personnels qui ne seraient pas acceptés... Ils seraient quoi... Qu'est-ce qui pourrait rester comme... dans une
liste qu'on pourrait conserver, qui seraient des renseignements qu'on
pourrait justement garder? Donc, qu'est-ce qu'on enlèverait?
Le Président (M. Bachand) : Malheureusement, on n'a plus le temps. Je vais
reconnaître le député de Gouin. Rapidement, M. le député de Gouin, vous
avez une demande, oui?
M.
Nadeau-Dubois : Bien, je demanderais le consentement des membres de la
commission pour intervertir mon tour de parole avec celui de
l'opposition officielle. J'ai un engagement qui... Ça me faciliterait la vie,
voilà.
M.
Jolin-Barrette : Ça peut faire en sorte de...
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Gouin,
pour 2 min 50 s.
M.
Nadeau-Dubois : O.K. Bonjour, M. Reid. J'ai peu de temps. Alors,
je vais... J'ai trois sujets que j'aimerais aborder avec vous. Je vous fais confiance pour avoir des réponses assez
courtes pour qu'on aille au bout de ces trois sujets. Ce qui me surprend, dans votre analyse, c'est que
vous faites, il me semble, abstraction de la raison pour laquelle il y a
collecte de données personnelles, de la
finalité derrière les données personnelles. Vous nous dites... Une entreprise
privée, mettons, Google, qu'on le sait, qui
a des pratiques prédatrices de récolte agressive de données sur le Web, et,
mettons, le Parti vert du Québec, vous nous
dites : Ces gens-là devraient être régis par le même cadre juridique,
parce qu'au fond les deux ont des
données personnelles. En tout respect, je trouve ça un peu court, comme
analyse, de faire abstraction des finalités, des raisons pour lesquelles
on collecte des données personnelles.
M.
Reid (Pierre) : Bien, il n'y
a rien qui vous empêche de les récolter, ces renseignements-là. Tout ce qui
est demandé, c'est d'obtenir le consentement
des personnes à vous fournir ces renseignements-là. C'est là qu'est...
Donc, c'est parce que c'est quand même
des... Par rapport aux renseignements... Puis, pour la liste électorale, si
vous parlez plus de la liste électorale, c'est que vous avez le nom,
l'adresse, le sexe, la date de naissance. Nous, on convient que la date de naissance et le sexe ne devraient pas être
transmis aux partis politiques parce que vous pouvez l'obtenir... ça peut
être obtenu autrement.
• (16 h 10) •
M.
Nadeau-Dubois : Mais ce qui me surprend, c'est... On est dans un contexte où il y a une baisse de la
participation politique dans la plupart des
démocraties et où les formations politiques ont de plus en plus de difficultés à mobiliser les électeurs. Puis là, dans tous les
spectres, là, politiques, les partis ont cette ambition de mobiliser les
gens à s'impliquer dans le processus
électoral, et là vous dites : Il faut que le même cadre juridique
s'applique à ces acteurs-là qu'à des
énormes multinationales dont la seule volonté est de faire du profit. Cette
mise en équivalence, dans votre analyse, j'avoue qu'elle me surprend
puis je ne la comprends pas.
Puis je vais vous faire un autre parallèle. Les
groupes communautaires, les groupes écologistes, les groupes citoyens, les associations étudiantes, tous ces
groupes-là, dans la société, font signer des pétitions, donc collectent
des données personnelles. Est-ce qu'il faudrait mettre tous ces gens-là sous le
même régime juridique que d'énormes multinationales
sous prétexte qu'il y a collecte de données personnelles? Est-ce que ce n'est
pas justement une bonne idée que de faire des distinctions dans notre
cadre juridique selon la raison pour laquelle ces données-là sont collectées?
M. Reid (Pierre) :
Bien, justement, c'est ça, c'est la raison, on collecte... Dans le fond, on va
chercher des renseignements personnels pour...
sur une... par une pétition qui porte sur un sujet, là, sur une question. Mais,
quand la personne appose sa signature
et donne ses renseignements personnels, bien, à ce moment-là, la personne
aimerait bien... Est-ce que la
personne ne devrait pas savoir à quelles fins serviront... Si, sur la pétition,
il est dit que les renseignements serviront, par exemple, à un parti
pour communiquer avec eux, leur envoyer de la publicité... Mais, quand vous
signez une pétition...
M.
Nadeau-Dubois : Donc, juste pour bien comprendre votre position, vous,
vous avez la position du «one size fits all», c'est-à-dire un cadre
juridique pour tous les acteurs de la société québécoise. C'est ça que vous
nous dites.
Le
Président (M. Bachand) :
Merci beaucoup. C'est tout le temps pour l'instant. M. le député de
LaFontaine, pour 11 min 20 s, s'il vous plaît. Merci.
M. Tanguay :
Oui, merci beaucoup, M. le Président. J'aimerais peut-être continuer l'échange
avec Me Reid sur ce sujet-là, la
finalité des partis politiques. Puis, au premier titre, comme directeur général
d'Élections Québec, DGEQ, on se casse
la tête, collectivement, pour savoir comment augmenter le taux de
participation. Ça, ça veut dire comment outiller les partis politiques pour qu'ils puissent rejoindre
la population, puis la population fera son choix. Il y a des gens qui
vont voter pour vous, qui vont voter pour d'autres puis qui vont être contre
vous activement ou ils vont être pour d'autres activement.
J'aimerais
savoir si, d'entrée de jeu, vous faites la distinction puis... Premier élément,
parce qu'il faut définir les concepts, premier élément, un renseignement
personnel est, à la base, toute information qui permet d'identifier une personne. Ça, une fois qu'on a dit ça, un
renseignement personnel est une information qui permet d'identifier une
personne, faites-vous la distinction et
croyez-vous qu'il est utile de faire la distinction chez les partis politiques
de renseignements personnels qui sont sensibles, hautement sensibles ou
qui n'ont pas de sensibilité particulière?
Par exemple,
si, dans mon comté, j'ai ciblé des gens qui sont favorables à ma candidature et
qui vont voter pour moi, c'est une
information qui pourrait être utilisée pour identifier une personne, mais ce
n'est nullement comparable, le pointage,
à sa date de naissance, par exemple. Faites-vous cette distinction-là et
jusqu'à quel point croyez-vous qu'il est important de faire cette
distinction-là?
M. Reid (Pierre) :
Bien, en fait, dans le fond, au niveau des... Quand on parle de... La question
qui se pose : Pourquoi un régime... En fait, je pourrais retourner la
question : Pourquoi un régime particulier pour les partis politiques? Parce que ce qui est demandé
comme règle, c'est qu'à partir du moment où on va demander des renseignements personnels, bien, c'est
d'informer la personne pour l'utilisation qui en sera faite et si elle donne
son consentement. Ce n'est pas si difficile que ça.
M. Tanguay : Mais je vais retourner la question. Ça va être un peu Wimbledon : je vous lance la
balle, vous me relancez la balle, je
vais vous la relancer. Les partis politiques ont vocation, puis je vais le dire
en des termes peut-être moins marxisants que mon collègue de Gouin, ont
vocation... mais je le dis en tout respect, ont vocation qui n'est pas pécuniaire, ont vocation
qui pourrait, par analogie... et le projet de loi en fait distinction. Le
projet de loi fait des distinctions où
il y a des atermoiements quant au consentement lorsque c'est fait pour des fins
d'études, des fins de recherche, des fins de production statistique. Je
ne suis pas en train de dire que les partis politiques font des études, des
recherches puis produisent des statistiques, mais ça participe puis c'est au
coeur de notre système parlementaire démocratique. Et, en ce sens-là, y aurait-il lieu justement d'avoir une
approche distinguée, contrairement aux entreprises privées, là? Je ne
sais pas si vous saisissez la nuance. Je suis certain que vous la saisissez,
mais je ne sais pas si vous y accordez la même importance que moi.
M.
Reid (Pierre) : Bien, en
fait, je comprends, là, l'importance de rejoindre les citoyens, les citoyennes,
les faire participer. Il y a
peut-être... Puis il y a peut-être d'autres façons, là, mais c'est quand
même... Il faut quand même considérer que
c'est des renseignements personnels que les partis politiques ont sur des bases
de données de plus en plus sophistiquées, où on en arrive même à établir le profil des électeurs et des
électrices. Et, moi, la question que je me pose, bien, c'est : Oui, mais où sont les droits des citoyens dans
cela, où est le droit du citoyen ou de la citoyenne qui dirait : Écoutez,
là, moi, là, je participe, je suis les
informations, j'assiste à des assemblées publiques, et tout, moi, je veux que
vous ne sachiez... je ne veux rien de
mes renseignements personnels dans vos dossiers, dans vos fichiers. C'est la seule
chose, là, de laisser le droit à une
personne... Quand les candidats font
du porte-à-porte, je veux dire, normalement, ils ne rentrent pas dans
une maison sans que la personne ne l'autorise. Donc, de quel droit, dans le
fond, les partis politiques vont chercher des renseignements
qu'ils ont droit... mais, s'ils obtiennent le consentement, ils ont le droit de
les utiliser, mais, s'ils n'ont pas le consentement, c'est fini, là. Les
partis n'ont pas à conserver des renseignements que les citoyens ne veulent pas
leur consentir.
M. Tanguay : Et est-ce que vous faites la distinction, vous...
Est-ce que vous croyez utile de faire la distinction, donc, renseignements... dont renseignements hautement sensibles, sensibles et pas vraiment sensibles? Est-ce que
vous croyez que ça a une quelconque vertu,
cette distinction-là, ou pas du tout? Vous, vous rattachez tout ça, peu importe
la catégorisation, un, deux, trois, au concept de consentement ou pas.
J'imagine que c'est...
M.
Reid (Pierre) : Bien, en
fait, les renseignements sensibles, bon, c'est sûr qu'à partir du moment... Je
pense qu'opinions politiques, origine ethnique, religion, etc., qui peuvent
être très sensibles... Mais vous avez un paquet de renseignements personnels qui, une fois amalgamés, bien... et qui
puissent... et les fuites, là... S'il y a une perte, là, ou un vol de données, là, c'est beaucoup de
renseignements. Et donc c'est un peu cette protection-là qu'on veut accorder
aux renseignements que les partis politiques détiennent, je dirais, autant pour
les citoyens que pour les partis eux-mêmes.
M. Tanguay : Et dites-moi... Donc, vous faisiez l'analogie
avec la Colombie-Britannique. Donc, vous, pourquoi c'est important, pour vous, donc, de suivre cet
exemple-là où les partis politiques sont assujettis, en Colombie-Britannique, comme le sont, en
quelque sorte, les entreprises? Pourquoi c'est important, pour vous, donc,
d'aller en ce sens-là?
M.
Reid (Pierre) : Bien, c'est
important parce que... En fait, les données personnelles et... de
tous les citoyens et les... protégés
comme pour toute autre personne ou entreprise qui recueille des renseignements personnels, et
même les organismes publics. C'est la même protection qu'on veut donner.
Et, je vous rappelle, encore, c'est quand même 6 millions... c'est plus de 6,2 millions électeurs, électrices sur qui les partis politiques
détiennent des renseignements. Donc, une
fuite, une perte de données, c'est encore plus important que... ça peut être
aussi important que ce que le Mouvement Desjardins a connu.
M. Tanguay : Est-ce que vous
avez réfléchi à la façon dont les partis politiques — et
est-ce que vous nous invitez à
l'étayer — devraient
demander, constater, conserver le consentement? Parce que, là, là, si on va
là-dessus, faire du porte-à-porte,
poser des questions, voir des renseignements, ajouter ça dans un fichier qui
concerne cet électeur-là à telle adresse,
est-ce que vous avez réfléchi... Est-ce que vous nous invitez à réfléchir et à
étayer : Bien, si on fait ça, on peut le faire, selon ce que vous proposez, mais il faudrait demander le
consentement? Avez-vous réfléchi à comment le consentement pourrait être
demandé par les partis politiques?
M. Reid (Pierre) : Bien, en fait, là, je vous dirais que... Je pense que, quand la Commission d'accès à l'information... ce serait peut-être une question que vous pourriez leur adresser. Mais moi, je
vous dirais que le consentement
m'apparaît... À la base même, si je me place
comme citoyen ou comme électeur, bien, je veux dire, si on vient chez moi puis, bien, à un moment donné, qu'on collecte
un paquet de renseignements, bien, j'aimerais bien savoir, là, un, si vous
les avez collectés et, deux, si vous allez les utiliser.
M. Tanguay : Oui. Et vous avez, je pense, fait une distinction
entre le parti politique dans la sphère démocratique et parti
politique comme employeur aussi, là
où vous ne voyez pas la distinction de faire un régime particulier.
Quand tu es employeur, tu es employeur. Le parti politique peut détenir des immeubles, peut signer des contrats, emploie du
monde. Donc, ça, à ce niveau-là, vous nous invitez... Donc, sous ces pouvoirs juridiques là, bien, le parti politique ne devrait pas faire l'économie d'être soumis à...
M. Reid (Pierre) : Oui.
• (16 h
20) •
M. Tanguay :
O.K. Cambridge Analytica... À l'époque, je me rappelle, il y avait eu un débat
où vous aviez mentionné que vous n'aviez pas
les pouvoirs de débarquer dans les partis
politiques. Est-ce qu'aujourd'hui vous demandez ce pouvoir-là? J'y vais rapidement, là. Je ne fais
pas trop de nuances, mais, vous, de pouvoir vérifier, après l'adoption,
éventuellement, de la loi, si on allait dans votre sens... de pouvoir, vous,
faire des suivis quant au sérieux avec lequel c'est respecté...
M. Reid (Pierre) : Non, bien, je pense, c'est un mandat qui est
dévolu à la Commission d'accès à l'information. Donc, c'est elle qui aurait à appliquer... à faire le... à exercer son
droit de surveillance. Nous sommes responsables de la liste. Il y a des dispositions dans la Loi
électorale que... pour lesquelles nous sommes responsables. Mais il n'y a rien
qui empêcherait une collaboration avec la CAI. Comme en Colombie-Britannique,
le directeur général des élections et le commissaire à la vie privée
collaborent ensemble au besoin.
M. Tanguay :
Donc, vous ne le demandez pas pour vous, là, comme pouvoir spécifique?
M. Reid
(Pierre) : Non, non.
M. Tanguay :
O.K. Dites-moi, élément important, les partis politiques municipaux... Je veux
dire, il y a des partis politiques
municipaux dans de grandes villes, Montréal, Laval, Longueuil, Québec, qui
collectent, sur des dizaines de milliers
d'électeurs... Donc, certains pourraient dire... Puis j'aimerais vous entendre
là-dessus. Vous demandez à ce que ce soit
appliqué aux partis politiques municipaux. J'imagine que ça, ça ferait partie
d'un des arguments que vous soulèveriez. Dans certains cas, même des partis politiques municipaux dans de grandes
villes pourraient avoir plus d'information que bien des partis politiques provinciaux, en termes de quantité et en
termes de données. Premier élément, premier argument que je vous
soumets, puis je ne sais pas si vous le reprenez à votre compte.
Et
deuxième élément. Aussi, peut-être que, dans certains partis politiques
municipaux de grandes, ou moyennes, ou de
petites villes, il y a également, justement, une rotation plus rapide dans les
gens, les bénévoles, les employés. Peut-être que l'on pourrait retrouver chez les partis politiques, autrement dit,
qui a accès à cette information-là dans un parti politique provincial versus dans un parti politique
municipal. Il y a un contrôle, aussi, de savoir qui a accès, qui a eu accès,
qui a quitté le parti, n'est plus
bénévole. Moi, j'étais président d'une région. Là, je ne le suis plus.
Qu'est-ce que je fais pour remettre
ces... pour m'assurer de remettre ces informations-là? Alors, je pense que ça
participe aussi de votre réflexion d'étendre ça chez les partis
politiques provinciaux... aux partis politiques municipaux, pardon?
M. Reid (Pierre) : Bien, c'est parce que, pour un parti... les
partis politiques municipaux... C'est qu'on ne voit pas de distinction. Ils ont les données des listes
électorales. Ils en font une utilisation similaire. Donc, tout dépendant
de la grandeur des partis, bien, ils collectent des renseignements. Donc, ils
ont des données personnelles pour lesquelles ils vont assurer la même
protection que ce qui est demandé pour les partis politiques provinciaux.
M. Tanguay :
Parfait. Bien, je vous remercie beaucoup, Me Reid.
Le
Président (M. Bachand) : Merci. M. le député de René-Lévesque,
pour 2 min 50 s, s'il vous plaît.
M. Ouellet :
Merci beaucoup. Donc, à mon tour de vous saluer, M. le directeur.
J'aimerais
juste valider une chose avec vous. Si j'ai bien compris votre allocution, vous
faites mention qu'il y aurait un
enjeu, effectivement, pour la collecte de données. On collecte des données
personnelles, il y a le sexe, il y a l'âge. Et vous nous dites : S'il arrive une fuite, ça
pourrait être dommageable. Mais il n'est pas là plutôt, l'enjeu, au lieu de
travailler sur les collectes, plutôt
travailler sur la protection des données? Parce qu'on peut bien collecter tout
ce qu'on veut, la grande question,
c'est : Est-ce qu'on les protège bien à l'intérieur même des
organisations? Ça ne devrait pas être là plutôt, l'enjeu, de s'assurer que les partis politiques ont des
outils avant-gardistes qui ne peuvent pas être attaqués par des
cyberpirates, bref, qu'ils ont les meilleures protections possible pour leurs
données?
M. Reid (Pierre) : Bien, justement, en prévoyant un encadrement
législatif, pour les renseignements personnels, des partis politiques, justement, ce à quoi pourvoit le projet de loi n° 64... Les partis politiques, comme pour les entreprises, seront tenus d'avoir des mesures de sécurité, là,
je dirais, appropriées. Et, lorsque pourrait se produire un incident de
sécurité qui pourrait avoir un préjudice
vraiment... qui pourrait causer un préjudice à des personnes, ils se devront de
le signaler à la Commission d'accès à
l'information. Et une des choses que le projet de loi n° 64
prévoit, c'est qu'il y ait une personne responsable justement de la
protection des renseignements personnels, ce qui, actuellement, n'est pas
exigé, là.
M. Ouellet :
Avec les différentes modifications que vous demandez, ça a effectivement un
impact dans l'administration des
partis politiques, un peu un fardeau administratif supplémentaire. Vous ne
croyez pas que ça va avoir une
incidence aussi sur l'émergence des petits partis politiques si on doit
effectivement faire l'épuration des listes et se rendre, je vous dirais,
conforme à ce que vous demandez dans le projet de loi en question,
donc, d'épurer les listes, d'en faire le
moins possible? Bref, est-ce que les petits partis qui commencent avec une
petite équipe vont avoir de la misère, je vous dirais, à répondre aux
prérogatives que vous demandez dans votre mémoire?
M.
Reid (Pierre) : Bien, en
fait, je vous dirais que, si on fait un parallèle avec les entreprises, la loi
ne fait pas de distinction puis... dans le fond, entre les petites, des moyennes et des grandes entreprises, là. À
partir du moment où les entreprises ont des
renseignements personnels, elles se doivent d'appliquer les mêmes mesures. Par
rapport à un parti émergent, bien, peut-être
qu'ils auront peut-être moins de renseignements personnels, mais les
renseignements personnels qu'ils
auront, ils devront en assurer la même protection, là, et, sur ça, il y a
des outils qui viennent aider, que ce soient les entreprises ou les
partis, à bien... à assurer une protection adéquate des renseignements
personnels.
M. Ouellet : Merci, M. Reid.
Le Président (M. Bachand) :
À mon tour de vous remercier, M. Reid, de votre présentation.
Alors, sur ce, je suspends les travaux de la commission
pour quelques instants. Merci beaucoup.
(Suspension de la séance à 16 h 25)
(Reprise à 16 h 29)
Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Merci. La commission reprend ses
travaux.
Il nous fait
plaisir d'accueillir Me Éloïse Gratton de la firme Borden Ladner Gervais.
Alors, Me Gratton, vous avez 10 minutes
de présentation. Merci beaucoup d'être là. Et, après ça, on aura un échange avec
les membres de la commission.
Donc, la parole est à vous.
Me Éloïse Gratton
(Visioconférence)
Mme
Gratton (Éloïse) : Parfait. Merci de l'invitation. Je suis heureuse
d'être ici aujourd'hui et d'avoir l'occasion de partager mes réflexions sur le projet de loi n° 64. Donc, je suis associée chez Borden Ladner
Gervais et je pratique dans le
domaine du droit à la protection de la vie privée. Et mes clients sont
généralement des entreprises du secteur privé qui proviennent de
diverses industries. C'est à titre personnel que je comparais aujourd'hui.
• (16 h 30) •
Si je mets
aujourd'hui l'accent sur les aspects du projet de loi qui méritent, selon moi,
d'être reconsidérés, cela ne signifie
pas que je suis en désaccord avec le projet de loi, en fait, qui est très bien.
C'est plutôt une occasion, là, de proposer des améliorations au projet de loi. J'ai soumis, avec certains
collègues, un court mémoire dans lequel nous présentons nos observations sur l'impact que le projet de loi
peut avoir sur les entreprises du secteur privé, et on fournit, là,
16 suggestions quant aux aspects du
projet de loi qui mériteraient d'être améliorés.
Toutefois, je ne retiendrai, là, aujourd'hui, dans le cadre de mon témoignage, seulement
certains éléments qui me semblent les plus importants.
Donc, dans un
premier temps, la notion de consentement.
Parmi les nombreux changements qui ont été proposés par le projet de loi n° 64,
la notion de consentement a eu droit à l'une des révisions les plus attendues
et les plus nécessaires. Je pense
qu'ici il y a lieu de saluer l'introduction de nouvelles exceptions au
consentement pour les transactions commerciales,
l'introduction de nouvelles exceptions au consentement dans le cadre de la
recherche, certaines exemptions pour les coordonnées professionnelles,
une reconnaissance de la notion de consentement implicite. En tout cas, bref,
beaucoup de beaux changements, mais la situation est toutefois susceptible,
quand même, là, d'amélioration.
Les consommateurs
se font constamment solliciter pour donner leur consentement, et l'apathie du
public envers les longs formulaires de consentement risque de persister
si ce consentement est demandé sans égard au contexte ou aux attentes raisonnables des consommateurs. Selon
l'article 14 proposé, le consentement doit être demandé pour chaque
fin spécifique et distinctement de tout
autre renseignement communiqué à la personne concernée. Ceci peut sous-entendre
que le consentement doit être demandé en
dehors du champ d'application d'une politique de confidentialité, ce qui
augmenterait alors le nombre de consentements demandés.
On peut aussi
se questionner sur l'intérêt de recueillir... que les entreprises publient
toutes leurs politiques internes en matière de confidentialité dans un
contexte où les commissaires à la protection de la vie privée canadiens ont généralement mis l'accent, et ce, à juste titre,
sur la réduction de la quantité de renseignements fournis aux individus
dans leurs politiques de confidentialité. Je
crois qu'un recours excessif au consentement ne fournit qu'un faux sentiment
de protection et vide le concept même de consentement de toute utilité ou de
sens.
Donc, le
consentement doit être une mesure de dernier recours qui signale aux personnes
concernées l'importance de l'activité
à laquelle elles consentent. L'importance du consentement est perdue lorsqu'il
est sollicité pour une activité banale,
et je crois qu'il devrait idéalement être limité aux situations où la personne
concernée se voit offrir un choix réel, par opposition à un choix purement illusoire ou inexistant. En ce sens, le
renforcement du consentement qui a déjà été amorcé dans le projet de loi devrait être poursuivi avec
une approche plus innovatrice en introduisant des bases juridiques
autres que le consentement, comme c'est le cas en Europe.
Donc, à titre
d'exemple, le RGPD reconnaît cinq autres bases légales de traitement, dont les
intérêts légitimes d'une entreprise
ou la nécessité d'exécuter un contrat. Cette approche a été défendue avec
succès en Europe et n'a pas entraîné une perte de contrôle des
renseignements personnels par les individus, et, ça, en partie grâce aux
protections qui sont offertes par la loi.
Le fait que
le projet de loi continue de s'appuyer sur la notion de consentement est particulièrement problématique dans un contexte de relation employeur-employé.
Donc, l'employeur a besoin de collecter certains renseignements relatifs
à ses employés pour
poursuivre ses activités et, dans certains cas, pour remplir ses obligations
légales. Et il est difficile de considérer
le consentement d'un employé, dans ses relations avec son employeur, comme
étant libre puisqu'il pourrait croire, à tort ou à raison, que son
emploi serait compromis lors d'un refus de consentement.
Cette
réalité-là, elle est reconnue et soulignée dans le cadre du RGPD et aussi dans
le reste du Canada. Donc, en vertu de la loi fédérale et des deux lois de l'Ouest canadien, Colombie-Britannique et de l'Alberta, qui s'appliquent aux entreprises du secteur privé, les employeurs peuvent recueillir,
utiliser et communiquer les renseignements personnels qui sont nécessaires à la gestion de la relation
employeur-employé sans le consentement de leurs employés, bien qu'ils
aient une obligation de transparence.
L'absence d'une exception équivalente dans la loi sur le secteur privé du Québec
semble être un oubli important, selon moi, qui devrait être reconsidéré.
Au niveau...
L'une des dispositions du projet de
loi qui crée le plus de défis aux
entreprises est celle des transferts transfrontaliers.
Le projet de loi alourdit les exigences énoncées dans l'article,
actuel, 17 de la loi sur le secteur privé sans nécessairement offrir aux
individus une protection accrue. Donc, selon le texte proposé, une entreprise
doit, avant de communiquer des
renseignements personnels à l'extérieur du Québec, effectuer une
évaluation des facteurs relatifs à la vie
privée afin de déterminer si les renseignements vont bénéficier d'un niveau de
protection équivalent à celui accordé en vertu de la loi québécoise.
L'article 17.1
du projet de loi prévoit que le gouvernement publiera une
liste des États dont le régime juridique encadrant les renseignements
personnels équivaut à celui du Québec.
Il s'agit là d'un travail absolument colossal, et je me questionne. Je me dis : Peut-être
que le gouvernement n'a pas réalisé et a peut-être
sous-estimé les efforts qui lui seraient nécessaires pour publier une telle liste exhaustive. En vertu de la
législation européenne, un tel exercice d'évaluation des États étrangers est effectué par la Commission
européenne après un processus long et très détaillé, impliquant le
Comité européen de la protection des données et les représentants des États
membres.
Le fait que
la Commission européenne ait déclaré la loi fédérale adéquate en 2001 et la loi
sur le secteur privé québécoise inadéquate en 2014, alors qu'elle est plus
contraignante que la loi fédérale à plusieurs égards, illustre d'autant
plus, là, les défis posés par toute méthodologie de comparaison des lois. Cette
nouvelle exigence pourrait placer les entreprises
dans une situation où elles devront faire appel à des experts en droit étranger
pour évaluer l'équivalence des lois étrangères.
Cette évaluation est d'ailleurs complexifiée par le fait que les lois
étrangères peuvent être sectorielles, modifiées au fil du temps, et donc imposeraient, là, des nouveaux coûts et des
délais importants aux entreprises implantées au Québec. Il pourrait même être particulièrement, là, difficile pour les PME, par exemple, là, dont les moyens sont plus restreints, de s'engager dans ce
type d'analyse juridique comparative.
En Europe, si le pays tiers n'est pas considéré comme
ayant un système juridique adéquat, il y a différents mécanismes qui peuvent être utilisés par les
entreprises, conformément au RGPD, pour transférer des renseignements personnels en dehors de l'Europe, notamment des
clauses contractuelles types. Or, le projet de loi n° 64 prévoit déjà
une obligation d'avoir un contrat dans un
contexte d'impartition, et ce projet de loi là ne prévoit pas de mécanisme
alternatif pour transférer des
renseignements vers le reste du pays ou à l'étranger. Donc, bref, le régime
proposé pourrait empêcher un bon nombre d'entreprises de transférer des
renseignements personnels en dehors de la province, et ce, au détriment de
l'innovation et du maintien de l'économie numérique du Québec.
Dernier point. Le projet de loi n° 64
ferait de la Commission d'accès à l'information la première autorité canadienne de protection de la vie privée ayant le
pouvoir d'imposer directement des sanctions administratives pécuniaires importantes. En général, les lois en matière de
protection de renseignements personnels visent à préserver une approche technologiquement neutre afin de s'adapter aux
nouvelles technologies. Donc, c'est une approche qui est notamment illustrée
par la flexibilité avec laquelle certains concepts sont définis.
Je donne à
titre d'exemple... La forme du consentement qui doit être obtenu est basée sur
la sensibilité des renseignements
personnels, et laquelle est définie en fonction du degré d'attentes
raisonnables en matière de vie privée que suscite le renseignement. Le
critère qui nous permet de déterminer si un élément donne lieu à un tel degré
d'attentes raisonnables en matière de vie privée sera naturellement influencé
par les normes sociales en vigueur, lesquelles sont d'ailleurs susceptibles d'évoluer avec le temps. Donc, certaines pratiques
qui étaient considérées comme intrusives à une certaine époque peuvent être acceptables à une autre époque. Cette
flexibilité est difficile à concilier avec la possibilité d'imposer d'importantes sanctions administratives
pécuniaires, qui pourraient avoir un effet paralysant sur l'innovation.
Donc, je
crois qu'il serait nécessaire de réviser le montant des amendes ainsi que le
processus permettant d'imposer ces
amendes-là de façon à ce qu'il soit plus flexible et proportionnel à la gravité
de violation et au risque de préjudice qui en découle. Par exemple, il peut être pertinent de se demander si les
montants doivent être plafonnés au pourcentage du chiffre d'affaires mondial par opposition au chiffre
d'affaires local, par exemple, québécois, canadien. Je note que les
amendes maximales sont fixées en fonction du
pourcentage de chiffre d'affaires mondial : 2 %, amendes
administratives, 4 % pour les
sanctions pénales, similaires au RGPD. Compte tenu que la population du Québec
représente moins de 2 % de la population de l'Union européenne, ces
seuils-là d'amendes peuvent sembler être disproportionnés.
En
conclusion, le Québec étant la première juridiction canadienne à proposer des
réformes importantes à ses lois relatives à la protection des
renseignements personnels, nos discussions auront certainement un impact
important sur l'élaboration des réformes
similaires que proposeront le gouvernement fédéral ou celui des autres
provinces. Donc, j'espère que mes réflexions seront utiles pour l'étude
du projet. Et il me fera plaisir, là, de répondre à vos questions. Merci.
Le Président (M.
Bachand) : Merci beaucoup, maître. M. le ministre, s'il vous
plaît.
M. Jolin-Barrette : Merci, M. le
Président. Bonjour, Me Gratton.
• (16 h 40) •
Mme Gratton (Éloïse) :
Bonjour.
M.
Jolin-Barrette : Merci de
participer aux travaux de la commission. Écoutez, reprenons sur les derniers éléments que vous avez soulevés, là, relativement au régime
de sanctions administratives pécuniaires, là. Ce que je comprends de votre propos, c'est que vous dites : Bon, ce
qui est prévu dans le projet de loi, c'est assez élevé, eu égard... Si on fait
le comparable avec l'Europe, là, la réglementation, là, le Règlement général sur la
protection des données de l'Union européenne,
là, vous dites : Ce n'est pas justifié, parce qu'on est moins en termes de
population, donc on ne devrait pas appliquer d'une façon équivalente,
là, ces amendes-là.
Mme
Gratton (Éloïse) : Bien, en fait, c'est un peu ça. Si on pense, là,
qu'une entreprise serait sujette aux mêmes pénalités en vertu de ses activités en Europe par rapport au Québec,
bien, techniquement parlant, elle pourrait recevoir la même amende de deux autorités réglementaires
différentes. Ça, c'est le point numéro un. Et, numéro deux, peut-être
que ce serait moins intéressant pour elle de faire... d'avoir des activités
commerciales au Québec, en se disant : L'amende potentielle est tellement élevée qu'en fin de compte, là, le marché de
8, 9 ou 10 millions d'individus, peut-être que je mets ça de côté.
C'est là, je pense, qu'est l'enjeu.
M.
Jolin-Barrette : Ce que vous
nous dites, c'est un argument, dans le fond, de rentabilité puis de risque
pour l'entreprise, de dire : Bien, si
moi, je perds, dans le fond, les données, il y une fuite de données ou je ne
respecte pas mes obligations légales, bien, l'amende est tellement
élevée que je ne viendrai pas au Québec faire des affaires. C'est un peu ça, le
sens de votre propos.
Mme
Gratton (Éloïse) : C'est un des propos, en fait. Et, je vous dirais,
au niveau de l'obligation de sécurité de la fuite des données, je pense que les enjeux de pénalités sont moins
inquiétants pour l'innovation. Je pense que c'est plutôt au niveau des analyses de données, de la recherche,
du consentement des entreprises qui pourraient être tentées d'innover,
de faire l'intelligence artificielle, donc,
de pousser un peu les limites, là, des nouveaux modèles d'affaires qu'on
connaît. Puisque les lois sont rédigées en
termes très flexibles, le type de consentement qui doit être obtenu, quand
est-ce qu'une activité est raisonnable ou tient compte, là, des attentes
raisonnables du consommateur, c'est là aussi, je pense, qu'il y a une
inquiétude ou un enjeu.
M.
Jolin-Barrette : Mais, quand
vous dites, là : On devrait mettre les sanctions... le montant des
sanctions administratives pécuniaires
ou même des amendes en fonction du risque de préjudice, là, comment l'évaluer,
là, ce risque de préjudice là, d'une
façon objective pour dire... bien, pour que, clairement, ce ne soit pas
subjectif, puis que l'entreprise elle-même
ne dise pas : Ah bien! Ça, ce n'est pas préjudiciable, là? Comment est-ce
qu'on fait pour se doter de balises très claires, là, objectives?
Mme
Gratton (Éloïse) : C'est-à-dire que les lois sont tellement neutres
d'un point de vue technologique que ça ne sera jamais parfaitement objectif et neutre. On a besoin de flexibilité
dans ces lois-là. Je pense qu'au niveau des amendes on pourrait au moins apporter certains critères. Je
pense, circonscrire, comme je disais, là, en chiffres... une proportion,
un pourcentage de chiffre d'affaires local,
déjà, je pense, ça serait un bout de chemin, puis dire que c'est... qu'on va
tenir compte du préjudice pour les individus.
Donc, peut-être qu'en matière de bris de sécurité les amendes pourraient être
plus élevées. Mais, lorsqu'on parle, là,
d'un consentement qu'on n'a peut-être pas assez détaillé ou un consentement
implicite qu'on a obtenu quand peut-être que
c'était un renseignement explicite, parce que c'est des données sensibles,
peut-être que, dans cette
situation-là, s'il n'y a pas de dommages pour l'individu, l'amende en cause
pourrait être moins importante.
M.
Jolin-Barrette : Mais, de ce
que je comprends, c'est un peu du cas par cas, là, que vous voulez qu'on
adopte dans la législation, parce que c'est
sûr que la portée générale de la loi doit être... doit s'appliquer à tous. Si
on dit : Le chiffre d'affaires
qui est local seulement, il y a beaucoup d'entreprises qui sont intégrées, il y
a beaucoup d'entreprises, maintenant, avec
le numérique, que c'est... elles n'ont pas nécessairement pignon sur rue au
Québec. Alors, ça devient difficile pour l'autorité réglementaire de
faire appliquer la législation, là, si on fait ça, vous ne pensez pas?
Mme Gratton (Éloïse) : Bien, en même
temps, si je regarde, là, aux États-Unis, il y a l'État... un État, en Californie, qui a adopté un nouveau projet de loi
qui est entré en vigueur plus tôt cette année. Il faut penser que le
Québec est en Amérique du Nord. Donc, il faut être un peu cohérent, là, avec le
contexte géographique. Les amendes doivent arriver en dernier lieu.
Donc, je
pense, c'est un peu ça, le sens, là, de notre mémoire. En fait, c'est de
dire : Les sanctions, là, c'est un avertissement. Donc, avant de se rendre là, il faut avoir une
conversation avec l'entreprise puis dire : Ce modèle d'affaires là,
il ne convient pas à cause de ça, puis d'avoir une discussion. Puis, en fait,
surtout à cause de la loi fédérale, qui est vraiment sur un modèle ombudsman,
je vous dirais, les entreprises qui ont des opérations à travers le Canada sont
habituées d'avoir ces conversations-là. Donc, arriver avec des grandes
pénalités un peu à la RGPD, en étant la seule juridiction
en Amérique du Nord, là, qui a ce
type d'amende là, je vous dirais, ça ébranle beaucoup, là, les entreprises
qui nous consultent.
M. Jolin-Barrette : Mais, vous ne pensez pas, pour assurer la protection des renseignements des individus, il y a un
coup de barre qui doit être donné puis dire : Bien, effectivement, cette
législation-là qu'on présente, c'est nouveau? Puis on vise à faire avancer les autres
législations aussi, parce qu'à un certain moment donné, malgré le fait que,
bon, il y a un système, actuellement, il y en a, des fuites. Puis
peut-être que c'est justement parce qu'il n'y a pas de sanctions importantes
sur le plan financier qu'on se retrouve parfois avec des situations de
négligence.
Mme
Gratton (Éloïse) : Et, en fait, on n'est pas contre l'idée de
sanctions. Si vous lisez bien notre mémoire, on n'est pas contre le concept. On pense peut-être que ça va trop loin, et
le montant, peut-être, est trop important, en fait.
M. Jolin-Barrette : Je voudrais peut-être qu'on aborde, là, ce que vous avez dit au début,
là, au niveau de la notion de consentement. On ne
devrait pas exiger le consentement systématiquement. Vous dites : Bon,
dans la législation européenne, il y a
certaines exceptions, tout ça. Pouvez-vous expliquer davantage
cette partie-là, quand vous dites : On ne devrait pas systématiquement
demander le consentement?
Mme
Gratton (Éloïse) : C'est-à-dire que toutes nos lois en matière de vie privée, on les appelle, là, des
lois en matière de protection de
renseignements personnels, sont basées ou tournent autour du consentement, et peut-être que ça...
Et, en fait, c'est un vieux concept de la vie privée qui date... qu'on a
importé de l'Europe du début des années 70, donc bien avant l'arrivée de
l'Internet et des nouveaux modèles d'affaires.
Donc,
on se retrouve aujourd'hui avec une réalité où l'individu qui contrôle ses
renseignements personnels, donc, qui
consent, à chaque cinq minutes, là, dès qu'il fait une transaction, à des
longues politiques en matière de vie privée, c'est de moins en moins réaliste. En Europe, ils ont reconnu ça et ils disent : En fait,
la relation employeur-employé... non, je vais m'assurer que l'employeur ne collecte que les renseignements qui sont
nécessaires à la gestion employeur-employé puis je vais lui imposer une obligation
de transparence. Donc, il va dire à l'employé : Voici ce que je collecte
et comment je l'utilise, et c'est tout.
En
matière... Si, par exemple, il y a un contrat de service, l'individu n'a pas vraiment
le choix. Donc, lui demander un consentement à une longue politique...
Je veux dire, c'est correct d'avoir de la transparence, mais l'idée, c'est de demander le consentement lorsque ça vaut la peine,
lorsque l'individu a vraiment un réel choix, sinon c'est de favoriser la
transparence, selon moi, et de s'assurer que
les entreprises ne collectent pas plus que ce qu'elles... les
renseignements dont elles ont besoin pour fournir un produit ou un service.
Donc,
demander un consentement à droite puis à gauche... Puis là, quand je regarde le
projet de loi puis je vois «distinctement», «selon
chaque finalité», puis là on suggère aux entreprises... on recommande, là, que
les entreprises publient toutes leurs politiques, je me dis : Bon, là, on
va se retrouver dans une situation où, encore une fois, le consommateur va être submergé d'informations et il va consentir à droite et à gauche sans
prendre conscience, là, ce à quoi il consent.
Puis
je vais vous donner un exemple, là. Juste récemment, on le voit, les
sites Web, là, mettent des petits... on a des petits panneaux, là, où est-ce
qu'ils disent : Ah! on utilise des cookies, puis là il y a des choix. Les
gens ne sont pas intéressés. Les gens
cliquent, donnent leur consentement sans lire même qu'est-ce qui se passe. Donc, je pense que, si on continue avec le régime de consentement sans
s'attarder à ces enjeux-là, bien, on ne règle pas le problème. En gros, c'est
ça.
Donc,
en Europe, ils ont proposé d'autres bases juridiques. Et, comme il y a des
pénalités, les entreprises sont motivées,
là, de s'assurer qu'elles respectent la loi. Et, comme les entreprises ont une
grande obligation de transparence, là, les
politiques de confidentialité, en vertu du RGPD, détaillent, là, pour chaque
base juridique, quel type de renseignement est collecté et comment ils sont utilisés. Je ne pense pas qu'on peut
dire qu'en Europe les individus ont perdu le contrôle de leurs
renseignements personnels. Ça fait que, selon moi, garder et s'accrocher à ce
concept-là de consentement uniquement à titre de seule base juridique, c'est
problématique.
M. Jolin-Barrette :
...Me Gratton. J'ai des collègues...
• (16 h 50) •
Le
Président (M. Bachand) : Merci beaucoup. M. le député de
Chapleau, s'il vous plaît.
M. Lévesque
(Chapleau) : Oui, merci, M. le Président. Bonjour, Me Gratton.
Mme Gratton
(Éloïse) : Bonjour.
M. Lévesque
(Chapleau) : Je vais peut-être prendre la balle au bond du ministre,
un peu sur le modèle européen, faisons
un peu de droit comparé. Est-ce que... Bon, vous avez parlé de... La notion du
consentement, bien entendu, est un peu plus large en Europe. Est-ce
qu'il y a d'autres éléments que vous constatez, dans le droit européen ou
d'autres juridictions, qu'on n'a peut-être
pas mentionnés, mais qui auraient peut-être des éléments intéressants à
apporter, là, au projet de loi pour le bonifier?
Mme Gratton
(Éloïse) : C'est-à-dire qu'on s'est beaucoup penchés... Dans mon
équipe, j'ai un avocat qui a son barreau de la Californie. Donc, on joue
beaucoup avec cette nouvelle loi là qui n'est pas très bien rédigée, en toute honnêteté, mais c'est une autre loi, là, qu'on a
aux États-Unis, qui est une... qui est, en fait, la première loi, là, qui
vise tous les consommateurs. Et j'ai aussi
une avocate française qui a une expertise en RGPD. Ça fait qu'en matière de
comparaisons on s'est beaucoup... on
a beaucoup analysé ces deux juridictions-là. Le RGPD, c'est sûr que, pour
plusieurs, c'est le meilleur standard
de l'heure, le plus rigoureux. Et, comme je remarque que le projet de loi
n° 64 s'est beaucoup inspiré du RGPD, et c'est très bien, on le reconnaît, tout ce qu'on suggère, là, c'est que,
justement, on aille jusqu'au bout de cette analyse-là en matière de
consentement, entre autres.
M. Lévesque
(Chapleau) : D'accord. Vous avez parlé, bon, de certains de vos
clients, là, en lien avec, bon, des coûts
supplémentaires, des délais, certains fardeaux, notamment pour les PME. Sans
briser le secret professionnel, bien entendu,
est-ce qu'il y a déjà des entreprises qui ont dit : Ah! si ce projet de
loi va de l'avant, moi, je compte quitter la juridiction, l'État du
Québec? Est-ce que vous pensez que ça aurait un impact sur un exode possible
d'entreprises, de certains commerces, ou, au
contraire, vu que les standards vont être assez élevés, les gens vont
dire : Bon, bien, on peut faire confiance en ces entreprises-là
parce qu'elles adoptent des standards qui sont de la plus haute qualité, là?
Mme
Gratton (Éloïse) : Bien, en fait, votre intervention est très bien,
parce que, justement, il faut arriver à mettre les deux intérêts en balance, là, s'assurer que les consommateurs sont
en confiance, s'assurer peut-être qu'on ne va pas trop loin pour
décourager, finalement, les entreprises. Ce que je peux vous dire... Non, je
n'ai pas de client qui prévoit quitter, mais
c'est clair que, dans le contexte de ma pratique, je vois des entreprises qui
sont découragées, par exemple, de devoir
tout traduire leurs sites électroniques. Ça fait que, des fois, on est exclus
de certains sites transactionnels en Amérique du Nord à cause de la langue. C'est correct, mais je fais juste le
mentionner. Par exemple, aussi, au niveau des concours, au Québec, on a
des lois plus rigoureuses en matière des concours. Donc, souvent, on est exclus
de concours.
Donc, je
veux... Notre point, c'est que c'est correct d'améliorer la loi. On est la
première juridiction à le faire puis on
va espérer des autres... Je l'espère, mais il faut juste arriver à ne pas
décourager les entreprises non plus. Donc, à titre d'exemple, là, j'ai plusieurs entreprises qui
m'ont contactée, par exemple, dans le domaine du service financier, en
me disant : La façon que l'obligation,
là, d'effectuer des évaluations de facteurs de risques est rédigée, bien, je
vais devoir engager trois ou quatre
personnes à temps plein pour faire ça à l'année longue. Est-ce que c'est ça que
le législateur, le gouvernement voulaient? Probablement que non.
Donc, c'est un
peu ça, là, notre mémoire, là. En fait, on souligne, là... On dit : C'est
très beau, toutes ces exigences-là,
on les appuie, mais il y a un petit peu de flexibilité, peut-être, qui devrait
être introduite, et, dans bien des cas, on dit, comme c'est le cas en
Europe.
M.
Lévesque (Chapleau) : O.K., ça, je comprends. Merci. Vous avez parlé
également, là, de la faible tolérance, là, des citoyens, là, actuellement, à pouvoir... à vouloir remplir des
formulaires sur Internet, de consentement, là, qui... Des fois, c'est des pages et des pages de petits caractères.
Notamment, les cookies, vous avez fait mention de ça. Est-ce que vous avez une alternative à... Est-ce que vous
envisagez une alternative à ces fameux formulaires là pour justement, là,
obtenir le consentement puis obtenir... dans le fond, que les citoyens aient un
meilleur contrôle sur leurs données personnelles?
Mme
Gratton (Éloïse) : Bien, je recommande, en fait, vraiment le modèle du
RGPD pour ça. Le consentement en vertu
du RGPD est la dernière base juridique, et on l'utilise si rien d'autre n'est
disponible. Donc, je pense que ça ferait en sorte de renforcer le consentement. Lorsqu'on va frapper à la porte du
consommateur, on lui dit : Voici, tu as un consentement à nous donner, bien, c'est sérieux puis c'est un réel
choix. Ce n'est pas pour une activité qui est banale. Donc, je pense que
c'est ça, en fait, ce qu'on propose.
M. Lévesque (Chapleau) : O.K. Puis
est-ce que vous pensez que, dans le fond, un meilleur contrôle sur les données,
là, personnelles, en 2020, ça doit aussi signifier, dans le fond, être un
synonyme d'une responsabilité, là, qui est augmentée du citoyen relativement à
ces données-là? Est-ce que vous avez une réflexion par rapport à ça?
Mme Gratton (Éloïse) : Excusez-moi,
j'ai mal compris votre question.
M.
Lévesque (Chapleau) : Est-ce que, dans le fond, vous pensez qu'un
meilleur contrôle, là, de ces données-là, là, personnelles, en 2020,
devrait aussi venir avec une responsabilité, là, augmentée de la part du
citoyen relativement à ces données-là?
Mme Gratton (Éloïse) : C'est-à-dire,
responsabiliser le citoyen davantage?
M. Lévesque (Chapleau) : Oui, un peu
dans...
Mme
Gratton (Éloïse) : Oui, mais, évidemment... Bien, je veux dire, oui,
mais il faut être réaliste en même temps. Les citoyens sont occupés. Ils
ont d'autres choses à faire que de s'éduquer, de lire des longs formulaires.
Donc, justement, rendons-leur la vie un petit peu plus facile, incorporons des
notions, des bases juridiques qu'on a en vertu du RGPD comme l'intérêt
légitime, là, de l'entreprise. Et on s'assure que, dans les politiques en
matière de vie privée, tout est clair, la transparence est là, les pénalités
sont là.
Donc, les
entreprises sont motivées à être transparentes face aux consommateurs, à les
éduquer, à les appuyer, le cas
échéant. Et on ne fait pas comme redonner le fardeau aux consommateurs pour
s'éduquer puis aller lire les politiques de A à Z. Il y a une certaine
transparence, avec des pénalités, pour l'entreprise. Donc, tu sais, dans un
monde idéal, oui, les consommateurs seraient
plus responsabilisés. Mais je ne sais pas si c'est réaliste, là, de s'attendre
que les consommateurs, du jour au
lendemain, deviennent des experts de tous les modèles d'affaires, puis des
collectes, puis des données spécifiques qui sont collectées en ligne,
etc. Je ne sais pas si c'est réaliste, en fait.
M.
Lévesque (Chapleau) : D'accord, merci. Une petite dernière question.
Il ne me reste pas beaucoup de temps, là. On a eu l'occasion, là, d'avoir une commission, je ne sais pas si vous
êtes familière de... sur l'application de traçage à la COVID-19. Et il y avait
un grand débat, là, en droit comparé, sur la notion, la définition de
renseignements personnels, notamment en droit européen. Je ne sais pas,
peut-être, vos idées sur la question?
Mme
Gratton (Éloïse) : Bien, en fait, notre définition, elle est très
large et flexible. Elle n'est pas parfaite. Et, dans certains cas, ce
n'est pas clair, là, à partir de quel moment est-ce qu'un renseignement est
déidentifié ou absolument anonymisé, parce
que, des fois, dans certains cas, c'est un renseignement technique. Je vous
dirais que j'ai... Il n'y a pas eu de changements qui sont proposés en
matière de la définition de renseignements personnels. Et je pense que c'est
acceptable, là, de garder une certaine flexibilité. Je pense, là, que la
Commission d'accès à l'information, souvent, va interpréter, là, selon le
contexte, et je pense que c'est acceptable.
M. Lévesque (Chapleau) : Merci.
Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il
vous plaît, pour 11 min 20 s.
M. Tanguay : Merci beaucoup,
M. le Président. Bonjour, Me Gratton. Merci beaucoup d'être avec nous.
En quelque
sorte, vous nous ramenez à nos obligations en nous rappelant une réalité toute
québécoise, c'est que, quand on se
compare au RGPD du Parlement européen, où là il y a eu une rédaction commune,
une application commune et des termes
définis, compris et appliqués, espérons-le, de façon cohérente et efficace,
alors que le Québec, lui, sans dire qu'on fait cavalier seul, bien, on a
notre compétence, puis c'est bien parfait, mais dans un contexte canadien, dans
un contexte nord-américain. Puis vous nous
dites : Faites attention, parce que ce que vous déciderez dans votre coin
aura nécessairement un impact, notamment un
impact sur la protection effective des renseignements personnels et un
impact économique, ne serait-ce que pour nommer ces deux-là.
J'aime la
lecture de votre mémoire, parce qu'il nous oblige à revenir à des concepts de
base. Puis, avant de définir, avant de rédiger le mot à mot des
articles, j'aime lire notamment votre proposition 4, que je lis avec la
proposition 6. Proposition 4, vous
dites... la suggestion n° 4 : «Mieux circonscrire l'obligation de
procéder à une évaluation des facteurs relatifs
à la vie privée proposée à l'article 3.3 en utilisant un seuil basé sur la
matérialité du risque présenté par l'activité de traitement des
renseignements.»
Alors, vous
introduisez, dans l'analyse à laquelle vous nous invitez, là, des concepts tels
que la matérialité du risque. Je le
lis, ce concept-là, de la proposition, de la suggestion 4, avec :
«Limiter — la
suggestion 6 — davantage
l'utilisation de la notion de consentement afin
de renforcer sa valeur, notamment en introduisant des bases juridiques
alternatives afin de mieux prendre en compte les intérêts légitimes des
entreprises.»
Donc,
matérialité du risque, consentement modulé sur cela. Quand vous devez protéger,
protégez de façon rigoureuse, mais,
le reste, vous nous invitez à faire des... à y aller selon des bases juridiques
alternatives. Et, autre concept, «intérêts légitimes des entreprises»,
ça, c'est une... Les entreprises ne sont pas un pis-aller, ne sont pas la partie
adverse. Les entreprises ont des intérêts
légitimes, et je pense... Puis je vais vous écouter, là. Mon intervention est
longue, mais je trouve ça intéressant pour vous, qui nous forcez, à la
lecture de votre mémoire, à mettre des bémols, à appuyer là où c'est nécessaire,
là où c'est hautement sensible, et faire en sorte que l'on puisse atteindre
l'objectif sans, par ailleurs, se donner bonne conscience en disant : Bon, on a fait du mur-à-mur, mais
d'avoir des impacts où même la protection ne serait pas efficace dans bien des cas. Quand on clique «oui»
à «I agree», personne ne lit ça. Moi, je le fais à tous les jours puis
je ne lis jamais ça, là. Puis, qu'on viendra me l'imposer, par la suite, devant
une cour de justice, je pense, ça ne serait pas... ça serait difficilement applicable avec la Loi sur la protection du consommateur. Mais j'aimerais, donc, vous féliciter, vous remercier puis vous entendre peut-être
davantage sur ces concepts-là de matérialité, de consentement, je dirais,
modulé et d'intérêts légitimes des entreprises.
• (17 heures) •
Mme
Gratton (Éloïse) : Alors,
bien, consentement modulé, j'en ai quand
même pas mal parlé, en fait, là,
puis l'introduction des nouvelles bases
juridiques. Peut-être quelques mots sur les évaluations des facteurs de
risque. Et, en fait, c'est un
exercice qu'on fait déjà. Il y a beaucoup de grandes entreprises, là, qui nous
demandent, là, de les aider à faire ces évaluations-là, les plus petites
beaucoup moins.
Donc, c'est
clair que, quand je vois cette obligation-là,
je me dis : O.K., il y a plusieurs entreprises, là, au Québec, qui vont dire : O.K., comment je fais ce
genre d'évaluation là? Et c'est correct de faire une évaluation des
facteurs de risque en disant : Voici,
j'ai un cas d'étude, j'ai un besoin d'affaires légitime. Il y a plusieurs
façons, là, de se rendre à mes fins. Il y a des enjeux de vie privée
parce que ça implique des renseignements personnels. Est-ce que j'ai pensé à
tout? Est-ce que c'est raisonnable? Est-ce que, si je mets tout ça dans la
balance, c'est acceptable, les risques en matière de vie privée sont
acceptables, compte tenu du besoin d'affaires, là, qui est en cause?
Donc, c'est très bien de proposer cette... C'est
ma suggestion n° 4, là... notre suggestion n° 4,
là. On était plusieurs à écrire le
mémoire. Mais en fait notre seule inquiétude, si je peux
m'exprimer ainsi, c'est qu'il n'y a pas de matérialité. Donc, il faut faire, là, des évaluations
constamment pour tout et rien. Donc, ça va être, en fin de compte, un lourd
fardeau pour les entreprises, là, selon nous. Il y en a plusieurs qui nous ont
contactés en nous disant : O.K., ça va être du gros sérieux.
Et, en matière d'intérêts légitimes, en fait,
c'est une base légale en vertu du RGPD, et je pense que c'est... Il y avait eu certaines... Il y avait le commissaire
à la vie privée, à une certaine époque, qui avait été interrogé et qui
avait... On lui avait demandé : Est-ce
que vous pensez... puis, tu sais, introduire cette notion-là? Et, son
inquiétude, il disait : Bien, j'ai
peur que, s'il y a cette exception-là au consentement d'intérêts légitimes, les
entreprises utilisent toujours ça comme excuse, puis, finalement, les consommateurs
ne sont pas protégés. Donc, c'était... Il y a quelques années, il a fait... il
a présenté, là, ses inquiétudes.
Et
là c'est sûr, là, le RGPD est entré en vigueur. Là, deux ans plus tard, on
regarde ce qui se passe, et, non, comme... Il y a des guides qui sont publiés
en Europe, qui disent : Voici ce qui est un intérêt légitime d'une
entreprise, voici ce qui est acceptable, ce qui n'est pas acceptable. Donc, si
vous utilisez ça avec une obligation de transparence... Les entreprises doivent être très claires et expliquer
comment ils utilisent... quels types de renseignements ils utilisent, là,
sur la base juridique d'intérêts légitimes.
Et, avec les pénalités qui sont potentiellement acceptables, il n'y a pas du
tout eu de perte de contrôle, en
Europe, en matière de renseignements personnels. Donc, j'ai l'impression que
c'est une base juridique qui serait très utile tant pour les entreprises
que pour les consommateurs, en fin de compte.
M. Tanguay : Et cette notion,
aussi, je le dirais de même, de prévisibilité, justement, pour les entreprises
qui doivent mettre en application... qui
sont de bonne foi, qui veulent connaître leurs obligations : Mettez-moi ça
clair, puis je vais les suivre, les obligations... et que, si c'est le
moindrement flou, bien, à ce moment-là, on mettrait au même pied d'égalité l'entreprise cow-boy et l'entreprise
qui, de bonne foi, veut respecter les règles mais, finalement, se
demande si elle a fait la bonne affaire puis
se demande finalement : Est-ce que c'est trop lourd, est-ce que j'en fais
trop? Donc, vous nous invitez à préciser cela.
Vous faisiez référence au fait qu'en Europe il y
a eu des fascicules, des bulletins qui venaient préciser les obligations. J'imagine que, pour mon intervention,
là, pour atteindre ces objectifs-là, là, c'est ce qui est souhaité, là,
une prévisibilité qui, nécessairement, découlerait de distinctions :
matérialité, types de renseignements, et ainsi de suite, modulation du
consentement. Tout est lié, là. Donc, à cette lumière-là, vous nous invitez à
raffiner l'approche.
Mme Gratton (Éloïse) : Oui,
exactement.
M. Tanguay : Faites-vous la distinction... Et là, sans dire
extrapoler, le terme est trop fort, là, j'en déduis... Il y a deux concepts... Au niveau de la qualification
d'un renseignement, trouvez-vous important, donc, que, dans
l'application, qui découle d'une
prévisibilité, là, on sait ce qu'on fait puis on sait qu'on doit le faire, ça...
l'importance de distinguer ce qui pourrait
être, puis les qualificatifs, là, pourraient être autres, là... de
renseignements nominatifs, renseignements sensibles, renseignements
hautement sensibles? Vous nous invitez à quelle définition, à quelle réflexion
à ce chapitre-là?
Mme Gratton (Éloïse) : J'aime la
définition de renseignements sensibles que vous proposez. En fait, elle est flexible. Donc, c'est génial. Le seul problème,
c'est sûr que, lorsque c'est très flexible, bien, il y a moins de
prévisibilité. Donc, c'est là où est-ce que
la CAI a vraiment un rôle à jouer, un rôle de guide. Et, en fait, j'espère
qu'avec ce projet de loi là la CAI
aura les ressources nécessaires, là, justement, pour publier des documents, des
guides pour s'assurer, là, d'éduquer les entreprises, en fait, là, et
puis les éclairer quant à son interprétation, là, dans différents contextes, de
la définition de renseignements personnels, renseignements sensibles, etc.
M. Tanguay : Est-ce
que vous jugez, à la lumière des règlements
en Europe, tel que le prévoit actuellement
la loi sur la Commission d'accès à l'information et le projet de loi n° 64,
que la CAI, au-delà d'une question budgétaire, a l'obligation, le devoir, clairement défini dans la loi, de répondre à
ces demandes d'éclaircissement là? Est-ce
que vous ne trouvez pas... Est-ce que vous nous invitez à ne pas mettre
un article redéfinissant ou ajoutant, devrais-je dire, une responsabilité à la
CAI d'être proactive quant à des bulletins d'information et d'interprétation?
Mme Gratton
(Éloïse) : Bien, si ce n'est
pas déjà clair dans la loi, je pense que ce serait définitivement
souhaitable. C'est ça que je peux dire, oui, puis des...
M. Tanguay : Avez-vous un
exemple européen à nous soumettre?
Mme
Gratton (Éloïse) : Au niveau
des guides ou de... non, je pense... Bien, à l'époque c'était le groupe de travail l'Article 29, mais ils
ont été renommés. Ils ont un nouveau nom, là, depuis l'entrée en vigueur du
RGPD, mais, oui, ils se regroupent.
Ils ont des budgets puis ils publient, là, beaucoup de guides à
l'attention des entreprises, et une petite note, là, idéalement, ces guides-là seraient dans les deux
langues. Il y a beaucoup de sièges sociaux d'entreprises, là, qui sont
basés, par exemple, en Ontario. Donc, ça serait bien d'avoir ces documents-là
dans les deux langues.
M. Tanguay : Et on a le ministre aussi, incidemment, ministre responsable de l'application de la Charte
de la langue française, alors, qui était très attentif, mais je ne vais
pas lui prêter d'intentions suite à cela. Il en jugera.
Rapidement,
suggestion 9, je trouvais ça... un autre concept, c'est ça, l'intérêt de
votre mémoire, c'est que ça nous force
à se poser les bonnes questions en amont : «Clarifier et circonscrire la
portée du droit à la portabilité des données, notamment de manière à ce qu'il ne s'applique qu'à certains types de
données, à savoir les renseignements fournis par la personne elle-même
et non les renseignements qui sont dérivés, créés, etc.»
Donc, on est
au-delà de la catégorisation sensible, pas sensible, mais vous nous invitez à
définir et à donner une valeur
juridique à quand la personne le donne elle-même et quand elles sont dérivées.
J'aimerais ça que vous, avec le peu de temps qu'il nous reste, là,
peut-être, étayiez cette notion-là de dériver et de créer.
Mme
Gratton (Éloïse) : Oui, bien, en fait, dans certains cas, des
entreprises vont analyser des données, créer peut-être des scores, créer des profils. Donc, dans
certains cas, il y a une valeur commerciale à ces données-là. Ce n'est
plus vraiment des renseignements personnels.
C'est presque un algorithme qu'on va appliquer, par exemple, aux consommateurs.
Donc, c'était une
précision que je demandais pour la loi. Mais, dans certains documents
qui ont été fournis, soumis, je pense, par
la ministre, même au
niveau de l'impact de la loi, à moins
que je me trompe, là, mais il me semble qu'on le précise, là, que les renseignements dérivés ne feront pas partie du droit de
portabilité. Donc, j'ai l'impression qu'on est déjà enlignés à ce sujet-là,
mais c'était peut-être juste de le préciser dans la loi.
• (17 h 10) •
Le Président (M. Bachand) : Merci
beaucoup. Est-ce qu'il y aurait consentement pour
interchanger la place entre les députés de René-Lévesque et Gouin?
Consentement. Merci beaucoup de votre grande collaboration. M. le député de
René-Lévesque.
M. Ouellet :
Merci beaucoup, M. le Président. Donc, à mon tour, Me Gratton, d'avoir
l'opportunité de vous questionner.
Je
vais y aller, d'entrée de jeu, dans votre résumé. Vous avez fait mention de
l'impact que le projet de loi
pourrait avoir dans l'industrie, mais honnêtement je
trouve que vous y allez un petit peu fort lorsque vous dites que «spécifiquement, les nouveaux mécanismes d'application du projet de loi, qui incluent des sanctions pécuniaires administratives, une hausse des amendes et un nouveau droit de recours en
dommages-intérêts, sont susceptibles de soulever [...] des
préoccupations importantes pour [le] secteur privé et d'avoir un effet paralysant
sur l'économie numérique du Québec...»
C'est un petit peu
fort, vous ne trouvez pas? Avec tout ce qui a été fait en Europe, je pense que
l'économie européenne, hors pandémie, n'a
pas été paralysée, mais vous ne trouvez pas que c'est un peu fort de dire que
ça va paralyser l'industrie numérique au Québec?
Mme Gratton
(Éloïse) : Bien, je vais
m'expliquer et peut-être que je
réussirai à vous convaincre, peut-être pas. Lorsque je vois qu'il y a un
nouveau droit pour effectuer des poursuites en atteinte à la vie privée, je
vous dirais, ça m'inquiète, et, ça, je pense que c'était suggestion n° 2 : «Reporter, voire éliminer, le droit d'intenter
un recours en dommages pour atteinte aux droits protégés par la loi sur le
secteur privé...», etc., pour la simple et bonne raison qu'il y a plus d'une centaine d'actions collectives en protection à la
vie privée qui ont été intentées à travers le Canada. Dès qu'il y a un article de journal qui sort critiquant une
entreprise sur est-ce qu'on a collecté trop de données, est-ce qu'on a
été assez transparents, on a des actions collectives qui sont déposées dans
chaque juridiction. Et, à la fin de la journée, c'est beaucoup d'argent pour
les avocats, en fin de compte, et pas beaucoup d'argent pour les consommateurs.
Donc,
je me demande : Est-ce qu'on a vraiment besoin de ce droit-là d'intenter
un recours en dommages pour atteinte
à la vie privée? Aucun de ces recours-là n'a été entendu au mérite. Donc, on
n'a pas vraiment de... mais plusieurs ont
été réglés pour des grosses sommes. Donc, ça existe, c'est là et c'est un
risque qui est très présent pour les entreprises. Je pense que, si on y
va avec des amendes, que d'encourager ces poursuites-là, c'est peut-être un peu
trop intense.
Donc,
c'était un peu ça, là, l'idée, là, suggestions 1 et 2. Est-ce qu'on y va
avec des demandes ou est-ce qu'on y va avec
des poursuites? Parce qu'une entreprise qui fait... qui... par exemple, qui a
un bris de sécurité se retrouverait à avoir une énorme amende à payer
puis, après ça, se retrouverait à se faire poursuivre dans chaque juridiction,
parce qu'on n'est pas... il y a d'autres lois, il y a la... au fédéral et les
deux lois de l'Ouest, donc, se retrouverait à se défendre dans une poursuite en
dommages.
En
Europe, là, si on compare, en vertu du RGPD, il y a ce droit-là, mais souvent
c'est des actions qui sont intentées par
des associations qui représentent des consommateurs. Bon, peut-être que c'est
une avenue. Peut-être que c'est ça, là, la façon, là, d'aller de
l'avant, là, si on veut ce type de recours là en... ce droit d'intenter un
recours en dommages. Je ne voudrais juste
pas encourager ces poursuites-là parce que je ne pense pas qu'à la fin de la
journée... Surtout s'il y a des amendes, les entreprises seront motivées
à se conformer à la loi, évidemment. Je ne pense pas qu'au bout de la ligne les
consommateurs sont gagnants.
Le Président (M. Bachand) : On a dépassé le temps, malheureusement. M. le
député de Gouin, s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, Me Gratton.
Désolé, j'ai... En toute sincérité, je dois vous dire que j'ai raté
votre présentation. Par contre, j'avais lu votre mémoire. Donc, c'est à ça que
je vais me référer.
D'entrée
de jeu, je partage ce qui était sous-entendu, je pense, par mon collègue de
René-Lévesque. L'argument que vous
nous présentez est un argument assez classique, hein? Si on en demande trop aux
entreprises, elles ne seront pas contentes.
Elles vont s'en aller. C'est ce qu'on nous dit en matière de fiscalité. C'est
ce type d'argument là qui est présenté à beaucoup de gouvernements dans le monde pour les décourager d'introduire
des législations pour protéger le bien commun. Ce n'est pas un argument qui est nouveau à cet égard. Puis vous l'utilisez,
cet argument-là, en ce qui a trait au consentement.
À
l'article... À la page 9 de votre mémoire, vous nous dites qu'il faut
revoir la... Vous nous dites : «...le projet de loi pourrait être amélioré [...] en clarifiant [...]
en circonscrivant la notion de consentement — et vous dites — et même en introduisant d'autres
bases légales de traitement...» Et vous dites : «...dont les intérêts
légitimes d'une entreprise...» Pouvez-vous définir le mot «légitimes» dans
cette phrase-là?
Mme
Gratton (Éloïse) : Oui, bien, en fait, c'est un concept européen.
Donc, je n'ai pas inventé ce concept-là. C'est une base juridique en
vertu du RGPD et c'est une... Donc, par exemple, qu'est-ce que je pourrais...
Et, en fait, lorsqu'une entreprise, en vertu
de la législation européenne, dit : En vertu de mon intérêt légitime, je
collecte ce type de renseignements là et voici ce que je fais, ils ont
une obligation de transparence dans la politique de vie privée, et les
autorités peuvent demander des justificatifs. Donc, c'est quand même un
concept, là, qui a évolué.
Alors,
je vous donne, par exemple, un exemple. Ce serait quoi, un intérêt légitime?
Dans certains cas, par exemple, une
entreprise pourrait être soumise à un audit. Donc, on se rend sur les lieux. On
doit... On demande certains renseignements pour valider, par exemple, que l'entreprise se conforme à certaines obligations
juridiques. Est-ce qu'on a vraiment besoin d'aller voir son employé pour lui demander le consentement pour
divulguer ses renseignements dans un contexte d'audit ou dans un contexte, par exemple, d'un client qui
veut s'assurer que l'entreprise se conforme à la loi? Alors, je vous
donne un exemple, là, mais... oui?
M.
Nadeau-Dubois : Oui, merci. Parfait. Je ne veux pas vous bousculer,
mais j'ai juste 2 min 45 s, ça fait que je vais passer à
ma prochaine question.
Mme Gratton
(Éloïse) : Oui, allez-y.
M.
Nadeau-Dubois : Vous dites également, dans la section de votre mémoire
qui porte sur le consentement, qu'il faut éviter de multiplier les
demandes de consentement. Si les entreprises multiplient les collectes de
renseignements personnels, est-ce que, le
pendant naturel, ce n'est pas qu'on... Est-ce que ce n'est pas logique que, la
conséquence, ce soit de multiplier
les demandes de consentement puis, au lieu de baisser la barre du consentement,
est-ce que ce ne serait pas de
sensibiliser... Est-ce que, la solution, ce n'est pas davantage de peut-être
sensibiliser certaines entreprises à ce qu'elles ont réellement besoin
de collecter ou pas?
Parce
que c'est maintenant documenté que plusieurs entreprises, notamment des géants
du Web, collectent des données dont
elles n'ont pas actuellement identifié d'intérêt commercial. Donc, elles
collectent des données dont elles n'ont, en effet, pas besoin, mais elles les collectent en sachant
qu'éventuellement l'avancement de la technologie va rendre ces données-là monétisables dans 10, 15, 20 ans.
Google est basé sur ce modèle de collecte massive. Même des données dont
on n'a pas encore les moyens de tirer des profits, bien, on se dit : Un
jour, les développements vont nous le permettre.
Le
Président (M. Bachand) : Me Gratton, rapidement, s'il vous
plaît.
Mme Gratton
(Éloïse) : Oui, bien, en fait, c'est déjà une obligation dans la loi.
On ne peut pas collecter des renseignements dont on n'a pas besoin. Donc, la
protection, je vous dirais, elle est déjà là, l'article 5 et 9, oui.
Le Président (M. Bachand) : Sur ce, merci infiniment, Me Gratton, d'avoir
participé aux travaux de la commission. C'est très, très, très apprécié.
La commission suspend
ses travaux jusqu'à 19 h 30. Merci beaucoup.
(Suspension de la séance à
17 h 17)
(Reprise à 19 h 32)
Le Président (M. Bachand) : À
l'ordre, s'il vous plaît! La commission
reprend ses travaux. Bon début de soirée.
La commission est
réunie afin de poursuivre les auditions publiques dans le cadre des consultations
particulières sur le projet de loi n° 64...
Des voix :
...
Le Président (M. Bachand) : ...s'il
vous plaît, s'il vous plaît, merci — Loi modernisant des dispositions législatives en
matière de protection des renseignements personnels.
Alors,
ce soir, nous allons débuter avec le représentant de la Fédération canadienne
de l'entreprise indépendante, M. François
Vincent, à qui je cède la parole pour 10 minutes. Et, après ça, on aura un
échange avec les membres de la commission. Merci beaucoup d'être ici
avec nous ce soir.
Fédération canadienne de
l'entreprise indépendante
(Visioconférence)
M. Vincent (François) : M. le Président, je vous remercie. M. le
ministre, Mmes et MM. les députés membres de la commission, je me nomme François Vincent et je suis le
représentant des petites et moyennes entreprises québécoises à titre de
vice-président de la Fédération canadienne de l'entreprise indépendante pour le
Québec, la FCEI.
À
la FCEI, on regroupe 110 000 entreprises,
PME, au Canada, et 24 000 au Québec. On vous remercie vraiment beaucoup de nous recevoir ce soir pour commenter
le projet de loi n° 64, qui est une pièce législative importante de
mise à niveau du cadre légal de la
protection des renseignements personnels pour faire suivre à l'avancement
technologique que nous avons vécu. Je tiens à vous dire, M. le
Président, que la FCEI accueille positivement la présente réflexion. La FCEI
appelle toutefois à une action arrimée avec le fédéral et les autres
juridictions provinciales.
M. le Président, avant de rentrer dans le coeur du sujet, il est important
ici, pour moi, de faire une mise en contexte de l'économie au Québec. Il
faut en parler et en prendre compte dans la présente analyse, surtout quand l'adoption
de nouvelles règles peut avoir un impact sur les PME.
Donc, où en sommes-nous? En date du
22 septembre, au Québec, il y a trois PME sur cinq qui n'ont pas retrouvé leur niveau de ventes normal, trois sur
cinq. Ils sont 52 % à avoir
retrouvé le niveau normal de leur personnel d'avant-crise. On a à peine franchi la moitié des
entreprises au Québec. Sans reprise économique plus vigoureuse, ça va prendre près d'un an et demi, un an et cinq mois
pour être exact, selon notre étude, en moyenne, aux PME canadiennes pour retrouver le niveau de ventes d'avant
COVID-19. On ne parle pas de quelques mois seulement, là. On parle d'un
an et demi. En date de la fin juin, les PME
du Québec avaient cumulé une dette moyenne de 135 000 $ en raison
seulement des impacts de la COVID-19. Puis,
selon nos évaluations, on pourrait perdre entre 18 000 entreprises au
Québec... voire 30 000, dans un scénario plus pessimiste.
Dans ce contexte-là, bien, toute nouvelle
réglementation doit tenir compte de ce contexte-là et des potentiels impacts que ça peut avoir sur les PME qui sont
déjà extrêmement fragilisées par la présente pandémie. Puis j'ajoute
qu'elles sont 75 % des PME à demander
aux différents paliers gouvernementaux de les aider à traverser la crise
sanitaire actuelle en diminuant leur
fardeau administratif et réglementaire. Bien, M. le Président, pour pouvoir
réduire le fardeau, bien, d'abord, il faut s'assurer de ne pas en créer
de nouveaux.
Pour revenir
au projet de loi n° 64, nous
désirons vous partager quelques informations qu'on juge pertinentes dans
la présente analyse. L'Enquête canadienne
sur la cybersécurité et le cybercrime, publiée par Statistique Canada en
2019, illustre qu'environ 92 % des entreprises canadiennes ont déclaré
avoir utilisé un ou plusieurs services de technologie numérique en 2017. On y indique également qu'une grande proportion des
entreprises utilisent également d'autres technologies, comme les
services d'information et de stockage nuagiques.
Aussi, plus
d'une PME sur cinq a déclaré avoir été victime d'une attaque cybernétique. Pour
se prémunir contre ces risques, les
PME ont dépensé en moyenne 44 000 $... les petites entreprises,
44 000 $, puis les moyennes, 108 000 $. On constate donc que les PME peuvent être victimes de
cette nouvelle situation, qu'elles sont déjà dédiées à la réduction des
risques, à la recherche de solutions. Cela est à prendre en considération.
La FCEI
constate également que la présente réflexion suit un mouvement lancé dans le
monde, notamment en Europe, avec
l'entrée en vigueur du Règlement général sur la protection des données, en
2016. Ici, on désire préciser que l'Union européenne comporte 27 pays, puis que, justement, on vient ici avec un
règlement qui s'applique dans un bloc de plusieurs juridictions
voisines. C'est ce qu'on devrait viser aussi au Québec, adapter ces
changements-là avec le gouvernement fédéral et les autres provinces.
À cet égard, nous mentionnons que le
gouvernement fédéral a annoncé son intention de moderniser la Loi de protection des renseignements personnels et les
documents électroniques pour la rendre adéquate au règlement européen. C'est d'ailleurs mentionné dans l'analyse d'impact
réglementaire du présent projet de loi. Dans ce contexte, la FCEI estime
qu'il serait avisé de connaître les
intentions du gouvernement fédéral avant d'adopter le présent projet de loi
pour assurer un arrimage vraiment
complet du cadre légal et ne pas dédoubler les formalités administratives qui
pourraient être imposées aux entreprises. C'est notre première
recommandation de notre mémoire.
D'ailleurs, hier, une déclaration commune des
associations d'entreprises, dont nous sommes signataires avec 26 autres organisations, a été publiée en
regard de l'importance d'un cadre de protection des renseignements
personnels uniforme au Canada, qui trouverait
un équilibre entre la gestion des risques et la compétitivité des entreprises.
Il me fera plaisir de partager ce
document aux membres de la commission. Nous réitérons, ici, il faut prendre le
temps de bien faire les choses et d'adapter ce projet de loi là au
contexte économique et au contexte juridique du Canada.
Advenant que
le gouvernement et les parlementaires désirent aller de l'avant immédiatement
avec une réforme législative et de faire un cadre spécifique au Québec,
voici d'autres recommandations.
D'abord, on
pense qu'il faut prendre en considération la réalité de la petite entreprise
puis de ne pas créer les mêmes obligations
dans un cadre... pour répondre à leur réalité qui est bien différente. Au
Québec, le coût de la paperasse de la réglementation
représente un coût annuel de 7 milliards de dollars pour les entreprises,
mais il est inversement proportionnel à la grandeur de l'entreprise. Par
exemple, il va en coûter à peu près cinq fois plus pour une entreprise de moins
de cinq employés qu'une entreprise qui a 100 employés et plus.
Selon notre
analyse, l'article 95 va augmenter le fardeau de la PME en créant un
responsable de protection des renseignements...
préconisant l'adoption d'une politique d'encadrement de renseignements, notamment
en entreprise. Les propriétaires de
PME, bien, c'est des hommes, c'est des femmes chefs d'orchestre. Dans une
journée, ils peuvent être derrière la caisse, s'occuper de la
comptabilité, gérer des commandes, traiter avec des clients, avec des
fournisseurs, déployer une stratégie de
marketing, s'assurer de la mise en place des mesures sanitaires, etc. Plus
l'entreprise va être petite, bien,
plus les nouvelles tâches et obligations, normalement, incombent sur le
dirigeant ou la dirigeante de l'entreprise. Puis, certes, il est possible qu'ils délèguent cette
tâche ou partagent une responsabilité avec un membre de leur personnel,
mais cela va représenter une perte de productivité et des coûts supplémentaires
à assumer pour des plus petites entreprises.
• (19 h 40) •
C'est pour
cette raison qu'on demande d'exclure les PME de moins de 10 employés aux
formalités administratives spécifiquement,
là. Dans un contexte actuel que j'ai présenté en début de présentation, il faut
aider les PME à se relever, pas ajouter
un poids sur leurs épaules déjà fragiles. M. le Président, vous savez, exclure
des petites entreprises de certaines obligations techniques, de
paperasse d'une loi, bien, ce n'est pas nouveau.
Je peux donner l'exemple du régime volontaire
d'épargne-retraite, le RVER, qui est rentré par vagues en assujettissant les plus grandes entreprises en
premier, puis, maintenant, qui n'assujettit pas les entreprises de moins
de cinq employés, l'équité salariale pour les entreprises de moins de 10, la
Charte de la langue française, pour les moins de
50, concernant les obligations de démarches de francisation à l'OQLF, parce
qu'elles sont toutes assujetties, quand même, aux dispositions de la
charte. Donc, nous vous demandons ici d'avoir la même approche pour prendre en
considération la réalité bien particulière de la petite entreprise.
M. le
Président, on ne peut pas passer sous silence le montant des amendes.
L'article 150 du projet de loi n° 64 accorde à la Commission d'accès à l'information
des pouvoirs de contrôle et de sanction importants. On parle d'un
montant maximal de
sanctions administratives pécuniaires... peut aller jusqu'à 50 000 $
pour une personne physique et, dans d'autres cas, 10 millions. En matière de sanctions pénales pécuniaires, on
parle de chiffres de 5 000 $ à 50 000 $ dans le
cadre d'une personne physique et de 15 000 $ à 25 millions de
dollars pour les autres cas.
M. le
Président, les deux tiers des PME canadiennes disaient gagner moins de
73 000 $ par année selon une étude de la FCEI, menée en 2016. Une pénalité d'une dizaine de milliers de
dollars, pour une PME, c'est énorme et ça peut être très difficile pour
passer à travers une amende d'un tel poids. La FCEI vous invite à miser sur
l'accompagnement avant les amendes.
C'est
d'ailleurs la méthode qui avait été choisie par le ministère des Finances quand il avait mis en application le
règlement concernant l'attestation fiscale pour le secteur de la construction
puis des agences de placement. Avant de distribuer
une première amende, bien, il y a un avertissement qui est donné puis une
explication de la règle à suivre. On pense qu'il y a une approche
similaire qui pourrait être imitée dans le cadre du projet de loi n° 64.
Enfin, nous
invitons les parlementaires à prendre en considération la période de
transition. Si on regarde l'exemple européen,
où, en 2018, près de la moitié des entreprises n'étaient pas encore en règle,
on peut constater que la période de transition prise, dans leur cas, de
24 mois, était peut-être trop courte. C'est pour cette raison que la FCEI
propose une transition de 36 mois et aucune amende avant un délai fixé à
48 mois.
Alors, je
vous remercie pour votre écoute, M.
le Président, puis je serai heureux
d'échanger avec vous aujourd'hui.
Le Président (M.
Bachand) : Merci beaucoup, M. Vincent. M. le ministre, s'il
vous plaît.
M. Jolin-Barrette : Oui, merci,
M. le Président. M. Vincent, bonsoir. Merci de participer à la commission
parlementaire que nous tenons en lien avec le projet de loi n° 64.
Donc, M. Vincent, d'entrée de jeu, là, vous
avez dit : C'est important pour les PME, notamment, mais en fait l'organisation que vous représentez, d'attendre le
fédéral, donc, d'avoir une uniformité avec le contexte canadien. Vous ne
pensez pas que, si on ne fait qu'attendre,
il n'y a pas grand-chose qui va bouger en matière d'accès à l'information
puis de protection des renseignements
personnels s'il faut attendre le
fédéral pour agir, considérant qu'il y a des fuites de données, considérant que le législateur québécois
est souverain dans ses champs de compétences et qu'il pourrait même, lui-même,
être un leader pour amener les autres juridictions à faire en sorte de
moderniser leurs lois sur l'accès à l'information?
M. Vincent
(François) : Bien, pour
répondre à votre question, je ne pense pas nécessairement qu'on va
attendre éternellement si on attend le
fédéral, surtout si on se fie à la page 29 de l'analyse d'impact
réglementaire de votre propre projet de loi, où on dit que le gouvernement
fédéral travaille présentement afin de moderniser la loi.
Puis, si je
vais un petit peu plus loin dans le paragraphe, là, c'est le deuxième
paragraphe, le premier paragraphe en dessous
des deux picots, on dit : «On peut donc s'attendre à ce que la LPRPDE soit
modifiée dans un futur assez proche et que
les obligations soient similaires à celles prévues dans le projet de loi.» Puis, plus loin, aussi, on parle de coopération puis d'harmonisation réglementaire puis on
mentionne, dans cette analyse-là, que les associations et les entreprises
qui ont été rencontrées avaient mentionné
que c'était important justement d'harmoniser avec la loi puis que certaines
dispositions se fient à la loi actuelle.
Donc, nous,
ce qu'on dit : Bien, faisons bien les choses, ayons la réflexion, ayons le
débat, regardons puis arrimons avec
le fédéral, mais attendons voir qu'est-ce que le gouvernement fédéral va faire
au lieu qu'on soit une seule province à adopter des règles puis, ensuite
de ça, on doive réadapter notre loi par rapport au cadre fédéral, notamment ce
qui est possible que l'Alberta puis que la Colombie-Britannique fassent, ça aussi, qui est mentionné à la page 29 de l'analyse
d'impact réglementaire, au dernier paragraphe de votre projet de loi.
M.
Jolin-Barrette : Donc, ce
que vous nous dites, c'est : Attendez, n'agissez pas. On va attendre de
voir ce que le fédéral va faire,
laissons le gouvernement fédéral, le Parlement fédéral avoir primauté sur l'Assemblée nationale. Si le fédéral
dépose un cadre juridique, bien là nous, province de Québec, à ce moment-là, on viendra s'arrimer avec le fédéral.
Or, dans la loi sur... dans le privé, on a agi
comme précurseurs, en 1993. Et, par la suite, c'est le fédéral, en 2000‑2001,
qui est venu dire : Avec une législation équivalente, s'il y a législation
équivalente, on laisse la loi s'appliquer. Donc, moi, je pense qu'on ne doit pas attendre pour légiférer. Je pense
que les Québécois s'attendent à ce qu'on prenne action. Bien
sûr, il faut s'arrimer avec le gouvernement fédéral, mais, ce que je veux dire, il ne faut pas attendre avant d'agir
pour protéger les renseignements personnels des Québécois.
Sur la question,
là, du fardeau pour les entreprises, j'aimerais ça vous entendre davantage
là-dessus. Vous nous dites : Bon, on a des enjeux, là, pour les PME de moins de
10 employés, au niveau du responsable. Donc, vous souhaiteriez
qu'on enlève ça puis que ça s'applique à 10 et plus.
M. Vincent
(François) : Oui, bien, pour
répondre à votre question juste
avant, je ne veux pas vous
empêcher, le Québec, d'avoir... de pouvoir adopter vos lois. Ce qu'on
dit, on dit : Faisons bien les choses et faisons quelque chose en collaboration, évitons de faire deux cadres, ou deux parallèles, ou deux
tenues de registres, quand on sait qu'il
y a déjà des travaux qui ont été faits. Il y a même des ententes qui
visent à faciliter justement la coopération légale. Puis, bien, la France fait partie de l'Union européenne. Puis il y a
27 autres pays qui ont adopté le même cadre. Nous, on pense qu'on devrait prendre la même approche puis on n'est
pas les seuls. On n'est pas, à la FCEI, les seuls. Il y a
26 autres organisations économiques qui ont formulé cette
demande-là hier.
Maintenant,
sur la question du fardeau
administratif et réglementaire, bien, encore là, l'étude d'analyse
d'impact réglementaire calcule qu'il va y
avoir un coût d'application estimé à 68 millions de dollars puis un coût
récurrent estimé à 56 942 060 $. C'est quand même des montants qui sont à
mentionner et significatifs. Pour la petite entreprise, bien, oui, on voudrait qu'il y ait une exclusion, pas de
l'application, nécessairement, de la loi, mais de l'application des formalités
du registre, de la mise en place d'une
politique, puis etc., qu'il pourrait
y avoir des guides fournis par le ministère qui pourraient être appliqués en entreprise.
Mais je donne
un exemple. Admettons, là, moi, je vais aller, M. le Président, me faire couper les cheveux jeudi. Ils sont courts, mais ils poussent quand
même vite. Mais j'ai reçu un texto aujourd'hui pour remplir un formulaire de sécurité pour savoir si j'avais
rencontré quelqu'un dans les 14 jours, si j'avais voyagé à l'extérieur, si
j'avais des signes de COVID. Bien, ils ont mon numéro de téléphone
cellulaire. Ils ont mon dossier à
l'intérieur... Et ils ont, d'une
certaine façon... sont assujettis à
certaines dispositions par rapport à ça. Qu'est-ce
que ça va changer, dans leur cas,
d'adopter une politique interne? Un garagiste, par exemple, qui a mes informations, mes sortes de pneus, ma sorte de voiture, puis
etc. Ce sont des genres d'application de formalités administratives qui
pourraient faire une différence pour eux sans pour autant les dédouaner des
obligations de ne pas vendre ou utiliser ces renseignements personnels là à
mauvais escient.
M. Jolin-Barrette : Je comprends. Donc, pour l'entrée en vigueur de
la loi, là, vous souhaitez 48 mois pour les amendes puis
36 mois pour l'entrée en vigueur de la loi.
M. Vincent
(François) : Bien, dans le
meilleur des cas, on aimerait ça qu'il
y ait un avertissement avant, surtout
pour la petite entreprise. Maintenant, si vous appliquez la... oui,
minimalement un 36 mois, puis 48 mois après pour appliquer les amendes, puis ainsi pouvoir faire un
accompagnement, une campagne de communication, une sensibilisation,
puis ainsi permettre aux entreprises de pouvoir s'assujettir à cette loi-là,
aux nouvelles dispositions de la loi.
• (19 h 50) •
M. Jolin-Barrette : Mais toutes
les entreprises, là, qui utilisent les données des Québécois, qui récoltent des
données, là, des Québécois, des renseignements personnels notamment, là, vous
ne pensez pas que, les Québécois, ils souhaitent un encadrement quand même
rapide de leurs données relativement à ça, quand on voit les différents événements qui arrivent, qu'ils soient informés si
jamais il y a des fuites de renseignements, différentes
mesures? Tu sais, en fait, ça fait
depuis 1982 que cette loi-là n'a pas été réformée. On parle de 1993 dans les
renseignements personnels. Vous ne pensez pas que ça constitue une priorité, pour nombre de Québécois,
de s'assurer de la sécurisation de leurs données?
M. Vincent
(François) : Je pense
que c'est une priorité pour les Québécois, mais que les Québécois veulent bien faire les choses. Je pense qu'on peut comprendre
la réalité différente d'une entreprise de moins de 10 employés, qui n'a pas nécessairement de département de ressources humaines. Je pense que les Québécois
comprennent et sont sensibles à la réalité
économique vécue par les entreprises actuellement dans le cadre de la COVID-19, et elles sont déjà extrêmement fragiles. Je
vous recommanderais de ne pas précipiter les choses, de faire les bonnes
réflexions, puis prendre des bonnes décisions, puis surtout d'arrimer le
cadre avec qu'est-ce qui va être mis en place par nos juridictions voisines.
Une entreprise, bien, ça peut aussi aller
dans des juridictions à côté. Donc,
d'abord, prendre en considération la réalité de la petite entreprise, de l'entreprise de prestation de
services qui peut avoir des identifiants sans nécessairement vouloir
transiger des informations personnelles,
puis, de l'autre côté, le contexte économique fragile et l'adaptation avec les
autres juridictions.
M.
Jolin-Barrette : Vous êtes
conscient qu'on supporte les entreprises dans les difficultés qu'elles vivent
présentement rattachées à la pandémie. Je
pense que notre gouvernement démontre beaucoup d'appui pour les
entreprises. Puis on sait que c'est un moment qui est extrêmement difficile à
passer. Ça, c'est une chose qui est dite.
Ensuite,
lorsque l'État québécois légifère, bien, ce n'est pas juste à courte vue,
ce n'est pas juste aussi dans les six prochains
mois ni dans la prochaine année aussi. Donc, ça, il faut avoir ça en
considération aussi lorsqu'on agit pour l'ensemble des Québécois et qu'on prend des décisions aussi. Il faut
regarder plus loin qu'à courte vue, parce
que, parfois, certaines décisions
pourraient faire en sorte qu'on manquerait le bateau, alors qu'il s'agit d'un
enjeu qui est important, surtout à l'ère des nouvelles technologies.
Mais je vais m'arrêter ici, M. le Président. Je
pense, j'ai des collègues qui veulent poser des questions.
Le Président (M.
Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.
M.
Lévesque (Chapleau) : Oui,
merci, M. le Président. Merci, M. Vincent. C'est un plaisir de vous
revoir. La dernière fois, c'était au caucus régional de l'Outaouais.
Et donc peut-être
une petite question, là, pour... On a eu, cet après-midi, une spécialiste,
dans le fond, du droit sur les renseignements... la protection des
renseignements personnels, puis elle nous parlait du droit européen, avec les standards qui sont les plus élevés, là, disons, en
matière de protection. Et là je me... Un peu en lien avec le commentaire
que vous nous avez fait tout à l'heure, on devrait attendre, s'aligner avec le fédéral, disons, dans
l'éventualité que le fédéral... Puis
actuellement c'est le cas, là, autant au fédéral que les autres provinces ne
sont pas au niveau... du moins, c'est ce que la spécialiste nous disait,
pas au niveau du droit européen ou des meilleures pratiques en la matière.
Pourquoi on ne pourrait pas être un chef de file, en quelque sorte, et adopter,
justement, nous, les standards élevés pour protéger les renseignements
personnels de notre... dans le fond, de la population, les citoyens au Québec,
et, dans le fond, être, nous, des champions?
M. Vincent
(François) : Bien, tu sais,
je prendrais l'expression de M. le ministre, là, pour ne pas être tout
seul dans le bateau... Au moins, on va être avec 10 autres provinces, puis
on va être avec le gouvernement fédéral, puis on va s'assurer d'avoir des règles qui sont
similaires. Le cadre européen, ils n'ont pas 27 règles différentes. Ils
ont un cadre légal qui est appliqué
dans 27 États européens. On est... Oui, l'Assemblée nationale est souveraine, mais on est aussi dans un pays. On peut s'assurer d'avoir un cadre légal le
plus connecté possible. Donc, c'est pour ça qu'on fait cette demande-là.
Puis, quant à
la sensibilité du gouvernement aux entreprises, qui avait été mentionnée par
votre collègue juste avant, oui, mais je vous invite quand même à aller
voir, aux pages 17, 18 et 19, toute la liste des formalités
administratives réglementaires qui sont créées actuellement puis à aller
rencontrer vos entreprises qui font face à la présente crise, puis qu'il y en a
trois sur cinq qui ne font pas leurs ventes actuellement, pour leur dire qu'ils
vont avoir à implanter ça rapidement.
Je crois que
c'est urgent, oui, mais on peut s'assurer de bien prendre une bonne voie, puis,
comme je dis, je le réitère, l'arrimage
avec le fédéral, puis s'assurer de limiter au maximum possible l'impact de
l'augmentation du fardeau administratif et réglementaire des
entreprises, qui n'ont pas besoin de ça actuellement.
M. Lévesque (Chapleau) : C'est ça,
vous m'avez...
M. Vincent
(François) : Puis je ne dis
pas que je suis contre la protection des renseignements personnels, là.
Je dis juste : Il faut prendre en considération la réalité de la petite
entreprise là-dedans.
M.
Lévesque (Chapleau) : Je
comprends tout à fait. Puis d'ailleurs ça m'amène à ma prochaine question.
Mais, juste pour terminer sur ce point-là,
donc, on serait... Il vaudrait mieux ne pas adopter les meilleurs standards
pour pouvoir suivre le fédéral et les autres provinces. Donc, ça, ça
serait quelque chose qui serait mieux que d'avoir les meilleurs standards, là, en matière de protection des
renseignements personnels. Donc, c'est ce que je comprends, parce que
disons que le fédéral puis les autres
provinces n'allaient pas au même niveau que nous, qui semble être le meilleur
standard, donc, on serait mieux de s'arrimer sur le fédéral que d'avoir
les meilleurs standards. Donc, ça, juste pour terminer ça.
Maintenant, ma deuxième question. Donc, vous
vous inquiétez justement, effectivement, du sort des petites entreprises. Vous
suggérez peut-être que des normes différentes pourraient être appliquées, à ce
moment-là, à elles. Qu'est-ce que vous
proposeriez? Parce qu'effectivement les réalités, là, on en prend compte puis on est
sensibles à ces réalités-là. Mais on aimerait peut-être avoir votre son
de cloche par rapport à ça, s'il y avait peut-être des points, des éléments
autres que vous voudriez nous partager quant aux normes ou peut-être à la façon
de l'appliquer.
M. Vincent (François) : Oui. D'abord,
comment on peut dire que le cadre fédéral va être moins... va moins protéger le citoyen que le cadre québécois
quand on n'a pas encore entendu parler des intentions du ministère
du gouvernement fédéral? Puis, si on se fie sur le droit européen puis on
dit qu'on veut s'aligner sur le droit européen... Puis ce qu'on entend, c'est qu'ils veulent encadrer le
droit pour essayer d'aller chercher une conformité avec qu'est-ce qui se passe en Europe. Donc, je
comprends mal cette perception de dire que ça va nécessairement être moins bon
ou moins important si c'est le gouvernement fédéral qui le fait.
Moi, je pense
qu'on peut avoir... Vous avez une discussion avec les experts. Vous allez être
capables de définir qu'est-ce que les acteurs québécois préconisent
comme réforme, puis, ensuite de ça, utiliser ça avec nos partenaires fédéraux, puis s'assurer d'éviter un dédoublement, puis d'avoir le meilleur
cadre possible, qui va répondre à la réalité des entreprises, répondre à la réalité des petites entreprises puis bien
protéger les renseignements
personnels des individus.
Quant à
l'exclusion des PME, on parle des formalités administratives, là. Admettons, la
personne doit mettre en oeuvre une
politique et des pratiques... la gouvernance à l'égard des renseignements. Bien, l'entreprise
de moins de cinq a-tu vraiment besoin
de prendre du temps de définir une politique, puis de l'envoyer à ses employés,
puis, ensuite de ça, de définir quelqu'un
pour faire ça? Ensuite de ça, il y a l'exploitation du registre qui semble
aussi être un fardeau, de communiquer ces informations sur le site Web
ou par toute autre manière.
Donc, on peut
sensibiliser les entreprises à ce qu'elles doivent faire, leur fournir des
guides et des politiques qu'ils peuvent
adapter et mettre en place dans leur entreprise sans les assujettir au fait
qu'elles doivent le faire puis, dans le fond, que ça va être le propriétaire de l'entreprise qui va faire ça après ses
heures de travail pour ne pas écoper d'une amende, là, de dizaines de
milliers de dollars.
M.
Lévesque (Chapleau) : O.K.,
merci. Je vous entends bien. Peut-être une petite dernière question. Je sais que
ma collègue aura peut-être d'autres questions, là. En lien avec le contexte COVID,
là, dont vous faites mention, est-ce qu'il y aurait des propositions spécifiques par rapport à ça pour, peut-être, l'application ou la mise en oeuvre de
façon graduelle de certaines mesures en lien avec la protection, bien entendu,
des renseignements personnels?
M. Vincent
(François) : Bien, nous, ce
que les PME nous disent... On leur a demandé : C'est quoi, la
meilleure façon de vous aider dans le cadre
de la relance économique? Puis les
deux premières réponses qu'elles nous ont dites... ont dit : N'augmente pas mon fardeau fiscal, mes
taxes, mes impôts, d'abord, parce que j'ai de la misère à arriver, point,
puis je dois prendre un endettement assez
intense, puis rajoute-moi pas un fardeau réglementaire qui va m'empêcher de
pouvoir mettre toutes mes énergies à faire en sorte de pouvoir sauver mon
entreprise.
Donc, nous,
on a demandé, dans ce cadre-là, d'adopter un moratoire réglementaire. Puis, on
s'entend, là, je ne dis pas qu'on ne
veut pas adopter des nouvelles lois qui vont protéger la santé publique, là.
Ça, c'est... Il n'est pas question, dans
cette demande-là... ce n'est pas rajouter des nouvelles charges pour les
entreprises en termes de temps qu'elles vont passer pour répondre... les papiers, etc., au gouvernement. Puis, ce que
je vois ici, c'est que ça... même votre propre analyse dit que ça peut
créer un tel fardeau auprès des entreprises.
M. Lévesque
(Chapleau) : Merci.
Le Président (M.
Bachand) : Mme la députée de Notre-Dame-de-Grâce, s'il vous
plaît.
• (20 heures) •
Mme Weil :
Merci beaucoup pour votre présentation. Je dois vous dire qu'ayant été au
gouvernement pendant quand même assez
longtemps je suis très sensible à tout ce que vous dites par rapport au poids
réglementaire. Et donc il y a tout un
plan d'action. D'ailleurs il y a un nouveau plan d'action, comme vous le dites,
en matière d'allègement qui sera bientôt déposé, donc, 2020‑2025. C'est
sûr que l'objectif ici, ce n'est pas d'écraser les PME, c'est de s'assurer de
protéger les informations personnelles. C'est un enjeu très important.
Donc, ce que vous nous invitez... moi, ce que
j'entends, c'est : Aidez-nous à faire le travail, et rencontrer les exigences de la loi éventuelle, et de répondre...
et de s'assurer qu'on s'engage dans cette voie-là, mais c'est le
comment, on met l'accent beaucoup sur le
comment. C'est sûr que l'Union européenne, ce n'est pas la fédération
canadienne. Des fois, il y a des
provinces qui vont être leaders en la matière, des fois, c'est le fédéral. Et,
généralement, quand on amène un projet
de loi, d'ailleurs, au Conseil exécutif, il y a une comparaison qui se fait
avec d'autres juridictions parce qu'on veut toujours s'assurer qu'on n'est pas dans les derniers puis qu'on est
précurseurs. Alors, je pense que le modèle canadien, dans ce sens-là,
est bon. Donc, on a des leaders qui vont inspirer d'autres, et d'autres vont
faire en sorte... Mais on ne veut pas être trop à l'écart non plus.
Donc, je suis
très d'accord aussi avec cette notion d'une certaine consultation, d'une
certaine connaissance de ce qui s'en vient pour s'assurer qu'il y a un
certain arrimage, mais c'est vous qui le dites. Alors, j'aimerais... J'ai
d'autres questions aussi, mais j'aimerais
peut-être que vous nous disiez plus précisément en quoi un arrimage ferait en
sorte de mieux vous protéger. Quel serait l'impact négatif avec le fait
que peut-être que les lois soient, à quelque part, un peu différentes les unes
des autres, surtout du fédéral et du Québec? C'est quoi, l'impact de ça?
M. Vincent
(François) : Oui, bien, la
complexité pour une entreprise qui va avoir un pied dans deux provinces,
par exemple, donc, il va y avoir deux cadres
différents à suivre. Puis ça peut être compliqué, puis ce n'est pas
nécessairement des grandes entreprises qui
vont être dans deux provinces. Ça peut être des entreprises qui sont à la
limite d'une province, que ça soit
proche de l'Ontario, par exemple, en Outaouais. Il peut y avoir des entreprises
qui vont avoir des activités des deux
côtés, que ça soit en fabrication, que ça soit en construction, que ça soit
dans d'autres services. Donc, quand on doit suivre deux règlements qui sont différents, ça peut ajouter une
complexité par rapport à ça. Donc, ce serait la première... Je ne sais pas si... Je pense, j'ai oublié... Vous
aviez une deuxième partie à votre question, mais, d'emblée, ce serait
comme mon réflexe, là.
Mme Weil : Oui, vous répondez
un peu à la question, mais c'est sûr que c'est un peu vrai dans tout, hein? Il y a des règlements qui sont différents pour les
différentes provinces. Donc, c'est sûr que c'est pour ça que, souvent, quand on amène un projet de
loi, on se compare pour être sûrs qu'on n'est pas vraiment à l'extérieur, là,
de la norme.
Vous avez parlé d'accompagnement. Et j'ai vu,
sur le site fédéral, d'ailleurs, que le commissaire... le Commissariat à la
protection de la vie privée vient de lancer, il y a quelques semaines, tout,
comment dire, un gabarit d'accompagnement justement pour les entreprises, pour
les aider à atteindre leur but. C'est très détaillé. Ça a l'air vraiment
intéressant. Est-ce que c'est un peu dans ce sens-là...
Parlons
d'accompagnement, dans un premier temps, avant de poser des questions
sur vos... bien, exigences, votre demande, votre souhait
qu'on étale la période de transition. Un accompagnement, est-ce que
ça pourrait être la réponse? C'est-à-dire, ces petites et moyennes entreprises, souvent,
ils vont partager des ressources dans certains domaines très complexes parce
qu'ils n'ont pas les moyens pour
quelque chose d'aussi complexe que le respect de la loi en matière de protection des renseignements personnels,
cyberattaques, etc. Comme vous dites, les entrepreneurs, c'est des
hommes à tout faire ou des femmes à tout
faire. Ils font tout. Vous avez parlé de chefs d'orchestre, mais ils font tout.
Alors, un partage de ressources, mais
aussi l'accompagnement, est-ce que c'est un peu ça, le sens de votre propos, c'est...
avant de parler de pénalités, c'est
l'accompagnement pour les PME? Je suis vraiment dans les PME, pas les grandes entreprises,
évidemment, qui ont les moyens, mais les petites et moyennes telles que vous
les décrivez.
M. Vincent
(François) : Bien, je dirais
oui. Puis, tu sais, on parle beaucoup de diminuer... du coût de la paperasse puis de diminuer la paperasse, mais un des pans
superimportants de ça, c'est vraiment l'accompagnement, parce que la très grande majorité des entreprises veulent bien
faire, mais, des fois, plus on est petit puis qu'on est impliqué dans la
production, on a moins de temps puis on ne peut pas nécessairement tout savoir.
Donc, si on améliore l'application réglementaire, la compréhension...
l'application réglementaire, oui, c'est une des clés pour permettre aux
entreprises d'appliquer la réglementation
plus facilement, puis même l'État va chercher une augmentation de la conformité
réglementaire.
Puis, juste là-dessus, un petit exemple, là,
l'équité salariale, là, il y a un progiciel qui a été créé pour aider les entreprises dans le processus, puis qui peut être
supercomplexe, mais, après ça, ils vont avoir un système à côté qui va
leur permettre de les accompagner pour réaliser
le processus. Donc, ça, c'est un exemple. Tu sais, admettons, là, sur, tu sais, la Charte
de la langue française, si j'arrive à 51 employés, puis qu'il faut que je
fasse un processus, puis que, là, bien, je dépose...
je vais chercher ma certification, là, ensuite de ça, bien, il faut que je
définisse une politique, bien, ça pourrait être bien d'avoir des exemples de politiques que je
peux télécharger puis, ensuite de ça, être capable de l'appliquer
facilement à l'intérieur de mon entreprise puis me conformer.
Donc,
oui, l'accompagnement, c'est une clé, au gouvernement, à utiliser.
Puis, ça, on le sent qu'il y a une bonne volonté des différents organismes, agences gouvernementales et ministères de prendre cette voie-là, puis on le
recommande. Puis, juste
pour conclure là-dessus, puis c'était ça, aussi, l'objectif de l'attestation de
conformité fiscale dans l'industrie de la
construction puis des secteurs des agences de placement, c'était vraiment... parce que, là, c'était une règle qui changeait complètement. Il y avait... C'est quand même complexe puis
lourd, parce qu'il faut que tu aies
un échange de... Il faut que tu ailles chercher un formulaire. Puis tu
vas avoir une création d'une nouvelle entreprise qui ne sait pas que ça existe,
puis etc. Puis, en procédant par
l'avertissement avant, dans une conformité fiscale, qui est quand même assez...
une chasse gardée réglementaire assez
importante, bien, on s'assure de vraiment informer correctement les entreprises
puis de s'assurer qu'après, là, bien, elles n'ont aucune raison de dire
qu'elles ne le savaient pas.
Mme
Weil : Et ensuite, si on va... Bon, vous commencez... Bien,
vous parlez de votre inquiétude par rapport à toutes les peines qui sont
prévues, que c'est du jamais vu, et c'est là qui vous amène à parler de... au
lieu de mesures coercitives, c'est plutôt de
procéder par accompagnement, certainement, dans un certain temps, pour
permettre cette période de transition,
mais votre langage semble vraiment dire... J'aimerais vous entendre là-dessus
parce qu'on n'a pas beaucoup parlé de
ça, de cette section de votre mémoire. Donc, vous dites «que le projet de loi
[...] accorde à la Commission d'accès à l'information des pouvoirs de contrôle et de sanction d'une envergure
sans précédent envers les entreprises qui seraient prises à défaut». Feriez-vous une distinction
entre les PME et les grandes entreprises, s'il fallait avoir, donc, un
régime qui ferait la distinction?
M. Vincent (François) : Oui, on a été frappés par la hauteur des amendes,
là. Je suis tombé en bas de ma chaise. Une chance que j'avais un tapis
qui était épais, ça ne m'a pas trop fait mal. Mais on comprend qu'on adapte le
droit européen, puis, en termes d'euros, je
pense, c'est 20 millions d'euros, 4 % des chiffres d'affaires. Mais
comme on a dit, là, par rapport à ce que fait vraiment une petite
entreprise, c'est vraiment immense.
Puis,
après ça, bien, c'est... bon, on pourrait me répondre : Bien, on ne veut
pas aller nécessairement au maximum, mais, après ça, le minimum est
quand même assez élevé. Puis on a vécu la même chose au niveau de la réforme
des amendes dans le secteur de la
construction, et j'ai été précédemment dans une association de la construction.
Puis, après ça, bien, tu as des
petites entreprises qui sont de bonne foi puis qui se ramassent avec un niveau
d'amende tellement élevé que ça met à risque leur propre survie, puis on
ne veut pas reproduire quelque chose comme ça, qui pourrait avoir un impact
dans la petite entreprise, pour des entreprises qui, fondamentalement, ne
voulaient pas mal faire.
Puis je veux juste
rajouter un autre élément, là. Les dirigeants de PME... C'est elles aussi qui
sont la cible de potentielles attaques. Tu sais,
on voit, là, dans la présentation de l'analyse des impacts réglementaires, le
nom des grandes entreprises, mais des
petites entreprises aussi peuvent être victimes, puis là on les traite comme si
c'étaient des grandes entreprises,
avec les mêmes responsabilités. Alors, nous, on dit... On est supersensibles à
cette question-là, mais on vous sensibilise à la réalité bien
particulière de nombreuses petites entreprises québécoises.
• (20 h 10) •
Mme
Weil : Il me reste quelques minutes? Oui. Donc, moi, ce que je
retiens de votre présentation, c'est qu'il faut vraiment... Dans un contexte de COVID, évidemment, la reprise va prendre
certainement un certain temps. Il y a cette sensibilité... Il y a un certain contexte, mais, je pense, ça a mis le
«spotlight» sur la vulnérabilité des PME. Ça, c'est sûr, tout le monde a
cette sensibilité. Je pense, le gouvernement l'aurait aussi.
Mais, par ailleurs,
même si on n'était pas dans un contexte de COVID, vous dites : Faites
attention, c'est l'accompagnement, certainement, pour la première période, et
trouver les moyens d'aider les PME à rencontrer leurs obligations, et surtout faire attention... Je suis très sensible à cette
question des peines qui sont imposées. Il ne faut vraiment jamais être à l'écart des normes. Puis il y a tout
un exercice qui se fait pour s'assurer qu'on est dans les normes. Mais,
en plus, ici, c'est la sensibilité
particulière que vous faites par rapport aux PME, faire une distinction avec
les grandes entreprises qui auraient les moyens, mais qui auraient aussi
les ressources pour s'assurer qu'elles respectent la loi.
Alors, moi, je
retiens... Donc, je n'ai plus de temps, mais je retiens votre message
principal, qui est très, très pertinent dans
le contexte. On souhaite que... protéger les renseignements personnels, mais
que tout le monde puisse aller dans le même sens de protection des
renseignements personnels et puisse être des acteurs.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Gouin,
s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, M. Vincent.
Merci d'être avec nous ce soir. J'ai deux sujets que j'aimerais aborder avec vous. J'ai seulement
2 min 45 s. Ça fait qu'on va essayer de faire ça efficacement,
vous et moi.
D'abord, sur la
question des amendes, vous semblez inquiet du montant des amendes. Par contre,
dans votre mémoire, vous allez plus loin.
Vous ne nous mettez pas seulement en garde sur le montant. Vous nous
dites : «La FCEI ne croit pas
que les mesures coercitives soient la voie à suivre...» Donc, dans les faits,
si je comprends bien votre position, puis
votre troisième recommandation va dans ce sens-là, vous souhaiteriez un régime
de protection des renseignements personnels, au Québec, dépourvu de
mesures punitives envers les entreprises. Est-ce que je comprends bien votre
troisième recommandation?
M. Vincent (François) : O.K.,
je vais répondre. Parlant d'utilisation des données personnelles, je me suis...
j'ai... En répondant à votre question,
j'espère que je ne me ramasserai pas encore
une fois dans une vidéo de votre parti politique pour vous scandaliser de la
position de la FCEI, comme j'ai vu cette semaine.
Le
Président (M. Bachand) : M. Vincent, je vous demanderais...
On n'est pas...
M. Vincent
(François) : M. le Président, désolé.
Le
Président (M. Bachand) : On
n'est pas dans un talk-show politique. On est en commission parlementaire. Allez-y.
M. Nadeau-Dubois : ...ne vous inquiétez pas, tout est télédiffusé. On n'a
pas besoin de faire de montage pour que les gens soient au courant. Je
vous laisse terminer votre réponse.
M. Vincent
(François) : Ce qu'on dit,
c'est assez clair. On dit : L'impact d'une amende, dans une petite entreprise
qui était de bonne foi, peut avoir un impact
sur sa survie. Ensuite, on parle qu'il faut prioriser la sensibilisation et l'accompagnement des entreprises. Dans notre dernière recommandation,
on dit : Si vous allez de l'avant, bien, les amendes, là, après
48 mois... Donc, si vous décidez d'aller de l'avant avec le système tel
quel, bien, on dit : Bien, la transition
de 36 mois pour informer les entreprises puis, ensuite de ça, les amendes imposées après
48 mois. Maintenant, je vous
sensibilise fortement à l'impact que peut avoir une telle amende sur la survie
d'une entreprise quand on voit que ce n'est pas... Les PME ne roulent pas toutes sur
l'or. Puis une dizaine de milliers d'amendes, ça peut vraiment
faire une différence sur leur survie.
M. Nadeau-Dubois : Je comprends, sauf que vous me parlez du montant,
mais, dans votre mémoire, vous parlez... vous dites que vous souhaitez qu'il n'y ait pas de mesures coercitives.
Donc, vous ne nous dites pas seulement :
L'amende est trop élevée ou le plancher est trop bas. Vous nous dites : Il
ne devrait pas y en avoir. Moi, c'est ça que je lis dans votre mémoire.
Mais, puisque
j'ai peu de temps, je voudrais enchaîner sur un deuxième sujet. À la toute fin,
là, votre cinquième recommandation, est-ce
que je la comprends bien si je
comprends que vous recommandez qu'il n'y ait pas d'obligations pour les entreprises lorsqu'elles transmettent des données vers une entreprise
étrangère? Vous dites : Pas d'obligation, seulement une invitation
aux meilleures pratiques. Donc, vous souhaitez qu'il n'y ait pas d'obligations
légales pour les entreprises québécoises lorsqu'elles envoient les données des Québécois
puis des Québécoises à l'étranger.
Le Président (M.
Bachand) : Merci beaucoup. Très rapidement,
M. Vincent, parce que le temps est écoulé.
M. Vincent
(François) : Oui, préciser
la réponse précédente, là, on dit : L'accompagnement devrait être
priorisé avant les amendes. Puis on parle de
la méthode qui a été faite par le ministère
des Finances, qui donnait un
avertissement avant de donner une amende.
Donc, ce qu'on dit, c'est d'y aller par étapes. Puis, ensuite, pour la dernière
recommandation, bien, l'explicatif est dans le texte juste avant. Donc, je vous
référerais au texte de notre mémoire.
Le Président (M.
Bachand) : M. le député de René-Lévesque, s'il
vous plaît.
M. Ouellet : Merci beaucoup, M. le
Président. Donc, à mon tour de vous saluer, M. Vincent.
Je veux juste
bien comprendre votre prétention tout à l'heure, lorsque vous avez dit que vous
voudriez qu'on ait un moratoire de
trois ans avant l'application de la loi et de quatre ans pour les mesures
punitives. Est-ce que c'est consécutif ou ça serait concurrent? C'est-à-dire, on commence trois ans, pour le projet de loi, avant sa mise en application, mais, à la quatrième année de vie du projet
de loi, les mesures pourraient être appliquées, les mesures financières, ou
c'est vraiment trois ans plus quatre, qui fait un total de sept?
M. Vincent
(François) : O.K., non, non,
ce n'est pas additionné, là. Puis, si on parle de période de transition,
dans le projet de loi, dans les dispositions
finales, on parle de 12 mois. Nous, après ça, on a regardé le droit
européen. On a dit qu'ils ont pris
24 mois, puis qu'après ça, bien, la moitié des entreprises n'étaient pas
encore conformes. Donc, on s'est dit : Bien, peut-être que
36 mois, ça serait plus réaliste pour vraiment bien sensibiliser puis
augmenter le pourcentage de conformité. Puis, ensuite de ça, bien, on rajoute
des mois après le 36, pour un total de 48.
M.
Ouellet : Merci. Vous faites
référence tout à l'heure à l'opportunité que le gouvernement du Québec devrait prendre,
à savoir de ne pas légiférer tout de suite pour peut-être s'arrimer avec le gouvernement fédéral, mais je ne vous ai pas
entendu parler de l'existence de la frontière américaine aussi, qui fait que
des entreprises transigent avec les États-Unis. Est-ce que vous
pousseriez votre réflexion à dire aussi qu'on devrait attendre avant même aussi
que les Américains transigent pour éviter
d'être en compétition déloyale, considérant qu'on va être plus resserrés sur les
règles par rapport à nos amis
les Américains?
M. Vincent
(François) : Oui, bien,
nous, notre recommandation, c'est vraiment le cadre canadien, dans le
mémoire qu'on a effectué, puis, la demande aussi des 26 associations, on
parle d'avoir un cadre clair au pays. Donc, moi, je vous recommanderais de se fier à nos provinces voisines et au gouvernement fédéral d'abord. C'est comme ça qu'on a élaboré notre réflexion et les recommandations
de notre mémoire.
M.
Ouellet : Juste une petite
précision qui pourrait m'aider à apprécier votre argument. Combien de petites
ou très petites entreprises transigent avec
le commerce interprovincial dans vos membres ou dans vos statistiques? Est-ce que c'est plus de 50 %,
60 %, ou c'est plus une infime partie?
M. Vincent (François) : Je n'ai pas ces données-là avec moi. Je pourrais
vous les trouver, mais il me semble, de mémoire, que c'était comme un
24 % qui exportait, un 60 % qui importe, puis que c'était
majoritairement avec les États-Unis. Mais je
n'ai pas ces données-là par coeur, mais je peux faire une recherche puis
acheminer l'information aux membres
de la commission parlementaire si ça peut aider à la réflexion puis à vos
discussions quant au présent projet de loi.
M. Ouellet : Ce serait apprécié, M. Vincent. Considérant que votre fédération
est une fédération canadienne,
vous avez des membres à travers le Canada,
mais, évidemment, nous, ce qui nous préoccupe, c'est les PME du Québec.
Donc, ce genre d'information là pourrait nous permettre d'apprécier, effectivement, si on avait légiféré, que les impacts tels que vous le... pourraient se répertorier sur les
entreprises. J'aimerais ça connaître l'impact que ça pourrait avoir pour le
nombre d'entreprises que vous représentez.
Le
Président (M. Bachand) : Sur ce, M. Vincent, merci
beaucoup de votre participation à la commission.
Celle-ci suspend ses
travaux quelques instants. Merci.
(Suspension de la séance à
20 h 19)
(Reprise à 20 h 22)
Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend
ses travaux. Alors, il me fait plaisir d'accueillir
les représentants de la Fédération des chambres de commerce du Québec. Alors,
vous avez 10 minutes de présentation. D'abord, vous présenter, bien
sûr, individuellement, et, après ça, on aura un échange avec les membres de la
commission. Alors, M. le président.
Fédération des chambres de
commerce du Québec
(Visioconférence)
M. Milliard (Charles) : Alors, bonsoir. Je me présente, Charles Milliard,
P.D.G. de la Fédération des chambres de commerce du Québec. Je suis accompagné ce soir, donc, de M. Alain
Lavoie, qui est président du comité des technologies de l'information et des communications à la FCCQ.
Je remercie la commission de nous permettre de comparaître ce soir et
pour discuter, donc, de cet important projet de loi n° 64.
Un
bref rappel. Je crois que vous le savez, mais la FCCQ, grâce à son vaste réseau
de plus de 130 chambres de commerce
et de 1 100 membres corporatifs, représente plus de 50 000 entreprises, des petites, des
moyennes, des grandes, qui exercent leurs activités, donc, dans tous les
secteurs de l'économie et sur l'ensemble du territoire québécois.
D'entrée
de jeu, je tiens à afficher nos couleurs dans le cadre des consultations. Donc,
je tiens à vous dire que nous sommes favorables à un projet de loi comme
celui-ci, qui vient reconnaître la nécessité de mettre à jour notre cadre
législatif en matière de protection des données personnelles. On s'adresse à
vous ce soir, donc, dans une optique de bonification
du projet de loi, tout en vous faisant part, évidemment, c'est notre rôle, des
nombreuses questions, inquiétudes ou
suggestions qui ont meublé les discussions avec nos membres. Je vous mentionne
aussi au passage que nous avons joint à notre mémoire une lettre d'appui
de l'Association québécoise des technologies, qui supporte nos observations et
recommandations.
L'évolution
technologique des dernières décennies, l'avènement et la croissance
d'entreprises dont le modèle d'affaires
repose sur la commercialisation des renseignements personnels et l'évolution
rapide des secteurs d'activité comme l'intelligence
artificielle nous poussent donc, nous, membres de la société civile, à la
réflexion et à l'action. Les parlementaires que vous êtes, donc, visez juste en vous penchant sur ce dossier, et
l'actualité nationale et internationale nous le rappelle fréquemment.
Aussi, je rappelle que tous doivent se sentir concernés ce soir, donc le
secteur privé, mais aussi, aussi, le secteur public.
Soyons
clairs, les renseignements personnels méritent d'être protégés et les
contrevenants méritent d'être sanctionnés.
Le véritable enjeu ici, c'est plutôt
la recherche de l'équilibre entre cet impératif de protection et entre le
désir légitime des entreprises
québécoises de continuer d'innover, de compétitionner à
armes égales et surtout, surtout, de réussir.
Autre point important
à noter, notre approche, aujourd'hui, n'est pas de commenter le projet de loi
dans une perspective légale ou technique. Je
crois important de le mentionner. Vous allez recevoir de nombreux experts au
cours des prochains jours qui seront beaucoup
plus... mieux placés que nous pour pratiquer ce genre d'éclairage. Notre
contribution vise donc à assurer que la future loi soit la plus pragmatique et
réaliste possible pour les entrepreneurs de toutes les régions du Québec.
Je
voudrais vous parler rapidement de quatre aspects du projet de loi qui nécessitent, selon nous, une attention particulière, donc le besoin d'harmonisation législative, le flux de données transfrontalier, la notion de
consentement et, bien sûr, le soutien aux PME.
Alors, tout d'abord,
il est crucial pour le Québec de ne pas s'isoler du reste du Canada ou de ses
principaux partenaires internationaux. Bien
que les changements proposés par le p.l. n° 64 soient inspirés du
RPGD adopté par l'Union européenne, il est souhaitable
que le Québec et le reste du Canada coordonnent leurs
efforts en vue d'harmoniser le
plus possible, dans la mesure du possible, les obligations en matière de protection des renseignements personnels. Si
le Québec devait faire cavalier seul,
il risquerait de pénaliser les entreprises québécoises et autres entreprises
faisant affaire au Québec. Nos principaux partenaires économiques sont
vraiment autour de nous.
Alors,
il faut privilégier la concertation à l'isolement, mais, comprenons-nous bien,
on ne demande pas ici, ce soir, de
suivre les autres juridictions ou d'attendre, comme j'ai entendu, d'ailleurs,
M. le ministre le dire. On souhaite que le Québec adopte une position de leadership et entame des discussions
avec ses homologues afin de favoriser l'élaboration d'un régime de
protection de données qui, oui, serait pancanadien et qui viserait le
développement économique des entreprises québécoises à l'intérieur de cette
zone économique, tout en permettant, évidemment, au gouvernement d'arriver à
ses fins.
Prenons,
notamment, l'exemple du secteur de l'intelligence artificielle. Dans les
dernières années, les différents gouvernements
du Québec ont choisi, avec raison, je pense, de miser gros sur ce secteur, avec
tout le succès que l'on connaît maintenant et dont on est si fiers. Or,
une adoption rapide du projet de loi n° 64 sans
harmonisation avec les autres provinces et avec le gouvernement fédéral mettra
nécessairement à risque la compétitivité de ce secteur.
Un autre
enjeu très préoccupant pour nos membres est l'amendement concernant le flux de
données transfrontalier. Cet
amendement crée un processus d'obligation... d'évaluation, pardon, obligatoire
des équivalences des cadres juridiques de
différentes juridictions qui est certainement complexe, ambigu et parfois
subjectif. Si le processus d'évaluation devait conclure que les informations destinées à une autre juridiction
bénéficieront d'une protection similaire à celle prévue au Québec, il en
résulterait, donc, un ensemble de dispositions contractuelles visant à établir
des obligations réciproques en matière de
protection de données, ce qui est ou devrait déjà être la réalité dans la
majorité des ententes de transfert de données
transfrontalier. L'incertitude causée par ce processus, et surtout, peut-être,
le manque d'expertise des entrepreneurs en la matière, risque de nuire au commerce et au développement
économique du Québec. Encore une fois, l'harmonisation des législations
dans notre zone économique primaire viendrait, bien sûr, aplanir bien des
enjeux.
Dans un autre
ordre d'idées, le projet de loi n° 64 créé des exigences
en matière de notification des atteintes à la protection des données et, bien sûr, en matière de consentement. Ces
exigences obligeront les entreprises à modifier leurs pratiques mondiales pour accommoder le marché
québécois ou peut-être tout simplement à cesser d'offrir l'accès à leurs
produits ou services aux consommateurs et
aux entreprises du Québec. Il faut simplement reconnaître que ce fait
existe. Les modifications proposées semblent
suggérer un consentement spécifique pour chaque utilisation des renseignements
personnels.
Évidemment,
la FCCQ comprend tout à fait l'objectif du législateur ici, mais cette approche
est factuellement lourde et quand
même peu pratique. Il serait souhaitable, dans un souci de mieux
opérationnaliser ces changements, donc, de permettre le consentement en bloc, dans la mesure où ce consentement
vise, bien sûr, un objet qui serait obligatoirement clairement divulgué.
Permettez-moi
de commenter rapidement l'impact du projet de loi sur les PME. Alors que les
grandes entreprises pourront aisément
s'adjoindre des experts pour se conformer à l'éventuelle nouvelle loi, combien
de PME auront réellement les
ressources, en termes de services juridiques, de conformité, de communication,
pour gérer tous ces changements? La réponse :
très peu d'entre elles. Alors, devant cette réalité, bon nombre d'entrepreneurs
seront laissés à eux-mêmes dans des situations qui sont parfois
complexes, mais qui sont surtout, je vous dirais, anxiogènes.
Il est donc
essentiel pour nous de mettre en place un programme d'accompagnement qui
permettrait aux PME de faire la
transition et d'accorder une période de transition aussi pour se conformer aux
obligations prescrites par le projet de loi. Vous conviendrez avec moi qu'en matière de défis opérationnels,
logistiques, légaux et financiers la cour de nos PME, au Québec, en ce
moment, est pleine, très pleine.
Finalement,
une partie importante de notre mémoire, vous l'avez constaté, se consacre à
l'utilisation des données dans le
secteur de la santé. Le récent débat portant sur l'accès aux données de la
Régie de l'assurance maladie du Québec par
l'industrie pharmaceutique, notamment, a fait l'objet, selon nous, d'un
malheureux glissement médiatique, et je pense qu'il convient de rassurer
la population à cet égard.
Il nous
apparaît important de rappeler que l'industrie biotechnologique et
pharmaceutique ne désire pas acheter des données ni accéder directement aux renseignements de santé des
Québécois. Elle souhaite plutôt être en mesure d'obtenir des réponses à des questions soumises aux
gestionnaires de renseignements personnels et diverses banques de
données gérées par l'État. En clair, ce sont donc les résultats de recherche
qui favorisent l'avancement de la science et non l'obtention des données
brutes.
• (20 h 30) •
Selon
l'article 27 du projet de loi n° 64, des organismes
publics tels qu'un CIUSSS, par exemple, pourraient se voir attribuer un
rôle de gestionnaire de renseignements personnels et, par conséquent, mettre en
place, donc, des bases de données qui
pourraient être utilisées. Les entreprises biotechnologiques pourraient alors
leur soumettre leurs problématiques et
obtenir des réponses. Il s'agirait... ils agiraient, pardon, en quelque sorte,
donc, comme des fiduciaires des données.
Afin de
sécuriser l'ensemble des acteurs, ces gestionnaires pourraient donc être
assujettis, selon nous, à un système de certification ou d'accréditation
imposant les plus hauts standards en matière de protection et d'accès aux
données. Souhaitons que le présent projet de
loi ainsi que l'ensemble de l'action gouvernementale, j'ai envie de dire,
continuent de valoriser et de stimuler la recherche et l'innovation dans le
secteur de la santé au Québec.
En terminant,
la FCCQ salue le travail des parlementaires dans le cadre du projet de loi n° 64. L'enjeu principal, pour vous, selon nous, est réellement de trouver
le bon équilibre entre, d'un côté, la protection et, de l'autre côté,
l'innovation et le développement
économique. Certes, c'est un défi important, pas évident. Mais, si on garde en
tête à la fois le citoyen qui souhaite
voir ses données personnelles protégées et l'entrepreneur qui souhaite avoir
une chance équitable de trouver son marché et de réussir ici et
ailleurs, nous y arriverons.
Avec ce
projet de loi, le Québec se présente encore une fois comme un leader au Canada.
Souhaitons que sa mise en application
se fasse sous le signe de l'harmonisation, de l'accompagnement et surtout du
pragmatisme. La FCCQ sera aux premières loges pour aider les entreprises
du Québec à s'adapter à cette nouvelle réalité. On répondra à vos questions
avec plaisir. Merci de votre attention.
Le Président (M. Bachand) : Merci
beaucoup, M. le Président. M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M. le Président. M. Milliard, un plaisir de vous recevoir
en commission parlementaire. Merci de votre présence. Je crois que vous
êtes accompagné également de M. Lavoie, si je ne me trompe pas.
M. Milliard
(Charles) : Tout à fait, oui.
M. Jolin-Barrette : Merci d'être présent. Écoutez, peut-être... D'entrée de jeu, là, vous
avez fait référence à la notion du
consentement en bloc. Comment est-ce que vous... Pouvez-vous nous détailler
votre position, là, sur la notion de consentement en bloc? Tout à
l'heure, on a eu une intervenante qui nous en parlait un peu pour dire :
Bon, bien, il ne faudrait pas demander à
toutes les fois un consentement, à chaque fois qu'on a un renseignement qui est
recueilli. Vous, vous dites : Bien, on devrait exiger des
consentements en bloc. Comment vous l'opérationnalisez, ça?
M. Milliard
(Charles) : Bien, premièrement, j'ai pris connaissance de
l'intervention de l'experte légale cet après-midi.
Donc, je suis d'accord qu'à force de demander des consentements en série on
vient un peu dénaturer la notion, justement,
de consentement éclairé et explicite, je dirais. Ceci étant dit, je vous dis
que le consentement peut se faire en blocs, «bloc» peut prendre un «s».
Donc, je ne vous demande pas non plus d'avoir un consentement qui serait unique
pour une seule démarche, mais on pense qu'on peut nécessairement regrouper
certaines démarches.
Alain, je ne sais pas
si tu aurais des commentaires là-dessus toi aussi?
M. Lavoie (Alain) : Bien, en fait, effectivement, l'idée, là-dedans,
c'est que le citoyen ne soit pas toujours en train de cliquer pour dire : Je consens, je
consens, puis qu'à un moment donné il arrête de lire. C'est une des choses, et
donc de le faire comme il faut, de donner...
que ce soit clair quand on amène le consentement à la personne. Puis là on
pense surtout... dans le monde
Internet, là, essentiellement, quand on demande un consentement, mais ça
pourrait être aussi dans le monde de la santé, dans le monde de
l'assurance, ainsi de suite, de dire : Je te donne la permission d'accéder
à mes choses.
Ceci dit, il pourrait
y avoir de la récurrence, par exemple. Essentiellement, on pourrait dire :
J'ai donné mon consentement aujourd'hui, mais je rappelle, dans six mois, que je dois
redonner mon consentement. Est-ce que je suis encore là dans six mois? C'est des choses qui
pourraient être possibles. Mais là on n'est pas nécessairement dans les
détails, mais c'est des choses qui seraient possibles d'envisager. Est-ce que
ça répond à votre question, là, M. le ministre?
M. Jolin-Barrette : Oui, bien, c'est intéressant ce que vous dites. Vous dites : Dans le fond, bien, peut-être qu'on
peut donner un consentement une fois puis on n'accorde pas notre consentement à
toutes les fois, mais, d'une façon récurrente, c'est prévu par la loi qu'on
doit revalider le consentement d'une façon détaillée à certaines étapes.
M. Milliard (Charles) : On le voit déjà dans certains secteurs de
la santé, dans le secteur pharmaceutique, dans la protection des données cliniques. C'est des choses qui arrivent aussi. Donc, ça pourrait
être fait. Donc, ça peut être des blocs itératifs, mais sans être une
litanie de consentements sans fin non plus.
M. Jolin-Barrette : O.K. Sur la question de l'intelligence
artificielle, là, vous nous mettez en
garde. Vous dites : Bon, on est
dans un environnement nord-américain, Montréal est une plaque
tournante d'intelligence artificielle. En quoi est-ce qu'on doit être... on doit
faire attention pour ne pas nuire à ce secteur-là?
M. Lavoie (Alain) : Est-ce que je peux me permettre? Écoutez,
on a un momentum en ce moment au Québec où on a beaucoup d'attraction
sur l'intelligence artificielle. On attire beaucoup d'entreprises. Plein de
gens veulent venir s'installer parce qu'on a
une qualité de chercheurs. On a une expertise de pointe. On est probablement un des pôles les plus importants dans le monde quand on
considère intelligence artificielle et recherche opérationnelle.
Essentiellement, puis comme vous le savez, la donnée est une des... est la chose qui
fait fonctionner ces algorithmes-là.
Donc, si on légifère de telle façon que la donnée va être plus accessible chez
nos voisins qu'ici, bien, il se peut
fort bien que les entreprises aillent ailleurs plutôt que venir ici. Ça se
peut que les cerveaux viennent s'installer... aillent ailleurs, parce
que les chercheurs, ce qu'ils cherchent, c'est de la donnée pour pouvoir
alimenter leurs algorithmes. Il se peut très bien...
C'est
ça, c'est de ça qu'on met en garde. On dit : D'un côté, on a investi, puis
on est en train de réussir pour être un pôle en intelligence
artificielle mondial, puis, de
l'autre côté, bien, on pourrait mettre un frein, il se peut qu'il y ait
un frein si on légifère trop, de façon
plus contraignante qu'ailleurs. C'est juste dans ce contexte-là. Ça ne veut pas
dire qu'il faut être cow-boy. Ça veut
dire qu'il faut l'utiliser comme il faut. Il faut responsabiliser les
chercheurs. Il faut responsabiliser les entreprises. Il faut
responsabiliser tout le monde. Mais essentiellement il faut s'assurer quand même que la
compagnie n'ira pas s'installer ailleurs plutôt que de venir au Québec. C'est
une des choses.
M. Jolin-Barrette : Mais il y a plusieurs facteurs aussi dans le choix de
l'installation d'une compagnie dans un État ou dans un autre, là. Mais trouvez-vous qu'avec la mouture qu'on a actuellement avec le projet de loi
n° 64, avec les libellés qu'on a, on est à risque par rapport à l'intelligence
artificielle, avec ce qu'on a, là,
sur la table, présentement, ou vous dites : C'est un compromis
qui est acceptable?
M.
Lavoie (Alain) : En fait, tant et aussi... Moi, je pense que
c'est un compromis qui est acceptable tant et aussi
longtemps qu'on harmonise, tant et aussi longtemps qu'on... Comme Charles l'a dit en préambule, on
est... Moi, je crois
qu'on a un savoir-faire incroyable au Québec. Si on veut être les leaders, soyons les leaders,
mais assurons-nous que nos voisins
nous suivent dans notre projet de loi puis qu'ils prennent le même modèle que nous, parce que,
si on a des modèles disparates un peu partout, c'est là qu'on risque
d'avoir un enjeu de notre côté.
M. Jolin-Barrette : O.K. Sur la question des amendes, des sanctions administratives pécuniaires, qu'est-ce que
vous en pensez, donc, du montant des amendes puis du régime de sanctions
administratives pécuniaires?
M. Milliard (Charles) : Nous, on n'a pas... Pardon. On n'a pas amené de
commentaire précis sur la notion des montants
des amendes. Notre inquiétude, c'est plus sur le nombre d'amendes qu'une organisation pourrait recevoir. Donc, je
pense, ça serait important qu'on précise que... Vous m'entendez? Oui. Je pense
que ça serait important qu'on précise que l'amende doit être applicable
dans la juridiction où elle est constatée.
Donc,
on constate justement que, dans d'autres lois ou d'autres réglementations, c'est possible pour les gens
de cumuler des amendes. Alors, vous allez me dire : Si quelqu'un
est coupable, bien, il pourrait bien payer cinq amendes tant qu'à moi. Peut-être, mais, dans le cadre de la transition puis de la
mise en application d'une loi comme ça, je pense qu'on devrait
s'assurer que les règles sont claires et qu'on peut justement s'attendre au
moins à avoir une amende, à avoir un petit coup de bâton, si on veut, et
qu'ensuite on puisse ajuster et bonifier, là, la façon dont on fonctionne.
M.
Lavoie (Alain) : Et vous êtes enligné aussi... M. le ministre,
vous êtes enligné sur ce que les Européens font
par rapport aux amendes. Il faut comprendre qu'au printemps 2019 il y avait à peu près 109 juridictions dans le monde qui s'enlignaient vers ce que l'Europe a fait. Donc, le Québec, quand il s'enligne à peu près là-dessus,
bien, plus on va être harmonisés,
plus ça va être facile de l'adopter,
plus ça va être facile d'entrer dans le moule. C'est ce qu'on croit à la
FCCQ.
M.
Jolin-Barrette : O.K. Je vous remercie. J'ai des collègues qui veulent
poser des questions.
Le
Président (M. Bachand) : Merci, M. le ministre. Mme la députée
de Les Plaines, s'il vous plaît.
• (20 h 40) •
Mme
Lecours (Les Plaines) : Merci beaucoup, M. le Président. Bonjour à
vous deux. Bonjour, M. Milliard, bien contente de vous revoir en
commission parlementaire.
Je
veux vous ramener sur les PME, et je vais insister sur les PPME, les très
petites entreprises. Comme ancienne directrice
de chambre de commerce, je
comprends très bien
la réalité des petites et très petites entreprises. L'organisme précédent a parlé des 10 employés et moins.
Il aurait... Il souhaiterait qu'on soustraie les petites... employés de 10 et
moins, de ce projet de loi là.
Il
a mentionné également l'impact... pas l'impact, mais l'arrivée du régime de retraite pour les petites entreprises. Moi,
à l'époque, on l'avait instauré avec plusieurs petites entreprises. Même si la
part de l'employeur n'y était pas, au moins,
ça offrait la chance avec... aux employés d'avoir un régime de retraite. Et je pense qu'on va
s'entendre que l'impact sur un...
l'impact de l'implantation d'un régime de retraite n'est pas le même que
l'impact d'un projet de loi sur la protection des données personnelles.
Est-ce
que vous êtes d'avis qu'on devrait maintenir le plan d'action avec les 10...
petites entreprises et moins? Et ma sous-question : Est-ce que ça
pourrait... Justement, votre prédécesseur parlait de l'arrivée progressive...
ou d'être, à tout le moins, bien... accompagner les très petites entreprises
dans cette... l'application de ce projet de loi là.
M. Milliard (Charles) : Bien, écoutez, je vous répondrais à ça que la vie
associative est faite de choix. Si j'ai une bataille à choisir, je
préfère prendre celle de l'accompagnement des PME, des PPME, de tout ce que
vous voulez, des grandes entreprises aussi,
donc, d'accompagner ces entreprises-là, d'avoir une période de transition puis
peut-être d'avoir, pour revenir à la
question de M. le ministre sur les amendes, une approche un peu que je
comparerais à un syndic d'un ordre professionnel,
donc, une approche disciplinaire qui vise, oui, à appliquer la loi, mais aussi
dans un processus d'amélioration continue.
Donc, j'aimerais mieux qu'on soit dans cette approche-là. C'est déjà un gros,
gros morceau pour plein d'entreprises.
Et,
évidemment, dans le discours public, dans le discours médiatique, quand on
pense à la protection des données personnelles,
on pense à plein de grandes entreprises dont on n'a pas besoin de nommer les
noms. Mais il faut se rappeler, puis
vous le savez mieux que moi, même, que ça va s'adresser, donc, à toutes les
entreprises du Québec, et il y en a plusieurs pour lesquelles ça va être
difficile. Premièrement, ils ne comprennent... ils n'ont pas beaucoup
d'expertise dans ce domaine-là, et on ne peut pas les blâmer. Ils ont de
l'expertise dans ce dans quoi ils sont bons. Et l'expertise qui est disponible, au Québec, au Canada, en matière de
protection des renseignements personnels, est assez limitée aussi. Donc,
ce n'est pas un bar ouvert de consultants qui peuvent vous aider là-dedans.
Alors,
c'est important qu'il y ait une forme d'accompagnement qui soit présente dans
le projet de loi, beaucoup plus qu'une forme de restriction, je vous
dirais, là, à mon sens. Alain, je ne sais pas si...
M. Lavoie (Alain) : Écoute, moi, ce que je peux dire, c'est... Au
niveau des amendes, c'est... En fait, on a pris position de dire que l'amende, c'était correct. Mais, essentiellement, je vous dirais, au-delà des amendes, moi, j'ai une compagnie en technologie, puis, s'il y a
une fuite de données chez moi, là, ce n'est pas l'amende qui va être le
problème, c'est ma réputation, puis c'est la réputation de ma compagnie, puis
on va être morts.
Donc,
il faut comprendre, là, qu'on n'aura pas les moyens de s'engager des grandes
firmes de gestion de crise et de tout pour pouvoir nous défendre. Donc,
on a une épée de Damoclès au-dessus de la tête. Il faut faire attention aux données. Puis, qu'on soit un, 10, ou 100, ou
1 000, ça reste que c'est de la donnée personnelle qui appartient à des
citoyens, puis il faut y faire attention. C'est précieux.
Donc,
là-dessus, on dit : Bien, les entreprises doivent travailler correctement avec la donnée. Ceci dit, il
y a une épée de Damoclès pour tout le monde. Puis les plus petites entreprises
risquent de mourir quand ça arrive, parce que leur réputation est faite. Moi, je vous dis, là, j'ai une fuite de données
chez moi puis, même, aujourd'hui, sans... avec le projet de loi, je viens
de perdre 60 % de ma business, parce que...
M. Milliard (Charles) : Une autre
forme d'amende, oui.
M. Lavoie (Alain) : C'est ça.
Le Président (M. Bachand) :
Oui, M. le député de Chapleau.
M.
Lévesque (Chapleau) : Oui,
merci, M. le Président. Bonjour, M. Milliard et M. Lavoie. Merci beaucoup, là, peut-être une petite question ou deux.
Vous avez
parlé de définir davantage le concept d'analyse d'impact, peut-être
me donner quelques idées à cet égard-là, là. Je sais que ça a été beaucoup mentionné par
d'autres intervenants, là, puis il y avait quelques
petits accrocs par rapport à ça. Qu'est-ce que vous voyez, vous, puis
quel... qu'est-ce que vous envisagez par rapport à ça?
M. Lavoie (Alain) :
Charles, je ne sais pas où on a parlé de ça...
M.
Milliard (Charles) : Oui, je
ne suis pas certain de comprendre à quoi vous faites référence. Pourtant,
mon document n'est pas si long que ça.
M.
Lévesque (Chapleau) : Non,
c'est surtout le cadre... non, pas de souci, le cadre... Dans le fond, en élaborant, justement, le projet
de loi, il y a
toute la notion d'analyse d'impact avec les autres juridictions lorsqu'il y aurait transfert de données personnelles. Ça a créé, chez certains intervenants, un peu de friction. Je ne sais pas si, de votre côté, avec vos
membres, oui...
M. Milliard (Charles) : Ah! O.K., d'accord.
M. Lavoie (Alain) :
Donc, ce que vous parlez, c'est ce que le Secrétariat à la législation fait
quand il analyse l'impact sur le projet de loi avant que le projet de loi
aboutit, O.K. Dans ce contexte-là, nous, on n'a pas regardé ça nécessairement.
Ce qu'on dit, aujourd'hui, c'est de dire : Si le Québec veut être leader, go! allons-y parce qu'on
est capables de le faire, mais
assurons-nous de mettre en place tous les moyens pour convaincre le fédéral,
pour convaincre l'Alberta, pour
convaincre l'Ontario, convaincre la Colombie-Britannique d'aller dans le même
sens que nous, parce que, s'ils ne vont pas dans le même sens que nous, bien, on aura un problème au niveau de
l'harmonisation puis au niveau de l'adoption de nos entreprises, parce qu'il va falloir qu'ils s'ajustent aux
différentes juridictions. Donc, je pense qu'il y a une question de
prendre le leadership puis d'y mettre les efforts pour convaincre nos
homologues, c'est tout.
M.
Lévesque (Chapleau) : Parfait, merci. Tu sais, on parle souvent de la
distinction entre les PME puis les plus grandes entreprises, peut-être, chez vos membres, vous avez également,
là, senti ça. Est-ce qu'il faudrait songer à instaurer, là, des niveaux différents de normes en matière de
protection autant pour les PME que les grandes entreprises? Puis vous
verriez ça comment si c'était le cas?
M. Lavoie (Alain) :
Charles, si tu peux me permettre...
M. Milliard (Charles) : Oui, vas-y.
M.
Lavoie (Alain) : Un des
enjeux qui est ressorti essentiellement avec nos discussions, c'est que, là, on
s'en va avec un projet de loi où, je vous
dirais, en ce moment, là, les contentieux, les départements légaux des grandes
compagnies analysent ça puis ils se disent : Comment on va faire affaire
avec des PME, maintenant, qui vont travailler avec la donnée personnelle, puis
que moi, je vais être responsable d'eux quand ils vont travailler avec la
donnée?
Donc, un des
effets de bord qui pourrait arriver d'un tel projet de loi, c'est qu'il y ait
une coupure entre les grands donneurs
d'ouvrage et les PME. Ça, ça pourrait être un enjeu qui pourrait arriver, et il
faut... puis, pour ça, ce qu'on répond, c'est : Essayons de trouver
un équilibre, mais essayons de rester flexibles avec le projet de loi.
Mettons-nous des possibilités, des
dispositions, dans le projet de loi, qui permettraient de s'ajuster en s'en allant
par rapport à ça, parce que ce qui va
arriver, c'est qu'il va y avoir un clash... excusez l'expression, mais il va y
avoir un clash entre les deux, puis on va avoir de la misère à
travailler ensemble, grandes et petites entreprises.
M. Milliard (Charles) : Mais, si je
peux me permettre, par rapport... bon, d'accord.
Le
Président (M. Bachand) :
C'est parce que je dois céder la parole à la députée de Bellechasse. Excusez-moi,
M. le président.
M. Milliard (Charles) : Ça va.
Le
Président (M. Bachand) : Mme la députée de Bellechasse, une
minute.
Mme Lachance : Merci beaucoup. C'est
juste un complément d'information. Tout à l'heure, vous avez parlé d'éviter les sanctions et de davantage se mettre
en mode, en processus d'amélioration continue. Est-ce que vous voyez ça,
dans le temps, comme circonscrit pour une
période de grâce ou vous voyez ça tout simplement, de bout en bout,
intégré dans la loi puis que ce soit continuellement un processus
d'amélioration continue?
M.
Milliard (Charles) : Bien,
écoutez, je pourrais être mal intentionné puis vous dire que la transition
pourrait être éternelle, mais je pense que,
tu sais, on ne viserait pas l'objectif. Je pense que ce qui est important, ce
qui est... Écoutez, on peut viser
peut-être au moins une année à deux années d'adaptation, mais pas totale. On
comprend que c'est une loi qui, en bout
de ligne, est coercitive, là. On ne vient pas avec des attentes démesurées. Ce
qu'on vous dit, par contre, c'est que la notion d'accompagnement continu, encore là, comme je vous l'ai dit,
comme les ordres professionnels, je pense, c'est une attitude que,
premièrement, un paquet d'entreprises connaissent déjà et avec laquelle ils
seraient certainement à l'aise de fonctionner.
Le Président (M. Bachand) :
Merci. M. le député de LaFontaine, s'il vous plaît.
M. Tanguay : Oui, merci
beaucoup, M. le Président, je pense, pour une période de 11 minutes?
Le Président (M.
Bachand) : Exactement, 11 min 20 s.
M. Tanguay : Oui, merci. Bonjour,
bonsoir, M. Milliard et M. Lavoie. Merci d'être avec nous ce soir.
En vous
écoutant, puis je trouve ça très, très, très intéressant, je veux dire, on a eu
l'exemple de Desjardins. On voit que
c'est plus qu'hier moins que demain, les données dans le système de santé.
Puis, je vous entends bien, d'entrée de jeu, vous avez dit :
Écoutez, on ne va pas dans le «nitty-gritty», là. Mais vous avez quand même des
suggestions très tangibles, puis je vais les aborder. Puis je vais vouloir
laisser du temps, tout ça en 11 minutes, à ma collègue de
Notre-Dame-de-Grâce.
Moi, je vois
une évolution dans les enjeux. J'aimerais vous entendre de façon macro puis
j'aurai peut-être quelques petites questions en rafale, micro. De façon
macro, je vois... évidemment, la société, en Occident, évolue. Au début, début, quand on parlait de renseignements
personnels, c'était la protection de la vie privée, c'était le Code civil,
protéger la vie privée : Il y a des choses dans ma vie qui n'ont pas à
être publiques, puis on protège ma vie privée.
Avec les
technologies, avec l'évolution technique, on doit maintenant protéger le vol
d'identité, des renseignements qui pourraient faire en sorte qu'on
usurpe mon identité. Et là, tout autour de cela, dans le système dans lequel on
vit, il y a des entreprises qui gèrent,
obtiennent, achètent, vendent de l'information. Et, M. Lavoie, vous disiez
que c'était 60 % de votre
business, que cette réputation-là et cet avoir-là, en termes de données. Donc,
vol d'identité, c'est un élément.
Puis le
troisième, qui est un peu... là, on est rendus là, là, avec les données... les
métadonnées, faire en sorte de se prémunir
contre la discrimination, une entreprise décide de ne pas contracter avec moi,
par exemple, parce qu'elle aurait su, finalement,
que je n'étais pas assurable pour x raisons, pour différents aspects de ma vie.
Alors, il y a tout ça à protéger.
Trouvez-vous
que... Vous, représentants de la FCCQ, vous avez des entreprises qui, tantôt,
peuvent graviter dans une sphère où
c'est plus la tradition de protéger la vie privée, tantôt, d'autres, c'est de
protéger le vol d'identité, tantôt, d'autres,
c'est de protéger contre la discrimination. Autrement dit, les gens que vous
représentez, les femmes et hommes d'affaires, Fédération des chambres de
commerce du Québec, trouvez-vous que la loi vous donne suffisamment de prévisibilité pour connaître vos obligations, bien
les appliquer puis se faire assurer... s'assurer qu'en bout de piste
vous ne vous ferez pas taper sur les doigts, parce que, là aussi, il y a un
aspect réputationnel?
• (20 h 50) •
M.
Milliard (Charles) : Bien,
écoutez, c'est une excellente question, mais vous faites une démonstration
éclatante du besoin d'accompagnement des
entreprises, parce que c'est de plus en plus compliqué de faire des affaires au
Québec, au Canada, dans le monde, n'importe
où. Vous parlez de la notion de vie privée, de la notion de vol d'identité. Je
vais vous rajouter à ça les
investissements nécessaires en cybersécurité que les entreprises doivent faire.
Alors, c'est toute une histoire.
Alors, quand
on parle qu'on veut stimuler l'entrepreneuriat au Québec, on veut que les
entrepreneurs participent à la
relance économique... Je m'étais promis de ne pas utiliser le terme, on ne veut
pas trop avoir d'obstacles, mais, bon, il est trop tard, je l'ai dit. Il faut faire attention quand même à la notion
d'obstacles qu'on amène aux entreprises. Et la réalité, elle est
différente, de la petite et de la moyenne entreprise... de la petite et de la
grande entreprise, je vous dirais.
Au niveau des
PME, l'enjeu, avec le projet de loi n° 64, c'est de comprendre les tenants
et aboutissants et de gérer ça à l'interne avec les ressources qui sont
disponibles. L'enjeu de la grande entreprise, qui, des fois, en a vu d'autres, c'est la gestion des relations externes avec le
Québec. Alors, ces entreprises-là sont partout sur la scène canadienne,
sur la scène américaine, mondiale. Et, à la
limite, à la lumière de ce qu'on voit, on peut créer justement une difficulté
de transfert des données, malgré un
consentement, là, moi, je ne vous parle pas d'esquiver un consentement, même si
on le voudrait par blocs, qui rend difficiles les opérations de grandes
entreprises.
Et là je ne
vous parle pas de grands méchants, là. Je vous parle d'entreprises que vous
connaissez tous bien, qui ont des
usines en Alberta, mais qui en ont aussi une en Mauricie, et que, si ces
données-là peuvent s'échanger difficilement entre les deux usines, bien, ça devient très difficile et ça devient,
comme je vous l'ai dit, anxiogène. Je trouve que c'est un terme qui
résume bien l'état de plusieurs entrepreneurs en ce moment. C'est gérable,
comme l'anxiété en général, mais c'est ça pareil.
M. Tanguay :
Est-ce que... Puis je ne veux pas être trop philosophique, mais une dernière
question macro, puis je pense que
c'est important. Trouvez-vous que vos membres auraient... puis je ne veux
pas... un examen à faire quant à leur évaluation, la juste valeur de l'information?
Je lisais un papier
il y a quelques mois, où l'on disait : Lorsqu'il y a vente d'entreprises,
on fait souvent un «due diligence», une
évaluation diligente de l'entreprise, puis, très souvent, l'information, il n'y
a pas de valeur monétaire ajoutée à
ça. S'il y avait une valeur monétaire, de façon beaucoup plus systématique,
ajoutée à ça, s'il y avait une prise de conscience, il y aurait peut-être moins... Puis je ne veux pas... Je ne
pointe pas du doigt personne, là, mais, dans certains cas, qui ne sont
pas vos membres, on voit une certaine, peut-être, désinvolture quant à
l'utilisation.
Alors,
si ça n'a pas de valeur, si ce n'est pas chiffré dans la vente d'entreprises,
ou si peu, ou pas à sa juste valeur, il
n'y a pas chez vos membres... Puis je ne suis pas méchant, là. Je veux dire,
vous le voyez, là, j'ai le sourire dans la voix quand je vous dis ça, mais il n'y a pas, du côté, peut-être, de nos
entrepreneurs, une prise de conscience, de dire : Aïe! Peut-être
que nous, on a un cheminement... Il faudrait rejoindre les consommateurs qui,
eux... pour eux, pour tout ce qu'il y a à
protéger, c'est une valeur fondamentale. Mais peut-être que, pour nous, à ce
moment-là, si on accordait la valeur économique,
la valeur hautement sensible de toute l'information que l'on a, peut-être, ce
serait plus facile, après ça, de voir
ça comme étant : Bien oui, c'est des... pas des obstacles, mais ce sont...
Je vais dire ça de même, je vais prendre votre terme, ce sont des obstacles tout à fait justifiés comme pourrait
représenter un obstacle justifié d'assurer l'équipement lourd. Je veux
dire, ce n'est pas un revenu, assurer un équipement lourd, mais on va investir...
Alors,
vous ne trouvez pas qu'il y a peut-être une évolution aussi de votre côté... Je
ne sais pas... Je ne veux pas vous faire faire un... que vous vous
épanchiez sur vos examens de conscience, mais il y a peut-être un «disconnect»
social, peut-être, je ne sais pas, mais j'aimerais vous entendre là-dessus.
M.
Lavoie (Alain) : Est-ce que je peux
répondre, Charles, et tu me compléteras?
M. Milliard
(Charles) : ...
M. Lavoie (Alain) : Écoutez, il y a une conscientisation mondiale qu'on a...
On n'a pas bien travaillé tout le temps avec la donnée au niveau mondial, et les pays se sont sentis obligés de
protéger leurs citoyens. Et, dans ce contexte-là, on voit que c'est un mouvement mondial, et les
compagnies doivent rentrer dans le rang. Puis c'est sûr qu'on doit avoir
des compagnies, dans nos membres, qui sont un peu délinquantes ou qui sont
carrément délinquantes, puis il faut trouver un moyen de les rentrer dans le
rang, parce que c'est un choix de société qu'on fait, là, quand on fait ça aujourd'hui,
en faisant des choses...
Ceci
dit, on s'en va par là, là, c'est... Que le Québec légifère aujourd'hui ou qu'il légifère dans deux ans, dans cinq ou 10 ans, tout le monde va être là. Donc,
vaut mieux, en tant qu'entrepreneur, de déjà rentrer là-dedans puis de te
mettre dans un processus qui va comprendre... l'intégrer dans tes processus
internes, t'assurer... Moi, je donne un exemple,
chez nous, on travaille beaucoup avec de l'information très sensible. Et j'ai des
contrats avec mes employés, mais, à
toutes les fois qu'on signe un nouveau contrat, on leur fait signer un autre
contrat qui dit : Tu travailles avec de la donnée sensible, fais
attention à ce que tu fais.
Donc,
il faut conscientiser, puis on ne serait pas obligés de le faire, mais on le
fait, parce que c'est de rappeler aux gens
qu'ils sont en train de travailler avec de l'information... Je vous rappellerai
qu'on a une épée de Damoclès au-dessus de la tête, puis, s'il y a une fuite, une PME, elle est morte, c'est
carrément ça... le cas. Donc, dans ce contexte-là, je vous dirais qu'on
s'en va vers là, puis, que ce soit au Québec, que ce soit... il faut
conscientiser nos entreprises par rapport à ça.
M. Milliard (Charles) : Mais en, vraiment, 15 secondes, je vous
dirais simplement que, la prise de conscience, elle est en explosion de croissance. Vraiment, je pense
que les entrepreneurs comprennent ça de plus en plus. Mais je vous
dirais aussi que j'ai probablement trop de
doigts dans la main pour compter le nombre de secteurs d'activité pour lesquels
la donnée n'a pas de valeur en 2020. Je
pense qu'il y a de moins en moins de secteurs d'activité qui se sentent
concernés par... qui ne se sentent pas du tout concernés par ça. Et, pour ce
qui est des récalcitrants, bien, ils seront sanctionnés. C'est ça, la vie en
société.
M. Tanguay :
Je vais laisser le temps qui reste à ma collègue. Merci.
Le
Président (M. Bachand) : Mme la députée de
Notre-Dame-de-Grâce, s'il vous plaît.
Mme
Weil : Merci beaucoup. Alors, bonsoir, M. Milliard,
M. Lavoie. Bon, vous dites... D'entrée de jeu, vous êtes pour le projet
de loi, etc., mais je vous dirais que
vos mises en garde sont pas mal pareilles que ceux de la fédération des entreprises indépendantes, dans le sens que vous
voulez voir une coordination à quelque part, une consultation avec les autres juridictions au Canada, que, si on fait
cavalier seul, c'est dangereux et c'est fragilisant pour les entreprises.
Vous n'êtes pas juste les PME, mais des entreprises, quand même, d'une taille
un peu plus importante, et vous revenez sur l'intelligence
artificielle, et vous dites : Là aussi, si on n'est pas un peu... comment
dire, on ne fait pas attention, tu sais, si on agit en cavalier seul, encore une fois, on risque d'être perdants dans
cette course et de perdre beaucoup de ces entreprises.
Donc,
moi, ce que j'entends des deux intervenants, aujourd'hui, qui représentent,
si on veut, l'économie du Québec, en
partie, là, des acteurs importants... Et vous donnez l'exemple du fédéral qui, dans
un premier temps, pour son projet de loi, avait mis... avait fait des consultations avec
des experts, et ensuite ils ont dit : Oups! Il faut qu'on reprenne notre
projet de loi puis qu'on fasse des ajustements, et c'est ça qui retarde un peu...
Mais, en même temps, vous comprendrez qu'il faut avancer aussi dans la
protection des renseignements personnels.
Donc,
comment vous voyez la voie de passage? Parce
qu'on vous entend, hein, puis je
pense qu'il n'y a personne ici qui ne
serait pas sensible à ce que vous dites. Surtout dans le contexte qu'on vit, on
ne veut pas freiner, évidemment, le développement
économique, mais, en même temps, il y a
l'impératif de protection des renseignements personnels. Est-ce que
c'est dans le temps, parce que, vous savez, d'essayer de trouver une entente avec
toutes les provinces et le gouvernement
fédéral, ça prendrait très, très longtemps... Alors, qu'est-ce que vous nous
recommandez comme voie de passage qui serait raisonnable?
Le Président (M.
Bachand) : Rapidement, s'il vous plaît.
M.
Milliard (Charles) :
Certains diraient qu'il y a des dossiers qui ne seront toujours
pas réglés après 30 ou 40 ans, mais je vous dirais qu'au niveau de
l'harmonisation on voudrait que le Québec joue un rôle proactif. Alors, je
pense qu'il y a beaucoup
d'autres secteurs d'activité où on peut exprimer notre unicité comme nation,
comme Québécois, mais, dans
ce contexte-là, je pense que l'harmonisation, c'est rendre service à nos
entrepreneurs que de mettre ça en priorité de liste. Il y aura d'autres
débats politiques, d'autres forums pour discuter de questions plus nationales.
Je ne veux pas embarquer là-dedans, mais je pense que c'est important de reconnaître le besoin de nos entrepreneurs.
Puis on est tellement fiers quand nos entrepreneurs exportent puis
deviennent gros ailleurs. Bien, s'ils sont gros ailleurs, ils ont besoin d'avoir
une harmonisation dans leur réglementation pour pouvoir continuer de prospérer.
Pour ce qui
est de l'intelligence artificielle, bien, je l'ai mentionné, hein, le gouvernement actuel, le gouvernement précédent...
des investissements massifs, alors que la matière première, l'or en
barre, justement, de l'intelligence artificielle, c'est la donnée. Alors, si on veut que la donnée
serve et rende profitables les investissements qu'on a faits, elle doit être accessible
et... Elle doit être protégée, mais elle doit être accessible. Les deux sont
possibles.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de
Gouin, s'il vous plaît.
• (21 heures) •
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, MM. Milliard et Lavoie. Merci de votre contribution
plus pondérée, plus modérée que d'autres
qu'on a entendus ce soir provenant du milieu des affaires. On sent un discours,
chez vous, qui tente davantage
d'équilibrer le bien commun avec les intérêts des gens que vous représentez. Ce n'est pas
le cas de tous les gens qui parlent au nom du milieu des affaires. Ça fait que
je veux vous remercier sincèrement pour ça.
Puis je veux
qu'on parle de votre cinquième recommandation ou, en tout cas, du chapitre 5 de votre
mémoire, où vous parlez de ce qui vous
apparaît problématique comme... dans la restriction à la circulation
transfrontalière des données, et vous
nous dites : Il y a beaucoup d'entreprises québécoises qui ont besoin de faire
affaire avec des firmes étrangères pour des services numériques. On pense, par exemple, à l'infonuagique,
au paiement électronique, et tout ça,
puis on sait de quelles entreprises
on parle ici, ou même des services de publicité, par exemple, où on contracte
avec des firmes à l'extérieur, et vous nous dites : Si on est trop
restrictifs dans ce qu'on exige aux entreprises québécoises, on va les
empêcher d'entrer dans ces relations commerciales là avec des acteurs qui sont
à l'étranger.
Je comprends ce que vous dites. En même
temps, dans la mesure où, puis vous
semblez le reconnaître vous-même,
beaucoup, beaucoup de ces entreprises-là sont basées à l'étranger,
si l'intention du législateur, puis, moi, c'est comme ça que je la comprends, c'est de protéger les
citoyens et citoyennes du Québec, est-ce qu'en faisant sauter la clause qui régit les transactions entre les entreprises d'ici puis les
entreprises d'ailleurs... est-ce qu'on ne viendrait pas créer dans le filet
un trou plus gros que le filet lui-même puis
que, dans le fond, on ne protégerait pratiquement personne? Comprenez-vous
le risque que j'évoque?
M. Milliard
(Charles) : Je le comprends
tout à fait. Rapidement, j'ai envie de vous dire, par contre, qu'il ne
faut pas tomber dans le piège, justement, quand on pense au projet de loi
n° 64, que de penser à cinq ou six grandes entreprises. Il y a plusieurs petites PME qui font des affaires
justement avec les États-Unis, avec des États particuliers aux États-Unis, et ça cause... L'obligation d'aller
prouver l'équivalence entre les différents systèmes de protection des renseignements personnels vient causer une
inquiétude puis une gestion de risque pour ces entreprises-là, qui
pourraient décider de ne pas y aller. Alors,
j'aimerais... Je ne suis pas en désaccord avec vous, mais j'aimerais ça qu'on
pense plus à des petites ou moyennes
entreprises quand on pense à exporter, parce que ce n'est pas que des grandes
entreprises qui font ça.
M. Nadeau-Dubois :
Est-ce qu'il n'y a pas une piste de réflexion au niveau du régime de sanctions?
C'est-à-dire, est-ce qu'en étant
peut-être davantage proportionnel pour s'adapter plus à la taille des
entreprises, on ne pourrait pas justement s'assurer de faire payer les
grandes entreprises qui ont des pratiques délinquantes ou qui font preuve de négligence et, pourquoi pas, utiliser ces
ressources-là pour aider puis accompagner les plus petites entreprises, qui,
elles, en effet, sont plus débutantes puis
ont moins de connaissances puis d'expertise dans le domaine? Est-ce qu'il n'y a
pas là une piste pour dénouer le dilemme que vous semblez nous indiquer?
M. Lavoie
(Alain) : En fait, je
répondrais, Charles, qu'il faut s'arrimer à peu près aux mêmes sanctions
qu'on retrouve en Europe, essentiellement,
et c'est ce qu'on voit dans le projet de loi. Il faut s'assurer, par contre,
que, comme on a dit, on n'est pas
pénalisés dans toutes les juridictions en même temps, parce que ça peut être un
problème, mais, si on est arrimés...
parce que l'effet négatif d'avoir un
régime de sanctions plus fort risque de couper les façons de faire nos affaires
avec des entreprises étrangères qui
voudraient faire... avec nos entreprises ici, et des services, par le fait
même, avec nos citoyens.
Le Président (M.
Bachand) : Merci. Je cède la parole au député de René-Lévesque,
s'il vous plaît.
M.
Ouellet : Oui, merci
beaucoup, M. le Président. Donc, à mon tour de vous saluer, messieurs.
Merci de cette contribution qui est tardive un peu pour nous, mais qui a
dû prendre un peu de temps pour être rédigée.
Je veux juste
être certain de bien comprendre. Tout comme la FCEI, tout à l'heure, vous levez le drapeau en disant : Il faut faire attention, les entreprises font des affaires dans
différentes juridictions. Et vous nous dites quand même que Québec devrait aller de l'avant, on devrait être
des leaders. J'aimerais vous entendre sur le fait qu'il y a aussi les Américains, mais aussi les Mexicains. On a signé
une entente de partenariat économique entre les trois pays. Est-ce que vous demandez aussi à ce que le gouvernement
du Québec soit un leader pour convaincre
les Américains et les Mexicains à adopter nos saines pratiques? Est-ce
que c'est ça un peu que vous nous dites : Si on réussit avec le Canada,
«U.S. is the best», là?
M. Milliard (Charles) : Bien,
écoutez, je pense que l'ambition, dans la vie, c'est bien. Ceci étant dit, on
peut certainement commencer par avoir une
harmonisation au sein de notre... de l'ensemble politique avec lequel on fait
partie. Ça serait déjà bien. Évidemment que les Américains... Je pense que
notre poids relatif est infime. Alors, il faut être réaliste là-dessus. Déjà, il y a des gros clashs, si on
veut, entre la situation européenne et la situation américaine, qui
empêchent justement des compagnies
américaines de faire affaire en Europe. Mais, déjà, si on pouvait, dans un pays
de 35 millions d'habitants, avec des entreprises qui ont souvent
des bureaux dans toutes les provinces, s'entendre, ça serait déjà une sacrée
belle victoire.
M.
Ouellet : J'aimerais
rapidement vous amener à la recommandation 7b d'imposer une seule amende
dans la juridiction où la faute est commise. Je vous entends, mais,
concrètement, comment on fait ça? L'entreprise, elle est canadienne. Elle commet la faute au Canada.
Elle a des activités européennes. Comment est-ce qu'on fait pour trancher à quel endroit la sanction
devrait être payée?
M.
Lavoie (Alain) : On n'a pas
toute la réponse, là, je vous dirais, là, mais, essentiellement, on dit que
c'est à l'endroit où le fait a été
observé essentiellement qu'on devrait faire ça. Je voudrais juste ajouter
rapidement sur la question précédente...
Le Canada et le Québec, en matière... moi, je suis dans le monde
législatif... est vraiment reconnu, de façon mondiale, comme
des bons rédacteurs législatifs sur la planète. Et je peux vous le dire parce
que je travaille dans ce milieu-là avec
d'autres pays, et je vous dis : On peut être les leaders dans le monde
puis on peut convaincre les États-Unis
et les... avec des beaux modèles.
M. Ouellet : Merci.
M. Lavoie (Alain) :
Là, je suis peut-être chauvin, mais, tu sais, au moins, je veux...
M.
Ouellet : Vous ne voyez pas
le ministre de la Justice, mais je pense qu'il vous prend au mot. Après
convaincre le Canada, je pense qu'il va s'attaquer aux États-Unis.
M. Milliard (Charles) : Ça va nous
faire plaisir de suivre ça.
Le Président (M.
Bachand) : Sur ces belles paroles, messieurs, merci beaucoup de
votre contribution aux travaux de la commission.
Celle-ci
suspend ses travaux... ajourne ses travaux jusqu'au mercredi 23
septembre, à 12 h 10, 12 h 10, demain, merci. Merci beaucoup.
(Fin de la séance à 21 h 06)