Journal des débats (Hansard) of the Committee on Institutions

(Quinze heures vingt-huit minutes)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte. Je vous souhaite la bienvenue, encore une fois, et je vous rappelle, bien sûr, de bien vouloir éteindre la sonnerie de vos appareils électroniques.

La commission est réunie afin de procéder aux auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. M. LeBel (Rimouski) sera remplacé par M. Ouellet (René-Lévesque) et M. Fontecilla (Laurier-Dorion), par M. Nadeau-Dubois (Gouin).

Le Président (M. Bachand) : Merci. Là, j'ai une petite question. Sur la question des votes par procuration, est-ce qu'on a, oui, la liste? Oui?

• (15 h 30) •

La Secrétaire : Oui, M. le Président. Pour les votes... les droits par vote de... par procuration, M. Lévesque (Chapleau) pourra voter pour M. Lafrenière (Vachon), pour M. Martel (Nicolet-Bécancour), pour M. Lemieux (Saint-Jean) et M. Tanguay (LaFontaine) pourra voter pour M. Birnbaum (D'Arcy-McGee) et Mme Ménard (Laporte).

Remarques préliminaires

Le Président (M. Bachand) : Avant de débuter les présentations d'Élections Québec et par Me Éloïse Gratton, nous allons précéder... procéder, pardon, par les remarques préliminaires. Alors, j'invite maintenant le ministre de la Justice et ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels à faire ses remarques préliminaires. M. le ministre, vous disposez de 5 min 34 s. Bienvenue.

M. Simon Jolin-Barrette

M. Jolin-Barrette : Merci, M. le Président. Un plaisir de vous retrouver. J'étais heureux enfin de revenir au Parlement. Salutations à Mme la secrétaire, heureux de vous retrouver. M. le Président, je suis accompagné de Me Martin-Philippe Côté, secrétaire associé au Secrétariat à l'accès à l'information et à la réforme des institutions démocratiques, ainsi que de Me Miville-Deschênes, qui nous accompagnera lors des travaux du Secrétariat à l'accès à l'information. Je tiens à souligner également la présence de Mme la députée des Plaines, de M. le député de Chapleau, de saluer mon collègue le député de LaFontaine, ma collègue, également, de Notre-Dame-de-Grâce et du député de Gouin, présents ici.

Alors, M. le Président, il me fait plaisir d'entamer aujourd'hui les consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Il s'agit d'une étape importante, au cours de laquelle nous aurons l'occasion d'entendre plusieurs organismes, groupes et experts avec divers points de vue sur les différentes mesures contenues dans le projet de loi.

En tant que nouveau ministre responsable de l'Accès à l'information et de la Protection des renseignements personnels, j'aborde cette étape législative en mode écoute. Et c'est dans un esprit d'ouverture que je vais prendre connaissance des suggestions et des commentaires pouvant bonifier cette pièce législative. Cette consultation représente une opportunité unique d'échanger sur les règles dont le Québec doit se doter pour renforcer la protection des renseignements personnels de ses citoyens, une rare occasion de moderniser les deux principales lois qui encadrent la gestion par les organismes publics et les entreprises des renseignements personnels des Québécois et des Québécoises, soit la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé.

La protection des renseignements personnels est encore plus importante aujourd'hui avec les innombrables avancées technologiques et compte tenu aussi des fuites de renseignements personnels qui compromettent la vie privée des citoyens et des citoyennes du Québec. Ces lois n'ont pas fait l'objet de réforme d'envergure depuis leur adoption et sont devenues, de l'avis d'une majorité d'experts, désuètes et inadéquates. L'objectif du projet de loi n° 64 est de définir un encadrement moderne, évolutif et équilibré. Il introduit également un encadrement strict pour les partis politiques provinciaux à l'égard des renseignements personnels des électrices et des électeurs.

Ce projet de loi tient compte de plusieurs recommandations émises par la Commission d'accès à l'information dans ses rapports quinquennaux. Il s'inspire également d'un des régimes juridiques les plus protecteurs à l'égard des renseignements personnels, soit le Règlement général sur la protection des données, de l'Union européenne. Ce projet de loi a aussi été rédigé dans l'optique d'assurer une cohérence avec les règles prévues à la législation fédérale. À ce sujet, il importe de souligner que la réforme proposée par le projet de loi n° 64 est la plus ambitieuse des révisions d'une loi sur la protection des renseignements personnels au Canada.

De ce fait, M. le Président, il est certain que les obligations et les droits qu'il prévoit se distinguent de ceux des autres lois canadiennes. Cette distinction ne représente pas un fardeau supplémentaire pour le Québec, mais plutôt une avancée en matière de protection des renseignements personnels, en responsabilisant les organismes publics et les entreprises. Nous estimons que ce projet de loi servira de phare pour les autres juridictions canadiennes et contribuera à élever la protection des renseignements personnels des citoyennes et des citoyens pour l'ensemble du pays.

Même si l'ensemble des acteurs s'entendent sur la nécessité de procéder à une révision en profondeur des lois sur la protection des renseignements personnels, lesquelles ont été adoptées bien avant les nombreux développements technologiques qui meublent notre quotidien, tous ne s'entendent pas nécessairement sur les modifications à y apporter. Je souligne que c'est dans un souci d'équilibre, avec une volonté ferme de rehausser la protection et le contrôle des personnes sur leurs renseignements personnels, et aussi avec une sensibilité à l'égard du fardeau que pourraient faire peser sur les organisations les nouvelles obligations, que nous conduirons la suite des travaux.

En terminant, M. le Président, je tiens à remercier à l'avance les divers intervenants qui participeront à cette consultation. En bénéficiant de vos commentaires avisés ainsi que de votre expertise, nous pourrons adopter un projet de loi qui assurera un juste équilibre entre la protection des renseignements personnels des Québécoises et des Québécois et la capacité des entreprises et des organisations publiques à bénéficier des développements technologiques pour améliorer notre qualité de vie, l'efficience de leurs opérations et assurer leur compétitivité face aux acteurs internationaux, M. le Président. Alors, je vous remercie.

Le Président (M. Bachand) : Merci beaucoup, M. le ministre. J'invite maintenant le porte-parole de l'opposition en matière de justice et en matière d'accès à l'information, le député de LaFontaine... pour 3 min 43 s. M. le député, s'il vous plaît.

M. Marc Tanguay

M. Tanguay : Oui, merci beaucoup, M. le Président. D'abord, vous saluer, vous remercier de présider nos travaux, heureux de vous retrouver; saluer le ministre également, avec les collègues qui l'accompagnent, et les femmes et les hommes qui l'accompagnent, également, de son cabinet et du ministère; saluer mon collègue de la deuxième opposition, député de Gouin; et prendre le temps, tout particulièrement, M. le Président, de saluer ma collègue de Notre-Dame-de-Grâce, avec laquelle, personnellement, j'adore travailler, une députée qui a été, sous la 41e législative, notons cela au passage, ministre responsable de l'Accès à l'information et ministre responsable de la Réforme des institutions démocratiques.

Et je sais que la collègue de Notre-Dame-de-Grâce a eu à jouer avec ces concepts-là, accès à l'information, protection des renseignements, et aussi était présente lorsqu'est venue toute l'interaction de la protection, et de la quantité, et de la qualité... la nature des informations que les partis politiques ont à l'intérieur de leurs... des données, des bases de données. Et nous allons entendre tout à l'heure le Directeur général des élections. Nous aurons donc l'occasion de lui poser des questions. Alors, j'aimerais saluer et remercier la collègue de Notre-Dame-de-Grâce d'être présente, la collègue de Saint-Laurent également, M. le Président, je tiens à la saluer, qui aura l'occasion aussi de s'inscrire dans le débat, notamment, bien évidemment, lorsque nous serons à la phase d'article par article.

J'ai 3 min 44 s, projet de loi important. On aura l'occasion d'échanger sur le fond des choses, M. le Président. Mais, comme parlementaire, vous allez me permettre, ici, à ce stade-ci, de dire un élément, puis je veux le dire de façon respectueuse, mais mon message se veut être très clair et qu'il ne saurait souffrir d'aucune ambiguïté.

Comme parlementaire, M. le Président, moi, quand j'entends un organisme comme la Commission des droits de la personne et des droits de la jeunesse se désister, le 15 septembre dernier, pour... et je le cite : «Compte tenu des délais trop courts pour produire notre mémoire sur ce projet de loi...» — fin de la citation — quand le Barreau du Québec se désiste, le lendemain, en disant, et je cite : «Compte tenu du délai très serré...» — fin de la citation — et que, finalement, hier, la Protectrice du citoyen nous a écrit ce qui suit : «Au moment où cette invitation a été reçue, l'analyse du projet de loi n'était pas complétée» — fin de la citation — et qui ne participe pas à nos travaux...

Alors, M. le Président, lorsque l'on voit qu'à cause des délais, à cause du calendrier, on n'aura pas la Protectrice du citoyen, on n'aura pas le Barreau du Québec, on n'aura pas la Commission des droits de la personne et des droits de la jeunesse, moi, comme député, puis, je pense, c'est le forum approprié, puis je le fais dans mon droit, en respectant la dignité et les droits des autres parlementaires, moi, je trouve ça déplorable. Je le déplore. Le mot n'est pas trop fort. Le mot est particulièrement ajusté. Premier élément.

Deuxième élément, M. le Président. Trois plages sont toujours libres, sont toujours disponibles dans l'horaire suite à des désistements. Bien, il y a huit organismes qui ont levé la main, huit organismes pour lesquels nous avons appuyé la demande d'être entendus, notamment : l'Association canadienne des compagnies d'assurances de personnes, l'Institut généalogique Drouin, l'Association pour la santé publique du Québec, consortium pour l'accès aux données en santé du Québec, Commissaire à la santé et au bien-être, Association canadienne du marketing, Conseil canadien du commerce de détail et L'Orange bleue, affaires publiques inc..

Quand ces organismes-là lèvent la main, disent : On veut participer, puis qu'on dit non et qu'on va laisser les plages libres, M. le Président, comme parlementaire, moi, je ne trouve pas qu'on est efficaces. Je ne trouve pas que, comme Assemblée nationale, on est dignes du travail important de réflexion et d'aller chercher... Et je trouve qu'en étant compressés comme ça... Je pense qu'il faut le déplorer. Je le fais en tout respect, mais c'est un message important. On va quand même faire le travail, mais dans des conditions qui sont loin d'être optimales et que je déplore. Merci, M. le Président.

Le Président (M. Bachand) : Merci, M. le député. Je passe maintenant la parole au député... le porte-parole du deuxième groupe d'opposition, le député de Gouin. M. le député de Gouin, pour 56 secondes.

M. Gabriel Nadeau-Dubois

M. Nadeau-Dubois : Très rapidement. Bonjour, d'abord, M. le Président. Bonjour à tous et toutes. Je veux également... Je veux reprendre l'esprit de la dernière intervention du député de l'opposition officielle. Il est question ici d'un projet de loi fondamental pour le respect de ce qu'on pourrait appeler les droits et libertés numériques des Québécois et des Québécoises. On a une institution, au Québec, qui s'occupe de protéger les droits et libertés de nos concitoyens, c'est la commission des droits de la personne et de la protection de la jeunesse du Québec. Ils ne seront pas là à cause des délais de convocation. C'est un problème. Même chose pour le Barreau du Québec, c'est un problème. Ils auraient dû, ces groupes, participer à nos auditions. Ils ne seront pas là. Ça va rendre cet exercice moins instructif qu'il aurait dû l'être.

Ceci étant dit, on va travailler très fort du côté de Québec solidaire sur ce projet de loi, parce que dire que c'est important, ce serait ici un euphémisme, là. La question de la protection des données personnelles, c'est un des enjeux politiques qui va être déterminant pour les prochaines décennies. Tous les gouvernements dans le monde sont en train de faire, d'une manière ou d'une autre, l'exercice qu'on fera avec ce projet de loi là. Il est absolument essentiel qu'on aille au fond des choses puis qu'on adopte un projet de loi qui protège le plus possible les Québécois puis les Québécoises, qui protège leurs données personnelles, mais qui les protège aussi dans leur droit à la vie privée puis leur droit à ce que leurs données personnelles ne soient pas exploitées par des organisations qui ont fait, on le sait, de l'exploitation de ces données personnelles leur modèle d'affaires. Ça nous inquiète et on va avoir beaucoup de questions sur ce sujet-là.

• (15 h 40) •

Le Président (M. Bachand) : Merci beaucoup, M. le député. M. le député de René-Lévesque, s'il vous plaît, pour 56 secondes.

M. Martin Ouellet

M. Ouellet : Oui, merci beaucoup, M. le Président. Donc, à mon tour de saluer les membres de la commission. Et j'aimerais saluer aussi la présence du nouveau ministre à l'Accès à l'information. J'ai l'impression qu'on sera, les quatre belligérants ensemble, ce nouveau quatuor que nous avions déjà formé avant la pandémie. Et donc on a déjà travaillé ensemble. J'espère qu'on aura la même approche pour les prochains jours, les prochaines semaines.

Évidemment, c'est un projet de loi qui est hyperimportant, qui est attendu. Ça fait plus de 20 ans qu'on n'a pas modernisé plusieurs lois qui touchent l'accès à l'information. Donc, les citoyens et citoyennes du Québec nous regardent et nous observent. On doit faire un travail correct, mais surtout adéquat, considérant que ça a touché beaucoup de Québécois et de Québécoises, la fuite de données. Plusieurs personnes ont vécu des préjudices et en vivent encore. Donc, j'invite l'ensemble de mes collègues à travailler pour améliorer ce projet de loi là. Merci, M. le Président.

Auditions

Le Président (M. Bachand) : Merci beaucoup. Nous allons maintenant commencer nos auditions. Alors, on souhaite la bienvenue aux représentants d'Élections Québec. Alors, vous connaissez bien le processus. Alors donc, je vous rappelle, vous avez 10 minutes de présentation, et, après ça, on aura un échange avec les membres. Donc, je vous invite à débuter, d'abord à vous présenter, et présenter aussi la personne qui vous accompagne. M. Reid, s'il vous plaît.

Élections Québec

(Visioconférence)

M. Reid (Pierre) : Oui, bonjour. Pierre Reid, Directeur général des élections du Québec. Je suis accompagné de Mme Catherine Lagacé, qui est secrétaire générale et responsable de l'accès aux documents et de la protection des renseignements personnels à Élections Québec.

M. le Président, Mmes, MM. les membres de la commission, je tiens d'abord à vous remercier de votre invitation à prendre part aux travaux des consultations particulières sur le projet de loi n° 64. Le projet de loi n° 64 propose d'assujettir les entités politiques autorisées à certaines dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé. Le Québec deviendrait ainsi la deuxième province, après la Colombie-Britannique, à se doter d'un régime d'encadrement législatif en matière de protection de la vie privée qui s'applique aux partis politiques.

Depuis 2013, Élections Québec recommande de réviser en profondeur les différentes lois électorales en matière de protection des renseignements personnels des électeurs. En 2019, nous avons déposé une étude à l'Assemblée nationale afin de fournir un éclairage sur ces enjeux. Cette étude contient neuf recommandations, dont l'une est d'assujettir les partis politiques provinciaux et municipaux à un encadrement législatif en matière de protection des renseignements personnels. Je vous invite à prendre connaissance du mémoire que j'ai déposé devant cette commission, qui détaille mon analyse du projet de loi n° 64 et qui inclut certaines recommandations.

Ce projet de loi propose d'obliger les partis politiques provinciaux à mettre en place des mesures de gouvernance pour assurer la protection des renseignements personnels qu'ils détiennent. Je dois dire que les mesures proposées répondent à plusieurs de nos recommandations. Dans sa forme actuelle, le projet de loi ne vise que les partis politiques provinciaux. Or, les partis politiques municipaux, qui ont eux aussi accès aux données des listes électorales et qui en font une utilisation similaire, ne sont pas visés par le projet de loi n° 64. Je suis donc d'avis que les obligations devraient être les mêmes pour les partis politiques de tous les paliers électifs.

Par ailleurs, tous les renseignements personnels détenus par un parti politique devraient, à mon avis, être protégés par la Loi sur la protection des renseignements personnels dans le secteur privé. Au lieu de cela, le projet de loi n° 64 crée un régime d'exception pour les partis politiques. Il prévoit des obligations particulières et certaines exclusions qui seraient inscrites dans la Loi électorale. Les renseignements personnels détenus par les partis politiques seraient donc sujets à des mesures de protection différentes de celles qui s'appliqueraient aux entreprises privées.

La Loi sur la protection des renseignements personnels dans le secteur privé est un régime d'encadrement général qui s'applique à toute personne qui exploite une entreprise au Québec, peu importe sa taille, la nature de ses activités ou la catégorie de renseignements personnels qu'elle détient. En Colombie-Britannique, les partis politiques sont soumis à toutes les règles de la loi encadrant la protection des renseignements personnels détenus par les organisations privées. Il en est de même au Royaume-Uni et dans les pays membres de l'Union européenne, où les partis politiques ne bénéficient d'aucun régime d'encadrement particulier.

L'encadrement proposé serait limité aux renseignements personnels des électrices et des électeurs, alors que les partis politiques détiennent également des renseignements sensibles sur leurs candidates, leurs candidats, leurs membres, leurs donateurs. Les partis politiques recueillent des renseignements sur leurs militants, leurs bénévoles et leurs employés. Il ne s'agit donc pas seulement de renseignements portant sur des électeurs puisque certaines de ces personnes peuvent avoir moins de 18 ans et ne pas être de citoyenneté canadienne.

Le projet de loi n° 64 exclut aussi les partis politiques de certaines dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, notamment les dispositions qui visent à informer les électrices, les électeurs des raisons précises qui justifient la collecte de leurs renseignements personnels ou à leur permettre de contrôler l'utilisation qui en sera faite. Les renseignements personnels recueillis et utilisés par les partis politiques devraient simplement s'inscrire à l'intérieur de la large catégorie des renseignements nécessaires à des fins électorales ou de financement politique, une catégorie qui recouvre plusieurs finalités.

Par exemple, des renseignements sur une personne ayant appuyé une candidature pourraient-ils être utilisés ultérieurement pour alimenter une base de données électorales dans laquelle cette personne serait une sympathisante politique? Est-ce qu'il serait nécessaire, pour un parti politique, d'obtenir un consentement supplémentaire de cette personne, et quelle serait la forme du consentement qu'un parti politique devrait alors obtenir? Un parti politique pourrait-il alimenter sa base de données électorales avec des informations recueillies à l'occasion d'une pétition sans devoir obtenir un consentement supplémentaire de la part des personnes concernées? Je suis d'avis que les renseignements révélant des opinions politiques des personnes sont de nature sensible et justifient qu'un consentement explicite soit exigé.

Par ailleurs, qu'en serait-il d'informations recueillies à l'occasion d'une pétition deux ans avant la prochaine période électorale? Un parti politique devrait-il considérer que ces renseignements concernent un électeur? Est-ce qu'une pétition liée à une cause particulière peut servir à des fins électorales ou de financement politique? Si ces renseignements recueillis dans un tel cadre ne sont pas considérés comme des renseignements qui concernent les électeurs ou les électrices, les partis politiques pourraient recueillir et utiliser des renseignements sensibles sur des personnes sans que cette pratique soit encadrée par la loi.

De plus, contrairement aux renseignements protégés par le cadre général proposé pour les entreprises privées, les données recueillies par les partis politiques pourraient être conservées indéfiniment. Les personnes concernées n'auraient pas le droit de demander la destruction des informations qui les concernent même si ces informations sont inexactes, périmées ou qu'elles ne sont plus utiles aux activités du parti. Je tiens à souligner qu'une conservation prolongée d'un renseignement personnel augmente le risque de porter atteinte à la vie privée des personnes concernées si un incident de sécurité survenait. Les partis politiques devraient avoir l'obligation, tout comme les entreprises et les organismes publics, de détruire les renseignements qu'ils détiennent lorsqu'ils n'en ont plus besoin.

Cela me semble d'autant plus important que les partis politiques obtiennent le nom, l'adresse, le sexe et la date de naissance de plus de 6,2 millions d'électrices, électeurs sans leur consentement, ce qui m'amène à vous faire part de mes préoccupations concernant la confidentialité des listes électorales, que le projet de loi n° 64 n'aborde pas, mais qui ont été soulevées dans l'étude sur la protection des renseignements personnels détenus par les partis politiques, que j'ai déposée en février 2019. Je suis d'avis que les lois électorales devraient être modifiées pour que la date de naissance et le sexe des électrices et des électeurs soient retirés des listes électorales transmises aux députés, aux candidats et aux partis politiques, renseignements sensibles qui ne devraient être obtenus qu'à la suite d'un consentement explicite de la part de l'électrice ou de l'électeur concerné. La communication de ces renseignements augmente les risques d'atteinte à la vie privée, telle une usurpation d'identité qui pourrait survenir à la suite d'une perte, d'une fuite ou d'un vol de données.

Les listes électorales pourraient, par ailleurs, être transmises une fois par année au lieu de trois. Les partis politiques du Québec reçoivent les listes électorales plus fréquemment que les autres partis politiques canadiens. Je tiens à réitérer aussi notre recommandation de ne plus fournir aux candidats des renseignements qui permettent d'identifier des électrices et des électeurs vulnérables, ceux qui ne peuvent se déplacer en raison de problèmes de santé et qui se sont inscrits eux-mêmes pour voter à domicile ou à un bureau de vote itinérant en installation d'hébergement. Je recommande également de cesser de transmettre l'adresse temporaire des électeurs admis à exercer leur droit de vote à l'extérieur du Québec. Ces divulgations risquent de causer des préjudices aux personnes concernées et dépassent le besoin des partis de communiquer avec les électrices et les électeurs pour solliciter leur appui.

En conclusion, je suis convaincu que l'assujettissement des partis politiques à la Loi sur la protection des renseignements personnels dans le secteur privé permettrait d'assurer une gouvernance responsable et renforcerait le contrôle des citoyens et des citoyennes de leurs renseignements personnels. Toutefois, je suis préoccupé par la mise en place d'un régime d'exception à l'intention des partis politiques. Ce régime ferait en sorte que certains renseignements ne seraient pas protégés de la même manière que les données détenues par les entreprises privées. Les renseignements personnels de tous les citoyens et de toutes les citoyennes du Québec méritent d'être protégés.

Je recommande donc que les dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé s'appliquent à l'ensemble des renseignements personnels détenus par les partis politiques. Je souhaite que le projet de loi n° 64 devienne aussi le véhicule des changements que nous recommandons depuis plusieurs années afin d'assurer une meilleure protection des renseignements personnels qui sont transmis aux entités politiques en vertu de la Loi électorale. Et, en terminant, je profite de cette tribune pour rappeler aux membres de cette commission l'importance de moderniser de manière cohérente les lois électorales afin qu'elles s'adaptent aux enjeux émergents et qu'elles répondent aux attentes de la société québécoise.

Je tiens à vous remercier de votre attention.

Le Président (M. Bachand) : Je vous remercie beaucoup pour votre exposé. Nous allons débuter la période d'échange avec M. le ministre pour une période de 17 minutes. M. le ministre, s'il vous plaît.

• (15 h 50) •

M. Jolin-Barrette : Merci, M. le Président. Écoutez, quelques commentaires préliminaires, avant d'aller de l'avant avec Me Reid, suite aux commentaires du député de LaFontaine, là. Lorsqu'on a convoqué les groupes, là, j'ai entendu les oppositions nous dire qu'ils souhaitaient qu'on étudie rapidement le projet de loi n° 64. J'ai exaucé leur souhait. À mon retour à l'Assemblée nationale, c'est ce qu'on fait. 15 des 19 groupes qu'on va entendre proviennent du Parti libéral. On s'est montrés extrêmement flexibles et, même, on a pris des engagements avec eux de remplacer les groupes... une liste de trois groupes. M. le Président, si on n'a pas réussi à s'entendre avant, c'est parce qu'il y a des négociations entre les partis, M. le Président. Alors, on fait ce qu'on peut avec les collègues que nous avons, M. le Président.

Cela étant dit, Me Reid, bonjour. Merci d'être présent avec nous. C'est toujours un plaisir de vous retrouver. On avait eu beaucoup de plaisir ensemble sur le projet de loi n° 101 il y a quelques années. Donc, je suis heureux de vous retrouver.

Écoutez, d'entrée de jeu, je comprends que vous voudriez qu'on resserre les règles associées au projet de loi en lien avec les partis politiques, en lien avec les entités, notamment, aussi, avec les députés, là. Les députés reçoivent la liste électorale, et vous recommandez de cesser cette pratique-là.

M. Reid (Pierre) : Oui, en effet, parce que... C'est que la liste électorale qui est transmise aux députés... C'est qu'on se demande à quoi peut servir l'envoi de la liste électorale aux députés. De toute façon, les partis politiques la reçoivent, et le député, comme tel, dans ses fonctions parlementaires, normalement, n'aurait pas à utiliser cette liste électorale pour communiquer avec les électeurs ou les électrices.

M. Jolin-Barrette : Justement, le rôle du député, c'est de représenter ses électeurs, de pouvoir communiquer avec eux. Si jamais le député qui est élu par ses commettants n'a pas le moyen de rejoindre ses électeurs, comment le ferait-il, à ce moment-là, dans sa circonscription? Parce que le député est un peu le dépositaire, dans le fond, durant quatre ans ou durant la durée du mandat, des intérêts des électeurs.

M. Reid (Pierre) : Oui, mais c'est parce que la Loi électorale, telle qu'elle est rédigée, c'est qu'elle prévoit que les renseignements des listes électorales... La liste électorale elle-même doit être utilisée à des fins électorales, donc, ou à des fins prévues dans le cadre de la Loi électorale. Donc, pour le député, normalement, ce n'est pas... L'élection est terminée. Il n'y a plus de fin électorale comme telle. Donc, on ne voit pas pourquoi le député devrait recevoir ces renseignements. Et, je dois vous dire, comme information, actuellement, c'est seulement 20 députés sur les 125 qui ont demandé la liste électorale.

M. Jolin-Barrette : Donc, c'est le 1/6 environ, donc, un petit peu moins que 20 %. Donc, vous trouvez que ça justifie le fait de supprimer cette possibilité-là?

M. Reid (Pierre) : Oui, et d'autant plus que ça ne répond pas à l'objectif qui est prévu dans la Loi électorale, où ça doit servir à des activités ou à des fins prévues dans la Loi électorale.

M. Jolin-Barrette : Autre question. Tout à l'heure, vous disiez : Bon, les partis politiques conservent les renseignements. Bon, je comprends, de ma compréhension, que quelqu'un peut faire retirer les renseignements, à l'exception de ce qui est prévu par la Loi électorale. Les données qui sont accumulées, là, par les formations politiques, là, un électeur... Un citoyen peut s'adresser aux partis politiques pour dire : Je veux retirer ces informations-là que vous détenez sur moi, à l'exception de ce qui est déjà écrit sur la liste électorale.

M. Reid (Pierre) : Bien, en fait, sur la liste électorale, pour que ces renseignements-là soient retirés de la liste électorale, il faudrait que la personne demande d'être radiée de la Loi électorale, là.

M. Jolin-Barrette : O.K. Là, dans la loi, on vise les partis politiques provinciaux, ces entités-là autorisées. Quels sont vos commentaires relativement au volet municipal?

M. Reid (Pierre) : Bien, les commentaires, je pense que... Comme je l'ai dit dans mon allocution, je pense qu'il ne devrait pas y avoir d'exception. On devrait viser également les partis politiques municipaux. C'était notre recommandation dans notre étude déposée en 2019. Et ils reçoivent les mêmes données des listes électorales et ils en font le même usage. Donc, on ne voit pas de distinction entre les partis municipaux et les partis provinciaux à ce niveau-là.

M. Jolin-Barrette : O.K. Puis, dans votre mémoire, là, à la recommandation 7, là, vous dites : On est le seul endroit au Canada où la date de naissance, elle est transmise. C'est bien ça?

M. Reid (Pierre) : Oui, effectivement, oui, c'est le seul endroit où que les partis politiques au Canada reçoivent, là, la date de naissance et le sexe. Et je vous dirais que, pour le sexe, seulement le Nouveau-Brunswick prévoit envoyer l'information concernant le sexe des électeurs, des électrices. Donc, il n'y a aucune autre... Nulle part ailleurs ne peuvent être transmis la date de naissance et le sexe, exception faite pour le Nouveau-Brunswick.

M. Jolin-Barrette : O.K. Donc, vous nous invitez à retirer également ces renseignements-là sur la liste électorale, bien, en fait, que ça ne soit pas transmis.

M. Reid (Pierre) : Oui, bien, effectivement, ce seraient des renseignements qui seraient retirés de la liste électorale pour les envois aux partis politiques, parce que, de toute façon, c'est des renseignements qui peuvent être obtenus en s'adressant directement aux électeurs, aux électrices. Et, pour nous, ça paraît important que ces renseignements-là fassent l'objet d'un consentement explicite de la part de la personne concernée.

M. Jolin-Barrette : Et puis comment vous le voyez, le consentement explicite? Comment vous l'opérationnaliseriez, ce consentement explicite là?

M. Reid (Pierre) : Bien, en fait, c'est un... Bien, pour moi, c'est un contact direct avec la personne afin de savoir est-ce que vous consentez à ce qu'on puisse conserver ces renseignements, comme la date de naissance et votre sexe, et de savoir également qu'est-ce que... et à quelles fins vous voulez... que nous allons les utiliser.

M. Jolin-Barrette : Est-ce que, pour vous, un consentement oral serait valide lors d'un appel téléphonique?

M. Reid (Pierre) : Bien, je pense que oui. Je pense qu'un consentement oral pourrait suffire, mais il resterait à vérifier, là.

M. Jolin-Barrette : O.K. M. le Président, je vais céder la parole à mes collègues qui souhaitent poser des questions.

Le Président (M. Bachand) : ...Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Ça fait plaisir de vous retrouver. Bonjour, tout le monde. Bonjour. Je salue le ministre également, les collègues de la banquette gouvernementale, les collègues, également, de l'opposition. M. Reid, bonjour. Merci de votre présentation.

Peut-être un petit questionnement en lien justement aux renseignements sensibles qui sont collectés par les partis politiques, sur les gens qui les composent, donc, toute la question des militants, également, là, les sympathisants, peut-être, les députés, les anciens candidats. Vous dites que, bon, il y a des renseignements sensibles qui sont accumulés, peut-être un peu vous entendre sur ce sujet-là, voir ce que vous percevez, puis, la notion de consentement, dans ces cas-là, ce serait quoi, selon vous, là?

M. Reid (Pierre) : Bien, exemple, si vous prenez les employés, là, le personnel des partis politiques, bien, justement, pour les rémunérer, on va leur demander des renseignements personnels, que ce soit leur numéro d'assurance sociale ou d'autres renseignements vraiment rattachés à l'emploi. Et donc, dans ce contexte-là, ce seraient des renseignements, donc, qui ne sont pas à des fins électorales, qui ne seraient pas protégés comme le prévoit... tel que c'est prévu dans le projet de loi n° 64.

M. Lévesque (Chapleau) : C'est ça, mais ça, ça serait dans le cadre d'un emploi. Donc, tout employeur pourrait à ce moment-là... Habituellement, un employeur va demander ce type d'information là.

M. Reid (Pierre) : Oui, puis...

M. Lévesque (Chapleau) : Est-ce que vous avez d'autres exemples au sein de partis politiques ou c'est vraiment la question de l'employé-employeur, cette relation-là, qui vous inquiète?

M. Reid (Pierre) : Bien, en fait, ça peut être des renseignements qu'ils peuvent obtenir. Par exemple, des candidats ou des candidats potentiels, toutes les vérifications, les informations qu'ils peuvent obtenir sur un candidat ou une candidate, pas certain que c'est relié directement à des fins électorales, là, comme telles. Donc là, encore, pour éviter toute ambiguïté et tout doute, pour que les gens disent : Est-ce que c'est couvert, pas couvert?, c'est pour ça qu'on se dit : Bien, la façon la plus facile, bien, c'est que tous ces renseignements-là que détiennent les partis politiques soient couverts par la Loi sur la protection des renseignements personnels dans le secteur privé.

M. Lévesque (Chapleau) : ...peut-être vous amener sur la notion... Durant une campagne électorale, bon, souvent les candidats vont être appelés à faire du porte-à-porte, vont faire des appels pour discuter avec les électeurs. Et là, lorsque, justement, un électeur dit : Bon, bien, moi, je suis sympathisant à votre cause, peu importe, et là, bon, il prend une note que cette personne-là aimerait, bon, voter pour nous, ça, est-ce que vous considérez que ce sont des renseignements personnels, donc, le fait que la personne dise : Bon, on est sympathisant envers votre cause? Évidemment, le parti en prend note, là.

• (16 heures) •

M. Reid (Pierre) : Bien, c'est un renseignement... Bien, le parti en prend note, puis c'est l'utilisation... Bien là, encore, ce que vous avez... Le consentement sur l'utilisation qu'on fera de ce renseignement-là, il n'est peut-être pas clair. Si je prends l'exemple de la Colombie-Britannique, même la façon de... parce qu'il y a eu quand même, je dirais, un audit qui a été fait par le commissaire de l'accès à l'information, et, dans ses recommandations, entre autres, c'était d'obtenir un consentement clair de la personne à qui vous vous adressez. Donc, ce que la personne peut vous dire... Donc, je suis un sympathisant... La personne peut vous le dire. Est-ce qu'elle est d'accord pour que ça puisse être utilisé par la suite? C'est là que c'est peut-être important d'obtenir un consentement clair sur ce que la personne vous livre comme information.

M. Lévesque (Chapleau) : Ah! d'accord. Donc, disons que moi, je suis candidat aux prochaines élections puis, dans Chapleau, je me promène, je cogne à une porte ou, du moins, selon les règles de la Santé publique. Rendu là, là, on verra bien, là, mais... Et là je dis, bon, à la personne : Bon, voici, j'aimerais être votre candidat avec la Coalition avenir Québec, j'aimerais pouvoir continuer à vous représenter, à mériter votre confiance. Et la personne dit : Oui, moi, je suis sympathisant, j'ai envie que vous, M. Lévesque, député de Chapleau... de continuer à me représenter. Est-ce que je devrais demander également le consentement pour lui dire : Bon, est-ce que vous consentez à ce que, le jour de l'élection, du vote, soit par anticipation ou le jour même de l'élection... qu'on puisse vous rappeler, mon équipe et moi-même, pour pouvoir aller de l'avant, là, avec... justement demander que... de faire sortir le vote, en quelque sorte? Est-ce que ça, ce serait une formule qui serait... que vous envisageriez?

M. Reid (Pierre) : Bien, probablement que ce serait une information que vous voudriez obtenir, et, à ce moment-là, si la personne consent à cela, il n'y aurait pas de problème, là.

M. Lévesque (Chapleau) : Donc, il y aurait une notion de consentement même lors d'un échange de porte-à-porte?

M. Reid (Pierre) : Bien oui, et je pense que c'est important, parce que les gens peuvent livrer des choses, mais aussi c'est de dire des choses, et je pense que la préoccupation que peuvent avoir les gens par après, c'est l'utilisation qui va être faite de cette information-là. Là, on se limite peut-être à cette information, qui est quand même, là, d'indiquer la sympathie à l'égard d'une formation politique, mais c'est un peu la même chose par rapport à l'exemple que je donnais tantôt. Vous signez une pétition par rapport à une question particulière, là, bien, l'information que vous donnez, que ce soit votre nom, votre adresse, numéro de téléphone, est-ce que le parti politique peut récupérer ça pour les utiliser à d'autres fins, alors que la personne n'a fait que signer une pétition?

M. Lévesque (Chapleau) : Je comprends. Peut-être en lien avec l'obligation de destruction dont vous avez fait mention, de mémoire, également, à quel moment vous pensez qu'un parti politique devrait avoir cette obligation-là de détruire les renseignements qui ont été recueillis?

M. Reid (Pierre) : Bien, en fait, c'est... il appartiendrait d'abord aux partis, dans le fond, de prévoir quels renseignements... de lister les renseignements ou les informations qui sont encore utiles, nécessaires, puis c'est... Quand on regarde pour ce qui est demandé pour les entreprises privées, c'est un peu dans ce sens-là, c'est qu'à un moment donné ils doivent savoir est-ce qu'il y a des renseignements qui n'ont plus leur utilité ou bien que la fin pour laquelle étaient utilisés ces renseignements est accomplie. Alors, à ce moment-là, les renseignements... En fait, l'obligation qu'on impose... qu'on va imposer aux entreprises, ça va être de les détruire, ces renseignements-là, mais ce qui n'est pas prévu pour les partis politiques.

M. Lévesque (Chapleau) : Mais disons qu'un parti politique détermine que ces renseignements-là lui seront utiles à perpétuité, parce que, bon, c'est un cycle qui se répète, là. On le sait, qu'élection après élection les partis politiques vont tenter de convaincre les gens et la population de les appuyer. Donc, avec ces informations-là, ça leur permet justement de faire leur travail et d'obtenir l'appui du plus grand nombre. Et donc, disons, prenons l'exemple qu'un parti politique détermine que ces informations-là n'ont pas... lui sont encore utiles à perpétuité, et donc l'obligation de destruction ne s'appliquerait pas, est-ce qu'il n'y aurait pas une proposition que vous auriez en ce sens-là?

M. Reid (Pierre) : Bien, il resterait à voir comment ça pourrait être modulé, mais, là encore, comme le projet de loi prévoit que la disposition de la loi ne s'applique pas aux partis, je pense qu'il faudrait, à un moment donné, peut-être regarder quels renseignements qui pourraient avoir une durée. En fait, il s'agirait de savoir... d'identifier les règlements pour lesquels il pourrait y avoir une durée. Mais, en même temps, vous avez des électeurs, des électrices qui peuvent donner des informations, des renseignements pour la... puis, pour eux, c'est de donner, pour la période électorale... Mais il faut toujours revenir, je pense, à la question par rapport à l'ensemble des renseignements que peut détenir un parti. Bien, pourquoi est-ce nécessaire de conserver tous ces renseignements-là?

M. Lévesque (Chapleau) : D'accord. Merci. J'aimerais peut-être vous amener, là, sur un élément que vous avez mentionné lors d'un vote, d'une élection. Certaines personnes, justement, indiquent qu'ils auront certains besoins de transport ou qu'ils ont de la mobilité réduite, puis donc ces informations-là sont divulguées, là. Vous avez affirmé ça. Est-ce que... bien, peut-être vous entendre sur ce volet-là, là.

M. Reid (Pierre) : Sur...

M. Lévesque (Chapleau) : Le volet des personnes à mobilité réduite qui disent : Bon, j'aurais peut-être besoin d'un transport pour aller voter, et, à ce moment-là, c'est divulgué aux partis politiques. Est-ce que c'est la nature de votre propos que vous avez fait tout à l'heure?

M. Reid (Pierre) : Non. Moi, ce que je disais tantôt, c'est que les listes qui sont... des personnes qu'on qualifie de vulnérables parce qu'elles ont des difficultés de déplacement ne devraient... Ces listes-là ne devraient pas être transmises aux partis politiques parce que, de toute façon, ce sont des gens qui ont demandé une modalité particulière pour voter. Ils sont en installation d'hébergement ou bien ils votent à domicile. Donc, ils n'ont assurément pas besoin de transport.

M. Lévesque (Chapleau) : Ah! d'accord. Donc, ce n'était pas la notion du transport, parce que certaines personnes, à l'occasion, vont avoir besoin d'un transport, puis les partis politiques vont offrir, s'il y a lieu, là, du transport, mais ce n'était pas du tout le volet qui était visé.

M. Reid (Pierre) : Non, ce n'était pas ça, non.

M. Lévesque (Chapleau) : Parfait. Moi, ça me convient. Je pense que ma collègue des Plaines, M. le Président...

Le Président (M. Bachand) : Merci. Il reste un peu plus qu'une minute. Mme la députée de Les Plaines, s'il vous plaît.

Mme Lecours (Les Plaines) : Merci, M. le Président. Bonjour, M. Reid. Bienvenue à cette commission.

M. Reid (Pierre) : Oui, bonjour.

Mme Lecours (Les Plaines) : Merci de votre mémoire. Relativement à ce que mon collègue disait... En fait, quand vous parlez de l'utilisation de la liste électorale par les députés, quelle utilisation ils en feraient, selon vous... On vient de vivre... On est encore... Et on la revit... On vit une deuxième vague d'une crise mondiale. L'utilisation de la liste électorale pour appeler, par exemple, les personnes de 70 ans et plus, est-ce que c'est une bonne utilisation, selon vous?

M. Reid (Pierre) : Vous l'avez fait, il y a... au mois de mars dernier, effectivement, et le problème que ça posait, justement, c'est une utilisation de la liste qui n'était pas à des fins électorales. Moi, dans le fond, par rapport à ça, j'ai dit : Écoutez, je vous rappelle que la loi est précise en ce sens-là. Mais l'utilisation que... oui?

Mme Lecours (Les Plaines) : Est-ce que vous considérez que c'est abusif?

M. Reid (Pierre) : Abusif? Là, vous aviez un contexte bien particulier, mais il appartenait aux partis politiques à ce moment-là de prendre la décision en conséquence, là.

Mme Lecours (Les Plaines) : Et il me reste... rapidement, qu'est-ce que, dans les renseignements personnels qui ne seraient pas acceptés... Ils seraient quoi... Qu'est-ce qui pourrait rester comme... dans une liste qu'on pourrait conserver, qui seraient des renseignements qu'on pourrait justement garder? Donc, qu'est-ce qu'on enlèverait?

Le Président (M. Bachand) : Malheureusement, on n'a plus le temps. Je vais reconnaître le député de Gouin. Rapidement, M. le député de Gouin, vous avez une demande, oui?

M. Nadeau-Dubois : Bien, je demanderais le consentement des membres de la commission pour intervertir mon tour de parole avec celui de l'opposition officielle. J'ai un engagement qui... Ça me faciliterait la vie, voilà.

M. Jolin-Barrette : Ça peut faire en sorte de...

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, pour 2 min 50 s.

M. Nadeau-Dubois : O.K. Bonjour, M. Reid. J'ai peu de temps. Alors, je vais... J'ai trois sujets que j'aimerais aborder avec vous. Je vous fais confiance pour avoir des réponses assez courtes pour qu'on aille au bout de ces trois sujets. Ce qui me surprend, dans votre analyse, c'est que vous faites, il me semble, abstraction de la raison pour laquelle il y a collecte de données personnelles, de la finalité derrière les données personnelles. Vous nous dites... Une entreprise privée, mettons, Google, qu'on le sait, qui a des pratiques prédatrices de récolte agressive de données sur le Web, et, mettons, le Parti vert du Québec, vous nous dites : Ces gens-là devraient être régis par le même cadre juridique, parce qu'au fond les deux ont des données personnelles. En tout respect, je trouve ça un peu court, comme analyse, de faire abstraction des finalités, des raisons pour lesquelles on collecte des données personnelles.

M. Reid (Pierre) : Bien, il n'y a rien qui vous empêche de les récolter, ces renseignements-là. Tout ce qui est demandé, c'est d'obtenir le consentement des personnes à vous fournir ces renseignements-là. C'est là qu'est... Donc, c'est parce que c'est quand même des... Par rapport aux renseignements... Puis, pour la liste électorale, si vous parlez plus de la liste électorale, c'est que vous avez le nom, l'adresse, le sexe, la date de naissance. Nous, on convient que la date de naissance et le sexe ne devraient pas être transmis aux partis politiques parce que vous pouvez l'obtenir... ça peut être obtenu autrement.

• (16 h 10) •

M. Nadeau-Dubois : Mais ce qui me surprend, c'est... On est dans un contexte où il y a une baisse de la participation politique dans la plupart des démocraties et où les formations politiques ont de plus en plus de difficultés à mobiliser les électeurs. Puis là, dans tous les spectres, là, politiques, les partis ont cette ambition de mobiliser les gens à s'impliquer dans le processus électoral, et là vous dites : Il faut que le même cadre juridique s'applique à ces acteurs-là qu'à des énormes multinationales dont la seule volonté est de faire du profit. Cette mise en équivalence, dans votre analyse, j'avoue qu'elle me surprend puis je ne la comprends pas.

Puis je vais vous faire un autre parallèle. Les groupes communautaires, les groupes écologistes, les groupes citoyens, les associations étudiantes, tous ces groupes-là, dans la société, font signer des pétitions, donc collectent des données personnelles. Est-ce qu'il faudrait mettre tous ces gens-là sous le même régime juridique que d'énormes multinationales sous prétexte qu'il y a collecte de données personnelles? Est-ce que ce n'est pas justement une bonne idée que de faire des distinctions dans notre cadre juridique selon la raison pour laquelle ces données-là sont collectées?

M. Reid (Pierre) : Bien, justement, c'est ça, c'est la raison, on collecte... Dans le fond, on va chercher des renseignements personnels pour... sur une... par une pétition qui porte sur un sujet, là, sur une question. Mais, quand la personne appose sa signature et donne ses renseignements personnels, bien, à ce moment-là, la personne aimerait bien... Est-ce que la personne ne devrait pas savoir à quelles fins serviront... Si, sur la pétition, il est dit que les renseignements serviront, par exemple, à un parti pour communiquer avec eux, leur envoyer de la publicité... Mais, quand vous signez une pétition...

M. Nadeau-Dubois : Donc, juste pour bien comprendre votre position, vous, vous avez la position du «one size fits all», c'est-à-dire un cadre juridique pour tous les acteurs de la société québécoise. C'est ça que vous nous dites.

Le Président (M. Bachand) : Merci beaucoup. C'est tout le temps pour l'instant. M. le député de LaFontaine, pour 11 min 20 s, s'il vous plaît. Merci.

M. Tanguay : Oui, merci beaucoup, M. le Président. J'aimerais peut-être continuer l'échange avec Me Reid sur ce sujet-là, la finalité des partis politiques. Puis, au premier titre, comme directeur général d'Élections Québec, DGEQ, on se casse la tête, collectivement, pour savoir comment augmenter le taux de participation. Ça, ça veut dire comment outiller les partis politiques pour qu'ils puissent rejoindre la population, puis la population fera son choix. Il y a des gens qui vont voter pour vous, qui vont voter pour d'autres puis qui vont être contre vous activement ou ils vont être pour d'autres activement.

J'aimerais savoir si, d'entrée de jeu, vous faites la distinction puis... Premier élément, parce qu'il faut définir les concepts, premier élément, un renseignement personnel est, à la base, toute information qui permet d'identifier une personne. Ça, une fois qu'on a dit ça, un renseignement personnel est une information qui permet d'identifier une personne, faites-vous la distinction et croyez-vous qu'il est utile de faire la distinction chez les partis politiques de renseignements personnels qui sont sensibles, hautement sensibles ou qui n'ont pas de sensibilité particulière?

Par exemple, si, dans mon comté, j'ai ciblé des gens qui sont favorables à ma candidature et qui vont voter pour moi, c'est une information qui pourrait être utilisée pour identifier une personne, mais ce n'est nullement comparable, le pointage, à sa date de naissance, par exemple. Faites-vous cette distinction-là et jusqu'à quel point croyez-vous qu'il est important de faire cette distinction-là?

M. Reid (Pierre) : Bien, en fait, dans le fond, au niveau des... Quand on parle de... La question qui se pose : Pourquoi un régime... En fait, je pourrais retourner la question : Pourquoi un régime particulier pour les partis politiques? Parce que ce qui est demandé comme règle, c'est qu'à partir du moment où on va demander des renseignements personnels, bien, c'est d'informer la personne pour l'utilisation qui en sera faite et si elle donne son consentement. Ce n'est pas si difficile que ça.

M. Tanguay : Mais je vais retourner la question. Ça va être un peu Wimbledon : je vous lance la balle, vous me relancez la balle, je vais vous la relancer. Les partis politiques ont vocation, puis je vais le dire en des termes peut-être moins marxisants que mon collègue de Gouin, ont vocation... mais je le dis en tout respect, ont vocation qui n'est pas pécuniaire, ont vocation qui pourrait, par analogie... et le projet de loi en fait distinction. Le projet de loi fait des distinctions où il y a des atermoiements quant au consentement lorsque c'est fait pour des fins d'études, des fins de recherche, des fins de production statistique. Je ne suis pas en train de dire que les partis politiques font des études, des recherches puis produisent des statistiques, mais ça participe puis c'est au coeur de notre système parlementaire démocratique. Et, en ce sens-là, y aurait-il lieu justement d'avoir une approche distinguée, contrairement aux entreprises privées, là? Je ne sais pas si vous saisissez la nuance. Je suis certain que vous la saisissez, mais je ne sais pas si vous y accordez la même importance que moi.

M. Reid (Pierre) : Bien, en fait, je comprends, là, l'importance de rejoindre les citoyens, les citoyennes, les faire participer. Il y a peut-être... Puis il y a peut-être d'autres façons, là, mais c'est quand même... Il faut quand même considérer que c'est des renseignements personnels que les partis politiques ont sur des bases de données de plus en plus sophistiquées, où on en arrive même à établir le profil des électeurs et des électrices. Et, moi, la question que je me pose, bien, c'est : Oui, mais où sont les droits des citoyens dans cela, où est le droit du citoyen ou de la citoyenne qui dirait : Écoutez, là, moi, là, je participe, je suis les informations, j'assiste à des assemblées publiques, et tout, moi, je veux que vous ne sachiez... je ne veux rien de mes renseignements personnels dans vos dossiers, dans vos fichiers. C'est la seule chose, là, de laisser le droit à une personne... Quand les candidats font du porte-à-porte, je veux dire, normalement, ils ne rentrent pas dans une maison sans que la personne ne l'autorise. Donc, de quel droit, dans le fond, les partis politiques vont chercher des renseignements qu'ils ont droit... mais, s'ils obtiennent le consentement, ils ont le droit de les utiliser, mais, s'ils n'ont pas le consentement, c'est fini, là. Les partis n'ont pas à conserver des renseignements que les citoyens ne veulent pas leur consentir.

M. Tanguay : Et est-ce que vous faites la distinction, vous... Est-ce que vous croyez utile de faire la distinction, donc, renseignements... dont renseignements hautement sensibles, sensibles et pas vraiment sensibles? Est-ce que vous croyez que ça a une quelconque vertu, cette distinction-là, ou pas du tout? Vous, vous rattachez tout ça, peu importe la catégorisation, un, deux, trois, au concept de consentement ou pas. J'imagine que c'est...

M. Reid (Pierre) : Bien, en fait, les renseignements sensibles, bon, c'est sûr qu'à partir du moment... Je pense qu'opinions politiques, origine ethnique, religion, etc., qui peuvent être très sensibles... Mais vous avez un paquet de renseignements personnels qui, une fois amalgamés, bien... et qui puissent... et les fuites, là... S'il y a une perte, là, ou un vol de données, là, c'est beaucoup de renseignements. Et donc c'est un peu cette protection-là qu'on veut accorder aux renseignements que les partis politiques détiennent, je dirais, autant pour les citoyens que pour les partis eux-mêmes.

M. Tanguay : Et dites-moi... Donc, vous faisiez l'analogie avec la Colombie-Britannique. Donc, vous, pourquoi c'est important, pour vous, donc, de suivre cet exemple-là où les partis politiques sont assujettis, en Colombie-Britannique, comme le sont, en quelque sorte, les entreprises? Pourquoi c'est important, pour vous, donc, d'aller en ce sens-là?

M. Reid (Pierre) : Bien, c'est important parce que... En fait, les données personnelles et... de tous les citoyens et les... protégés comme pour toute autre personne ou entreprise qui recueille des renseignements personnels, et même les organismes publics. C'est la même protection qu'on veut donner. Et, je vous rappelle, encore, c'est quand même 6 millions... c'est plus de 6,2 millions électeurs, électrices sur qui les partis politiques détiennent des renseignements. Donc, une fuite, une perte de données, c'est encore plus important que... ça peut être aussi important que ce que le Mouvement Desjardins a connu.

M. Tanguay : Est-ce que vous avez réfléchi à la façon dont les partis politiques — et est-ce que vous nous invitez à l'étayer — devraient demander, constater, conserver le consentement? Parce que, là, là, si on va là-dessus, faire du porte-à-porte, poser des questions, voir des renseignements, ajouter ça dans un fichier qui concerne cet électeur-là à telle adresse, est-ce que vous avez réfléchi... Est-ce que vous nous invitez à réfléchir et à étayer : Bien, si on fait ça, on peut le faire, selon ce que vous proposez, mais il faudrait demander le consentement? Avez-vous réfléchi à comment le consentement pourrait être demandé par les partis politiques?

M. Reid (Pierre) : Bien, en fait, là, je vous dirais que... Je pense que, quand la Commission d'accès à l'information... ce serait peut-être une question que vous pourriez leur adresser. Mais moi, je vous dirais que le consentement m'apparaît... À la base même, si je me place comme citoyen ou comme électeur, bien, je veux dire, si on vient chez moi puis, bien, à un moment donné, qu'on collecte un paquet de renseignements, bien, j'aimerais bien savoir, là, un, si vous les avez collectés et, deux, si vous allez les utiliser.

M. Tanguay : Oui. Et vous avez, je pense, fait une distinction entre le parti politique dans la sphère démocratique et parti politique comme employeur aussi, là où vous ne voyez pas la distinction de faire un régime particulier. Quand tu es employeur, tu es employeur. Le parti politique peut détenir des immeubles, peut signer des contrats, emploie du monde. Donc, ça, à ce niveau-là, vous nous invitez... Donc, sous ces pouvoirs juridiques là, bien, le parti politique ne devrait pas faire l'économie d'être soumis à...

M. Reid (Pierre) : Oui.

• (16 h 20) •

M. Tanguay : O.K. Cambridge Analytica... À l'époque, je me rappelle, il y avait eu un débat où vous aviez mentionné que vous n'aviez pas les pouvoirs de débarquer dans les partis politiques. Est-ce qu'aujourd'hui vous demandez ce pouvoir-là? J'y vais rapidement, là. Je ne fais pas trop de nuances, mais, vous, de pouvoir vérifier, après l'adoption, éventuellement, de la loi, si on allait dans votre sens... de pouvoir, vous, faire des suivis quant au sérieux avec lequel c'est respecté...

M. Reid (Pierre) : Non, bien, je pense, c'est un mandat qui est dévolu à la Commission d'accès à l'information. Donc, c'est elle qui aurait à appliquer... à faire le... à exercer son droit de surveillance. Nous sommes responsables de la liste. Il y a des dispositions dans la Loi électorale que... pour lesquelles nous sommes responsables. Mais il n'y a rien qui empêcherait une collaboration avec la CAI. Comme en Colombie-Britannique, le directeur général des élections et le commissaire à la vie privée collaborent ensemble au besoin.

M. Tanguay : Donc, vous ne le demandez pas pour vous, là, comme pouvoir spécifique?

M. Reid (Pierre) : Non, non.

M. Tanguay : O.K. Dites-moi, élément important, les partis politiques municipaux... Je veux dire, il y a des partis politiques municipaux dans de grandes villes, Montréal, Laval, Longueuil, Québec, qui collectent, sur des dizaines de milliers d'électeurs... Donc, certains pourraient dire... Puis j'aimerais vous entendre là-dessus. Vous demandez à ce que ce soit appliqué aux partis politiques municipaux. J'imagine que ça, ça ferait partie d'un des arguments que vous soulèveriez. Dans certains cas, même des partis politiques municipaux dans de grandes villes pourraient avoir plus d'information que bien des partis politiques provinciaux, en termes de quantité et en termes de données. Premier élément, premier argument que je vous soumets, puis je ne sais pas si vous le reprenez à votre compte.

Et deuxième élément. Aussi, peut-être que, dans certains partis politiques municipaux de grandes, ou moyennes, ou de petites villes, il y a également, justement, une rotation plus rapide dans les gens, les bénévoles, les employés. Peut-être que l'on pourrait retrouver chez les partis politiques, autrement dit, qui a accès à cette information-là dans un parti politique provincial versus dans un parti politique municipal. Il y a un contrôle, aussi, de savoir qui a accès, qui a eu accès, qui a quitté le parti, n'est plus bénévole. Moi, j'étais président d'une région. Là, je ne le suis plus. Qu'est-ce que je fais pour remettre ces... pour m'assurer de remettre ces informations-là? Alors, je pense que ça participe aussi de votre réflexion d'étendre ça chez les partis politiques provinciaux... aux partis politiques municipaux, pardon?

M. Reid (Pierre) : Bien, c'est parce que, pour un parti... les partis politiques municipaux... C'est qu'on ne voit pas de distinction. Ils ont les données des listes électorales. Ils en font une utilisation similaire. Donc, tout dépendant de la grandeur des partis, bien, ils collectent des renseignements. Donc, ils ont des données personnelles pour lesquelles ils vont assurer la même protection que ce qui est demandé pour les partis politiques provinciaux.

M. Tanguay : Parfait. Bien, je vous remercie beaucoup, Me Reid.

Le Président (M. Bachand) : Merci. M. le député de René-Lévesque, pour 2 min 50 s, s'il vous plaît.

M. Ouellet : Merci beaucoup. Donc, à mon tour de vous saluer, M. le directeur.

J'aimerais juste valider une chose avec vous. Si j'ai bien compris votre allocution, vous faites mention qu'il y aurait un enjeu, effectivement, pour la collecte de données. On collecte des données personnelles, il y a le sexe, il y a l'âge. Et vous nous dites : S'il arrive une fuite, ça pourrait être dommageable. Mais il n'est pas là plutôt, l'enjeu, au lieu de travailler sur les collectes, plutôt travailler sur la protection des données? Parce qu'on peut bien collecter tout ce qu'on veut, la grande question, c'est : Est-ce qu'on les protège bien à l'intérieur même des organisations? Ça ne devrait pas être là plutôt, l'enjeu, de s'assurer que les partis politiques ont des outils avant-gardistes qui ne peuvent pas être attaqués par des cyberpirates, bref, qu'ils ont les meilleures protections possible pour leurs données?

M. Reid (Pierre) : Bien, justement, en prévoyant un encadrement législatif, pour les renseignements personnels, des partis politiques, justement, ce à quoi pourvoit le projet de loi n° 64... Les partis politiques, comme pour les entreprises, seront tenus d'avoir des mesures de sécurité, là, je dirais, appropriées. Et, lorsque pourrait se produire un incident de sécurité qui pourrait avoir un préjudice vraiment... qui pourrait causer un préjudice à des personnes, ils se devront de le signaler à la Commission d'accès à l'information. Et une des choses que le projet de loi n° 64 prévoit, c'est qu'il y ait une personne responsable justement de la protection des renseignements personnels, ce qui, actuellement, n'est pas exigé, là.

M. Ouellet : Avec les différentes modifications que vous demandez, ça a effectivement un impact dans l'administration des partis politiques, un peu un fardeau administratif supplémentaire. Vous ne croyez pas que ça va avoir une incidence aussi sur l'émergence des petits partis politiques si on doit effectivement faire l'épuration des listes et se rendre, je vous dirais, conforme à ce que vous demandez dans le projet de loi en question, donc, d'épurer les listes, d'en faire le moins possible? Bref, est-ce que les petits partis qui commencent avec une petite équipe vont avoir de la misère, je vous dirais, à répondre aux prérogatives que vous demandez dans votre mémoire?

M. Reid (Pierre) : Bien, en fait, je vous dirais que, si on fait un parallèle avec les entreprises, la loi ne fait pas de distinction puis... dans le fond, entre les petites, des moyennes et des grandes entreprises, là. À partir du moment où les entreprises ont des renseignements personnels, elles se doivent d'appliquer les mêmes mesures. Par rapport à un parti émergent, bien, peut-être qu'ils auront peut-être moins de renseignements personnels, mais les renseignements personnels qu'ils auront, ils devront en assurer la même protection, là, et, sur ça, il y a des outils qui viennent aider, que ce soient les entreprises ou les partis, à bien... à assurer une protection adéquate des renseignements personnels.

M. Ouellet : Merci, M. Reid.

Le Président (M. Bachand) : À mon tour de vous remercier, M. Reid, de votre présentation.

Alors, sur ce, je suspends les travaux de la commission pour quelques instants. Merci beaucoup.

(Suspension de la séance à 16 h 25)

(Reprise à 16 h 29)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Merci. La commission reprend ses travaux.

Il nous fait plaisir d'accueillir Me Éloïse Gratton de la firme Borden Ladner Gervais. Alors, Me Gratton, vous avez 10 minutes de présentation. Merci beaucoup d'être là. Et, après ça, on aura un échange avec les membres de la commission. Donc, la parole est à vous.

Me Éloïse Gratton

(Visioconférence)

Mme Gratton (Éloïse) : Parfait. Merci de l'invitation. Je suis heureuse d'être ici aujourd'hui et d'avoir l'occasion de partager mes réflexions sur le projet de loi n° 64. Donc, je suis associée chez Borden Ladner Gervais et je pratique dans le domaine du droit à la protection de la vie privée. Et mes clients sont généralement des entreprises du secteur privé qui proviennent de diverses industries. C'est à titre personnel que je comparais aujourd'hui.

• (16 h 30) •

Si je mets aujourd'hui l'accent sur les aspects du projet de loi qui méritent, selon moi, d'être reconsidérés, cela ne signifie pas que je suis en désaccord avec le projet de loi, en fait, qui est très bien. C'est plutôt une occasion, là, de proposer des améliorations au projet de loi. J'ai soumis, avec certains collègues, un court mémoire dans lequel nous présentons nos observations sur l'impact que le projet de loi peut avoir sur les entreprises du secteur privé, et on fournit, là, 16 suggestions quant aux aspects du projet de loi qui mériteraient d'être améliorés. Toutefois, je ne retiendrai, là, aujourd'hui, dans le cadre de mon témoignage, seulement certains éléments qui me semblent les plus importants.

Donc, dans un premier temps, la notion de consentement. Parmi les nombreux changements qui ont été proposés par le projet de loi n° 64, la notion de consentement a eu droit à l'une des révisions les plus attendues et les plus nécessaires. Je pense qu'ici il y a lieu de saluer l'introduction de nouvelles exceptions au consentement pour les transactions commerciales, l'introduction de nouvelles exceptions au consentement dans le cadre de la recherche, certaines exemptions pour les coordonnées professionnelles, une reconnaissance de la notion de consentement implicite. En tout cas, bref, beaucoup de beaux changements, mais la situation est toutefois susceptible, quand même, là, d'amélioration.

Les consommateurs se font constamment solliciter pour donner leur consentement, et l'apathie du public envers les longs formulaires de consentement risque de persister si ce consentement est demandé sans égard au contexte ou aux attentes raisonnables des consommateurs. Selon l'article 14 proposé, le consentement doit être demandé pour chaque fin spécifique et distinctement de tout autre renseignement communiqué à la personne concernée. Ceci peut sous-entendre que le consentement doit être demandé en dehors du champ d'application d'une politique de confidentialité, ce qui augmenterait alors le nombre de consentements demandés.

On peut aussi se questionner sur l'intérêt de recueillir... que les entreprises publient toutes leurs politiques internes en matière de confidentialité dans un contexte où les commissaires à la protection de la vie privée canadiens ont généralement mis l'accent, et ce, à juste titre, sur la réduction de la quantité de renseignements fournis aux individus dans leurs politiques de confidentialité. Je crois qu'un recours excessif au consentement ne fournit qu'un faux sentiment de protection et vide le concept même de consentement de toute utilité ou de sens.

Donc, le consentement doit être une mesure de dernier recours qui signale aux personnes concernées l'importance de l'activité à laquelle elles consentent. L'importance du consentement est perdue lorsqu'il est sollicité pour une activité banale, et je crois qu'il devrait idéalement être limité aux situations où la personne concernée se voit offrir un choix réel, par opposition à un choix purement illusoire ou inexistant. En ce sens, le renforcement du consentement qui a déjà été amorcé dans le projet de loi devrait être poursuivi avec une approche plus innovatrice en introduisant des bases juridiques autres que le consentement, comme c'est le cas en Europe.

Donc, à titre d'exemple, le RGPD reconnaît cinq autres bases légales de traitement, dont les intérêts légitimes d'une entreprise ou la nécessité d'exécuter un contrat. Cette approche a été défendue avec succès en Europe et n'a pas entraîné une perte de contrôle des renseignements personnels par les individus, et, ça, en partie grâce aux protections qui sont offertes par la loi.

Le fait que le projet de loi continue de s'appuyer sur la notion de consentement est particulièrement problématique dans un contexte de relation employeur-employé. Donc, l'employeur a besoin de collecter certains renseignements relatifs à ses employés pour poursuivre ses activités et, dans certains cas, pour remplir ses obligations légales. Et il est difficile de considérer le consentement d'un employé, dans ses relations avec son employeur, comme étant libre puisqu'il pourrait croire, à tort ou à raison, que son emploi serait compromis lors d'un refus de consentement.

Cette réalité-là, elle est reconnue et soulignée dans le cadre du RGPD et aussi dans le reste du Canada. Donc, en vertu de la loi fédérale et des deux lois de l'Ouest canadien, Colombie-Britannique et de l'Alberta, qui s'appliquent aux entreprises du secteur privé, les employeurs peuvent recueillir, utiliser et communiquer les renseignements personnels qui sont nécessaires à la gestion de la relation employeur-employé sans le consentement de leurs employés, bien qu'ils aient une obligation de transparence. L'absence d'une exception équivalente dans la loi sur le secteur privé du Québec semble être un oubli important, selon moi, qui devrait être reconsidéré.

Au niveau... L'une des dispositions du projet de loi qui crée le plus de défis aux entreprises est celle des transferts transfrontaliers. Le projet de loi alourdit les exigences énoncées dans l'article, actuel, 17 de la loi sur le secteur privé sans nécessairement offrir aux individus une protection accrue. Donc, selon le texte proposé, une entreprise doit, avant de communiquer des renseignements personnels à l'extérieur du Québec, effectuer une évaluation des facteurs relatifs à la vie privée afin de déterminer si les renseignements vont bénéficier d'un niveau de protection équivalent à celui accordé en vertu de la loi québécoise.

L'article 17.1 du projet de loi prévoit que le gouvernement publiera une liste des États dont le régime juridique encadrant les renseignements personnels équivaut à celui du Québec. Il s'agit là d'un travail absolument colossal, et je me questionne. Je me dis : Peut-être que le gouvernement n'a pas réalisé et a peut-être sous-estimé les efforts qui lui seraient nécessaires pour publier une telle liste exhaustive. En vertu de la législation européenne, un tel exercice d'évaluation des États étrangers est effectué par la Commission européenne après un processus long et très détaillé, impliquant le Comité européen de la protection des données et les représentants des États membres.

Le fait que la Commission européenne ait déclaré la loi fédérale adéquate en 2001 et la loi sur le secteur privé québécoise inadéquate en 2014, alors qu'elle est plus contraignante que la loi fédérale à plusieurs égards, illustre d'autant plus, là, les défis posés par toute méthodologie de comparaison des lois. Cette nouvelle exigence pourrait placer les entreprises dans une situation où elles devront faire appel à des experts en droit étranger pour évaluer l'équivalence des lois étrangères. Cette évaluation est d'ailleurs complexifiée par le fait que les lois étrangères peuvent être sectorielles, modifiées au fil du temps, et donc imposeraient, là, des nouveaux coûts et des délais importants aux entreprises implantées au Québec. Il pourrait même être particulièrement, là, difficile pour les PME, par exemple, là, dont les moyens sont plus restreints, de s'engager dans ce type d'analyse juridique comparative.

En Europe, si le pays tiers n'est pas considéré comme ayant un système juridique adéquat, il y a différents mécanismes qui peuvent être utilisés par les entreprises, conformément au RGPD, pour transférer des renseignements personnels en dehors de l'Europe, notamment des clauses contractuelles types. Or, le projet de loi n° 64 prévoit déjà une obligation d'avoir un contrat dans un contexte d'impartition, et ce projet de loi là ne prévoit pas de mécanisme alternatif pour transférer des renseignements vers le reste du pays ou à l'étranger. Donc, bref, le régime proposé pourrait empêcher un bon nombre d'entreprises de transférer des renseignements personnels en dehors de la province, et ce, au détriment de l'innovation et du maintien de l'économie numérique du Québec.

Dernier point. Le projet de loi n° 64 ferait de la Commission d'accès à l'information la première autorité canadienne de protection de la vie privée ayant le pouvoir d'imposer directement des sanctions administratives pécuniaires importantes. En général, les lois en matière de protection de renseignements personnels visent à préserver une approche technologiquement neutre afin de s'adapter aux nouvelles technologies. Donc, c'est une approche qui est notamment illustrée par la flexibilité avec laquelle certains concepts sont définis.

Je donne à titre d'exemple... La forme du consentement qui doit être obtenu est basée sur la sensibilité des renseignements personnels, et laquelle est définie en fonction du degré d'attentes raisonnables en matière de vie privée que suscite le renseignement. Le critère qui nous permet de déterminer si un élément donne lieu à un tel degré d'attentes raisonnables en matière de vie privée sera naturellement influencé par les normes sociales en vigueur, lesquelles sont d'ailleurs susceptibles d'évoluer avec le temps. Donc, certaines pratiques qui étaient considérées comme intrusives à une certaine époque peuvent être acceptables à une autre époque. Cette flexibilité est difficile à concilier avec la possibilité d'imposer d'importantes sanctions administratives pécuniaires, qui pourraient avoir un effet paralysant sur l'innovation.

Donc, je crois qu'il serait nécessaire de réviser le montant des amendes ainsi que le processus permettant d'imposer ces amendes-là de façon à ce qu'il soit plus flexible et proportionnel à la gravité de violation et au risque de préjudice qui en découle. Par exemple, il peut être pertinent de se demander si les montants doivent être plafonnés au pourcentage du chiffre d'affaires mondial par opposition au chiffre d'affaires local, par exemple, québécois, canadien. Je note que les amendes maximales sont fixées en fonction du pourcentage de chiffre d'affaires mondial : 2 %, amendes administratives, 4 % pour les sanctions pénales, similaires au RGPD. Compte tenu que la population du Québec représente moins de 2 % de la population de l'Union européenne, ces seuils-là d'amendes peuvent sembler être disproportionnés.

En conclusion, le Québec étant la première juridiction canadienne à proposer des réformes importantes à ses lois relatives à la protection des renseignements personnels, nos discussions auront certainement un impact important sur l'élaboration des réformes similaires que proposeront le gouvernement fédéral ou celui des autres provinces. Donc, j'espère que mes réflexions seront utiles pour l'étude du projet. Et il me fera plaisir, là, de répondre à vos questions. Merci.

Le Président (M. Bachand) : Merci beaucoup, maître. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Merci, M. le Président. Bonjour, Me Gratton.

• (16 h 40) •

Mme Gratton (Éloïse) : Bonjour.

M. Jolin-Barrette : Merci de participer aux travaux de la commission. Écoutez, reprenons sur les derniers éléments que vous avez soulevés, là, relativement au régime de sanctions administratives pécuniaires, là. Ce que je comprends de votre propos, c'est que vous dites : Bon, ce qui est prévu dans le projet de loi, c'est assez élevé, eu égard... Si on fait le comparable avec l'Europe, là, la réglementation, là, le Règlement général sur la protection des données de l'Union européenne, là, vous dites : Ce n'est pas justifié, parce qu'on est moins en termes de population, donc on ne devrait pas appliquer d'une façon équivalente, là, ces amendes-là.

Mme Gratton (Éloïse) : Bien, en fait, c'est un peu ça. Si on pense, là, qu'une entreprise serait sujette aux mêmes pénalités en vertu de ses activités en Europe par rapport au Québec, bien, techniquement parlant, elle pourrait recevoir la même amende de deux autorités réglementaires différentes. Ça, c'est le point numéro un. Et, numéro deux, peut-être que ce serait moins intéressant pour elle de faire... d'avoir des activités commerciales au Québec, en se disant : L'amende potentielle est tellement élevée qu'en fin de compte, là, le marché de 8, 9 ou 10 millions d'individus, peut-être que je mets ça de côté. C'est là, je pense, qu'est l'enjeu.

M. Jolin-Barrette : Ce que vous nous dites, c'est un argument, dans le fond, de rentabilité puis de risque pour l'entreprise, de dire : Bien, si moi, je perds, dans le fond, les données, il y une fuite de données ou je ne respecte pas mes obligations légales, bien, l'amende est tellement élevée que je ne viendrai pas au Québec faire des affaires. C'est un peu ça, le sens de votre propos.

Mme Gratton (Éloïse) : C'est un des propos, en fait. Et, je vous dirais, au niveau de l'obligation de sécurité de la fuite des données, je pense que les enjeux de pénalités sont moins inquiétants pour l'innovation. Je pense que c'est plutôt au niveau des analyses de données, de la recherche, du consentement des entreprises qui pourraient être tentées d'innover, de faire l'intelligence artificielle, donc, de pousser un peu les limites, là, des nouveaux modèles d'affaires qu'on connaît. Puisque les lois sont rédigées en termes très flexibles, le type de consentement qui doit être obtenu, quand est-ce qu'une activité est raisonnable ou tient compte, là, des attentes raisonnables du consommateur, c'est là aussi, je pense, qu'il y a une inquiétude ou un enjeu.

M. Jolin-Barrette : Mais, quand vous dites, là : On devrait mettre les sanctions... le montant des sanctions administratives pécuniaires ou même des amendes en fonction du risque de préjudice, là, comment l'évaluer, là, ce risque de préjudice là, d'une façon objective pour dire... bien, pour que, clairement, ce ne soit pas subjectif, puis que l'entreprise elle-même ne dise pas : Ah bien! Ça, ce n'est pas préjudiciable, là? Comment est-ce qu'on fait pour se doter de balises très claires, là, objectives?

Mme Gratton (Éloïse) : C'est-à-dire que les lois sont tellement neutres d'un point de vue technologique que ça ne sera jamais parfaitement objectif et neutre. On a besoin de flexibilité dans ces lois-là. Je pense qu'au niveau des amendes on pourrait au moins apporter certains critères. Je pense, circonscrire, comme je disais, là, en chiffres... une proportion, un pourcentage de chiffre d'affaires local, déjà, je pense, ça serait un bout de chemin, puis dire que c'est... qu'on va tenir compte du préjudice pour les individus. Donc, peut-être qu'en matière de bris de sécurité les amendes pourraient être plus élevées. Mais, lorsqu'on parle, là, d'un consentement qu'on n'a peut-être pas assez détaillé ou un consentement implicite qu'on a obtenu quand peut-être que c'était un renseignement explicite, parce que c'est des données sensibles, peut-être que, dans cette situation-là, s'il n'y a pas de dommages pour l'individu, l'amende en cause pourrait être moins importante.

M. Jolin-Barrette : Mais, de ce que je comprends, c'est un peu du cas par cas, là, que vous voulez qu'on adopte dans la législation, parce que c'est sûr que la portée générale de la loi doit être... doit s'appliquer à tous. Si on dit : Le chiffre d'affaires qui est local seulement, il y a beaucoup d'entreprises qui sont intégrées, il y a beaucoup d'entreprises, maintenant, avec le numérique, que c'est... elles n'ont pas nécessairement pignon sur rue au Québec. Alors, ça devient difficile pour l'autorité réglementaire de faire appliquer la législation, là, si on fait ça, vous ne pensez pas?

Mme Gratton (Éloïse) : Bien, en même temps, si je regarde, là, aux États-Unis, il y a l'État... un État, en Californie, qui a adopté un nouveau projet de loi qui est entré en vigueur plus tôt cette année. Il faut penser que le Québec est en Amérique du Nord. Donc, il faut être un peu cohérent, là, avec le contexte géographique. Les amendes doivent arriver en dernier lieu.

Donc, je pense, c'est un peu ça, le sens, là, de notre mémoire. En fait, c'est de dire : Les sanctions, là, c'est un avertissement. Donc, avant de se rendre là, il faut avoir une conversation avec l'entreprise puis dire : Ce modèle d'affaires là, il ne convient pas à cause de ça, puis d'avoir une discussion. Puis, en fait, surtout à cause de la loi fédérale, qui est vraiment sur un modèle ombudsman, je vous dirais, les entreprises qui ont des opérations à travers le Canada sont habituées d'avoir ces conversations-là. Donc, arriver avec des grandes pénalités un peu à la RGPD, en étant la seule juridiction en Amérique du Nord, là, qui a ce type d'amende là, je vous dirais, ça ébranle beaucoup, là, les entreprises qui nous consultent.

M. Jolin-Barrette : Mais, vous ne pensez pas, pour assurer la protection des renseignements des individus, il y a un coup de barre qui doit être donné puis dire : Bien, effectivement, cette législation-là qu'on présente, c'est nouveau? Puis on vise à faire avancer les autres législations aussi, parce qu'à un certain moment donné, malgré le fait que, bon, il y a un système, actuellement, il y en a, des fuites. Puis peut-être que c'est justement parce qu'il n'y a pas de sanctions importantes sur le plan financier qu'on se retrouve parfois avec des situations de négligence.

Mme Gratton (Éloïse) : Et, en fait, on n'est pas contre l'idée de sanctions. Si vous lisez bien notre mémoire, on n'est pas contre le concept. On pense peut-être que ça va trop loin, et le montant, peut-être, est trop important, en fait.

M. Jolin-Barrette : Je voudrais peut-être qu'on aborde, là, ce que vous avez dit au début, là, au niveau de la notion de consentement. On ne devrait pas exiger le consentement systématiquement. Vous dites : Bon, dans la législation européenne, il y a certaines exceptions, tout ça. Pouvez-vous expliquer davantage cette partie-là, quand vous dites : On ne devrait pas systématiquement demander le consentement?

Mme Gratton (Éloïse) : C'est-à-dire que toutes nos lois en matière de vie privée, on les appelle, là, des lois en matière de protection de renseignements personnels, sont basées ou tournent autour du consentement, et peut-être que ça... Et, en fait, c'est un vieux concept de la vie privée qui date... qu'on a importé de l'Europe du début des années 70, donc bien avant l'arrivée de l'Internet et des nouveaux modèles d'affaires.

Donc, on se retrouve aujourd'hui avec une réalité où l'individu qui contrôle ses renseignements personnels, donc, qui consent, à chaque cinq minutes, là, dès qu'il fait une transaction, à des longues politiques en matière de vie privée, c'est de moins en moins réaliste. En Europe, ils ont reconnu ça et ils disent : En fait, la relation employeur-employé... non, je vais m'assurer que l'employeur ne collecte que les renseignements qui sont nécessaires à la gestion employeur-employé puis je vais lui imposer une obligation de transparence. Donc, il va dire à l'employé : Voici ce que je collecte et comment je l'utilise, et c'est tout.

En matière... Si, par exemple, il y a un contrat de service, l'individu n'a pas vraiment le choix. Donc, lui demander un consentement à une longue politique... Je veux dire, c'est correct d'avoir de la transparence, mais l'idée, c'est de demander le consentement lorsque ça vaut la peine, lorsque l'individu a vraiment un réel choix, sinon c'est de favoriser la transparence, selon moi, et de s'assurer que les entreprises ne collectent pas plus que ce qu'elles... les renseignements dont elles ont besoin pour fournir un produit ou un service.

Donc, demander un consentement à droite puis à gauche... Puis là, quand je regarde le projet de loi puis je vois «distinctement», «selon chaque finalité», puis là on suggère aux entreprises... on recommande, là, que les entreprises publient toutes leurs politiques, je me dis : Bon, là, on va se retrouver dans une situation où, encore une fois, le consommateur va être submergé d'informations et il va consentir à droite et à gauche sans prendre conscience, là, ce à quoi il consent.

Puis je vais vous donner un exemple, là. Juste récemment, on le voit, les sites Web, là, mettent des petits... on a des petits panneaux, là, où est-ce qu'ils disent : Ah! on utilise des cookies, puis là il y a des choix. Les gens ne sont pas intéressés. Les gens cliquent, donnent leur consentement sans lire même qu'est-ce qui se passe. Donc, je pense que, si on continue avec le régime de consentement sans s'attarder à ces enjeux-là, bien, on ne règle pas le problème. En gros, c'est ça.

Donc, en Europe, ils ont proposé d'autres bases juridiques. Et, comme il y a des pénalités, les entreprises sont motivées, là, de s'assurer qu'elles respectent la loi. Et, comme les entreprises ont une grande obligation de transparence, là, les politiques de confidentialité, en vertu du RGPD, détaillent, là, pour chaque base juridique, quel type de renseignement est collecté et comment ils sont utilisés. Je ne pense pas qu'on peut dire qu'en Europe les individus ont perdu le contrôle de leurs renseignements personnels. Ça fait que, selon moi, garder et s'accrocher à ce concept-là de consentement uniquement à titre de seule base juridique, c'est problématique.

M. Jolin-Barrette : ...Me Gratton. J'ai des collègues...

• (16 h 50) •

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Bonjour, Me Gratton.

Mme Gratton (Éloïse) : Bonjour.

M. Lévesque (Chapleau) : Je vais peut-être prendre la balle au bond du ministre, un peu sur le modèle européen, faisons un peu de droit comparé. Est-ce que... Bon, vous avez parlé de... La notion du consentement, bien entendu, est un peu plus large en Europe. Est-ce qu'il y a d'autres éléments que vous constatez, dans le droit européen ou d'autres juridictions, qu'on n'a peut-être pas mentionnés, mais qui auraient peut-être des éléments intéressants à apporter, là, au projet de loi pour le bonifier?

Mme Gratton (Éloïse) : C'est-à-dire qu'on s'est beaucoup penchés... Dans mon équipe, j'ai un avocat qui a son barreau de la Californie. Donc, on joue beaucoup avec cette nouvelle loi là qui n'est pas très bien rédigée, en toute honnêteté, mais c'est une autre loi, là, qu'on a aux États-Unis, qui est une... qui est, en fait, la première loi, là, qui vise tous les consommateurs. Et j'ai aussi une avocate française qui a une expertise en RGPD. Ça fait qu'en matière de comparaisons on s'est beaucoup... on a beaucoup analysé ces deux juridictions-là. Le RGPD, c'est sûr que, pour plusieurs, c'est le meilleur standard de l'heure, le plus rigoureux. Et, comme je remarque que le projet de loi n° 64 s'est beaucoup inspiré du RGPD, et c'est très bien, on le reconnaît, tout ce qu'on suggère, là, c'est que, justement, on aille jusqu'au bout de cette analyse-là en matière de consentement, entre autres.

M. Lévesque (Chapleau) : D'accord. Vous avez parlé, bon, de certains de vos clients, là, en lien avec, bon, des coûts supplémentaires, des délais, certains fardeaux, notamment pour les PME. Sans briser le secret professionnel, bien entendu, est-ce qu'il y a déjà des entreprises qui ont dit : Ah! si ce projet de loi va de l'avant, moi, je compte quitter la juridiction, l'État du Québec? Est-ce que vous pensez que ça aurait un impact sur un exode possible d'entreprises, de certains commerces, ou, au contraire, vu que les standards vont être assez élevés, les gens vont dire : Bon, bien, on peut faire confiance en ces entreprises-là parce qu'elles adoptent des standards qui sont de la plus haute qualité, là?

Mme Gratton (Éloïse) : Bien, en fait, votre intervention est très bien, parce que, justement, il faut arriver à mettre les deux intérêts en balance, là, s'assurer que les consommateurs sont en confiance, s'assurer peut-être qu'on ne va pas trop loin pour décourager, finalement, les entreprises. Ce que je peux vous dire... Non, je n'ai pas de client qui prévoit quitter, mais c'est clair que, dans le contexte de ma pratique, je vois des entreprises qui sont découragées, par exemple, de devoir tout traduire leurs sites électroniques. Ça fait que, des fois, on est exclus de certains sites transactionnels en Amérique du Nord à cause de la langue. C'est correct, mais je fais juste le mentionner. Par exemple, aussi, au niveau des concours, au Québec, on a des lois plus rigoureuses en matière des concours. Donc, souvent, on est exclus de concours.

Donc, je veux... Notre point, c'est que c'est correct d'améliorer la loi. On est la première juridiction à le faire puis on va espérer des autres... Je l'espère, mais il faut juste arriver à ne pas décourager les entreprises non plus. Donc, à titre d'exemple, là, j'ai plusieurs entreprises qui m'ont contactée, par exemple, dans le domaine du service financier, en me disant : La façon que l'obligation, là, d'effectuer des évaluations de facteurs de risques est rédigée, bien, je vais devoir engager trois ou quatre personnes à temps plein pour faire ça à l'année longue. Est-ce que c'est ça que le législateur, le gouvernement voulaient? Probablement que non.

Donc, c'est un peu ça, là, notre mémoire, là. En fait, on souligne, là... On dit : C'est très beau, toutes ces exigences-là, on les appuie, mais il y a un petit peu de flexibilité, peut-être, qui devrait être introduite, et, dans bien des cas, on dit, comme c'est le cas en Europe.

M. Lévesque (Chapleau) : O.K., ça, je comprends. Merci. Vous avez parlé également, là, de la faible tolérance, là, des citoyens, là, actuellement, à pouvoir... à vouloir remplir des formulaires sur Internet, de consentement, là, qui... Des fois, c'est des pages et des pages de petits caractères. Notamment, les cookies, vous avez fait mention de ça. Est-ce que vous avez une alternative à... Est-ce que vous envisagez une alternative à ces fameux formulaires là pour justement, là, obtenir le consentement puis obtenir... dans le fond, que les citoyens aient un meilleur contrôle sur leurs données personnelles?

Mme Gratton (Éloïse) : Bien, je recommande, en fait, vraiment le modèle du RGPD pour ça. Le consentement en vertu du RGPD est la dernière base juridique, et on l'utilise si rien d'autre n'est disponible. Donc, je pense que ça ferait en sorte de renforcer le consentement. Lorsqu'on va frapper à la porte du consommateur, on lui dit : Voici, tu as un consentement à nous donner, bien, c'est sérieux puis c'est un réel choix. Ce n'est pas pour une activité qui est banale. Donc, je pense que c'est ça, en fait, ce qu'on propose.

M. Lévesque (Chapleau) : O.K. Puis est-ce que vous pensez que, dans le fond, un meilleur contrôle sur les données, là, personnelles, en 2020, ça doit aussi signifier, dans le fond, être un synonyme d'une responsabilité, là, qui est augmentée du citoyen relativement à ces données-là? Est-ce que vous avez une réflexion par rapport à ça?

Mme Gratton (Éloïse) : Excusez-moi, j'ai mal compris votre question.

M. Lévesque (Chapleau) : Est-ce que, dans le fond, vous pensez qu'un meilleur contrôle, là, de ces données-là, là, personnelles, en 2020, devrait aussi venir avec une responsabilité, là, augmentée de la part du citoyen relativement à ces données-là?

Mme Gratton (Éloïse) : C'est-à-dire, responsabiliser le citoyen davantage?

M. Lévesque (Chapleau) : Oui, un peu dans...

Mme Gratton (Éloïse) : Oui, mais, évidemment... Bien, je veux dire, oui, mais il faut être réaliste en même temps. Les citoyens sont occupés. Ils ont d'autres choses à faire que de s'éduquer, de lire des longs formulaires. Donc, justement, rendons-leur la vie un petit peu plus facile, incorporons des notions, des bases juridiques qu'on a en vertu du RGPD comme l'intérêt légitime, là, de l'entreprise. Et on s'assure que, dans les politiques en matière de vie privée, tout est clair, la transparence est là, les pénalités sont là.

Donc, les entreprises sont motivées à être transparentes face aux consommateurs, à les éduquer, à les appuyer, le cas échéant. Et on ne fait pas comme redonner le fardeau aux consommateurs pour s'éduquer puis aller lire les politiques de A à Z. Il y a une certaine transparence, avec des pénalités, pour l'entreprise. Donc, tu sais, dans un monde idéal, oui, les consommateurs seraient plus responsabilisés. Mais je ne sais pas si c'est réaliste, là, de s'attendre que les consommateurs, du jour au lendemain, deviennent des experts de tous les modèles d'affaires, puis des collectes, puis des données spécifiques qui sont collectées en ligne, etc. Je ne sais pas si c'est réaliste, en fait.

M. Lévesque (Chapleau) : D'accord, merci. Une petite dernière question. Il ne me reste pas beaucoup de temps, là. On a eu l'occasion, là, d'avoir une commission, je ne sais pas si vous êtes familière de... sur l'application de traçage à la COVID-19. Et il y avait un grand débat, là, en droit comparé, sur la notion, la définition de renseignements personnels, notamment en droit européen. Je ne sais pas, peut-être, vos idées sur la question?

Mme Gratton (Éloïse) : Bien, en fait, notre définition, elle est très large et flexible. Elle n'est pas parfaite. Et, dans certains cas, ce n'est pas clair, là, à partir de quel moment est-ce qu'un renseignement est déidentifié ou absolument anonymisé, parce que, des fois, dans certains cas, c'est un renseignement technique. Je vous dirais que j'ai... Il n'y a pas eu de changements qui sont proposés en matière de la définition de renseignements personnels. Et je pense que c'est acceptable, là, de garder une certaine flexibilité. Je pense, là, que la Commission d'accès à l'information, souvent, va interpréter, là, selon le contexte, et je pense que c'est acceptable.

M. Lévesque (Chapleau) : Merci.

Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il vous plaît, pour 11 min 20 s.

M. Tanguay : Merci beaucoup, M. le Président. Bonjour, Me Gratton. Merci beaucoup d'être avec nous.

En quelque sorte, vous nous ramenez à nos obligations en nous rappelant une réalité toute québécoise, c'est que, quand on se compare au RGPD du Parlement européen, où là il y a eu une rédaction commune, une application commune et des termes définis, compris et appliqués, espérons-le, de façon cohérente et efficace, alors que le Québec, lui, sans dire qu'on fait cavalier seul, bien, on a notre compétence, puis c'est bien parfait, mais dans un contexte canadien, dans un contexte nord-américain. Puis vous nous dites : Faites attention, parce que ce que vous déciderez dans votre coin aura nécessairement un impact, notamment un impact sur la protection effective des renseignements personnels et un impact économique, ne serait-ce que pour nommer ces deux-là.

J'aime la lecture de votre mémoire, parce qu'il nous oblige à revenir à des concepts de base. Puis, avant de définir, avant de rédiger le mot à mot des articles, j'aime lire notamment votre proposition 4, que je lis avec la proposition 6. Proposition 4, vous dites... la suggestion n° 4 : «Mieux circonscrire l'obligation de procéder à une évaluation des facteurs relatifs à la vie privée proposée à l'article 3.3 en utilisant un seuil basé sur la matérialité du risque présenté par l'activité de traitement des renseignements.»

Alors, vous introduisez, dans l'analyse à laquelle vous nous invitez, là, des concepts tels que la matérialité du risque. Je le lis, ce concept-là, de la proposition, de la suggestion 4, avec : «Limiter — la suggestion 6 — davantage l'utilisation de la notion de consentement afin de renforcer sa valeur, notamment en introduisant des bases juridiques alternatives afin de mieux prendre en compte les intérêts légitimes des entreprises.»

Donc, matérialité du risque, consentement modulé sur cela. Quand vous devez protéger, protégez de façon rigoureuse, mais, le reste, vous nous invitez à faire des... à y aller selon des bases juridiques alternatives. Et, autre concept, «intérêts légitimes des entreprises», ça, c'est une... Les entreprises ne sont pas un pis-aller, ne sont pas la partie adverse. Les entreprises ont des intérêts légitimes, et je pense... Puis je vais vous écouter, là. Mon intervention est longue, mais je trouve ça intéressant pour vous, qui nous forcez, à la lecture de votre mémoire, à mettre des bémols, à appuyer là où c'est nécessaire, là où c'est hautement sensible, et faire en sorte que l'on puisse atteindre l'objectif sans, par ailleurs, se donner bonne conscience en disant : Bon, on a fait du mur-à-mur, mais d'avoir des impacts où même la protection ne serait pas efficace dans bien des cas. Quand on clique «oui» à «I agree», personne ne lit ça. Moi, je le fais à tous les jours puis je ne lis jamais ça, là. Puis, qu'on viendra me l'imposer, par la suite, devant une cour de justice, je pense, ça ne serait pas... ça serait difficilement applicable avec la Loi sur la protection du consommateur. Mais j'aimerais, donc, vous féliciter, vous remercier puis vous entendre peut-être davantage sur ces concepts-là de matérialité, de consentement, je dirais, modulé et d'intérêts légitimes des entreprises.

• (17 heures) •

Mme Gratton (Éloïse) : Alors, bien, consentement modulé, j'en ai quand même pas mal parlé, en fait, là, puis l'introduction des nouvelles bases juridiques. Peut-être quelques mots sur les évaluations des facteurs de risque. Et, en fait, c'est un exercice qu'on fait déjà. Il y a beaucoup de grandes entreprises, là, qui nous demandent, là, de les aider à faire ces évaluations-là, les plus petites beaucoup moins.

Donc, c'est clair que, quand je vois cette obligation-là, je me dis : O.K., il y a plusieurs entreprises, là, au Québec, qui vont dire : O.K., comment je fais ce genre d'évaluation là? Et c'est correct de faire une évaluation des facteurs de risque en disant : Voici, j'ai un cas d'étude, j'ai un besoin d'affaires légitime. Il y a plusieurs façons, là, de se rendre à mes fins. Il y a des enjeux de vie privée parce que ça implique des renseignements personnels. Est-ce que j'ai pensé à tout? Est-ce que c'est raisonnable? Est-ce que, si je mets tout ça dans la balance, c'est acceptable, les risques en matière de vie privée sont acceptables, compte tenu du besoin d'affaires, là, qui est en cause?

Donc, c'est très bien de proposer cette... C'est ma suggestion n° 4, là... notre suggestion n° 4, là. On était plusieurs à écrire le mémoire. Mais en fait notre seule inquiétude, si je peux m'exprimer ainsi, c'est qu'il n'y a pas de matérialité. Donc, il faut faire, là, des évaluations constamment pour tout et rien. Donc, ça va être, en fin de compte, un lourd fardeau pour les entreprises, là, selon nous. Il y en a plusieurs qui nous ont contactés en nous disant : O.K., ça va être du gros sérieux.

Et, en matière d'intérêts légitimes, en fait, c'est une base légale en vertu du RGPD, et je pense que c'est... Il y avait eu certaines... Il y avait le commissaire à la vie privée, à une certaine époque, qui avait été interrogé et qui avait... On lui avait demandé : Est-ce que vous pensez... puis, tu sais, introduire cette notion-là? Et, son inquiétude, il disait : Bien, j'ai peur que, s'il y a cette exception-là au consentement d'intérêts légitimes, les entreprises utilisent toujours ça comme excuse, puis, finalement, les consommateurs ne sont pas protégés. Donc, c'était... Il y a quelques années, il a fait... il a présenté, là, ses inquiétudes.

Et là c'est sûr, là, le RGPD est entré en vigueur. Là, deux ans plus tard, on regarde ce qui se passe, et, non, comme... Il y a des guides qui sont publiés en Europe, qui disent : Voici ce qui est un intérêt légitime d'une entreprise, voici ce qui est acceptable, ce qui n'est pas acceptable. Donc, si vous utilisez ça avec une obligation de transparence... Les entreprises doivent être très claires et expliquer comment ils utilisent... quels types de renseignements ils utilisent, là, sur la base juridique d'intérêts légitimes. Et, avec les pénalités qui sont potentiellement acceptables, il n'y a pas du tout eu de perte de contrôle, en Europe, en matière de renseignements personnels. Donc, j'ai l'impression que c'est une base juridique qui serait très utile tant pour les entreprises que pour les consommateurs, en fin de compte.

M. Tanguay : Et cette notion, aussi, je le dirais de même, de prévisibilité, justement, pour les entreprises qui doivent mettre en application... qui sont de bonne foi, qui veulent connaître leurs obligations : Mettez-moi ça clair, puis je vais les suivre, les obligations... et que, si c'est le moindrement flou, bien, à ce moment-là, on mettrait au même pied d'égalité l'entreprise cow-boy et l'entreprise qui, de bonne foi, veut respecter les règles mais, finalement, se demande si elle a fait la bonne affaire puis se demande finalement : Est-ce que c'est trop lourd, est-ce que j'en fais trop? Donc, vous nous invitez à préciser cela.

Vous faisiez référence au fait qu'en Europe il y a eu des fascicules, des bulletins qui venaient préciser les obligations. J'imagine que, pour mon intervention, là, pour atteindre ces objectifs-là, là, c'est ce qui est souhaité, là, une prévisibilité qui, nécessairement, découlerait de distinctions : matérialité, types de renseignements, et ainsi de suite, modulation du consentement. Tout est lié, là. Donc, à cette lumière-là, vous nous invitez à raffiner l'approche.

Mme Gratton (Éloïse) : Oui, exactement.

M. Tanguay : Faites-vous la distinction... Et là, sans dire extrapoler, le terme est trop fort, là, j'en déduis... Il y a deux concepts... Au niveau de la qualification d'un renseignement, trouvez-vous important, donc, que, dans l'application, qui découle d'une prévisibilité, là, on sait ce qu'on fait puis on sait qu'on doit le faire, ça... l'importance de distinguer ce qui pourrait être, puis les qualificatifs, là, pourraient être autres, là... de renseignements nominatifs, renseignements sensibles, renseignements hautement sensibles? Vous nous invitez à quelle définition, à quelle réflexion à ce chapitre-là?

Mme Gratton (Éloïse) : J'aime la définition de renseignements sensibles que vous proposez. En fait, elle est flexible. Donc, c'est génial. Le seul problème, c'est sûr que, lorsque c'est très flexible, bien, il y a moins de prévisibilité. Donc, c'est là où est-ce que la CAI a vraiment un rôle à jouer, un rôle de guide. Et, en fait, j'espère qu'avec ce projet de loi là la CAI aura les ressources nécessaires, là, justement, pour publier des documents, des guides pour s'assurer, là, d'éduquer les entreprises, en fait, là, et puis les éclairer quant à son interprétation, là, dans différents contextes, de la définition de renseignements personnels, renseignements sensibles, etc.

M. Tanguay : Est-ce que vous jugez, à la lumière des règlements en Europe, tel que le prévoit actuellement la loi sur la Commission d'accès à l'information et le projet de loi n° 64, que la CAI, au-delà d'une question budgétaire, a l'obligation, le devoir, clairement défini dans la loi, de répondre à ces demandes d'éclaircissement là? Est-ce que vous ne trouvez pas... Est-ce que vous nous invitez à ne pas mettre un article redéfinissant ou ajoutant, devrais-je dire, une responsabilité à la CAI d'être proactive quant à des bulletins d'information et d'interprétation?

Mme Gratton (Éloïse) : Bien, si ce n'est pas déjà clair dans la loi, je pense que ce serait définitivement souhaitable. C'est ça que je peux dire, oui, puis des...

M. Tanguay : Avez-vous un exemple européen à nous soumettre?

Mme Gratton (Éloïse) : Au niveau des guides ou de... non, je pense... Bien, à l'époque c'était le groupe de travail l'Article 29, mais ils ont été renommés. Ils ont un nouveau nom, là, depuis l'entrée en vigueur du RGPD, mais, oui, ils se regroupent. Ils ont des budgets puis ils publient, là, beaucoup de guides à l'attention des entreprises, et une petite note, là, idéalement, ces guides-là seraient dans les deux langues. Il y a beaucoup de sièges sociaux d'entreprises, là, qui sont basés, par exemple, en Ontario. Donc, ça serait bien d'avoir ces documents-là dans les deux langues.

M. Tanguay : Et on a le ministre aussi, incidemment, ministre responsable de l'application de la Charte de la langue française, alors, qui était très attentif, mais je ne vais pas lui prêter d'intentions suite à cela. Il en jugera.

Rapidement, suggestion 9, je trouvais ça... un autre concept, c'est ça, l'intérêt de votre mémoire, c'est que ça nous force à se poser les bonnes questions en amont : «Clarifier et circonscrire la portée du droit à la portabilité des données, notamment de manière à ce qu'il ne s'applique qu'à certains types de données, à savoir les renseignements fournis par la personne elle-même et non les renseignements qui sont dérivés, créés, etc.»

Donc, on est au-delà de la catégorisation sensible, pas sensible, mais vous nous invitez à définir et à donner une valeur juridique à quand la personne le donne elle-même et quand elles sont dérivées. J'aimerais ça que vous, avec le peu de temps qu'il nous reste, là, peut-être, étayiez cette notion-là de dériver et de créer.

Mme Gratton (Éloïse) : Oui, bien, en fait, dans certains cas, des entreprises vont analyser des données, créer peut-être des scores, créer des profils. Donc, dans certains cas, il y a une valeur commerciale à ces données-là. Ce n'est plus vraiment des renseignements personnels. C'est presque un algorithme qu'on va appliquer, par exemple, aux consommateurs. Donc, c'était une précision que je demandais pour la loi. Mais, dans certains documents qui ont été fournis, soumis, je pense, par la ministre, même au niveau de l'impact de la loi, à moins que je me trompe, là, mais il me semble qu'on le précise, là, que les renseignements dérivés ne feront pas partie du droit de portabilité. Donc, j'ai l'impression qu'on est déjà enlignés à ce sujet-là, mais c'était peut-être juste de le préciser dans la loi.

• (17 h 10) •

Le Président (M. Bachand) : Merci beaucoup. Est-ce qu'il y aurait consentement pour interchanger la place entre les députés de René-Lévesque et Gouin? Consentement. Merci beaucoup de votre grande collaboration. M. le député de René-Lévesque.

M. Ouellet : Merci beaucoup, M. le Président. Donc, à mon tour, Me Gratton, d'avoir l'opportunité de vous questionner.

Je vais y aller, d'entrée de jeu, dans votre résumé. Vous avez fait mention de l'impact que le projet de loi pourrait avoir dans l'industrie, mais honnêtement je trouve que vous y allez un petit peu fort lorsque vous dites que «spécifiquement, les nouveaux mécanismes d'application du projet de loi, qui incluent des sanctions pécuniaires administratives, une hausse des amendes et un nouveau droit de recours en dommages-intérêts, sont susceptibles de soulever [...] des préoccupations importantes pour [le] secteur privé et d'avoir un effet paralysant sur l'économie numérique du Québec...»

C'est un petit peu fort, vous ne trouvez pas? Avec tout ce qui a été fait en Europe, je pense que l'économie européenne, hors pandémie, n'a pas été paralysée, mais vous ne trouvez pas que c'est un peu fort de dire que ça va paralyser l'industrie numérique au Québec?

Mme Gratton (Éloïse) : Bien, je vais m'expliquer et peut-être que je réussirai à vous convaincre, peut-être pas. Lorsque je vois qu'il y a un nouveau droit pour effectuer des poursuites en atteinte à la vie privée, je vous dirais, ça m'inquiète, et, ça, je pense que c'était suggestion n° 2 : «Reporter, voire éliminer, le droit d'intenter un recours en dommages pour atteinte aux droits protégés par la loi sur le secteur privé...», etc., pour la simple et bonne raison qu'il y a plus d'une centaine d'actions collectives en protection à la vie privée qui ont été intentées à travers le Canada. Dès qu'il y a un article de journal qui sort critiquant une entreprise sur est-ce qu'on a collecté trop de données, est-ce qu'on a été assez transparents, on a des actions collectives qui sont déposées dans chaque juridiction. Et, à la fin de la journée, c'est beaucoup d'argent pour les avocats, en fin de compte, et pas beaucoup d'argent pour les consommateurs.

Donc, je me demande : Est-ce qu'on a vraiment besoin de ce droit-là d'intenter un recours en dommages pour atteinte à la vie privée? Aucun de ces recours-là n'a été entendu au mérite. Donc, on n'a pas vraiment de... mais plusieurs ont été réglés pour des grosses sommes. Donc, ça existe, c'est là et c'est un risque qui est très présent pour les entreprises. Je pense que, si on y va avec des amendes, que d'encourager ces poursuites-là, c'est peut-être un peu trop intense.

Donc, c'était un peu ça, là, l'idée, là, suggestions 1 et 2. Est-ce qu'on y va avec des demandes ou est-ce qu'on y va avec des poursuites? Parce qu'une entreprise qui fait... qui... par exemple, qui a un bris de sécurité se retrouverait à avoir une énorme amende à payer puis, après ça, se retrouverait à se faire poursuivre dans chaque juridiction, parce qu'on n'est pas... il y a d'autres lois, il y a la... au fédéral et les deux lois de l'Ouest, donc, se retrouverait à se défendre dans une poursuite en dommages.

En Europe, là, si on compare, en vertu du RGPD, il y a ce droit-là, mais souvent c'est des actions qui sont intentées par des associations qui représentent des consommateurs. Bon, peut-être que c'est une avenue. Peut-être que c'est ça, là, la façon, là, d'aller de l'avant, là, si on veut ce type de recours là en... ce droit d'intenter un recours en dommages. Je ne voudrais juste pas encourager ces poursuites-là parce que je ne pense pas qu'à la fin de la journée... Surtout s'il y a des amendes, les entreprises seront motivées à se conformer à la loi, évidemment. Je ne pense pas qu'au bout de la ligne les consommateurs sont gagnants.

Le Président (M. Bachand) : On a dépassé le temps, malheureusement. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, Me Gratton. Désolé, j'ai... En toute sincérité, je dois vous dire que j'ai raté votre présentation. Par contre, j'avais lu votre mémoire. Donc, c'est à ça que je vais me référer.

D'entrée de jeu, je partage ce qui était sous-entendu, je pense, par mon collègue de René-Lévesque. L'argument que vous nous présentez est un argument assez classique, hein? Si on en demande trop aux entreprises, elles ne seront pas contentes. Elles vont s'en aller. C'est ce qu'on nous dit en matière de fiscalité. C'est ce type d'argument là qui est présenté à beaucoup de gouvernements dans le monde pour les décourager d'introduire des législations pour protéger le bien commun. Ce n'est pas un argument qui est nouveau à cet égard. Puis vous l'utilisez, cet argument-là, en ce qui a trait au consentement.

À l'article... À la page 9 de votre mémoire, vous nous dites qu'il faut revoir la... Vous nous dites : «...le projet de loi pourrait être amélioré [...] en clarifiant [...] en circonscrivant la notion de consentement — et vous dites — et même en introduisant d'autres bases légales de traitement...» Et vous dites : «...dont les intérêts légitimes d'une entreprise...» Pouvez-vous définir le mot «légitimes» dans cette phrase-là?

Mme Gratton (Éloïse) : Oui, bien, en fait, c'est un concept européen. Donc, je n'ai pas inventé ce concept-là. C'est une base juridique en vertu du RGPD et c'est une... Donc, par exemple, qu'est-ce que je pourrais... Et, en fait, lorsqu'une entreprise, en vertu de la législation européenne, dit : En vertu de mon intérêt légitime, je collecte ce type de renseignements là et voici ce que je fais, ils ont une obligation de transparence dans la politique de vie privée, et les autorités peuvent demander des justificatifs. Donc, c'est quand même un concept, là, qui a évolué.

Alors, je vous donne, par exemple, un exemple. Ce serait quoi, un intérêt légitime? Dans certains cas, par exemple, une entreprise pourrait être soumise à un audit. Donc, on se rend sur les lieux. On doit... On demande certains renseignements pour valider, par exemple, que l'entreprise se conforme à certaines obligations juridiques. Est-ce qu'on a vraiment besoin d'aller voir son employé pour lui demander le consentement pour divulguer ses renseignements dans un contexte d'audit ou dans un contexte, par exemple, d'un client qui veut s'assurer que l'entreprise se conforme à la loi? Alors, je vous donne un exemple, là, mais... oui?

M. Nadeau-Dubois : Oui, merci. Parfait. Je ne veux pas vous bousculer, mais j'ai juste 2 min 45 s, ça fait que je vais passer à ma prochaine question.

Mme Gratton (Éloïse) : Oui, allez-y.

M. Nadeau-Dubois : Vous dites également, dans la section de votre mémoire qui porte sur le consentement, qu'il faut éviter de multiplier les demandes de consentement. Si les entreprises multiplient les collectes de renseignements personnels, est-ce que, le pendant naturel, ce n'est pas qu'on... Est-ce que ce n'est pas logique que, la conséquence, ce soit de multiplier les demandes de consentement puis, au lieu de baisser la barre du consentement, est-ce que ce ne serait pas de sensibiliser... Est-ce que, la solution, ce n'est pas davantage de peut-être sensibiliser certaines entreprises à ce qu'elles ont réellement besoin de collecter ou pas?

Parce que c'est maintenant documenté que plusieurs entreprises, notamment des géants du Web, collectent des données dont elles n'ont pas actuellement identifié d'intérêt commercial. Donc, elles collectent des données dont elles n'ont, en effet, pas besoin, mais elles les collectent en sachant qu'éventuellement l'avancement de la technologie va rendre ces données-là monétisables dans 10, 15, 20 ans. Google est basé sur ce modèle de collecte massive. Même des données dont on n'a pas encore les moyens de tirer des profits, bien, on se dit : Un jour, les développements vont nous le permettre.

Le Président (M. Bachand) : Me Gratton, rapidement, s'il vous plaît.

Mme Gratton (Éloïse) : Oui, bien, en fait, c'est déjà une obligation dans la loi. On ne peut pas collecter des renseignements dont on n'a pas besoin. Donc, la protection, je vous dirais, elle est déjà là, l'article 5 et 9, oui.

Le Président (M. Bachand) : Sur ce, merci infiniment, Me Gratton, d'avoir participé aux travaux de la commission. C'est très, très, très apprécié.

La commission suspend ses travaux jusqu'à 19 h 30. Merci beaucoup.

(Suspension de la séance à 17 h 17)

(Reprise à 19 h 32)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Bon début de soirée.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64...

Des voix : ...

Le Président (M. Bachand) : ...s'il vous plaît, s'il vous plaît, merci — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Alors, ce soir, nous allons débuter avec le représentant de la Fédération canadienne de l'entreprise indépendante, M. François Vincent, à qui je cède la parole pour 10 minutes. Et, après ça, on aura un échange avec les membres de la commission. Merci beaucoup d'être ici avec nous ce soir.

Fédération canadienne de l'entreprise indépendante

(Visioconférence)

M. Vincent (François) : M. le Président, je vous remercie. M. le ministre, Mmes et MM. les députés membres de la commission, je me nomme François Vincent et je suis le représentant des petites et moyennes entreprises québécoises à titre de vice-président de la Fédération canadienne de l'entreprise indépendante pour le Québec, la FCEI.

À la FCEI, on regroupe 110 000 entreprises, PME, au Canada, et 24 000 au Québec. On vous remercie vraiment beaucoup de nous recevoir ce soir pour commenter le projet de loi n° 64, qui est une pièce législative importante de mise à niveau du cadre légal de la protection des renseignements personnels pour faire suivre à l'avancement technologique que nous avons vécu. Je tiens à vous dire, M. le Président, que la FCEI accueille positivement la présente réflexion. La FCEI appelle toutefois à une action arrimée avec le fédéral et les autres juridictions provinciales.

M. le Président, avant de rentrer dans le coeur du sujet, il est important ici, pour moi, de faire une mise en contexte de l'économie au Québec. Il faut en parler et en prendre compte dans la présente analyse, surtout quand l'adoption de nouvelles règles peut avoir un impact sur les PME.

Donc, où en sommes-nous? En date du 22 septembre, au Québec, il y a trois PME sur cinq qui n'ont pas retrouvé leur niveau de ventes normal, trois sur cinq. Ils sont 52 % à avoir retrouvé le niveau normal de leur personnel d'avant-crise. On a à peine franchi la moitié des entreprises au Québec. Sans reprise économique plus vigoureuse, ça va prendre près d'un an et demi, un an et cinq mois pour être exact, selon notre étude, en moyenne, aux PME canadiennes pour retrouver le niveau de ventes d'avant COVID-19. On ne parle pas de quelques mois seulement, là. On parle d'un an et demi. En date de la fin juin, les PME du Québec avaient cumulé une dette moyenne de 135 000 $ en raison seulement des impacts de la COVID-19. Puis, selon nos évaluations, on pourrait perdre entre 18 000 entreprises au Québec... voire 30 000, dans un scénario plus pessimiste.

Dans ce contexte-là, bien, toute nouvelle réglementation doit tenir compte de ce contexte-là et des potentiels impacts que ça peut avoir sur les PME qui sont déjà extrêmement fragilisées par la présente pandémie. Puis j'ajoute qu'elles sont 75 % des PME à demander aux différents paliers gouvernementaux de les aider à traverser la crise sanitaire actuelle en diminuant leur fardeau administratif et réglementaire. Bien, M. le Président, pour pouvoir réduire le fardeau, bien, d'abord, il faut s'assurer de ne pas en créer de nouveaux.

Pour revenir au projet de loi n° 64, nous désirons vous partager quelques informations qu'on juge pertinentes dans la présente analyse. L'Enquête canadienne sur la cybersécurité et le cybercrime, publiée par Statistique Canada en 2019, illustre qu'environ 92 % des entreprises canadiennes ont déclaré avoir utilisé un ou plusieurs services de technologie numérique en 2017. On y indique également qu'une grande proportion des entreprises utilisent également d'autres technologies, comme les services d'information et de stockage nuagiques.

Aussi, plus d'une PME sur cinq a déclaré avoir été victime d'une attaque cybernétique. Pour se prémunir contre ces risques, les PME ont dépensé en moyenne 44 000 $... les petites entreprises, 44 000 $, puis les moyennes, 108 000 $. On constate donc que les PME peuvent être victimes de cette nouvelle situation, qu'elles sont déjà dédiées à la réduction des risques, à la recherche de solutions. Cela est à prendre en considération.

La FCEI constate également que la présente réflexion suit un mouvement lancé dans le monde, notamment en Europe, avec l'entrée en vigueur du Règlement général sur la protection des données, en 2016. Ici, on désire préciser que l'Union européenne comporte 27 pays, puis que, justement, on vient ici avec un règlement qui s'applique dans un bloc de plusieurs juridictions voisines. C'est ce qu'on devrait viser aussi au Québec, adapter ces changements-là avec le gouvernement fédéral et les autres provinces.

À cet égard, nous mentionnons que le gouvernement fédéral a annoncé son intention de moderniser la Loi de protection des renseignements personnels et les documents électroniques pour la rendre adéquate au règlement européen. C'est d'ailleurs mentionné dans l'analyse d'impact réglementaire du présent projet de loi. Dans ce contexte, la FCEI estime qu'il serait avisé de connaître les intentions du gouvernement fédéral avant d'adopter le présent projet de loi pour assurer un arrimage vraiment complet du cadre légal et ne pas dédoubler les formalités administratives qui pourraient être imposées aux entreprises. C'est notre première recommandation de notre mémoire.

D'ailleurs, hier, une déclaration commune des associations d'entreprises, dont nous sommes signataires avec 26 autres organisations, a été publiée en regard de l'importance d'un cadre de protection des renseignements personnels uniforme au Canada, qui trouverait un équilibre entre la gestion des risques et la compétitivité des entreprises. Il me fera plaisir de partager ce document aux membres de la commission. Nous réitérons, ici, il faut prendre le temps de bien faire les choses et d'adapter ce projet de loi là au contexte économique et au contexte juridique du Canada.

Advenant que le gouvernement et les parlementaires désirent aller de l'avant immédiatement avec une réforme législative et de faire un cadre spécifique au Québec, voici d'autres recommandations.

D'abord, on pense qu'il faut prendre en considération la réalité de la petite entreprise puis de ne pas créer les mêmes obligations dans un cadre... pour répondre à leur réalité qui est bien différente. Au Québec, le coût de la paperasse de la réglementation représente un coût annuel de 7 milliards de dollars pour les entreprises, mais il est inversement proportionnel à la grandeur de l'entreprise. Par exemple, il va en coûter à peu près cinq fois plus pour une entreprise de moins de cinq employés qu'une entreprise qui a 100 employés et plus.

Selon notre analyse, l'article 95 va augmenter le fardeau de la PME en créant un responsable de protection des renseignements... préconisant l'adoption d'une politique d'encadrement de renseignements, notamment en entreprise. Les propriétaires de PME, bien, c'est des hommes, c'est des femmes chefs d'orchestre. Dans une journée, ils peuvent être derrière la caisse, s'occuper de la comptabilité, gérer des commandes, traiter avec des clients, avec des fournisseurs, déployer une stratégie de marketing, s'assurer de la mise en place des mesures sanitaires, etc. Plus l'entreprise va être petite, bien, plus les nouvelles tâches et obligations, normalement, incombent sur le dirigeant ou la dirigeante de l'entreprise. Puis, certes, il est possible qu'ils délèguent cette tâche ou partagent une responsabilité avec un membre de leur personnel, mais cela va représenter une perte de productivité et des coûts supplémentaires à assumer pour des plus petites entreprises.

• (19 h 40) •

C'est pour cette raison qu'on demande d'exclure les PME de moins de 10 employés aux formalités administratives spécifiquement, là. Dans un contexte actuel que j'ai présenté en début de présentation, il faut aider les PME à se relever, pas ajouter un poids sur leurs épaules déjà fragiles. M. le Président, vous savez, exclure des petites entreprises de certaines obligations techniques, de paperasse d'une loi, bien, ce n'est pas nouveau.

Je peux donner l'exemple du régime volontaire d'épargne-retraite, le RVER, qui est rentré par vagues en assujettissant les plus grandes entreprises en premier, puis, maintenant, qui n'assujettit pas les entreprises de moins de cinq employés, l'équité salariale pour les entreprises de moins de 10, la Charte de la langue française, pour les moins de 50, concernant les obligations de démarches de francisation à l'OQLF, parce qu'elles sont toutes assujetties, quand même, aux dispositions de la charte. Donc, nous vous demandons ici d'avoir la même approche pour prendre en considération la réalité bien particulière de la petite entreprise.

M. le Président, on ne peut pas passer sous silence le montant des amendes. L'article 150 du projet de loi n° 64 accorde à la Commission d'accès à l'information des pouvoirs de contrôle et de sanction importants. On parle d'un montant maximal de sanctions administratives pécuniaires... peut aller jusqu'à 50 000 $ pour une personne physique et, dans d'autres cas, 10 millions. En matière de sanctions pénales pécuniaires, on parle de chiffres de 5 000 $ à 50 000 $ dans le cadre d'une personne physique et de 15 000 $ à 25 millions de dollars pour les autres cas.

M. le Président, les deux tiers des PME canadiennes disaient gagner moins de 73 000 $ par année selon une étude de la FCEI, menée en 2016. Une pénalité d'une dizaine de milliers de dollars, pour une PME, c'est énorme et ça peut être très difficile pour passer à travers une amende d'un tel poids. La FCEI vous invite à miser sur l'accompagnement avant les amendes.

C'est d'ailleurs la méthode qui avait été choisie par le ministère des Finances quand il avait mis en application le règlement concernant l'attestation fiscale pour le secteur de la construction puis des agences de placement. Avant de distribuer une première amende, bien, il y a un avertissement qui est donné puis une explication de la règle à suivre. On pense qu'il y a une approche similaire qui pourrait être imitée dans le cadre du projet de loi n° 64.

Enfin, nous invitons les parlementaires à prendre en considération la période de transition. Si on regarde l'exemple européen, où, en 2018, près de la moitié des entreprises n'étaient pas encore en règle, on peut constater que la période de transition prise, dans leur cas, de 24 mois, était peut-être trop courte. C'est pour cette raison que la FCEI propose une transition de 36 mois et aucune amende avant un délai fixé à 48 mois.

Alors, je vous remercie pour votre écoute, M. le Président, puis je serai heureux d'échanger avec vous aujourd'hui.

Le Président (M. Bachand) : Merci beaucoup, M. Vincent. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui, merci, M. le Président. M. Vincent, bonsoir. Merci de participer à la commission parlementaire que nous tenons en lien avec le projet de loi n° 64.

Donc, M. Vincent, d'entrée de jeu, là, vous avez dit : C'est important pour les PME, notamment, mais en fait l'organisation que vous représentez, d'attendre le fédéral, donc, d'avoir une uniformité avec le contexte canadien. Vous ne pensez pas que, si on ne fait qu'attendre, il n'y a pas grand-chose qui va bouger en matière d'accès à l'information puis de protection des renseignements personnels s'il faut attendre le fédéral pour agir, considérant qu'il y a des fuites de données, considérant que le législateur québécois est souverain dans ses champs de compétences et qu'il pourrait même, lui-même, être un leader pour amener les autres juridictions à faire en sorte de moderniser leurs lois sur l'accès à l'information?

M. Vincent (François) : Bien, pour répondre à votre question, je ne pense pas nécessairement qu'on va attendre éternellement si on attend le fédéral, surtout si on se fie à la page 29 de l'analyse d'impact réglementaire de votre propre projet de loi, où on dit que le gouvernement fédéral travaille présentement afin de moderniser la loi.

Puis, si je vais un petit peu plus loin dans le paragraphe, là, c'est le deuxième paragraphe, le premier paragraphe en dessous des deux picots, on dit : «On peut donc s'attendre à ce que la LPRPDE soit modifiée dans un futur assez proche et que les obligations soient similaires à celles prévues dans le projet de loi.» Puis, plus loin, aussi, on parle de coopération puis d'harmonisation réglementaire puis on mentionne, dans cette analyse-là, que les associations et les entreprises qui ont été rencontrées avaient mentionné que c'était important justement d'harmoniser avec la loi puis que certaines dispositions se fient à la loi actuelle.

Donc, nous, ce qu'on dit : Bien, faisons bien les choses, ayons la réflexion, ayons le débat, regardons puis arrimons avec le fédéral, mais attendons voir qu'est-ce que le gouvernement fédéral va faire au lieu qu'on soit une seule province à adopter des règles puis, ensuite de ça, on doive réadapter notre loi par rapport au cadre fédéral, notamment ce qui est possible que l'Alberta puis que la Colombie-Britannique fassent, ça aussi, qui est mentionné à la page 29 de l'analyse d'impact réglementaire, au dernier paragraphe de votre projet de loi.

M. Jolin-Barrette : Donc, ce que vous nous dites, c'est : Attendez, n'agissez pas. On va attendre de voir ce que le fédéral va faire, laissons le gouvernement fédéral, le Parlement fédéral avoir primauté sur l'Assemblée nationale. Si le fédéral dépose un cadre juridique, bien là nous, province de Québec, à ce moment-là, on viendra s'arrimer avec le fédéral.

Or, dans la loi sur... dans le privé, on a agi comme précurseurs, en 1993. Et, par la suite, c'est le fédéral, en 2000‑2001, qui est venu dire : Avec une législation équivalente, s'il y a législation équivalente, on laisse la loi s'appliquer. Donc, moi, je pense qu'on ne doit pas attendre pour légiférer. Je pense que les Québécois s'attendent à ce qu'on prenne action. Bien sûr, il faut s'arrimer avec le gouvernement fédéral, mais, ce que je veux dire, il ne faut pas attendre avant d'agir pour protéger les renseignements personnels des Québécois.

Sur la question, là, du fardeau pour les entreprises, j'aimerais ça vous entendre davantage là-dessus. Vous nous dites : Bon, on a des enjeux, là, pour les PME de moins de 10 employés, au niveau du responsable. Donc, vous souhaiteriez qu'on enlève ça puis que ça s'applique à 10 et plus.

M. Vincent (François) : Oui, bien, pour répondre à votre question juste avant, je ne veux pas vous empêcher, le Québec, d'avoir... de pouvoir adopter vos lois. Ce qu'on dit, on dit : Faisons bien les choses et faisons quelque chose en collaboration, évitons de faire deux cadres, ou deux parallèles, ou deux tenues de registres, quand on sait qu'il y a déjà des travaux qui ont été faits. Il y a même des ententes qui visent à faciliter justement la coopération légale. Puis, bien, la France fait partie de l'Union européenne. Puis il y a 27 autres pays qui ont adopté le même cadre. Nous, on pense qu'on devrait prendre la même approche puis on n'est pas les seuls. On n'est pas, à la FCEI, les seuls. Il y a 26 autres organisations économiques qui ont formulé cette demande-là hier.

Maintenant, sur la question du fardeau administratif et réglementaire, bien, encore là, l'étude d'analyse d'impact réglementaire calcule qu'il va y avoir un coût d'application estimé à 68 millions de dollars puis un coût récurrent estimé à 56 942 060 $. C'est quand même des montants qui sont à mentionner et significatifs. Pour la petite entreprise, bien, oui, on voudrait qu'il y ait une exclusion, pas de l'application, nécessairement, de la loi, mais de l'application des formalités du registre, de la mise en place d'une politique, puis etc., qu'il pourrait y avoir des guides fournis par le ministère qui pourraient être appliqués en entreprise.

Mais je donne un exemple. Admettons, là, moi, je vais aller, M. le Président, me faire couper les cheveux jeudi. Ils sont courts, mais ils poussent quand même vite. Mais j'ai reçu un texto aujourd'hui pour remplir un formulaire de sécurité pour savoir si j'avais rencontré quelqu'un dans les 14 jours, si j'avais voyagé à l'extérieur, si j'avais des signes de COVID. Bien, ils ont mon numéro de téléphone cellulaire. Ils ont mon dossier à l'intérieur... Et ils ont, d'une certaine façon... sont assujettis à certaines dispositions par rapport à ça. Qu'est-ce que ça va changer, dans leur cas, d'adopter une politique interne? Un garagiste, par exemple, qui a mes informations, mes sortes de pneus, ma sorte de voiture, puis etc. Ce sont des genres d'application de formalités administratives qui pourraient faire une différence pour eux sans pour autant les dédouaner des obligations de ne pas vendre ou utiliser ces renseignements personnels là à mauvais escient.

M. Jolin-Barrette : Je comprends. Donc, pour l'entrée en vigueur de la loi, là, vous souhaitez 48 mois pour les amendes puis 36 mois pour l'entrée en vigueur de la loi.

M. Vincent (François) : Bien, dans le meilleur des cas, on aimerait ça qu'il y ait un avertissement avant, surtout pour la petite entreprise. Maintenant, si vous appliquez la... oui, minimalement un 36 mois, puis 48 mois après pour appliquer les amendes, puis ainsi pouvoir faire un accompagnement, une campagne de communication, une sensibilisation, puis ainsi permettre aux entreprises de pouvoir s'assujettir à cette loi-là, aux nouvelles dispositions de la loi.

• (19 h 50) •

M. Jolin-Barrette : Mais toutes les entreprises, là, qui utilisent les données des Québécois, qui récoltent des données, là, des Québécois, des renseignements personnels notamment, là, vous ne pensez pas que, les Québécois, ils souhaitent un encadrement quand même rapide de leurs données relativement à ça, quand on voit les différents événements qui arrivent, qu'ils soient informés si jamais il y a des fuites de renseignements, différentes mesures? Tu sais, en fait, ça fait depuis 1982 que cette loi-là n'a pas été réformée. On parle de 1993 dans les renseignements personnels. Vous ne pensez pas que ça constitue une priorité, pour nombre de Québécois, de s'assurer de la sécurisation de leurs données?

M. Vincent (François) : Je pense que c'est une priorité pour les Québécois, mais que les Québécois veulent bien faire les choses. Je pense qu'on peut comprendre la réalité différente d'une entreprise de moins de 10 employés, qui n'a pas nécessairement de département de ressources humaines. Je pense que les Québécois comprennent et sont sensibles à la réalité économique vécue par les entreprises actuellement dans le cadre de la COVID-19, et elles sont déjà extrêmement fragiles. Je vous recommanderais de ne pas précipiter les choses, de faire les bonnes réflexions, puis prendre des bonnes décisions, puis surtout d'arrimer le cadre avec qu'est-ce qui va être mis en place par nos juridictions voisines. Une entreprise, bien, ça peut aussi aller dans des juridictions à côté. Donc, d'abord, prendre en considération la réalité de la petite entreprise, de l'entreprise de prestation de services qui peut avoir des identifiants sans nécessairement vouloir transiger des informations personnelles, puis, de l'autre côté, le contexte économique fragile et l'adaptation avec les autres juridictions.

M. Jolin-Barrette : Vous êtes conscient qu'on supporte les entreprises dans les difficultés qu'elles vivent présentement rattachées à la pandémie. Je pense que notre gouvernement démontre beaucoup d'appui pour les entreprises. Puis on sait que c'est un moment qui est extrêmement difficile à passer. Ça, c'est une chose qui est dite.

Ensuite, lorsque l'État québécois légifère, bien, ce n'est pas juste à courte vue, ce n'est pas juste aussi dans les six prochains mois ni dans la prochaine année aussi. Donc, ça, il faut avoir ça en considération aussi lorsqu'on agit pour l'ensemble des Québécois et qu'on prend des décisions aussi. Il faut regarder plus loin qu'à courte vue, parce que, parfois, certaines décisions pourraient faire en sorte qu'on manquerait le bateau, alors qu'il s'agit d'un enjeu qui est important, surtout à l'ère des nouvelles technologies.

Mais je vais m'arrêter ici, M. le Président. Je pense, j'ai des collègues qui veulent poser des questions.

Le Président (M. Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Merci, M. Vincent. C'est un plaisir de vous revoir. La dernière fois, c'était au caucus régional de l'Outaouais.

Et donc peut-être une petite question, là, pour... On a eu, cet après-midi, une spécialiste, dans le fond, du droit sur les renseignements... la protection des renseignements personnels, puis elle nous parlait du droit européen, avec les standards qui sont les plus élevés, là, disons, en matière de protection. Et là je me... Un peu en lien avec le commentaire que vous nous avez fait tout à l'heure, on devrait attendre, s'aligner avec le fédéral, disons, dans l'éventualité que le fédéral... Puis actuellement c'est le cas, là, autant au fédéral que les autres provinces ne sont pas au niveau... du moins, c'est ce que la spécialiste nous disait, pas au niveau du droit européen ou des meilleures pratiques en la matière. Pourquoi on ne pourrait pas être un chef de file, en quelque sorte, et adopter, justement, nous, les standards élevés pour protéger les renseignements personnels de notre... dans le fond, de la population, les citoyens au Québec, et, dans le fond, être, nous, des champions?

M. Vincent (François) : Bien, tu sais, je prendrais l'expression de M. le ministre, là, pour ne pas être tout seul dans le bateau... Au moins, on va être avec 10 autres provinces, puis on va être avec le gouvernement fédéral, puis on va s'assurer d'avoir des règles qui sont similaires. Le cadre européen, ils n'ont pas 27 règles différentes. Ils ont un cadre légal qui est appliqué dans 27 États européens. On est... Oui, l'Assemblée nationale est souveraine, mais on est aussi dans un pays. On peut s'assurer d'avoir un cadre légal le plus connecté possible. Donc, c'est pour ça qu'on fait cette demande-là.

Puis, quant à la sensibilité du gouvernement aux entreprises, qui avait été mentionnée par votre collègue juste avant, oui, mais je vous invite quand même à aller voir, aux pages 17, 18 et 19, toute la liste des formalités administratives réglementaires qui sont créées actuellement puis à aller rencontrer vos entreprises qui font face à la présente crise, puis qu'il y en a trois sur cinq qui ne font pas leurs ventes actuellement, pour leur dire qu'ils vont avoir à implanter ça rapidement.

Je crois que c'est urgent, oui, mais on peut s'assurer de bien prendre une bonne voie, puis, comme je dis, je le réitère, l'arrimage avec le fédéral, puis s'assurer de limiter au maximum possible l'impact de l'augmentation du fardeau administratif et réglementaire des entreprises, qui n'ont pas besoin de ça actuellement.

M. Lévesque (Chapleau) : C'est ça, vous m'avez...

M. Vincent (François) : Puis je ne dis pas que je suis contre la protection des renseignements personnels, là. Je dis juste : Il faut prendre en considération la réalité de la petite entreprise là-dedans.

M. Lévesque (Chapleau) : Je comprends tout à fait. Puis d'ailleurs ça m'amène à ma prochaine question. Mais, juste pour terminer sur ce point-là, donc, on serait... Il vaudrait mieux ne pas adopter les meilleurs standards pour pouvoir suivre le fédéral et les autres provinces. Donc, ça, ça serait quelque chose qui serait mieux que d'avoir les meilleurs standards, là, en matière de protection des renseignements personnels. Donc, c'est ce que je comprends, parce que disons que le fédéral puis les autres provinces n'allaient pas au même niveau que nous, qui semble être le meilleur standard, donc, on serait mieux de s'arrimer sur le fédéral que d'avoir les meilleurs standards. Donc, ça, juste pour terminer ça.

Maintenant, ma deuxième question. Donc, vous vous inquiétez justement, effectivement, du sort des petites entreprises. Vous suggérez peut-être que des normes différentes pourraient être appliquées, à ce moment-là, à elles. Qu'est-ce que vous proposeriez? Parce qu'effectivement les réalités, là, on en prend compte puis on est sensibles à ces réalités-là. Mais on aimerait peut-être avoir votre son de cloche par rapport à ça, s'il y avait peut-être des points, des éléments autres que vous voudriez nous partager quant aux normes ou peut-être à la façon de l'appliquer.

M. Vincent (François) : Oui. D'abord, comment on peut dire que le cadre fédéral va être moins... va moins protéger le citoyen que le cadre québécois quand on n'a pas encore entendu parler des intentions du ministère du gouvernement fédéral? Puis, si on se fie sur le droit européen puis on dit qu'on veut s'aligner sur le droit européen... Puis ce qu'on entend, c'est qu'ils veulent encadrer le droit pour essayer d'aller chercher une conformité avec qu'est-ce qui se passe en Europe. Donc, je comprends mal cette perception de dire que ça va nécessairement être moins bon ou moins important si c'est le gouvernement fédéral qui le fait.

Moi, je pense qu'on peut avoir... Vous avez une discussion avec les experts. Vous allez être capables de définir qu'est-ce que les acteurs québécois préconisent comme réforme, puis, ensuite de ça, utiliser ça avec nos partenaires fédéraux, puis s'assurer d'éviter un dédoublement, puis d'avoir le meilleur cadre possible, qui va répondre à la réalité des entreprises, répondre à la réalité des petites entreprises puis bien protéger les renseignements personnels des individus.

Quant à l'exclusion des PME, on parle des formalités administratives, là. Admettons, la personne doit mettre en oeuvre une politique et des pratiques... la gouvernance à l'égard des renseignements. Bien, l'entreprise de moins de cinq a-tu vraiment besoin de prendre du temps de définir une politique, puis de l'envoyer à ses employés, puis, ensuite de ça, de définir quelqu'un pour faire ça? Ensuite de ça, il y a l'exploitation du registre qui semble aussi être un fardeau, de communiquer ces informations sur le site Web ou par toute autre manière.

Donc, on peut sensibiliser les entreprises à ce qu'elles doivent faire, leur fournir des guides et des politiques qu'ils peuvent adapter et mettre en place dans leur entreprise sans les assujettir au fait qu'elles doivent le faire puis, dans le fond, que ça va être le propriétaire de l'entreprise qui va faire ça après ses heures de travail pour ne pas écoper d'une amende, là, de dizaines de milliers de dollars.

M. Lévesque (Chapleau) : O.K., merci. Je vous entends bien. Peut-être une petite dernière question. Je sais que ma collègue aura peut-être d'autres questions, là. En lien avec le contexte COVID, là, dont vous faites mention, est-ce qu'il y aurait des propositions spécifiques par rapport à ça pour, peut-être, l'application ou la mise en oeuvre de façon graduelle de certaines mesures en lien avec la protection, bien entendu, des renseignements personnels?

M. Vincent (François) : Bien, nous, ce que les PME nous disent... On leur a demandé : C'est quoi, la meilleure façon de vous aider dans le cadre de la relance économique? Puis les deux premières réponses qu'elles nous ont dites... ont dit : N'augmente pas mon fardeau fiscal, mes taxes, mes impôts, d'abord, parce que j'ai de la misère à arriver, point, puis je dois prendre un endettement assez intense, puis rajoute-moi pas un fardeau réglementaire qui va m'empêcher de pouvoir mettre toutes mes énergies à faire en sorte de pouvoir sauver mon entreprise.

Donc, nous, on a demandé, dans ce cadre-là, d'adopter un moratoire réglementaire. Puis, on s'entend, là, je ne dis pas qu'on ne veut pas adopter des nouvelles lois qui vont protéger la santé publique, là. Ça, c'est... Il n'est pas question, dans cette demande-là... ce n'est pas rajouter des nouvelles charges pour les entreprises en termes de temps qu'elles vont passer pour répondre... les papiers, etc., au gouvernement. Puis, ce que je vois ici, c'est que ça... même votre propre analyse dit que ça peut créer un tel fardeau auprès des entreprises.

M. Lévesque (Chapleau) : Merci.

Le Président (M. Bachand) : Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.

• (20 heures) •

Mme Weil : Merci beaucoup pour votre présentation. Je dois vous dire qu'ayant été au gouvernement pendant quand même assez longtemps je suis très sensible à tout ce que vous dites par rapport au poids réglementaire. Et donc il y a tout un plan d'action. D'ailleurs il y a un nouveau plan d'action, comme vous le dites, en matière d'allègement qui sera bientôt déposé, donc, 2020‑2025. C'est sûr que l'objectif ici, ce n'est pas d'écraser les PME, c'est de s'assurer de protéger les informations personnelles. C'est un enjeu très important.

Donc, ce que vous nous invitez... moi, ce que j'entends, c'est : Aidez-nous à faire le travail, et rencontrer les exigences de la loi éventuelle, et de répondre... et de s'assurer qu'on s'engage dans cette voie-là, mais c'est le comment, on met l'accent beaucoup sur le comment. C'est sûr que l'Union européenne, ce n'est pas la fédération canadienne. Des fois, il y a des provinces qui vont être leaders en la matière, des fois, c'est le fédéral. Et, généralement, quand on amène un projet de loi, d'ailleurs, au Conseil exécutif, il y a une comparaison qui se fait avec d'autres juridictions parce qu'on veut toujours s'assurer qu'on n'est pas dans les derniers puis qu'on est précurseurs. Alors, je pense que le modèle canadien, dans ce sens-là, est bon. Donc, on a des leaders qui vont inspirer d'autres, et d'autres vont faire en sorte... Mais on ne veut pas être trop à l'écart non plus.

Donc, je suis très d'accord aussi avec cette notion d'une certaine consultation, d'une certaine connaissance de ce qui s'en vient pour s'assurer qu'il y a un certain arrimage, mais c'est vous qui le dites. Alors, j'aimerais... J'ai d'autres questions aussi, mais j'aimerais peut-être que vous nous disiez plus précisément en quoi un arrimage ferait en sorte de mieux vous protéger. Quel serait l'impact négatif avec le fait que peut-être que les lois soient, à quelque part, un peu différentes les unes des autres, surtout du fédéral et du Québec? C'est quoi, l'impact de ça?

M. Vincent (François) : Oui, bien, la complexité pour une entreprise qui va avoir un pied dans deux provinces, par exemple, donc, il va y avoir deux cadres différents à suivre. Puis ça peut être compliqué, puis ce n'est pas nécessairement des grandes entreprises qui vont être dans deux provinces. Ça peut être des entreprises qui sont à la limite d'une province, que ça soit proche de l'Ontario, par exemple, en Outaouais. Il peut y avoir des entreprises qui vont avoir des activités des deux côtés, que ça soit en fabrication, que ça soit en construction, que ça soit dans d'autres services. Donc, quand on doit suivre deux règlements qui sont différents, ça peut ajouter une complexité par rapport à ça. Donc, ce serait la première... Je ne sais pas si... Je pense, j'ai oublié... Vous aviez une deuxième partie à votre question, mais, d'emblée, ce serait comme mon réflexe, là.

Mme Weil : Oui, vous répondez un peu à la question, mais c'est sûr que c'est un peu vrai dans tout, hein? Il y a des règlements qui sont différents pour les différentes provinces. Donc, c'est sûr que c'est pour ça que, souvent, quand on amène un projet de loi, on se compare pour être sûrs qu'on n'est pas vraiment à l'extérieur, là, de la norme.

Vous avez parlé d'accompagnement. Et j'ai vu, sur le site fédéral, d'ailleurs, que le commissaire... le Commissariat à la protection de la vie privée vient de lancer, il y a quelques semaines, tout, comment dire, un gabarit d'accompagnement justement pour les entreprises, pour les aider à atteindre leur but. C'est très détaillé. Ça a l'air vraiment intéressant. Est-ce que c'est un peu dans ce sens-là...

Parlons d'accompagnement, dans un premier temps, avant de poser des questions sur vos... bien, exigences, votre demande, votre souhait qu'on étale la période de transition. Un accompagnement, est-ce que ça pourrait être la réponse? C'est-à-dire, ces petites et moyennes entreprises, souvent, ils vont partager des ressources dans certains domaines très complexes parce qu'ils n'ont pas les moyens pour quelque chose d'aussi complexe que le respect de la loi en matière de protection des renseignements personnels, cyberattaques, etc. Comme vous dites, les entrepreneurs, c'est des hommes à tout faire ou des femmes à tout faire. Ils font tout. Vous avez parlé de chefs d'orchestre, mais ils font tout. Alors, un partage de ressources, mais aussi l'accompagnement, est-ce que c'est un peu ça, le sens de votre propos, c'est... avant de parler de pénalités, c'est l'accompagnement pour les PME? Je suis vraiment dans les PME, pas les grandes entreprises, évidemment, qui ont les moyens, mais les petites et moyennes telles que vous les décrivez.

M. Vincent (François) : Bien, je dirais oui. Puis, tu sais, on parle beaucoup de diminuer... du coût de la paperasse puis de diminuer la paperasse, mais un des pans superimportants de ça, c'est vraiment l'accompagnement, parce que la très grande majorité des entreprises veulent bien faire, mais, des fois, plus on est petit puis qu'on est impliqué dans la production, on a moins de temps puis on ne peut pas nécessairement tout savoir. Donc, si on améliore l'application réglementaire, la compréhension... l'application réglementaire, oui, c'est une des clés pour permettre aux entreprises d'appliquer la réglementation plus facilement, puis même l'État va chercher une augmentation de la conformité réglementaire.

Puis, juste là-dessus, un petit exemple, là, l'équité salariale, là, il y a un progiciel qui a été créé pour aider les entreprises dans le processus, puis qui peut être supercomplexe, mais, après ça, ils vont avoir un système à côté qui va leur permettre de les accompagner pour réaliser le processus. Donc, ça, c'est un exemple. Tu sais, admettons, là, sur, tu sais, la Charte de la langue française, si j'arrive à 51 employés, puis qu'il faut que je fasse un processus, puis que, là, bien, je dépose... je vais chercher ma certification, là, ensuite de ça, bien, il faut que je définisse une politique, bien, ça pourrait être bien d'avoir des exemples de politiques que je peux télécharger puis, ensuite de ça, être capable de l'appliquer facilement à l'intérieur de mon entreprise puis me conformer.

Donc, oui, l'accompagnement, c'est une clé, au gouvernement, à utiliser. Puis, ça, on le sent qu'il y a une bonne volonté des différents organismes, agences gouvernementales et ministères de prendre cette voie-là, puis on le recommande. Puis, juste pour conclure là-dessus, puis c'était ça, aussi, l'objectif de l'attestation de conformité fiscale dans l'industrie de la construction puis des secteurs des agences de placement, c'était vraiment... parce que, là, c'était une règle qui changeait complètement. Il y avait... C'est quand même complexe puis lourd, parce qu'il faut que tu aies un échange de... Il faut que tu ailles chercher un formulaire. Puis tu vas avoir une création d'une nouvelle entreprise qui ne sait pas que ça existe, puis etc. Puis, en procédant par l'avertissement avant, dans une conformité fiscale, qui est quand même assez... une chasse gardée réglementaire assez importante, bien, on s'assure de vraiment informer correctement les entreprises puis de s'assurer qu'après, là, bien, elles n'ont aucune raison de dire qu'elles ne le savaient pas.

Mme Weil : Et ensuite, si on va... Bon, vous commencez... Bien, vous parlez de votre inquiétude par rapport à toutes les peines qui sont prévues, que c'est du jamais vu, et c'est là qui vous amène à parler de... au lieu de mesures coercitives, c'est plutôt de procéder par accompagnement, certainement, dans un certain temps, pour permettre cette période de transition, mais votre langage semble vraiment dire... J'aimerais vous entendre là-dessus parce qu'on n'a pas beaucoup parlé de ça, de cette section de votre mémoire. Donc, vous dites «que le projet de loi [...] accorde à la Commission d'accès à l'information des pouvoirs de contrôle et de sanction d'une envergure sans précédent envers les entreprises qui seraient prises à défaut». Feriez-vous une distinction entre les PME et les grandes entreprises, s'il fallait avoir, donc, un régime qui ferait la distinction?

M. Vincent (François) : Oui, on a été frappés par la hauteur des amendes, là. Je suis tombé en bas de ma chaise. Une chance que j'avais un tapis qui était épais, ça ne m'a pas trop fait mal. Mais on comprend qu'on adapte le droit européen, puis, en termes d'euros, je pense, c'est 20 millions d'euros, 4 % des chiffres d'affaires. Mais comme on a dit, là, par rapport à ce que fait vraiment une petite entreprise, c'est vraiment immense.

Puis, après ça, bien, c'est... bon, on pourrait me répondre : Bien, on ne veut pas aller nécessairement au maximum, mais, après ça, le minimum est quand même assez élevé. Puis on a vécu la même chose au niveau de la réforme des amendes dans le secteur de la construction, et j'ai été précédemment dans une association de la construction. Puis, après ça, bien, tu as des petites entreprises qui sont de bonne foi puis qui se ramassent avec un niveau d'amende tellement élevé que ça met à risque leur propre survie, puis on ne veut pas reproduire quelque chose comme ça, qui pourrait avoir un impact dans la petite entreprise, pour des entreprises qui, fondamentalement, ne voulaient pas mal faire.

Puis je veux juste rajouter un autre élément, là. Les dirigeants de PME... C'est elles aussi qui sont la cible de potentielles attaques. Tu sais, on voit, là, dans la présentation de l'analyse des impacts réglementaires, le nom des grandes entreprises, mais des petites entreprises aussi peuvent être victimes, puis là on les traite comme si c'étaient des grandes entreprises, avec les mêmes responsabilités. Alors, nous, on dit... On est supersensibles à cette question-là, mais on vous sensibilise à la réalité bien particulière de nombreuses petites entreprises québécoises.

• (20 h 10) •

Mme Weil : Il me reste quelques minutes? Oui. Donc, moi, ce que je retiens de votre présentation, c'est qu'il faut vraiment... Dans un contexte de COVID, évidemment, la reprise va prendre certainement un certain temps. Il y a cette sensibilité... Il y a un certain contexte, mais, je pense, ça a mis le «spotlight» sur la vulnérabilité des PME. Ça, c'est sûr, tout le monde a cette sensibilité. Je pense, le gouvernement l'aurait aussi.

Mais, par ailleurs, même si on n'était pas dans un contexte de COVID, vous dites : Faites attention, c'est l'accompagnement, certainement, pour la première période, et trouver les moyens d'aider les PME à rencontrer leurs obligations, et surtout faire attention... Je suis très sensible à cette question des peines qui sont imposées. Il ne faut vraiment jamais être à l'écart des normes. Puis il y a tout un exercice qui se fait pour s'assurer qu'on est dans les normes. Mais, en plus, ici, c'est la sensibilité particulière que vous faites par rapport aux PME, faire une distinction avec les grandes entreprises qui auraient les moyens, mais qui auraient aussi les ressources pour s'assurer qu'elles respectent la loi.

Alors, moi, je retiens... Donc, je n'ai plus de temps, mais je retiens votre message principal, qui est très, très pertinent dans le contexte. On souhaite que... protéger les renseignements personnels, mais que tout le monde puisse aller dans le même sens de protection des renseignements personnels et puisse être des acteurs.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, M. Vincent. Merci d'être avec nous ce soir. J'ai deux sujets que j'aimerais aborder avec vous. J'ai seulement 2 min 45 s. Ça fait qu'on va essayer de faire ça efficacement, vous et moi.

D'abord, sur la question des amendes, vous semblez inquiet du montant des amendes. Par contre, dans votre mémoire, vous allez plus loin. Vous ne nous mettez pas seulement en garde sur le montant. Vous nous dites : «La FCEI ne croit pas que les mesures coercitives soient la voie à suivre...» Donc, dans les faits, si je comprends bien votre position, puis votre troisième recommandation va dans ce sens-là, vous souhaiteriez un régime de protection des renseignements personnels, au Québec, dépourvu de mesures punitives envers les entreprises. Est-ce que je comprends bien votre troisième recommandation?

M. Vincent (François) : O.K., je vais répondre. Parlant d'utilisation des données personnelles, je me suis... j'ai... En répondant à votre question, j'espère que je ne me ramasserai pas encore une fois dans une vidéo de votre parti politique pour vous scandaliser de la position de la FCEI, comme j'ai vu cette semaine.

Le Président (M. Bachand) : M. Vincent, je vous demanderais... On n'est pas...

M. Vincent (François) : M. le Président, désolé.

Le Président (M. Bachand) : On n'est pas dans un talk-show politique. On est en commission parlementaire. Allez-y.

M. Nadeau-Dubois : ...ne vous inquiétez pas, tout est télédiffusé. On n'a pas besoin de faire de montage pour que les gens soient au courant. Je vous laisse terminer votre réponse.

M. Vincent (François) : Ce qu'on dit, c'est assez clair. On dit : L'impact d'une amende, dans une petite entreprise qui était de bonne foi, peut avoir un impact sur sa survie. Ensuite, on parle qu'il faut prioriser la sensibilisation et l'accompagnement des entreprises. Dans notre dernière recommandation, on dit : Si vous allez de l'avant, bien, les amendes, là, après 48 mois... Donc, si vous décidez d'aller de l'avant avec le système tel quel, bien, on dit : Bien, la transition de 36 mois pour informer les entreprises puis, ensuite de ça, les amendes imposées après 48 mois. Maintenant, je vous sensibilise fortement à l'impact que peut avoir une telle amende sur la survie d'une entreprise quand on voit que ce n'est pas... Les PME ne roulent pas toutes sur l'or. Puis une dizaine de milliers d'amendes, ça peut vraiment faire une différence sur leur survie.

M. Nadeau-Dubois : Je comprends, sauf que vous me parlez du montant, mais, dans votre mémoire, vous parlez... vous dites que vous souhaitez qu'il n'y ait pas de mesures coercitives. Donc, vous ne nous dites pas seulement : L'amende est trop élevée ou le plancher est trop bas. Vous nous dites : Il ne devrait pas y en avoir. Moi, c'est ça que je lis dans votre mémoire.

Mais, puisque j'ai peu de temps, je voudrais enchaîner sur un deuxième sujet. À la toute fin, là, votre cinquième recommandation, est-ce que je la comprends bien si je comprends que vous recommandez qu'il n'y ait pas d'obligations pour les entreprises lorsqu'elles transmettent des données vers une entreprise étrangère? Vous dites : Pas d'obligation, seulement une invitation aux meilleures pratiques. Donc, vous souhaitez qu'il n'y ait pas d'obligations légales pour les entreprises québécoises lorsqu'elles envoient les données des Québécois puis des Québécoises à l'étranger.

Le Président (M. Bachand) : Merci beaucoup. Très rapidement, M. Vincent, parce que le temps est écoulé.

M. Vincent (François) : Oui, préciser la réponse précédente, là, on dit : L'accompagnement devrait être priorisé avant les amendes. Puis on parle de la méthode qui a été faite par le ministère des Finances, qui donnait un avertissement avant de donner une amende. Donc, ce qu'on dit, c'est d'y aller par étapes. Puis, ensuite, pour la dernière recommandation, bien, l'explicatif est dans le texte juste avant. Donc, je vous référerais au texte de notre mémoire.

Le Président (M. Bachand) : M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci beaucoup, M. le Président. Donc, à mon tour de vous saluer, M. Vincent.

Je veux juste bien comprendre votre prétention tout à l'heure, lorsque vous avez dit que vous voudriez qu'on ait un moratoire de trois ans avant l'application de la loi et de quatre ans pour les mesures punitives. Est-ce que c'est consécutif ou ça serait concurrent? C'est-à-dire, on commence trois ans, pour le projet de loi, avant sa mise en application, mais, à la quatrième année de vie du projet de loi, les mesures pourraient être appliquées, les mesures financières, ou c'est vraiment trois ans plus quatre, qui fait un total de sept?

M. Vincent (François) : O.K., non, non, ce n'est pas additionné, là. Puis, si on parle de période de transition, dans le projet de loi, dans les dispositions finales, on parle de 12 mois. Nous, après ça, on a regardé le droit européen. On a dit qu'ils ont pris 24 mois, puis qu'après ça, bien, la moitié des entreprises n'étaient pas encore conformes. Donc, on s'est dit : Bien, peut-être que 36 mois, ça serait plus réaliste pour vraiment bien sensibiliser puis augmenter le pourcentage de conformité. Puis, ensuite de ça, bien, on rajoute des mois après le 36, pour un total de 48.

M. Ouellet : Merci. Vous faites référence tout à l'heure à l'opportunité que le gouvernement du Québec devrait prendre, à savoir de ne pas légiférer tout de suite pour peut-être s'arrimer avec le gouvernement fédéral, mais je ne vous ai pas entendu parler de l'existence de la frontière américaine aussi, qui fait que des entreprises transigent avec les États-Unis. Est-ce que vous pousseriez votre réflexion à dire aussi qu'on devrait attendre avant même aussi que les Américains transigent pour éviter d'être en compétition déloyale, considérant qu'on va être plus resserrés sur les règles par rapport à nos amis les Américains?

M. Vincent (François) : Oui, bien, nous, notre recommandation, c'est vraiment le cadre canadien, dans le mémoire qu'on a effectué, puis, la demande aussi des 26 associations, on parle d'avoir un cadre clair au pays. Donc, moi, je vous recommanderais de se fier à nos provinces voisines et au gouvernement fédéral d'abord. C'est comme ça qu'on a élaboré notre réflexion et les recommandations de notre mémoire.

M. Ouellet : Juste une petite précision qui pourrait m'aider à apprécier votre argument. Combien de petites ou très petites entreprises transigent avec le commerce interprovincial dans vos membres ou dans vos statistiques? Est-ce que c'est plus de 50 %, 60 %, ou c'est plus une infime partie?

M. Vincent (François) : Je n'ai pas ces données-là avec moi. Je pourrais vous les trouver, mais il me semble, de mémoire, que c'était comme un 24 % qui exportait, un 60 % qui importe, puis que c'était majoritairement avec les États-Unis. Mais je n'ai pas ces données-là par coeur, mais je peux faire une recherche puis acheminer l'information aux membres de la commission parlementaire si ça peut aider à la réflexion puis à vos discussions quant au présent projet de loi.

M. Ouellet : Ce serait apprécié, M. Vincent. Considérant que votre fédération est une fédération canadienne, vous avez des membres à travers le Canada, mais, évidemment, nous, ce qui nous préoccupe, c'est les PME du Québec. Donc, ce genre d'information là pourrait nous permettre d'apprécier, effectivement, si on avait légiféré, que les impacts tels que vous le... pourraient se répertorier sur les entreprises. J'aimerais ça connaître l'impact que ça pourrait avoir pour le nombre d'entreprises que vous représentez.

Le Président (M. Bachand) : Sur ce, M. Vincent, merci beaucoup de votre participation à la commission.

Celle-ci suspend ses travaux quelques instants. Merci.

(Suspension de la séance à 20 h 19)

(Reprise à 20 h 22)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il me fait plaisir d'accueillir les représentants de la Fédération des chambres de commerce du Québec. Alors, vous avez 10 minutes de présentation. D'abord, vous présenter, bien sûr, individuellement, et, après ça, on aura un échange avec les membres de la commission. Alors, M. le président.

Fédération des chambres de commerce du Québec

(Visioconférence)

M. Milliard (Charles) : Alors, bonsoir. Je me présente, Charles Milliard, P.D.G. de la Fédération des chambres de commerce du Québec. Je suis accompagné ce soir, donc, de M. Alain Lavoie, qui est président du comité des technologies de l'information et des communications à la FCCQ. Je remercie la commission de nous permettre de comparaître ce soir et pour discuter, donc, de cet important projet de loi n° 64.

Un bref rappel. Je crois que vous le savez, mais la FCCQ, grâce à son vaste réseau de plus de 130 chambres de commerce et de 1 100 membres corporatifs, représente plus de 50 000 entreprises, des petites, des moyennes, des grandes, qui exercent leurs activités, donc, dans tous les secteurs de l'économie et sur l'ensemble du territoire québécois.

D'entrée de jeu, je tiens à afficher nos couleurs dans le cadre des consultations. Donc, je tiens à vous dire que nous sommes favorables à un projet de loi comme celui-ci, qui vient reconnaître la nécessité de mettre à jour notre cadre législatif en matière de protection des données personnelles. On s'adresse à vous ce soir, donc, dans une optique de bonification du projet de loi, tout en vous faisant part, évidemment, c'est notre rôle, des nombreuses questions, inquiétudes ou suggestions qui ont meublé les discussions avec nos membres. Je vous mentionne aussi au passage que nous avons joint à notre mémoire une lettre d'appui de l'Association québécoise des technologies, qui supporte nos observations et recommandations.

L'évolution technologique des dernières décennies, l'avènement et la croissance d'entreprises dont le modèle d'affaires repose sur la commercialisation des renseignements personnels et l'évolution rapide des secteurs d'activité comme l'intelligence artificielle nous poussent donc, nous, membres de la société civile, à la réflexion et à l'action. Les parlementaires que vous êtes, donc, visez juste en vous penchant sur ce dossier, et l'actualité nationale et internationale nous le rappelle fréquemment. Aussi, je rappelle que tous doivent se sentir concernés ce soir, donc le secteur privé, mais aussi, aussi, le secteur public.

Soyons clairs, les renseignements personnels méritent d'être protégés et les contrevenants méritent d'être sanctionnés. Le véritable enjeu ici, c'est plutôt la recherche de l'équilibre entre cet impératif de protection et entre le désir légitime des entreprises québécoises de continuer d'innover, de compétitionner à armes égales et surtout, surtout, de réussir.

Autre point important à noter, notre approche, aujourd'hui, n'est pas de commenter le projet de loi dans une perspective légale ou technique. Je crois important de le mentionner. Vous allez recevoir de nombreux experts au cours des prochains jours qui seront beaucoup plus... mieux placés que nous pour pratiquer ce genre d'éclairage. Notre contribution vise donc à assurer que la future loi soit la plus pragmatique et réaliste possible pour les entrepreneurs de toutes les régions du Québec.

Je voudrais vous parler rapidement de quatre aspects du projet de loi qui nécessitent, selon nous, une attention particulière, donc le besoin d'harmonisation législative, le flux de données transfrontalier, la notion de consentement et, bien sûr, le soutien aux PME.

Alors, tout d'abord, il est crucial pour le Québec de ne pas s'isoler du reste du Canada ou de ses principaux partenaires internationaux. Bien que les changements proposés par le p.l. n° 64 soient inspirés du RPGD adopté par l'Union européenne, il est souhaitable que le Québec et le reste du Canada coordonnent leurs efforts en vue d'harmoniser le plus possible, dans la mesure du possible, les obligations en matière de protection des renseignements personnels. Si le Québec devait faire cavalier seul, il risquerait de pénaliser les entreprises québécoises et autres entreprises faisant affaire au Québec. Nos principaux partenaires économiques sont vraiment autour de nous.

Alors, il faut privilégier la concertation à l'isolement, mais, comprenons-nous bien, on ne demande pas ici, ce soir, de suivre les autres juridictions ou d'attendre, comme j'ai entendu, d'ailleurs, M. le ministre le dire. On souhaite que le Québec adopte une position de leadership et entame des discussions avec ses homologues afin de favoriser l'élaboration d'un régime de protection de données qui, oui, serait pancanadien et qui viserait le développement économique des entreprises québécoises à l'intérieur de cette zone économique, tout en permettant, évidemment, au gouvernement d'arriver à ses fins.

Prenons, notamment, l'exemple du secteur de l'intelligence artificielle. Dans les dernières années, les différents gouvernements du Québec ont choisi, avec raison, je pense, de miser gros sur ce secteur, avec tout le succès que l'on connaît maintenant et dont on est si fiers. Or, une adoption rapide du projet de loi n° 64 sans harmonisation avec les autres provinces et avec le gouvernement fédéral mettra nécessairement à risque la compétitivité de ce secteur.

Un autre enjeu très préoccupant pour nos membres est l'amendement concernant le flux de données transfrontalier. Cet amendement crée un processus d'obligation... d'évaluation, pardon, obligatoire des équivalences des cadres juridiques de différentes juridictions qui est certainement complexe, ambigu et parfois subjectif. Si le processus d'évaluation devait conclure que les informations destinées à une autre juridiction bénéficieront d'une protection similaire à celle prévue au Québec, il en résulterait, donc, un ensemble de dispositions contractuelles visant à établir des obligations réciproques en matière de protection de données, ce qui est ou devrait déjà être la réalité dans la majorité des ententes de transfert de données transfrontalier. L'incertitude causée par ce processus, et surtout, peut-être, le manque d'expertise des entrepreneurs en la matière, risque de nuire au commerce et au développement économique du Québec. Encore une fois, l'harmonisation des législations dans notre zone économique primaire viendrait, bien sûr, aplanir bien des enjeux.

Dans un autre ordre d'idées, le projet de loi n° 64 créé des exigences en matière de notification des atteintes à la protection des données et, bien sûr, en matière de consentement. Ces exigences obligeront les entreprises à modifier leurs pratiques mondiales pour accommoder le marché québécois ou peut-être tout simplement à cesser d'offrir l'accès à leurs produits ou services aux consommateurs et aux entreprises du Québec. Il faut simplement reconnaître que ce fait existe. Les modifications proposées semblent suggérer un consentement spécifique pour chaque utilisation des renseignements personnels.

Évidemment, la FCCQ comprend tout à fait l'objectif du législateur ici, mais cette approche est factuellement lourde et quand même peu pratique. Il serait souhaitable, dans un souci de mieux opérationnaliser ces changements, donc, de permettre le consentement en bloc, dans la mesure où ce consentement vise, bien sûr, un objet qui serait obligatoirement clairement divulgué.

Permettez-moi de commenter rapidement l'impact du projet de loi sur les PME. Alors que les grandes entreprises pourront aisément s'adjoindre des experts pour se conformer à l'éventuelle nouvelle loi, combien de PME auront réellement les ressources, en termes de services juridiques, de conformité, de communication, pour gérer tous ces changements? La réponse : très peu d'entre elles. Alors, devant cette réalité, bon nombre d'entrepreneurs seront laissés à eux-mêmes dans des situations qui sont parfois complexes, mais qui sont surtout, je vous dirais, anxiogènes.

Il est donc essentiel pour nous de mettre en place un programme d'accompagnement qui permettrait aux PME de faire la transition et d'accorder une période de transition aussi pour se conformer aux obligations prescrites par le projet de loi. Vous conviendrez avec moi qu'en matière de défis opérationnels, logistiques, légaux et financiers la cour de nos PME, au Québec, en ce moment, est pleine, très pleine.

Finalement, une partie importante de notre mémoire, vous l'avez constaté, se consacre à l'utilisation des données dans le secteur de la santé. Le récent débat portant sur l'accès aux données de la Régie de l'assurance maladie du Québec par l'industrie pharmaceutique, notamment, a fait l'objet, selon nous, d'un malheureux glissement médiatique, et je pense qu'il convient de rassurer la population à cet égard.

Il nous apparaît important de rappeler que l'industrie biotechnologique et pharmaceutique ne désire pas acheter des données ni accéder directement aux renseignements de santé des Québécois. Elle souhaite plutôt être en mesure d'obtenir des réponses à des questions soumises aux gestionnaires de renseignements personnels et diverses banques de données gérées par l'État. En clair, ce sont donc les résultats de recherche qui favorisent l'avancement de la science et non l'obtention des données brutes.

• (20 h 30) •

Selon l'article 27 du projet de loi n° 64, des organismes publics tels qu'un CIUSSS, par exemple, pourraient se voir attribuer un rôle de gestionnaire de renseignements personnels et, par conséquent, mettre en place, donc, des bases de données qui pourraient être utilisées. Les entreprises biotechnologiques pourraient alors leur soumettre leurs problématiques et obtenir des réponses. Il s'agirait... ils agiraient, pardon, en quelque sorte, donc, comme des fiduciaires des données.

Afin de sécuriser l'ensemble des acteurs, ces gestionnaires pourraient donc être assujettis, selon nous, à un système de certification ou d'accréditation imposant les plus hauts standards en matière de protection et d'accès aux données. Souhaitons que le présent projet de loi ainsi que l'ensemble de l'action gouvernementale, j'ai envie de dire, continuent de valoriser et de stimuler la recherche et l'innovation dans le secteur de la santé au Québec.

En terminant, la FCCQ salue le travail des parlementaires dans le cadre du projet de loi n° 64. L'enjeu principal, pour vous, selon nous, est réellement de trouver le bon équilibre entre, d'un côté, la protection et, de l'autre côté, l'innovation et le développement économique. Certes, c'est un défi important, pas évident. Mais, si on garde en tête à la fois le citoyen qui souhaite voir ses données personnelles protégées et l'entrepreneur qui souhaite avoir une chance équitable de trouver son marché et de réussir ici et ailleurs, nous y arriverons.

Avec ce projet de loi, le Québec se présente encore une fois comme un leader au Canada. Souhaitons que sa mise en application se fasse sous le signe de l'harmonisation, de l'accompagnement et surtout du pragmatisme. La FCCQ sera aux premières loges pour aider les entreprises du Québec à s'adapter à cette nouvelle réalité. On répondra à vos questions avec plaisir. Merci de votre attention.

Le Président (M. Bachand) : Merci beaucoup, M. le Président. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Merci, M. le Président. M. Milliard, un plaisir de vous recevoir en commission parlementaire. Merci de votre présence. Je crois que vous êtes accompagné également de M. Lavoie, si je ne me trompe pas.

M. Milliard (Charles) : Tout à fait, oui.

M. Jolin-Barrette : Merci d'être présent. Écoutez, peut-être... D'entrée de jeu, là, vous avez fait référence à la notion du consentement en bloc. Comment est-ce que vous... Pouvez-vous nous détailler votre position, là, sur la notion de consentement en bloc? Tout à l'heure, on a eu une intervenante qui nous en parlait un peu pour dire : Bon, bien, il ne faudrait pas demander à toutes les fois un consentement, à chaque fois qu'on a un renseignement qui est recueilli. Vous, vous dites : Bien, on devrait exiger des consentements en bloc. Comment vous l'opérationnalisez, ça?

M. Milliard (Charles) : Bien, premièrement, j'ai pris connaissance de l'intervention de l'experte légale cet après-midi. Donc, je suis d'accord qu'à force de demander des consentements en série on vient un peu dénaturer la notion, justement, de consentement éclairé et explicite, je dirais. Ceci étant dit, je vous dis que le consentement peut se faire en blocs, «bloc» peut prendre un «s». Donc, je ne vous demande pas non plus d'avoir un consentement qui serait unique pour une seule démarche, mais on pense qu'on peut nécessairement regrouper certaines démarches.

Alain, je ne sais pas si tu aurais des commentaires là-dessus toi aussi?

M. Lavoie (Alain) : Bien, en fait, effectivement, l'idée, là-dedans, c'est que le citoyen ne soit pas toujours en train de cliquer pour dire : Je consens, je consens, puis qu'à un moment donné il arrête de lire. C'est une des choses, et donc de le faire comme il faut, de donner... que ce soit clair quand on amène le consentement à la personne. Puis là on pense surtout... dans le monde Internet, là, essentiellement, quand on demande un consentement, mais ça pourrait être aussi dans le monde de la santé, dans le monde de l'assurance, ainsi de suite, de dire : Je te donne la permission d'accéder à mes choses.

Ceci dit, il pourrait y avoir de la récurrence, par exemple. Essentiellement, on pourrait dire : J'ai donné mon consentement aujourd'hui, mais je rappelle, dans six mois, que je dois redonner mon consentement. Est-ce que je suis encore là dans six mois? C'est des choses qui pourraient être possibles. Mais là on n'est pas nécessairement dans les détails, mais c'est des choses qui seraient possibles d'envisager. Est-ce que ça répond à votre question, là, M. le ministre?

M. Jolin-Barrette : Oui, bien, c'est intéressant ce que vous dites. Vous dites : Dans le fond, bien, peut-être qu'on peut donner un consentement une fois puis on n'accorde pas notre consentement à toutes les fois, mais, d'une façon récurrente, c'est prévu par la loi qu'on doit revalider le consentement d'une façon détaillée à certaines étapes.

M. Milliard (Charles) : On le voit déjà dans certains secteurs de la santé, dans le secteur pharmaceutique, dans la protection des données cliniques. C'est des choses qui arrivent aussi. Donc, ça pourrait être fait. Donc, ça peut être des blocs itératifs, mais sans être une litanie de consentements sans fin non plus.

M. Jolin-Barrette : O.K. Sur la question de l'intelligence artificielle, là, vous nous mettez en garde. Vous dites : Bon, on est dans un environnement nord-américain, Montréal est une plaque tournante d'intelligence artificielle. En quoi est-ce qu'on doit être... on doit faire attention pour ne pas nuire à ce secteur-là?

M. Lavoie (Alain) : Est-ce que je peux me permettre? Écoutez, on a un momentum en ce moment au Québec où on a beaucoup d'attraction sur l'intelligence artificielle. On attire beaucoup d'entreprises. Plein de gens veulent venir s'installer parce qu'on a une qualité de chercheurs. On a une expertise de pointe. On est probablement un des pôles les plus importants dans le monde quand on considère intelligence artificielle et recherche opérationnelle.

Essentiellement, puis comme vous le savez, la donnée est une des... est la chose qui fait fonctionner ces algorithmes-là. Donc, si on légifère de telle façon que la donnée va être plus accessible chez nos voisins qu'ici, bien, il se peut fort bien que les entreprises aillent ailleurs plutôt que venir ici. Ça se peut que les cerveaux viennent s'installer... aillent ailleurs, parce que les chercheurs, ce qu'ils cherchent, c'est de la donnée pour pouvoir alimenter leurs algorithmes. Il se peut très bien...

C'est ça, c'est de ça qu'on met en garde. On dit : D'un côté, on a investi, puis on est en train de réussir pour être un pôle en intelligence artificielle mondial, puis, de l'autre côté, bien, on pourrait mettre un frein, il se peut qu'il y ait un frein si on légifère trop, de façon plus contraignante qu'ailleurs. C'est juste dans ce contexte-là. Ça ne veut pas dire qu'il faut être cow-boy. Ça veut dire qu'il faut l'utiliser comme il faut. Il faut responsabiliser les chercheurs. Il faut responsabiliser les entreprises. Il faut responsabiliser tout le monde. Mais essentiellement il faut s'assurer quand même que la compagnie n'ira pas s'installer ailleurs plutôt que de venir au Québec. C'est une des choses.

M. Jolin-Barrette : Mais il y a plusieurs facteurs aussi dans le choix de l'installation d'une compagnie dans un État ou dans un autre, là. Mais trouvez-vous qu'avec la mouture qu'on a actuellement avec le projet de loi n° 64, avec les libellés qu'on a, on est à risque par rapport à l'intelligence artificielle, avec ce qu'on a, là, sur la table, présentement, ou vous dites : C'est un compromis qui est acceptable?

M. Lavoie (Alain) : En fait, tant et aussi... Moi, je pense que c'est un compromis qui est acceptable tant et aussi longtemps qu'on harmonise, tant et aussi longtemps qu'on... Comme Charles l'a dit en préambule, on est... Moi, je crois qu'on a un savoir-faire incroyable au Québec. Si on veut être les leaders, soyons les leaders, mais assurons-nous que nos voisins nous suivent dans notre projet de loi puis qu'ils prennent le même modèle que nous, parce que, si on a des modèles disparates un peu partout, c'est là qu'on risque d'avoir un enjeu de notre côté.

M. Jolin-Barrette : O.K. Sur la question des amendes, des sanctions administratives pécuniaires, qu'est-ce que vous en pensez, donc, du montant des amendes puis du régime de sanctions administratives pécuniaires?

M. Milliard (Charles) : Nous, on n'a pas... Pardon. On n'a pas amené de commentaire précis sur la notion des montants des amendes. Notre inquiétude, c'est plus sur le nombre d'amendes qu'une organisation pourrait recevoir. Donc, je pense, ça serait important qu'on précise que... Vous m'entendez? Oui. Je pense que ça serait important qu'on précise que l'amende doit être applicable dans la juridiction où elle est constatée.

Donc, on constate justement que, dans d'autres lois ou d'autres réglementations, c'est possible pour les gens de cumuler des amendes. Alors, vous allez me dire : Si quelqu'un est coupable, bien, il pourrait bien payer cinq amendes tant qu'à moi. Peut-être, mais, dans le cadre de la transition puis de la mise en application d'une loi comme ça, je pense qu'on devrait s'assurer que les règles sont claires et qu'on peut justement s'attendre au moins à avoir une amende, à avoir un petit coup de bâton, si on veut, et qu'ensuite on puisse ajuster et bonifier, là, la façon dont on fonctionne.

M. Lavoie (Alain) : Et vous êtes enligné aussi... M. le ministre, vous êtes enligné sur ce que les Européens font par rapport aux amendes. Il faut comprendre qu'au printemps 2019 il y avait à peu près 109 juridictions dans le monde qui s'enlignaient vers ce que l'Europe a fait. Donc, le Québec, quand il s'enligne à peu près là-dessus, bien, plus on va être harmonisés, plus ça va être facile de l'adopter, plus ça va être facile d'entrer dans le moule. C'est ce qu'on croit à la FCCQ.

M. Jolin-Barrette : O.K. Je vous remercie. J'ai des collègues qui veulent poser des questions.

Le Président (M. Bachand) : Merci, M. le ministre. Mme la députée de Les Plaines, s'il vous plaît.

• (20 h 40) •

Mme Lecours (Les Plaines) : Merci beaucoup, M. le Président. Bonjour à vous deux. Bonjour, M. Milliard, bien contente de vous revoir en commission parlementaire.

Je veux vous ramener sur les PME, et je vais insister sur les PPME, les très petites entreprises. Comme ancienne directrice de chambre de commerce, je comprends très bien la réalité des petites et très petites entreprises. L'organisme précédent a parlé des 10 employés et moins. Il aurait... Il souhaiterait qu'on soustraie les petites... employés de 10 et moins, de ce projet de loi là.

Il a mentionné également l'impact... pas l'impact, mais l'arrivée du régime de retraite pour les petites entreprises. Moi, à l'époque, on l'avait instauré avec plusieurs petites entreprises. Même si la part de l'employeur n'y était pas, au moins, ça offrait la chance avec... aux employés d'avoir un régime de retraite. Et je pense qu'on va s'entendre que l'impact sur un... l'impact de l'implantation d'un régime de retraite n'est pas le même que l'impact d'un projet de loi sur la protection des données personnelles.

Est-ce que vous êtes d'avis qu'on devrait maintenir le plan d'action avec les 10... petites entreprises et moins? Et ma sous-question : Est-ce que ça pourrait... Justement, votre prédécesseur parlait de l'arrivée progressive... ou d'être, à tout le moins, bien... accompagner les très petites entreprises dans cette... l'application de ce projet de loi là.

M. Milliard (Charles) : Bien, écoutez, je vous répondrais à ça que la vie associative est faite de choix. Si j'ai une bataille à choisir, je préfère prendre celle de l'accompagnement des PME, des PPME, de tout ce que vous voulez, des grandes entreprises aussi, donc, d'accompagner ces entreprises-là, d'avoir une période de transition puis peut-être d'avoir, pour revenir à la question de M. le ministre sur les amendes, une approche un peu que je comparerais à un syndic d'un ordre professionnel, donc, une approche disciplinaire qui vise, oui, à appliquer la loi, mais aussi dans un processus d'amélioration continue. Donc, j'aimerais mieux qu'on soit dans cette approche-là. C'est déjà un gros, gros morceau pour plein d'entreprises.

Et, évidemment, dans le discours public, dans le discours médiatique, quand on pense à la protection des données personnelles, on pense à plein de grandes entreprises dont on n'a pas besoin de nommer les noms. Mais il faut se rappeler, puis vous le savez mieux que moi, même, que ça va s'adresser, donc, à toutes les entreprises du Québec, et il y en a plusieurs pour lesquelles ça va être difficile. Premièrement, ils ne comprennent... ils n'ont pas beaucoup d'expertise dans ce domaine-là, et on ne peut pas les blâmer. Ils ont de l'expertise dans ce dans quoi ils sont bons. Et l'expertise qui est disponible, au Québec, au Canada, en matière de protection des renseignements personnels, est assez limitée aussi. Donc, ce n'est pas un bar ouvert de consultants qui peuvent vous aider là-dedans.

Alors, c'est important qu'il y ait une forme d'accompagnement qui soit présente dans le projet de loi, beaucoup plus qu'une forme de restriction, je vous dirais, là, à mon sens. Alain, je ne sais pas si...

M. Lavoie (Alain) : Écoute, moi, ce que je peux dire, c'est... Au niveau des amendes, c'est... En fait, on a pris position de dire que l'amende, c'était correct. Mais, essentiellement, je vous dirais, au-delà des amendes, moi, j'ai une compagnie en technologie, puis, s'il y a une fuite de données chez moi, là, ce n'est pas l'amende qui va être le problème, c'est ma réputation, puis c'est la réputation de ma compagnie, puis on va être morts.

Donc, il faut comprendre, là, qu'on n'aura pas les moyens de s'engager des grandes firmes de gestion de crise et de tout pour pouvoir nous défendre. Donc, on a une épée de Damoclès au-dessus de la tête. Il faut faire attention aux données. Puis, qu'on soit un, 10, ou 100, ou 1 000, ça reste que c'est de la donnée personnelle qui appartient à des citoyens, puis il faut y faire attention. C'est précieux.

Donc, là-dessus, on dit : Bien, les entreprises doivent travailler correctement avec la donnée. Ceci dit, il y a une épée de Damoclès pour tout le monde. Puis les plus petites entreprises risquent de mourir quand ça arrive, parce que leur réputation est faite. Moi, je vous dis, là, j'ai une fuite de données chez moi puis, même, aujourd'hui, sans... avec le projet de loi, je viens de perdre 60 % de ma business, parce que...

M. Milliard (Charles) : Une autre forme d'amende, oui.

M. Lavoie (Alain) : C'est ça.

Le Président (M. Bachand) : Oui, M. le député de Chapleau.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Bonjour, M. Milliard et M. Lavoie. Merci beaucoup, là, peut-être une petite question ou deux.

Vous avez parlé de définir davantage le concept d'analyse d'impact, peut-être me donner quelques idées à cet égard-là, là. Je sais que ça a été beaucoup mentionné par d'autres intervenants, là, puis il y avait quelques petits accrocs par rapport à ça. Qu'est-ce que vous voyez, vous, puis quel... qu'est-ce que vous envisagez par rapport à ça?

M. Lavoie (Alain) : Charles, je ne sais pas où on a parlé de ça...

M. Milliard (Charles) : Oui, je ne suis pas certain de comprendre à quoi vous faites référence. Pourtant, mon document n'est pas si long que ça.

M. Lévesque (Chapleau) : Non, c'est surtout le cadre... non, pas de souci, le cadre... Dans le fond, en élaborant, justement, le projet de loi, il y a toute la notion d'analyse d'impact avec les autres juridictions lorsqu'il y aurait transfert de données personnelles. Ça a créé, chez certains intervenants, un peu de friction. Je ne sais pas si, de votre côté, avec vos membres, oui...

M. Milliard (Charles) : Ah! O.K., d'accord.

M. Lavoie (Alain) : Donc, ce que vous parlez, c'est ce que le Secrétariat à la législation fait quand il analyse l'impact sur le projet de loi avant que le projet de loi aboutit, O.K. Dans ce contexte-là, nous, on n'a pas regardé ça nécessairement. Ce qu'on dit, aujourd'hui, c'est de dire : Si le Québec veut être leader, go! allons-y parce qu'on est capables de le faire, mais assurons-nous de mettre en place tous les moyens pour convaincre le fédéral, pour convaincre l'Alberta, pour convaincre l'Ontario, convaincre la Colombie-Britannique d'aller dans le même sens que nous, parce que, s'ils ne vont pas dans le même sens que nous, bien, on aura un problème au niveau de l'harmonisation puis au niveau de l'adoption de nos entreprises, parce qu'il va falloir qu'ils s'ajustent aux différentes juridictions. Donc, je pense qu'il y a une question de prendre le leadership puis d'y mettre les efforts pour convaincre nos homologues, c'est tout.

M. Lévesque (Chapleau) : Parfait, merci. Tu sais, on parle souvent de la distinction entre les PME puis les plus grandes entreprises, peut-être, chez vos membres, vous avez également, là, senti ça. Est-ce qu'il faudrait songer à instaurer, là, des niveaux différents de normes en matière de protection autant pour les PME que les grandes entreprises? Puis vous verriez ça comment si c'était le cas?

M. Lavoie (Alain) : Charles, si tu peux me permettre...

M. Milliard (Charles) : Oui, vas-y.

M. Lavoie (Alain) : Un des enjeux qui est ressorti essentiellement avec nos discussions, c'est que, là, on s'en va avec un projet de loi où, je vous dirais, en ce moment, là, les contentieux, les départements légaux des grandes compagnies analysent ça puis ils se disent : Comment on va faire affaire avec des PME, maintenant, qui vont travailler avec la donnée personnelle, puis que moi, je vais être responsable d'eux quand ils vont travailler avec la donnée?

Donc, un des effets de bord qui pourrait arriver d'un tel projet de loi, c'est qu'il y ait une coupure entre les grands donneurs d'ouvrage et les PME. Ça, ça pourrait être un enjeu qui pourrait arriver, et il faut... puis, pour ça, ce qu'on répond, c'est : Essayons de trouver un équilibre, mais essayons de rester flexibles avec le projet de loi. Mettons-nous des possibilités, des dispositions, dans le projet de loi, qui permettraient de s'ajuster en s'en allant par rapport à ça, parce que ce qui va arriver, c'est qu'il va y avoir un clash... excusez l'expression, mais il va y avoir un clash entre les deux, puis on va avoir de la misère à travailler ensemble, grandes et petites entreprises.

M. Milliard (Charles) : Mais, si je peux me permettre, par rapport... bon, d'accord.

Le Président (M. Bachand) : C'est parce que je dois céder la parole à la députée de Bellechasse. Excusez-moi, M. le président.

M. Milliard (Charles) : Ça va.

Le Président (M. Bachand) : Mme la députée de Bellechasse, une minute.

Mme Lachance : Merci beaucoup. C'est juste un complément d'information. Tout à l'heure, vous avez parlé d'éviter les sanctions et de davantage se mettre en mode, en processus d'amélioration continue. Est-ce que vous voyez ça, dans le temps, comme circonscrit pour une période de grâce ou vous voyez ça tout simplement, de bout en bout, intégré dans la loi puis que ce soit continuellement un processus d'amélioration continue?

M. Milliard (Charles) : Bien, écoutez, je pourrais être mal intentionné puis vous dire que la transition pourrait être éternelle, mais je pense que, tu sais, on ne viserait pas l'objectif. Je pense que ce qui est important, ce qui est... Écoutez, on peut viser peut-être au moins une année à deux années d'adaptation, mais pas totale. On comprend que c'est une loi qui, en bout de ligne, est coercitive, là. On ne vient pas avec des attentes démesurées. Ce qu'on vous dit, par contre, c'est que la notion d'accompagnement continu, encore là, comme je vous l'ai dit, comme les ordres professionnels, je pense, c'est une attitude que, premièrement, un paquet d'entreprises connaissent déjà et avec laquelle ils seraient certainement à l'aise de fonctionner.

Le Président (M. Bachand) : Merci. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui, merci beaucoup, M. le Président, je pense, pour une période de 11 minutes?

Le Président (M. Bachand) : Exactement, 11 min 20 s.

M. Tanguay : Oui, merci. Bonjour, bonsoir, M. Milliard et M. Lavoie. Merci d'être avec nous ce soir.

En vous écoutant, puis je trouve ça très, très, très intéressant, je veux dire, on a eu l'exemple de Desjardins. On voit que c'est plus qu'hier moins que demain, les données dans le système de santé. Puis, je vous entends bien, d'entrée de jeu, vous avez dit : Écoutez, on ne va pas dans le «nitty-gritty», là. Mais vous avez quand même des suggestions très tangibles, puis je vais les aborder. Puis je vais vouloir laisser du temps, tout ça en 11 minutes, à ma collègue de Notre-Dame-de-Grâce.

Moi, je vois une évolution dans les enjeux. J'aimerais vous entendre de façon macro puis j'aurai peut-être quelques petites questions en rafale, micro. De façon macro, je vois... évidemment, la société, en Occident, évolue. Au début, début, quand on parlait de renseignements personnels, c'était la protection de la vie privée, c'était le Code civil, protéger la vie privée : Il y a des choses dans ma vie qui n'ont pas à être publiques, puis on protège ma vie privée.

Avec les technologies, avec l'évolution technique, on doit maintenant protéger le vol d'identité, des renseignements qui pourraient faire en sorte qu'on usurpe mon identité. Et là, tout autour de cela, dans le système dans lequel on vit, il y a des entreprises qui gèrent, obtiennent, achètent, vendent de l'information. Et, M. Lavoie, vous disiez que c'était 60 % de votre business, que cette réputation-là et cet avoir-là, en termes de données. Donc, vol d'identité, c'est un élément.

Puis le troisième, qui est un peu... là, on est rendus là, là, avec les données... les métadonnées, faire en sorte de se prémunir contre la discrimination, une entreprise décide de ne pas contracter avec moi, par exemple, parce qu'elle aurait su, finalement, que je n'étais pas assurable pour x raisons, pour différents aspects de ma vie. Alors, il y a tout ça à protéger.

Trouvez-vous que... Vous, représentants de la FCCQ, vous avez des entreprises qui, tantôt, peuvent graviter dans une sphère où c'est plus la tradition de protéger la vie privée, tantôt, d'autres, c'est de protéger le vol d'identité, tantôt, d'autres, c'est de protéger contre la discrimination. Autrement dit, les gens que vous représentez, les femmes et hommes d'affaires, Fédération des chambres de commerce du Québec, trouvez-vous que la loi vous donne suffisamment de prévisibilité pour connaître vos obligations, bien les appliquer puis se faire assurer... s'assurer qu'en bout de piste vous ne vous ferez pas taper sur les doigts, parce que, là aussi, il y a un aspect réputationnel?

• (20 h 50) •

M. Milliard (Charles) : Bien, écoutez, c'est une excellente question, mais vous faites une démonstration éclatante du besoin d'accompagnement des entreprises, parce que c'est de plus en plus compliqué de faire des affaires au Québec, au Canada, dans le monde, n'importe où. Vous parlez de la notion de vie privée, de la notion de vol d'identité. Je vais vous rajouter à ça les investissements nécessaires en cybersécurité que les entreprises doivent faire. Alors, c'est toute une histoire.

Alors, quand on parle qu'on veut stimuler l'entrepreneuriat au Québec, on veut que les entrepreneurs participent à la relance économique... Je m'étais promis de ne pas utiliser le terme, on ne veut pas trop avoir d'obstacles, mais, bon, il est trop tard, je l'ai dit. Il faut faire attention quand même à la notion d'obstacles qu'on amène aux entreprises. Et la réalité, elle est différente, de la petite et de la moyenne entreprise... de la petite et de la grande entreprise, je vous dirais.

Au niveau des PME, l'enjeu, avec le projet de loi n° 64, c'est de comprendre les tenants et aboutissants et de gérer ça à l'interne avec les ressources qui sont disponibles. L'enjeu de la grande entreprise, qui, des fois, en a vu d'autres, c'est la gestion des relations externes avec le Québec. Alors, ces entreprises-là sont partout sur la scène canadienne, sur la scène américaine, mondiale. Et, à la limite, à la lumière de ce qu'on voit, on peut créer justement une difficulté de transfert des données, malgré un consentement, là, moi, je ne vous parle pas d'esquiver un consentement, même si on le voudrait par blocs, qui rend difficiles les opérations de grandes entreprises.

Et là je ne vous parle pas de grands méchants, là. Je vous parle d'entreprises que vous connaissez tous bien, qui ont des usines en Alberta, mais qui en ont aussi une en Mauricie, et que, si ces données-là peuvent s'échanger difficilement entre les deux usines, bien, ça devient très difficile et ça devient, comme je vous l'ai dit, anxiogène. Je trouve que c'est un terme qui résume bien l'état de plusieurs entrepreneurs en ce moment. C'est gérable, comme l'anxiété en général, mais c'est ça pareil.

M. Tanguay : Est-ce que... Puis je ne veux pas être trop philosophique, mais une dernière question macro, puis je pense que c'est important. Trouvez-vous que vos membres auraient... puis je ne veux pas... un examen à faire quant à leur évaluation, la juste valeur de l'information?

Je lisais un papier il y a quelques mois, où l'on disait : Lorsqu'il y a vente d'entreprises, on fait souvent un «due diligence», une évaluation diligente de l'entreprise, puis, très souvent, l'information, il n'y a pas de valeur monétaire ajoutée à ça. S'il y avait une valeur monétaire, de façon beaucoup plus systématique, ajoutée à ça, s'il y avait une prise de conscience, il y aurait peut-être moins... Puis je ne veux pas... Je ne pointe pas du doigt personne, là, mais, dans certains cas, qui ne sont pas vos membres, on voit une certaine, peut-être, désinvolture quant à l'utilisation.

Alors, si ça n'a pas de valeur, si ce n'est pas chiffré dans la vente d'entreprises, ou si peu, ou pas à sa juste valeur, il n'y a pas chez vos membres... Puis je ne suis pas méchant, là. Je veux dire, vous le voyez, là, j'ai le sourire dans la voix quand je vous dis ça, mais il n'y a pas, du côté, peut-être, de nos entrepreneurs, une prise de conscience, de dire : Aïe! Peut-être que nous, on a un cheminement... Il faudrait rejoindre les consommateurs qui, eux... pour eux, pour tout ce qu'il y a à protéger, c'est une valeur fondamentale. Mais peut-être que, pour nous, à ce moment-là, si on accordait la valeur économique, la valeur hautement sensible de toute l'information que l'on a, peut-être, ce serait plus facile, après ça, de voir ça comme étant : Bien oui, c'est des... pas des obstacles, mais ce sont... Je vais dire ça de même, je vais prendre votre terme, ce sont des obstacles tout à fait justifiés comme pourrait représenter un obstacle justifié d'assurer l'équipement lourd. Je veux dire, ce n'est pas un revenu, assurer un équipement lourd, mais on va investir...

Alors, vous ne trouvez pas qu'il y a peut-être une évolution aussi de votre côté... Je ne sais pas... Je ne veux pas vous faire faire un... que vous vous épanchiez sur vos examens de conscience, mais il y a peut-être un «disconnect» social, peut-être, je ne sais pas, mais j'aimerais vous entendre là-dessus.

M. Lavoie (Alain) : Est-ce que je peux répondre, Charles, et tu me compléteras?

M. Milliard (Charles) : ...

M. Lavoie (Alain) : Écoutez, il y a une conscientisation mondiale qu'on a... On n'a pas bien travaillé tout le temps avec la donnée au niveau mondial, et les pays se sont sentis obligés de protéger leurs citoyens. Et, dans ce contexte-là, on voit que c'est un mouvement mondial, et les compagnies doivent rentrer dans le rang. Puis c'est sûr qu'on doit avoir des compagnies, dans nos membres, qui sont un peu délinquantes ou qui sont carrément délinquantes, puis il faut trouver un moyen de les rentrer dans le rang, parce que c'est un choix de société qu'on fait, là, quand on fait ça aujourd'hui, en faisant des choses...

Ceci dit, on s'en va par là, là, c'est... Que le Québec légifère aujourd'hui ou qu'il légifère dans deux ans, dans cinq ou 10 ans, tout le monde va être là. Donc, vaut mieux, en tant qu'entrepreneur, de déjà rentrer là-dedans puis de te mettre dans un processus qui va comprendre... l'intégrer dans tes processus internes, t'assurer... Moi, je donne un exemple, chez nous, on travaille beaucoup avec de l'information très sensible. Et j'ai des contrats avec mes employés, mais, à toutes les fois qu'on signe un nouveau contrat, on leur fait signer un autre contrat qui dit : Tu travailles avec de la donnée sensible, fais attention à ce que tu fais.

Donc, il faut conscientiser, puis on ne serait pas obligés de le faire, mais on le fait, parce que c'est de rappeler aux gens qu'ils sont en train de travailler avec de l'information... Je vous rappellerai qu'on a une épée de Damoclès au-dessus de la tête, puis, s'il y a une fuite, une PME, elle est morte, c'est carrément ça... le cas. Donc, dans ce contexte-là, je vous dirais qu'on s'en va vers là, puis, que ce soit au Québec, que ce soit... il faut conscientiser nos entreprises par rapport à ça.

M. Milliard (Charles) : Mais en, vraiment, 15 secondes, je vous dirais simplement que, la prise de conscience, elle est en explosion de croissance. Vraiment, je pense que les entrepreneurs comprennent ça de plus en plus. Mais je vous dirais aussi que j'ai probablement trop de doigts dans la main pour compter le nombre de secteurs d'activité pour lesquels la donnée n'a pas de valeur en 2020. Je pense qu'il y a de moins en moins de secteurs d'activité qui se sentent concernés par... qui ne se sentent pas du tout concernés par ça. Et, pour ce qui est des récalcitrants, bien, ils seront sanctionnés. C'est ça, la vie en société.

M. Tanguay : Je vais laisser le temps qui reste à ma collègue. Merci.

Le Président (M. Bachand) : Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.

Mme Weil : Merci beaucoup. Alors, bonsoir, M. Milliard, M. Lavoie. Bon, vous dites... D'entrée de jeu, vous êtes pour le projet de loi, etc., mais je vous dirais que vos mises en garde sont pas mal pareilles que ceux de la fédération des entreprises indépendantes, dans le sens que vous voulez voir une coordination à quelque part, une consultation avec les autres juridictions au Canada, que, si on fait cavalier seul, c'est dangereux et c'est fragilisant pour les entreprises. Vous n'êtes pas juste les PME, mais des entreprises, quand même, d'une taille un peu plus importante, et vous revenez sur l'intelligence artificielle, et vous dites : Là aussi, si on n'est pas un peu... comment dire, on ne fait pas attention, tu sais, si on agit en cavalier seul, encore une fois, on risque d'être perdants dans cette course et de perdre beaucoup de ces entreprises.

Donc, moi, ce que j'entends des deux intervenants, aujourd'hui, qui représentent, si on veut, l'économie du Québec, en partie, là, des acteurs importants... Et vous donnez l'exemple du fédéral qui, dans un premier temps, pour son projet de loi, avait mis... avait fait des consultations avec des experts, et ensuite ils ont dit : Oups! Il faut qu'on reprenne notre projet de loi puis qu'on fasse des ajustements, et c'est ça qui retarde un peu... Mais, en même temps, vous comprendrez qu'il faut avancer aussi dans la protection des renseignements personnels.

Donc, comment vous voyez la voie de passage? Parce qu'on vous entend, hein, puis je pense qu'il n'y a personne ici qui ne serait pas sensible à ce que vous dites. Surtout dans le contexte qu'on vit, on ne veut pas freiner, évidemment, le développement économique, mais, en même temps, il y a l'impératif de protection des renseignements personnels. Est-ce que c'est dans le temps, parce que, vous savez, d'essayer de trouver une entente avec toutes les provinces et le gouvernement fédéral, ça prendrait très, très longtemps... Alors, qu'est-ce que vous nous recommandez comme voie de passage qui serait raisonnable?

Le Président (M. Bachand) : Rapidement, s'il vous plaît.

M. Milliard (Charles) : Certains diraient qu'il y a des dossiers qui ne seront toujours pas réglés après 30 ou 40 ans, mais je vous dirais qu'au niveau de l'harmonisation on voudrait que le Québec joue un rôle proactif. Alors, je pense qu'il y a beaucoup d'autres secteurs d'activité où on peut exprimer notre unicité comme nation, comme Québécois, mais, dans ce contexte-là, je pense que l'harmonisation, c'est rendre service à nos entrepreneurs que de mettre ça en priorité de liste. Il y aura d'autres débats politiques, d'autres forums pour discuter de questions plus nationales. Je ne veux pas embarquer là-dedans, mais je pense que c'est important de reconnaître le besoin de nos entrepreneurs. Puis on est tellement fiers quand nos entrepreneurs exportent puis deviennent gros ailleurs. Bien, s'ils sont gros ailleurs, ils ont besoin d'avoir une harmonisation dans leur réglementation pour pouvoir continuer de prospérer.

Pour ce qui est de l'intelligence artificielle, bien, je l'ai mentionné, hein, le gouvernement actuel, le gouvernement précédent... des investissements massifs, alors que la matière première, l'or en barre, justement, de l'intelligence artificielle, c'est la donnée. Alors, si on veut que la donnée serve et rende profitables les investissements qu'on a faits, elle doit être accessible et... Elle doit être protégée, mais elle doit être accessible. Les deux sont possibles.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

• (21 heures) •

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, MM. Milliard et Lavoie. Merci de votre contribution plus pondérée, plus modérée que d'autres qu'on a entendus ce soir provenant du milieu des affaires. On sent un discours, chez vous, qui tente davantage d'équilibrer le bien commun avec les intérêts des gens que vous représentez. Ce n'est pas le cas de tous les gens qui parlent au nom du milieu des affaires. Ça fait que je veux vous remercier sincèrement pour ça.

Puis je veux qu'on parle de votre cinquième recommandation ou, en tout cas, du chapitre 5 de votre mémoire, où vous parlez de ce qui vous apparaît problématique comme... dans la restriction à la circulation transfrontalière des données, et vous nous dites : Il y a beaucoup d'entreprises québécoises qui ont besoin de faire affaire avec des firmes étrangères pour des services numériques. On pense, par exemple, à l'infonuagique, au paiement électronique, et tout ça, puis on sait de quelles entreprises on parle ici, ou même des services de publicité, par exemple, où on contracte avec des firmes à l'extérieur, et vous nous dites : Si on est trop restrictifs dans ce qu'on exige aux entreprises québécoises, on va les empêcher d'entrer dans ces relations commerciales là avec des acteurs qui sont à l'étranger.

Je comprends ce que vous dites. En même temps, dans la mesure où, puis vous semblez le reconnaître vous-même, beaucoup, beaucoup de ces entreprises-là sont basées à l'étranger, si l'intention du législateur, puis, moi, c'est comme ça que je la comprends, c'est de protéger les citoyens et citoyennes du Québec, est-ce qu'en faisant sauter la clause qui régit les transactions entre les entreprises d'ici puis les entreprises d'ailleurs... est-ce qu'on ne viendrait pas créer dans le filet un trou plus gros que le filet lui-même puis que, dans le fond, on ne protégerait pratiquement personne? Comprenez-vous le risque que j'évoque?

M. Milliard (Charles) : Je le comprends tout à fait. Rapidement, j'ai envie de vous dire, par contre, qu'il ne faut pas tomber dans le piège, justement, quand on pense au projet de loi n° 64, que de penser à cinq ou six grandes entreprises. Il y a plusieurs petites PME qui font des affaires justement avec les États-Unis, avec des États particuliers aux États-Unis, et ça cause... L'obligation d'aller prouver l'équivalence entre les différents systèmes de protection des renseignements personnels vient causer une inquiétude puis une gestion de risque pour ces entreprises-là, qui pourraient décider de ne pas y aller. Alors, j'aimerais... Je ne suis pas en désaccord avec vous, mais j'aimerais ça qu'on pense plus à des petites ou moyennes entreprises quand on pense à exporter, parce que ce n'est pas que des grandes entreprises qui font ça.

M. Nadeau-Dubois : Est-ce qu'il n'y a pas une piste de réflexion au niveau du régime de sanctions? C'est-à-dire, est-ce qu'en étant peut-être davantage proportionnel pour s'adapter plus à la taille des entreprises, on ne pourrait pas justement s'assurer de faire payer les grandes entreprises qui ont des pratiques délinquantes ou qui font preuve de négligence et, pourquoi pas, utiliser ces ressources-là pour aider puis accompagner les plus petites entreprises, qui, elles, en effet, sont plus débutantes puis ont moins de connaissances puis d'expertise dans le domaine? Est-ce qu'il n'y a pas là une piste pour dénouer le dilemme que vous semblez nous indiquer?

M. Lavoie (Alain) : En fait, je répondrais, Charles, qu'il faut s'arrimer à peu près aux mêmes sanctions qu'on retrouve en Europe, essentiellement, et c'est ce qu'on voit dans le projet de loi. Il faut s'assurer, par contre, que, comme on a dit, on n'est pas pénalisés dans toutes les juridictions en même temps, parce que ça peut être un problème, mais, si on est arrimés... parce que l'effet négatif d'avoir un régime de sanctions plus fort risque de couper les façons de faire nos affaires avec des entreprises étrangères qui voudraient faire... avec nos entreprises ici, et des services, par le fait même, avec nos citoyens.

Le Président (M. Bachand) : Merci. Je cède la parole au député de René-Lévesque, s'il vous plaît.

M. Ouellet : Oui, merci beaucoup, M. le Président. Donc, à mon tour de vous saluer, messieurs. Merci de cette contribution qui est tardive un peu pour nous, mais qui a dû prendre un peu de temps pour être rédigée.

Je veux juste être certain de bien comprendre. Tout comme la FCEI, tout à l'heure, vous levez le drapeau en disant : Il faut faire attention, les entreprises font des affaires dans différentes juridictions. Et vous nous dites quand même que Québec devrait aller de l'avant, on devrait être des leaders. J'aimerais vous entendre sur le fait qu'il y a aussi les Américains, mais aussi les Mexicains. On a signé une entente de partenariat économique entre les trois pays. Est-ce que vous demandez aussi à ce que le gouvernement du Québec soit un leader pour convaincre les Américains et les Mexicains à adopter nos saines pratiques? Est-ce que c'est ça un peu que vous nous dites : Si on réussit avec le Canada, «U.S. is the best», là?

M. Milliard (Charles) : Bien, écoutez, je pense que l'ambition, dans la vie, c'est bien. Ceci étant dit, on peut certainement commencer par avoir une harmonisation au sein de notre... de l'ensemble politique avec lequel on fait partie. Ça serait déjà bien. Évidemment que les Américains... Je pense que notre poids relatif est infime. Alors, il faut être réaliste là-dessus. Déjà, il y a des gros clashs, si on veut, entre la situation européenne et la situation américaine, qui empêchent justement des compagnies américaines de faire affaire en Europe. Mais, déjà, si on pouvait, dans un pays de 35 millions d'habitants, avec des entreprises qui ont souvent des bureaux dans toutes les provinces, s'entendre, ça serait déjà une sacrée belle victoire.

M. Ouellet : J'aimerais rapidement vous amener à la recommandation 7b d'imposer une seule amende dans la juridiction où la faute est commise. Je vous entends, mais, concrètement, comment on fait ça? L'entreprise, elle est canadienne. Elle commet la faute au Canada. Elle a des activités européennes. Comment est-ce qu'on fait pour trancher à quel endroit la sanction devrait être payée?

M. Lavoie (Alain) : On n'a pas toute la réponse, là, je vous dirais, là, mais, essentiellement, on dit que c'est à l'endroit où le fait a été observé essentiellement qu'on devrait faire ça. Je voudrais juste ajouter rapidement sur la question précédente... Le Canada et le Québec, en matière... moi, je suis dans le monde législatif... est vraiment reconnu, de façon mondiale, comme des bons rédacteurs législatifs sur la planète. Et je peux vous le dire parce que je travaille dans ce milieu-là avec d'autres pays, et je vous dis : On peut être les leaders dans le monde puis on peut convaincre les États-Unis et les... avec des beaux modèles.

M. Ouellet : Merci.

M. Lavoie (Alain) : Là, je suis peut-être chauvin, mais, tu sais, au moins, je veux...

M. Ouellet : Vous ne voyez pas le ministre de la Justice, mais je pense qu'il vous prend au mot. Après convaincre le Canada, je pense qu'il va s'attaquer aux États-Unis.

M. Milliard (Charles) : Ça va nous faire plaisir de suivre ça.

Le Président (M. Bachand) : Sur ces belles paroles, messieurs, merci beaucoup de votre contribution aux travaux de la commission.

Celle-ci suspend ses travaux... ajourne ses travaux jusqu'au mercredi 23 septembre, à 12 h 10, 12 h 10, demain, merci. Merci beaucoup.

(Fin de la séance à 21 h 06)