(Douze heures douze minutes)
Le Président (M.
Bachand) : À l'ordre, s'il vous plaît!
Des voix : ...
Le
Président (M. Bachand) : À
l'ordre, s'il vous plaît! S'il vous plaît! Merci. Ayant constaté le quorum, je
déclare la séance de la Commission des
institutions ouverte. Je vous souhaite, bien sûr, la bienvenue. Et, comme vous
le savez, je vous demande d'éteindre la sonnerie de votre appareil
électronique.
La commission
est réunie afin de poursuivre les auditions publiques dans le cadre des
consultations particulières sur le
projet de loi n° 64, Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels.
Avant de débuter, Mme la secrétaire, y a-t-il
des remplacements?
La
Secrétaire : Oui, M. le Président. M. Fontecilla
(Laurier-Dorion) sera remplacé par M. Nadeau-Dubois (Gouin).
Le Président (M.
Bachand) : Merci beaucoup. Est-ce qu'il y
a des droits de vote par procuration?
La
Secrétaire : Oui. M. Lévesque (Chapleau) a un droit de vote pour les députés
suivants : M. Lafrenière
(Vachon), Mme Lecours (Les Plaines), M. Lamothe (Ungava). M. Tanguay
(LaFontaine) a un droit de vote pour M. Birnbaum (D'Arcy-McGee).
Auditions
(suite)
Le Président (M.
Bachand) : Merci beaucoup. Ce midi, nous
allons recevoir les représentants du Conseil du patronat du Québec. Alors, bienvenue. Je vous rappelle que vous
disposez de 10 minutes de présentation, et, par après, nous aurons un échange avec les membres de la commission.
Donc, je vous invite à débuter, d'abord, en vous présentant et, après
ça, de procéder à votre exposé. Merci.
Conseil du patronat du Québec
(Visioconférence)
M.
Blackburn (Karl) : Alors,
merci. Je m'appelle Karl Blackburn. Je suis président et chef de la direction
du Conseil du patronat du Québec. Je suis
accompagné de Me Karolyne Gagnon, qui est vice-présidente, Travail et
affaires juridiques, au Conseil du patronat.
D'abord, M. le ministre, Mmes et MM. les députés, merci de permettre au Conseil du patronat du Québec
de venir exprimer son point de vue de cette réforme importante. Le Conseil du patronat du Québec,
c'est 50 ans de cohésion et de dialogue.
Le CPQ incarne la voix des employeurs du Québec et représente les
intérêts de plus de 70 000
employeurs de toutes tailles et de toutes les régions, issus du secteur
privé ou parapublic, et cela, directement ou par l'intermédiaire de 70
associations sectorielles qui les regroupent.
D'emblée, nous
saluons la volonté du gouvernement et son leadership à l'effet de moderniser l'encadrement qui doit assurer la protection des renseignements personnels. Nous vivons
désormais dans une ère numérique. Si les transformations ont été graduelles sur plusieurs décennies... l'évaluation… l'évolution, pardon, a été fulgurante au cours des
dernières années. Les modes de collecte, d'utilisation et de conservation des
données… On a vu décupler leur capacité et leur accessibilité.
Jamais dans
l'histoire les rapports entre citoyens n'ont été transformés aussi rapidement
et à aussi grande échelle. Les
gouvernements, les entreprises, les institutions, les individus ont tous été
rapprochés et interconnectés sur pratiquement toutes les facettes de leurs activités. Avant la pandémie... avec la
pandémie, pardon, l'apport du numérique dans l'économie et dans nos
rapports sociaux a été accentué encore davantage et de manière exponentielle.
Les échanges commerciaux évoluent également dans
un environnement numérique de plus en plus complexe, obligeant les gouvernements à mettre leurs efforts en commun afin
d'harmoniser et de renforcer leurs mesures d'encadrement car il faut éviter de placer nos entreprises et nos
institutions en situation d'isolement par rapport à leurs voisins. Dès
lors qu'un projet de loi affecte la transmission transfrontalière de données,
un arrimage s'impose pour harmoniser le tout
avec les autres provinces, le fédéral et nos partenaires commerciaux. Nous
comprenons à quel point ce défi
d'arrimage est grand, mais nous sommes confiants que le gouvernement, à terme, ne commettra pas l'erreur de faire cavalier seul dans
un univers interconnecté.
C'est
donc avec cet oeil que nous avons analysé ce projet de loi qui modernise la
protection des renseignements personnels dans le secteur privé. Le mémoire que vous avez
en main propose trois angles d'approche : l'importance de la coordination
avec les autres juridictions au Canada et les autres partenaires économiques; l'atteinte
des objectifs et les coûts d'implantation pour les entreprises;
et les exigences issues des dispositions particulières du projet de loi n° 64 et les enjeux des entreprises.
D'abord,
il nous paraît fondamental de chercher par tous les moyens à coordonner et à
harmoniser nos exigences législatives
avec celles de nos voisins et autres marchés économiques. Notre mémoire
rappelle, par exemple, que votre projet de loi s'inspire en bonne
partie du Règlement général sur la protection des données de l'Union
européenne.
Ce règlement comporte des différences
significatives par rapport à la loi canadienne sur la protection des renseignements personnels et les données électroniques. Pour ne citer que
quelques exemples, la notion de consentement explicite, le droit à la portabilité, le droit à l'effacement ou à
l'oubli et la protection du droit à la vie privée dès la conception, ce
ne sont pas des notions présentes dans la loi canadienne. Ces différences
significatives entre ces deux régimes de protection risquent de poser un
problème de fond.
En effet,
comme le projet de loi n° 64 est essentiellement inspiré de la réglementation européenne, alors que ce dernier
n'est pas en adéquation avec la loi canadienne, le Québec risque de devoir se
conformer à un régime différent de celui
de nos voisins et partenaires. Ce faisant, les distinctions majeures qui
existent risquent inévitablement d'isoler et de ralentir plusieurs activités
économiques du Québec.
C'est pourquoi
nous recommandons d'assurer une action concertée avec les autres provinces et
le fédéral avant l'adoption de la forme définitive du p.l. n° 64 et d'assurer que l'encadrement des données
personnelles et de leur circulation transfrontalière sont harmonisés avec les
principaux partenaires commerciaux du Québec.
De plus,
qu'en est-il du vol des données personnelles par les fraudeurs? Vous savez que,
si une entreprise doit assumer des pénalités plus importantes lorsqu'elle est victime d'un vol de données, on ne réglera en rien la situation de l'individu dont les renseignements
personnels sont utilisés par les
fraudeurs. De ce fait, ne serait-il pas important d'évaluer toutes les solutions permettant d'assurer la
protection des données personnelles, par
exemple en mettant disponible
un processus automatique d'anonymisation
lors d'un vol de données? En revanche, le CPQ reconnaît qu'il est important
de prévoir des sanctions pour les
organisations délinquantes. Même le gouvernement n'est pas à l'abri des défis de sécurité
que comporte la cybercriminalité.
Cela étant, l'État doit pouvoir jouer un rôle
d'accompagnateur pour favoriser les meilleures pratiques et établir des mesures visant à gagner et conserver la
confiance du public. C'est pourquoi nous recommandons d'explorer, d'abord, les meilleures pratiques pour
contrer les cyberattaques et de s'assurer que les dispositions
législatives préconisées se limitent à ce qui est essentiel pour assurer la
protection des renseignements personnels.
En juillet
dernier, un grand nombre d'associations, des grandes, des moyennes et des
petites entreprises du Québec ont mentionné que l'analyse d'impact
réglementaire du projet de loi n° 64 faite par le gouvernement
sous-estimait de manière importante les
coûts réels engendrés par une telle réforme. Notre mémoire démontre que les
coûts d'implantation, les coûts de maintien récurrents et tout le
fardeau administratif, notamment, pour les PME, n'est pas suffisamment pris en
compte.
C'est
pourquoi nous recommandons de
procéder à une analyse d'impact réglementaire en ciblant plus particulièrement
les mesures qui ont un impact réel sur la
protection des renseignements personnels… de celles qui n'en ont pas afin
de diminuer le fardeau réglementaire des entreprises.
• (12 h 20) •
Aussi, le projet de loi n° 64 propose de
modifier l'article 14 de la loi sur le privé, qui prévoit déjà que le consentement doit être manifeste, libre, éclairé et
être donné à des fins spécifiques. Il souhaite y ajouter que ce consentement doit être requis de nouveau pour
chacune des fins, des termes simples et clairs, distinctement de toute
autre information communiquée à la personne concernée.
En plus
d'alourdir et complexifier les processus, notamment pour le secteur financier
et commercial, et même dans la
gestion des dossiers des employés, cette notion de consentement spécifique est
inexistante dans la législation canadienne et européenne. Conséquemment,
nous recommandons de permettre le consentement en bloc dans la mesure où le
consentement vise généralement à accéder aux informations nécessaires dans un
cadre contractuel ou autre.
Quant à la
circulation transfrontalière des renseignements personnels, des changements
proposés dans le projet de loi viennent ajouter un fardeau considérable
sur les épaules des entreprises québécoises qui transigent dans d'autres
juridictions. Par exemple, le projet de loi propose d'obliger les entreprises à
effectuer une évaluation individuelle des équivalences
des lois sur la protection des données dans toutes les juridictions auxquelles
elles pourraient être amenées à transférer des données.
C'est pourquoi nous recommandons de procéder à une
évaluation globale de la notion de degré d'équivalence et de coordonner
cette disposition avec celles des autres juridictions canadiennes, qui
n'affecterait pas la compétitivité des entreprises québécoises. Et aussi nous recommandons de prévoir que les
mesures contractuelles puissent être un élément, d'office, qui permet
d'assurer la protection des renseignements personnels.
Enfin, sur la
question des sanctions, nous reconnaissons qu'un resserrement de l'encadrement
doit comporter des ajustements, des pénalités afin de dissuader les
contrevenants. Le projet de loi prévoit une augmentation substantielle des sanctions administratives pécuniaires et des
amendes pénales, mais, vu l'ampleur des nouveaux concepts introduits par
le projet de loi, la moindre interprétation erronée entraînera d'importantes
pénalités.
Par
ailleurs, le fait que la transmission des données peut traverser plusieurs
juridictions canadiennes et qu'aucun arrimage
n'est encore prévu à cet effet… Un seul événement pourrait se voir sanctionner
plusieurs fois et ainsi recevoir une pénalité disproportionnée eu égard
à la faute. C'est pourquoi nous demandons une certaine souplesse à cet égard
afin de donner le
temps aux entreprises de s'adapter aux nouvelles dispositions avant que des
sanctions importantes leur soient imposées
et que soit inclus dans la loi qu'une seule amende à la juridiction où la faute
a été commise puisse être imposée.
M.
le ministre, en somme, nous souscrivons évidemment à l'idée de moderniser les
mesures de protection des renseignements
personnels. Nous avons cherché à démontrer toute l'importance de travailler de
pair avec nos voisins et partenaires
et les conséquences négatives, pour nos entreprises et notre économie, de faire
cavalier seul. Vous devez utiliser le
leadership qui vous caractérise non pas comme rempart contre les autres, mais
comme tremplin pour faire en sorte que le Québec assume son rôle de
leader partout sur la planète.
Le
Conseil du patronat du Québec demeure convaincu que le meilleur moyen d'arrimer
des dispositions législatives plus
robustes dans la société québécoise tout en s'assurant de leur application
réside en grande partie dans le rôle de l'État de mettre en place des moyens, des guides de bonnes
pratiques, des contrats types, des lignes directrices d'interprétation,
des normes plus complexes, qui assureront le
respect des normes et, ultimement, une réelle protection des
renseignements personnels. Nos recommandations se veulent constructives et nous
offrons à nouveau toute notre collaboration au gouvernement pour s'assurer de la mise en oeuvre de moyens efficaces,
réalistes et adaptés pour que les entreprises puissent poursuivre leurs
activités économiques dans un monde de concurrence interjuridictionnelle, en
s'assurant du respect de la protection des renseignements personnels de tous
les citoyens du Québec. Merci.
Le
Président (M. Bachand) : Merci beaucoup, M. Blackburn. M.
le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M. le Président. Bonjour, M. Blackburn. Merci d'être présent en commission parlementaire. Vous me permettrez de vous féliciter pour votre
nomination à la tête du Conseil du patronat. On n'avait pas eu l'occasion de se voir, bien là c'est
virtuellement, mais toutes mes félicitations et bonne continuité aussi dans
votre mandat à la tête du Conseil du patronat.
Peut-être, d'entrée
de jeu, là, au niveau des entreprises, la FCEI est venue avant vous avant-hier.
On a eu également la Fédération des chambres de commerce. Et ce qu'on
constate, et je le dis, là, de façon très pondérée, c'est qu'il y a peut-être une petite réticence de la
part du milieu des affaires relativement à la rapidité avec laquelle on
devrait aller de l'avant avec le projet de loi n° 64 ou la protection des
renseignements personnels.
Ce
que je lis, là, des trois organisations, des trois mémoires, c'est de
dire : Faites attention, vous devez vous assurer d'avoir le même cadre d'encadrement, si je peux
dire, là, que les autres juridictions canadiennes et nord-américaines.
Dans la balance, de l'autre côté, par
contre, on a les citoyens qui réclament ardemment un renforcement de la Loi sur
la protection des renseignements
personnels. Donc, comment on arrime tout ça? Puis, peut-être, sous-question
aussi, comment vous voyez ça, la détention des informations personnelles
par les tiers?
M.
Blackburn (Karl) : Ce que je
peux faire, M. le ministre… D'abord, merci pour vos bons mots. Je les
prends avec beaucoup de fierté.
Ceci étant, le monde des affaires n'est pas
contre, au contraire, un meilleur encadrement au niveau des renseignements
personnels. Nous sommes tous, à la base, des
individus qui… On voit bien à chaque semaine, dans les médias, des
histoires d'horreur concernant le vol de données personnelles. Il est clair
que, pour nos organisations, on est d'accord avec la démarche qui vise à encadrer le respect ou la garde de ces données
personnelles pour éviter que des fraudeurs, pour éviter que des groupes mal intentionnés puissent,
malheureusement, les utiliser et causer des torts extrêmement importants
aux citoyens qui se verraient ainsi floués de leurs données personnelles.
Maintenant que je vous dis ça, effectivement, il y
a quand même une certaine préoccupation concernant l'application de telles mesures, parce que, qu'on le veuille ou
non, la COVID-19, la pandémie dans laquelle, malheureusement,
toute l'économie mondiale a été plongée, je
dirais qu'elle nous a plongés dans le XXIe siècle. Si, en 2000, on pensait
que tout allait arrêter, bien, tout a
continué de fonctionner, mais, en mars dernier, je pense qu'on a frappé notre
bogue de l'an 2000. Et, depuis
ce temps, la vitesse grand V prévaut pour les mesures d'aide, les programmes
mis en place, l'accélération de l'utilisation de la technologie en
termes de capacité de transiger avec nos clients, de capacité de transiger avec
nos fournisseurs et nos partenaires, mais également la capacité de transiger
avec le gouvernement. Qui aurait pensé, il y a quelques mois à peine, qu'on
était rendus à cette étape-là?
Alors, force est de
constater que la technologie occupe maintenant beaucoup plus de place dans
notre environnement économique. Et je suis convaincu que, si nous positionnons correctement le leadership qui vous caractérise, M. le ministre, nous pouvons
faire en sorte que ce tremplin de protection des données personnelles, de la volonté que le gouvernement, que les citoyens et que les
entreprises ont de faire en sorte qu'on puisse protéger ces données-là de
façon efficace et correcte, bien, que ça ne
soit pas un frein à la relance économique pour le Québec, mais, au contraire,
que ça puisse nous servir de tremplin, parce que, nos inquiétudes, elles
se retrouvent là.
Bien
évidemment, on l'a présenté dans notre mémoire, à partir du moment où,
malheureusement, il y aurait des éléments qui feraient en sorte qu'on
deviendrait un peu plus isolés par rapport à nos partenaires d'affaires des
autres provinces ou des autres pays, bien,
malheureusement, il y a des avantages économiques qui, inévitablement,
pourraient se traduire par des conséquences sur notre relance économique,
sécuritaire et durable à laquelle, tous, nous aspirons.
Alors, ce qu'on dit
au gouvernement : On a quelque chose d'extrêmement solide entre les mains.
Vous avez quelque chose d'extrêmement solide
entre les mains. Je pense que ça serait important de prendre le temps
nécessaire de mettre en place chacune
des pièces du puzzle pour nous assurer que ces mesures de protection qui visent
à protéger puis à rassurer les
citoyens ne soient pas un frein à la relance économique, mais, au contraire,
puissent être un avantage sur les entreprises au Québec, pour le
gouvernement du Québec et pour les citoyens du Québec.
Et, pour votre deuxième sous-question,
de la façon de garder, je vous dirais, les données par rapport à la
question que vous souleviez dans le projet
de loi, je demanderais à ma collègue, Me Karolyne Gagnon, de vous donner
davantage de concret ou d'explications concernant la garde spécifique des données.
Karolyne?
• (12 h 30) •
Mme Gagnon
(Karolyne) : Alors, merci, M. le ministre. Merci, M. Blackburn.
Ce
qu'il est important de savoir, en fait, au niveau de la conservation, de la
transposition des données, surtout dans un système, là, comme le nôtre, c'est bien toutes ces notions
d'équivalence, parce que je crois que c'est un des éléments qu'on a soulevés. Par rapport aux tests
d'équivalence et aux notions qui ont été établies dans le projet de loi
n° 64, on ne retrouve plus la
possibilité, de façon contractuelle, de s'entendre sur les bonnes pratiques,
les bonnes façons de faire. Puis je pense
qu'avant tout, pour protéger les données des citoyens, il est important que ça
soit les entreprises, les tiers, entre eux, qui prennent les meilleures
dispositions.
Alors,
on n'est pas contre le fait de protéger. En fait, on a parlé également de la
notion de consentement du citoyen. Mais,
comme vous l'avez entendu, là, longuement, le 22 et le 23, là, devant vous, la
notion de consentement est un risque aussi pour le citoyen qui n'a pas
toujours toutes les données possibles, là, pour savoir à quoi il doit être
protégé.
Alors, nous, dans ces
tests-là, les tests d'équivalence qui, en ce moment, sont très rigides, qui, également,
là, demandent aux entreprises, petites,
moyennes et grandes, il faut dire que les grandes, quelquefois, ont plus de
moyens que les petites… mais de faire en
sorte de faire une étude exhaustive, d'envoyer des experts dans les différentes
juridictions. Nous croyons que,
généralement, et ça s'est déjà fait, et ça se fait, dans l'économie, et ça
s'est toujours fait, que des bons contrats,
des bonnes ententes avec... entre les tiers, entre les différentes parties
prenantes, là, d'un contrat de transfert de données, demeurent
importantes et doivent être ajoutées à la loi.
Là,
je ne peux pas vous dire en détail… Naturellement, je suis la vice-présidente
du travail et des affaires juridiques, mais
ces éléments-là, en particulier, je pense, ça vous a été bien présenté. C'est
une préoccupation. Et, souvent, ce sont les entreprises qui sont les mieux outillées pour faire en sorte qu'un
contrat protège le consommateur, protège les citoyens, puis ça, c'est un
élément qui est très important.
M. Jolin-Barrette : Peut-être juste une question là-dessus, Me Gagnon. Souvent, le
consommateur, ça va être un contrat
d'adhésion où, même s'il s'engage, par voie contractuelle, au niveau des
données, bien, ce qu'on constate, c'est que le consommateur ne lit pas nécessairement le contrat ou n'est pas au
courant du détail. Puis c'est l'entreprise qui établit le contrat sur le partage d'information ou les
données. Là, le consommateur va vouloir avoir le produit, lui, ou le
service, et cette notion-là de consentement
n'est pas si apparente que ça. Bien, ce que je veux dire, la personne, elle
signe, elle dit : J'accepte,
j'ai compris, tout ça. Mais on a un défi de pédagogie, d'expliquer en quoi le
fait de contracter, le fait de souscrire, ça va être quoi, les conséquences, puis je ne suis pas sûr que c'est
toujours saisi de la façon appropriée, là. Hier, on a des gens qui sont
venus nous expliquer, là, les contrats, là, qu'il y a sur le Web, là, qui ont
des pages et des pages aussi. Comment est-ce
qu'on fait pour encadrer ça puis s'assurer que les citoyens, réellement,
consentent aux conséquences, là, du partage de leurs informations?
Mme
Gagnon (Karolyne) : C'est une bonne question, M. le ministre. Et je
pense que c'est fondamental, parce que
je suis un citoyen, vous l'êtes aussi, puis la première préoccupation par
rapport à une loi qui origine, en fait, du droit à la vie privée, c'est qu'on protège les données, c'est
qu'on protège les informations, parce que moi, aussi, je veux, de façon pertinente, efficace, pouvoir faire des achats,
pouvoir contracter et pouvoir, comme on a dit un peu plus tôt, puis vous
l'avez bien entendu, peser rapidement sur le consentement pour avoir accès au
produit.
Alors,
c'est pour ça qu'on vous dit puis qu'on dit dans notre mémoire… Ce qui est
important… En fait, quand on parle de problèmes transfrontaliers,
j'aimerais ça revenir également sur ça, on ne parle pas de freiner, parce que, M. Blackburn, il a bien, bien répondu :
On ne veut pas freiner la mise en oeuvre de dispositions qui nous semblent
fondamentales. Ce qu'on demande, c'est de discuter avec l'ensemble de nos
partenaires provinciaux.
Alors,
c'est important au fédéral. Moi, j'ai beaucoup de grandes entreprises qui sont de
juridiction fédérale, qui ont leur
place d'affaires ici, au Québec, qui nous disent : Les façons de faire, on
veut les arrimer, on veut avoir le temps de vous parler pour bien faire
les choses, on ne dit pas de changer la loi, on dit simplement :
Écoutez-nous.
On
comprend que, cette semaine, on a une commission parlementaire qui est
restreinte, là. On est bien honorés de pouvoir
s'exprimer au nom des entreprises qu'on représente, mais il y a plusieurs
grandes entreprises et il y a même des organismes paragouvernementaux,
et, bon, moi, j'ai eu affaire plus à des entreprises paragouvernementales, qui
sont soucieux de certaines dispositions,
naturellement, qui aimeraient vous en parler, qui ont des experts pour vous en
parler, parce que je n'ai aucune prétention d'une expertise aussi poussée.
On
a parlé, par exemple, de la biotechnologie au niveau du commerce. On a parlé de
plusieurs notions qui étaient... Puis,
vous le savez, le monde technologique nous demande une expertise particulière.
Et il y a des gens qui, spécifiquement, se posent les bonnes questions, et je pense qu'au niveau... puis se
servir de tremplins pour justement parler de ces choses-là et faire en
sorte qu'on les expose de manière précise.
Au
niveau du consommateur, parce que ça me semble être le plus important, quand je
vous disais : Oui, il faut informer
le consommateur, on n'est pas dupes, là. Le consommateur espère, puis je
l'espère avant tout, que, lorsqu'il appuie sur un consentement de 30 pages, ou de deux pages, ou de
10 pages, maintenant, l'Internet n'a plus de limite, là, pour un consentement écrit, bien oui, que l'État ait fait
en sorte que ce type de consentement là reflète quelque chose qu'il
protège.
Alors,
naturellement, ce qui est important, puis ce qui est important dans notre
mémoire… Je pense que l'État a un rôle
d'éducation et, surtout, d'accompagnement des entreprises. Quand on vous a
parlé puis quand on vous a suggéré de mettre
des guides de bonnes pratiques, de mettre des contrats types, parce que les
contrats types peuvent aider les entreprises… Ça va être un temps
énorme, des montants qui sont importants.
Alors,
si on va dans la réduction des montants pour l'évaluation de l'analyse
d'impact, ça, c'est des éléments qui sont
importants, de faire en sorte... Bien là, je ne peux pas penser que la
Commission d'accès à l'information va tout faire, mais qu'on pourrait faire en sorte, peut-être, là,
de donner des instruments qui permettent aux entreprises, oui, d'établir
des régimes de protection pour les individus
et de faire le meilleur qui soit pour qu'on protège ces données-là de façon
importante.
Alors, vous
avez parlé un petit peu plus tôt, là, dans des conversations avec d'autres,
lors des représentations : Est-ce que ça se fait ici? Moi, je vais
vous dire que le CPQ travaille de pair avec la CNESST, et, déjà, on protège les
individus parce qu'on leur donne des
instruments. Ne serait-ce que la politique de harcèlement au travail, on met
des modèles pour les entreprises. Alors, c'est important d'accompagner,
puis de bien accompagner, faire en sorte que, oui, on va respecter le but
premier, qui est la protection des renseignements personnels.
Et j'irais
peut-être même un petit peu plus loin, parce qu'il faut le souligner au niveau
de ces éléments-là, quand on parle de
mettre des choses en place pour les individus, oui, on se fie à l'État. On se
fie à une loi solide. Mais je vous ai mis également une expertise, là, qui m'a un peu surprise, au niveau de
l'Europe, Même après plusieurs années… L'Europe est bien organisée avec ses 27 États. Ils ont même une possibilité…
Parce qu'ils sont en commission. Ils sont regroupés. C'est beaucoup plus développé, là, que ça ne l'est ici.
Puis on souhaiterait avoir le même genre de protection, mais qui coûte
très cher aussi pour l'État. Alors, ils ont
mis ensemble toutes leurs connaissances pour permettre, là, aux entreprises de
pouvoir réagir très vite et d'en arriver à
des résultats, là, qui sont probants. Et, malgré ça, ce que je lisais, puis
vous le lirez dans notre mémoire, c'est seulement 33 % des
entreprises, en ce moment, qui sont conformes à la loi.
Alors, malgré
tout l'appui puis la bonne volonté qu'on veut mettre en place le régime, là,
qu'on trouve tout à fait sérieux,
puis probablement le meilleur régime au monde, là, même s'il y a des
distinctions qu'il faudrait avoir ou qu'il faudrait adapter ici, au Québec… Alors, c'est un régime qui nous permet,
à ce moment-là, de comparer un peu qu'est-ce qu'on veut, tout mettre sur
la table ou choisir les meilleures dispositions pour protéger le citoyen, pour
protéger le consommateur et de permettre aux
entreprises de continuer à pouvoir travailler dans un système où la concurrence
est énorme, la concurrence est mondiale, et de les accompagner, et de
poursuivre, là, en ce sens-là.
M.
Jolin-Barrette : Je vous
remercie. J'invite les membres… bien, en fait, s'il y a des partenaires qui
veulent déposer des mémoires à la Commission
des institutions, à le faire. Peut-être, je vais céder la parole, M. le
Président, à mes collègues.
Le Président (M.
Bachand) : M. le député de Chapleau, s'il vous plaît.
M. Lévesque (Chapleau) : Oui, merci,
M. le Président. Bonjour, M. Blackburn, Me Gagnon. Merci de votre
présentation.
Peut-être,
pour poursuivre un peu sur l'idée d'arrimage dont vous avez fait mention, là,
il y avait des intervenants qui étaient
venus, précédemment, nous mentionner qu'au niveau... Il faudrait un peu
attendre et s'arrimer avec les partenaires
provinciaux, au fédéral, puis il faudrait attendre que le fédéral légifère.
J'aimerais vous entendre, pour vous, qu'est-ce
que ce serait, la notion d'arrimage puis quelles étapes vous voyez. Est-ce
qu'on devrait attendre que le fédéral légifère
ou le Québec peut aller de l'avant, peut, dans le fond, élaborer sa loi puis
ensuite s'arrimer, donc, juste pour voir un peu, là, où vous vous situez?
M.
Blackburn (Karl) : Juste avant de céder la parole à Karolyne, ce qui
nous habite là-dedans, c'est certain que… Nos frontières n'existent plus aujourd'hui. Les frontières n'existent
plus. On est capables, à un clic de souris, d'être en communication avec n'importe quel État à travers
le monde. Donc, il y a quand même, je dirais, une responsabilité de ce qu'on va mettre en place puisse bien desservir les objectifs
que poursuit le gouvernement en
termes de protection, mais que
ça puisse également être conforme et
applicable de façon efficace, en lien avec la volonté du gouvernement de protéger les données personnelles des citoyens.
Donc, je pense
que cet objectif-là nécessite
qu'il y ait une coordination, un arrimage entre nos juridictions voisines
justement pour faire en sorte que ce qui va
être mis en place ne fasse pas cavalier seul, mais, au contraire, soit un
vaste réseau de protection où les juridictions voisines, les juridictions avec
lesquelles on a plus de transactions, bien, soient également au même niveau ou
au même diapason.
Et, de façon
plus concrète, au niveau légal ou au niveau de quel projet de loi devrait être
déposé avant ou quel règlement
devrait être amené avant, je demanderais peut-être à Karolyne de vous donner
exactement le positionnement qu'on chérit en termes d'application étape
par étape.
• (12 h 40) •
Mme Gagnon
(Karolyne) : Alors, merci,
M. Blackburn. Je pense que je n'ai pas la prétention de pouvoir
vous fournir les étapes, mais je crois que
ce qui est vraiment important…
Donc, moi, je… Le dépôt du projet de loi est sensationnel. Le fait
qu'on le dépose maintenant, au début… Puis, M. Blackburn l'a dit, nos entreprises, en ce moment, sont prises avec la COVID, avec une reprise économique,
avec plusieurs arrimages à faire, mais c'est un début. Le dépôt
nous permet de discuter.
Ce qu'on
demande à ce moment-ci, c'est… Oui, il y a plusieurs
préoccupations, il y
a plusieurs subtilités. On
a entendu le Pr Gautrais, là, je
ne voudrais pas faire erreur sur son nom… mais qui nous disait : On est une société particulière
puis on a un arrimage particulier aussi, parce qu'on est à l'intérieur d'États
qui, eux, font les choses différemment, bon, naturellement, ne serait-ce qu'au
niveau du common law, si on l'applique au niveau d'une notion de droit civil.
Alors, on ne
demande pas d'attendre que le fédéral
adopte… parce qu'on ne l'attendra
pas, là, puis je pense qu'on est
souvent les pionniers dans bien des domaines. Puis, naturellement, la
protection des renseignements personnels nous incombe tous, comme société, et puis nous
préoccupe. Alors, je suis autant préoccupée que le citoyen à côté et je
veux que ça se fasse rapidement, mais on veut que ça se fasse bien.
Et, quand on parle de concertation, posons la question :
Quelles sont les problématiques, quand je suis une compagnie qui a son siège social au Québec et qui est régie, pour
envoyer des données, des données, qui, quelquefois, ne sont pas nécessairement des données personnelles, qui peuvent se
retrouver dans le bottin téléphonique, par
exemple? Alors, une loi qui me dit :
Bien là, il faut que je fasse une
étude d'impact en Alberta, parce que j'ai une filière à qui je veux transférer des données… C'est des petits
ajustements, et ces ajustements-là…
Le
Président (M. Bachand) :
Merci, Me Gagnon. Malheureusement, je dois vous interrompre. Le temps passe
tellement bien en bonne compagnie, tellement vite en bonne compagnie. M. le
député de LaFontaine, s'il vous plaît.
M. Tanguay : Pour
combien de temps, M. le Président?
Le Président (M.
Bachand) : 15 m 36 s.
M. Tanguay : 15 min 36? Merci beaucoup.
Bien, bonjour, M. Blackburn. Heureux de vous retrouver, de même que
Me Gagnon. Merci d'être là avec nous aujourd'hui pour répondre à nos questions. Je pense que votre mémoire puis
votre point de vue est assez limpide. On
sait où vous… quelles sont vos préoccupations, qui, je pense, sont des
préoccupations tout à fait légitimes. Et je vais m'assurer, M. le Président, de laisser du temps pour que ma collègue de Notre-Dame-de-Grâce puisse également poser
des questions.
Dans votre mémoire, bon, on parle… On voit
évidemment des impacts que pourraient avoir, au niveau de la compétitivité, des
frais engendrés, même des pénalités, là, le cas échéant, d'une lourdeur dans
l'application de ce que seraient des
éléments quand même assez nouveaux, d'où l'importance d'avoir, là,
des guides de bonnes pratiques, des contrats
types, des lignes directrices. Vous voulez, bref, avoir une assistance, je
dirais ça de même, du gouvernement, peut-être de la Commission
d'accès à l'information, que soient
rendus publics, donc, des guides de bonnes pratiques, et tout ça.
Puis j'ai peut-être
mal compris puis je vous inviterais peut-être à me préciser ça. Vous avez, par ailleurs,
dit… Dans le contexte de la gestion des
risques et tests d'équivalence plus restrictifs au Québec
qu'en Europe, vous dites : «Prévoir — à
votre recommandation n° 7 — que les mesures contractuelles puissent être
un élément d'office qui permette d'assurer la protection des
renseignements personnels.»
Pouvez-vous
expliciter en quoi… Moi, quand je lis ça, puis de ce que je comprends, puis
peut-être que je fais fausse route,
vous allez me corriger si j'ai tort, mais je vois une sorte d'autorégulation
par négociation contractuelle, qui pourrait, par ailleurs, atteindre les standards requis par la loi québécoise. Mais
pouvez-vous expliciter en quoi ça, ça pourrait être une avenue plus
souple, efficace et qui n'affecterait pas la compétitivité hors frontière, là,
des entreprises québécoises?
M.
Blackburn (Karl) : Alors, merci, M. le député. D'abord, d'entrée de
jeu, je vais peut-être faire un peu un retour sur votre première partie de commentaire et, par la suite, je céderai la
parole à Karolyne, qui pourra davantage vous donner de détails au niveau
précis.
La volonté
qu'on poursuit, comme organisation, c'est clair qu'elle est la même que ce que
vous poursuivez comme parlementaires,
que ce que poursuit le gouvernement, c'est de nous mettre dans une situation où
les données personnelles soient sécurisées, et ce, pour le bien de tout
le monde.
Maintenant,
on fait un pas de recul et on se remet dans le contexte de la COVID-19,
malheureusement, qui a mis sur pause
l'économie mondiale. On est au coeur probablement de la pire crise économique
des 150 dernières années. On voit bien
qu'il y a des secteurs de l'économie
qui se relèvent plus rapidement, qui sont moins affectés que d'autres, mais,
en contrepartie, il y a d'autres secteurs qui sont durement affectés et qui,
probablement, risquent de ne pas être capables de se relever.
Donc, dans le
contexte, souvent, vite et bien, ça ne fait pas toujours… ce n'est pas toujours
la meilleure façon de procéder. Donc,
dans ce contexte, les éléments qu'on soulève par rapport à l'application du
mémoire, les objectifs qu'on poursuit
comme organisation sont les mêmes que poursuit le gouvernement, alors, ça, c'est clair : la protection des données et un
encadrement des mécanismes régissant cette protection des données.
Maintenant,
le contexte un peu... pas un peu, le contexte très particulier dans lequel on
se retrouve nécessite, je dirais,
d'accorder une importance plus grande à plusieurs points de détails
qui risquent, dans un monde normal, d'être très difficiles, voire
impossibles à appliquer. Et la question que vous soulevez, elle est extrêmement
pertinente, et, à ce moment-ci, je demanderais à Karolyne de vous donner davantage
les orientations par
rapport au point précis que
vous avez soulevé dans votre commentaire, M. le député.
Mme Gagnon
(Karolyne) : Alors, merci,
M. Blackburn. Bonjour, M. le député de LaFontaine. Ça me fait plaisir. Vos questions sont toujours
à point et pertinentes, là, relativement à des dispositions particulières, et
c'en est une principalement très intéressante, puisque l'article 17... En fait, l'article 17
nous permet de s'assurer que le régime juridique d'un autre État a suffisamment de protection ou offre suffisamment de protection lorsque je décide de transmettre des données.
Alors, c'est le but premier de l'article 17.
Quand je
parle d'obligations contractuelles, je me réfère plus au paragraphe
3°, où on dit : Il y a différentes façons de le faire. Alors, une est d'aller voir quel type de régime juridique
on a, quelle est la finalité, quelles sont les protections dont il bénéficie. Alors, ce qui est important,
quand j'ai un contrat, c'est que je peux transférer cette obligation-là
à un tiers. Je peux lui dire :
Tu dois t'assurer que les données ou que la façon de les traiter sont
sécuritaires selon nos propres critères.
Alors,
ça se passe... un peu la même chose en construction, dans les appels d'offres. Naturellement, je ne peux pas penser que le sous-traitant, au niveau de l'environnement,
va respecter les règles de l'environnement, puis je ne peux pas toutes
les mettre non plus, mais je peux exiger, de façon contractuelle, qu'il
respecte les obligations du Québec, les obligations de l'environnement ou autres, ce sur quoi je
n'aurai pas de prise lorsqu'il aura les données entre ses mains.
Alors, ça
devient une exigence contractuelle qui supplée puis qui s'ajoute aux autres
exigences. C'est simplement parce que
ce n'est pas prévu. Peut-être que le législateur ou… En fait, peut-être, quand on a déposé
le projet de loi, que c'était
une volonté, parce que ça a toujours existé, mais, quand je parle à différents grands
bureaux d'avocats, des gens qui sont
préoccupés de la question, on me dit : On ne le voit pas apparaître.
Et ce serait bon que ce soit également prévu, pour que, justement, quand je
transfère des données, j'aie une protection supplémentaire qui... parce que je
peux faire une grande étude par rapport au
terrain, je peux envoyer un expert, puis, l'expert, je ne peux pas savoir si,
effectivement, ce qu'il va me rendre est concret, m'assure une protection.
Je peux tout faire ça par rapport à l'étude qui est très exhaustive.
Mais, en plus
de ça, si mon partenaire, de façon contractuelle, s'engage à respecter toutes
les données qui sont... ou tous les
moyens qui sont pris ici, au Québec, pour protéger les données personnelles
d'un individu, ça devient un élément supplémentaire. Ce qu'on dit dans notre mémoire : Est-ce que cet élément-là n'est pas suffisant ici pour se
prémunir contre une étude exhaustive
de ces données-là à l'étranger, qui ne vont jamais me garantir que j'ai
l'expert qui est approprié? Je crois
que oui. Ça c'est toujours fait au
niveau des contrats, et le bris d'un
contrat ou l'irrespect d'une de ses dispositions, à ce moment-là, peut
encourir de graves… bien, de graves poursuites, là, de part et d'autre.
Puis je pense
qu'on vous avait souligné également, plus tôt, que c'est important pour les
entreprises, puis on m'a téléphoné ce
matin à ce niveau-là. Vous savez, une entreprise, là, tient à ce que les données qu'elle transmet,
les données qu'elle a en sa
possession, soient gardées confidentielles et à respecter les règles. Il en va souvent
de sa réputation. Il en va souvent même de sa pérennité. Et ça, vous l'avez entendu,
mais c'est ce qu'ils nous disent : On veut… On est d'accord… Quand on dit : On est d'accord,
mais on veut tellement bien faire les choses, on veut aider le gouvernement, on veut qu'il y ait un arrimage et faire en sorte que, quand on
aura un système qui est bien parti… parce qu'on a un beau projet de
loi, là, avec des dispositions dont la majorité
sont intéressantes, mais, quand on aura un projet de loi qui est un
guide, comme le dit Karl, pour l'ensemble
de tous les territoires et du Québec et d'ailleurs, on sera des
pionniers, puis des pionniers qui seront probablement imités par la
suite. Merci.
• (12 h 50) •
M. Tanguay : ...laisser du temps, M. le Président, avec votre permission, à ma collègue de Notre-Dame-de-Grâce.
Dans le fond, si je résume, l'article 17 pourrait, selon cette option-là, se
résumer, pour une entreprise, à faire une vérification diligente du
sérieux et de la raisonnabilité de son sous-traitant ou de son cocontractant.
Puis, une fois qu'il a fait cette vérification diligente là que mon cocontractant est une entreprise
sérieuse, m'offre toutes les indications qu'elle va bien gérer et
protéger les renseignements, donc ça simplifie l'évaluation, l'analyse.
Puis on a toujours,
comme cocontractant, aussi… Quand on a de l'information, par exemple, ou quoi que ce soit, un bien
qui appartient à un tiers ou pour lequel un tiers pourrait réclamer des
dommages et intérêts, bien, on a toujours l'obligation de
faire affaire avec des sous-traitants, des contractants qui sont, à nos yeux,
après vérification qu'on n'a pas commis de faute, dignes de notre confiance.
Donc, ça résumerait l'analyse à cela et la responsabilité à cela aussi.
Mme Gagnon
(Karolyne) : Bien, vous
l'avez bien exprimé. Il y aura
peut-être des particularités, là, par rapport à ce qu'on fait, mais, vraiment, parce que moi, je dis… Quand on
dit : Les mesures de protection dont les renseignements bénéficiaient, y compris les mesures
contractuelles, ça vient, en fait, donner l'assurance supplémentaire, là, qui
est au niveau, là, de la diligence raisonnable… pourrait être complétée
puis favoriser un bon contrat. Merci. Je vous entends…
Le Président (M.
Bachand) : Merci, maître. Alors, je cède la parole à la députée
de Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil :
Merci beaucoup. Alors, hier, on a entendu le Pr Gautrais. Et puis je vous
dirais que le point et les arguments
apportés par le milieu économique et les acteurs de l'économie, c'est un peu…
beaucoup ce que vous avez dit, mais
on a mis beaucoup l'accent sur les petites et moyennes entreprises, où ils sont
démunis pour être capables de vraiment livrer la marchandise, selon eux.
Alors, on
leur posait des questions sur comment arrimer, donc, d'une part, l'obligation
de protéger les renseignements personnels,
et qu'eux soient conformes à la loi, et on est arrivés sur la question
d'accompagnement du gouvernement, et, vous,
c'est presque comme… Ce serait une recommandation additionnelle que vous auriez
peut-être à expliciter, parce que, lui, qui est très enthousiaste par
rapport à l'orientation du projet de loi… mais, quand on posait cette question,
il dit : L'État… je ne sais pas s'il a
dit «en Amérique du Nord», là, mais l'État, souvent, ne fait pas tout ce qu'ils
ont à faire pour aider et accompagner
ceux qu'ils ont à accompagner. Et, dans votre phrase, vous dites ça. Vous
recommandez un peu ce qu'on a entendu
hier, des guides de bonnes pratiques et une aide qui serait, comment dire,
ajustée au niveau de l'entreprise, les grandes, grandes, dans un premier
temps.
Donc, ça
c'est une question que j'ai. Je vais vous poser les deux questions pour que
vous ayez le temps de répondre. L'autre,
la réaction, en tout cas, que moi, j'ai eue hier, c'est d'essayer d'arrimer le
fédéral, et toutes les provinces, et les États-Unis. C'est complexe, presque impossible. Comment proposez-vous,
au-delà des discussions, de ne pas constater éventuellement une certaine inertie et que, souvent, c'est parce qu'il y
a un État en Amérique du Nord… Notamment, nous, on avance, on bouge. Je comprends tout à fait votre recommandation de
consulter, bien consulter, et se donner le temps de bien consulter,
apporter les modifications, consulter le fédéral et d'autres, mais sans tomber
dans l'inertie, sur un enjeu aussi important.
M. Blackburn
(Karl) : Je pourrais peut-être, Mme la députée, prendre la première
partie de votre question, concernant la
grandeur de l'entreprise et les capacités de cette entreprise de pouvoir
implanter des systèmes qui sont plus onéreux,
plus coûteux, avec les expertises nécessaires, versus, des fois, les plus
petites entreprises, qui n'ont pas nécessairement l'agilité ou les
capacités de s'adapter à une vitesse, je dirais, plus importante.
Mais, en même
temps que je vous dis cela, il y a aussi des petites entreprises qui sont très
rapides, très agiles. Ce matin, j'avais une rencontre téléphonique avec une
petite entreprise d'ici, du Québec, qui est un fleuron
dans son domaine d'activité et qui
fait en sorte que la réalité dans laquelle notre économie se retrouve soit,
pour elle, un tremplin pour être capable d'aller plus vite, plus loin
que ses compétiteurs.
Donc, dans
l'accompagnement souhaité par la part du gouvernement, c'est d'abord et avant tout de s'assurer que tous soient au même
niveau en ce qui a trait à l'application et les mécanismes, ou les cahiers, ou
les guides pratiques d'utilisation de cette façon de protéger les renseignements
personnels, et, encore une fois, c'est la volonté que nous poursuivons. Mais, entre le fait de le faire seul,
dans un univers de juridictions qui ne sont pas au même endroit, ou de le
faire comme étant un leader, avec la majorité…
Il y aura probablement toujours certains États ou certaines réalités de juridictions qui ne seront pas au même niveau que ce que nous voudrons bien comme organisation. Mais, dans ce sens-là, au moins, on aura la capacité
d'être capables de mixer les
objectifs poursuivis, et de le faire dans un plus grand espace, et ce, au
bénéfice des clients ou des consommateurs qui vont voir leurs données,
de façon plus importante, corrigées, mais, en même temps, pour les entreprises
ou les employeurs, de fonctionner sur une
base qui est essentiellement la même et qui ne vient pas défavoriser certains
secteurs de l'économie versus d'autres secteurs qui n'ont pas les mêmes
critères.
Et,
peut-être, Karolyne pourrait davantage expliquer un peu plus précisément le
deuxième point de votre question, sur
si on fonctionne seuls ou si on ne fonctionne pas nécessairement seuls, où,
malheureusement, certains États pourraient ralentir le pas de façon
volontaire.
Le
Président (M. Bachand) : Sur
ce, le temps est écoulé. Je dois passer la parole au député de Gouin. M. le
député de Gouin, s'il vous plaît.
M. Nadeau-Dubois : Merci, M. le
Président. Pour trois minutes…
Le Président (M.
Bachand) : …
M.
Nadeau-Dubois : 3 min 24 s? Vous constatez comme moi…
Bonjour, M. Blackburn, Mme Gagnon. J'ai peu de temps. J'ai deux sujets
que j'aimerais aborder avec vous.
D'abord, sur
la question de la récolte de données par les entreprises, il y a plutôt un
consensus scientifique, un consensus
auprès des experts qu'au moment où on se parle il y a certaines entreprises qui
ont des pratiques de collectes de données
qui sont abusives, autrement dit, qui collectent plus de données que ce qui est
vraiment nécessaire, notamment parce qu'elles font le pari que ces
données-là ne sont peut-être pas monétisables aujourd'hui, mais que,
l'avancement technologique étant ce qu'il est, elles le deviendront
éventuellement.
Donc, c'est
documenté, comme pratique de surtout les grandes entreprises, de collecter plus
que nécessaire en se disant :
Bien, un jour, il y aura peut-être moyen de faire de l'argent avec ça. Donc, on
ne prend pas de chances. On en prend plus
que ce qu'on a besoin aujourd'hui. Ce phénomène-là, il existe. En tout cas,
c'est ce que les experts nous disent. C'est ce qu'ils nous disent depuis
au moins deux jours, Puis, dans la littérature, aussi, c'est largement admis.
Est-ce que vous reconnaissez que ce
phénomène-là existe? Et, si oui, puisque j'imagine que vous le reconnaissez,
êtes-vous d'accord qu'un projet de
loi sur la protection des renseignements personnels devrait, au-delà de la
question du consentement, venir
imposer des limites sur même ce qui est permis de demander aux citoyens et aux
citoyennes comme données?
M.
Blackburn (Karl) : Votre
question me permet d'ouvrir le débat sur une façon très philosophique et très
large, de concentrer un certain élément de réponse. Peut-être je vais laisser
la chance à Karolyne de finaliser, je dirais, la deuxième question de votre
volet.
Mais les
données personnelles auxquelles nous, comme consommateurs, ou comme clients, ou
comme citoyens, on est amenés à
donner, c'est, bien sûr, toujours sur une base volontaire. Et je n'ai jamais senti,
moi, de pression, pour mon point de
vue personnel, de partager l'ensemble de mes données personnelles avant de
faire une transaction ou de devenir un membre dans une organisation ou
dans une grande entreprise. Et là ça vient aussi à une certaine responsabilité
des consommateurs et des citoyens. Tout peut se faire, mais tout ne peut pas...
obligé de se réaliser également.
Alors, je
pense qu'il faut être conscient de... Effectivement, il y a des réalités, au niveau informatique, au
niveau de données, qui font en sorte qu'on est rentrés dans le XXIe siècle
de façon extrêmement rapide, mais, en même temps, on n'est pas obligés de tout
faire et de tout donner.
M. Nadeau-Dubois : Je suis désolé
d'être cavalier, mais mon temps file très vite. Sur ma deuxième question, est-ce
que, dans le projet de loi, il devrait y avoir des limites objectives à ce qui
est même permis aux entreprises de demander comme données personnelles?
M. Blackburn (Karl) :
Me Gagnon, je vous laisse la parole.
Mme Gagnon (Karolyne) : Merci,
M. Blackburn.
Le
Président (M. Bachand) : Rapidement, Me Gagnon, s'il vous
plaît.
Mme Gagnon
(Karolyne) : Oui. Au niveau
des données nécessaires, en fait, pour la loi sur le secteur public
et parapublic, ça a toujours
été prévu qu'on ne collecte uniquement que ce qui est nécessaire
à l'entreprise. Naturellement, lors de
l'utilisation, si on a une utilisation autre, qu'est-ce que va changer la
loi? On a déjà que c'est bien circonscrit, la notion de nécessité, et qu'on le définisse ou qu'on l'ait,
parce que tout ça est une question d'éducation. Alors, c'est ce qu'on
vous disait, peut-être, puis je sais que ça
se fait en Europe, d'établir qu'est-ce
qui est vraiment nécessaire, quel est le titre, quelle est la définition. Qu'importe comment je vais
pointu dans la loi, ce sera toujours une compréhension générale de la
notion de nécessité qui se retrouvait déjà dans une loi plus grande. Alors, je
vois...
Le Président (M.
Bachand) : Merci. Dernier commentaire, M. le député de Gouin,
rapidement.
M. Nadeau-Dubois : Donc, je comprends
que vous n'êtes pas fermés à cette idée-là?
Mme Gagnon
(Karolyne) : Bien, en fait, ce qu'on vient de décrire, la notion de
nécessité, on est certains que les décisions
vont le décrire. Je sais qu'en Europe, ce qu'ils faisaient souvent, c'est… Quand
je vous parle de guide de bonnes pratiques,
c'est de définir et interpréter la notion de nécessité et de donner les outils
aux entreprises pour savoir et bien définir leur mandat.
M. Nadeau-Dubois : Merci.
Le Président (M.
Bachand) : Merci beaucoup. Sur ce, Me Gagnon, M. Blackburn,
merci beaucoup d'avoir participé aux travaux de la commission.
Et la commission suspend ses travaux jusqu'à
15 heures. Merci.
(Suspension de la séance à 13 heures)
(Reprise à 15 h 06)
Le
Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. La Commission des institutions
reprend ses travaux. Je demande, bien sûr,
à toutes les personnes présentes dans la salle de bien vouloir éteindre la
sonnerie de leurs appareils électroniques.
La commission
est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet
de loi n° 64, loi modernisant des
dispositions législatives en matière de renseignements personnels.
Nous avons maintenant
la chance et le plaisir d'accueillir deux avocats de chez la firme Fasken.
Alors donc, comme vous le savez, vous avez 10 minutes de présentation.
Merci beaucoup d'être avec nous en visioconférence. Et puis je demanderais,
d'abord, de vous identifier et de débuter votre exposé. La parole est à vous.
Merci beaucoup.
MM. Karl Delwaide et Antoine
Aylwin
(Visioconférence)
M. Aylwin
(Antoine) : Bonjour, M. le
Président, M. le ministre, MM. Et Mmes les députés. Mon nom est Antoine
Aylwin. Je suis accompagné de mon collègue, Karl Delwaide.
M. Delwaide (Karl) : Bonjour.
M. Aylwin
(Antoine) : Je vous remercie
pour l'invitation. On est contents de vous revoir à la Commission des institutions. Depuis juin,
quand le projet de loi n° 64 a été déposé, avec l'équipe, on a eu des
réunions à toutes les semaines pour
discuter des différents sujets. C'est un projet de loi qui est costaud. Il y a
plusieurs modifications qui sont apportées. On a publié, depuis le mois
de juin, à toutes les semaines, des commentaires, là, au bénéfice de nos
clients, pour discuter des enjeux.
Comme vous le
savez, on est des avocats d'affaires. On conseille des petites, moyennes,
grandes entreprises, des organismes
publics, des ordres professionnels, bref, toute la panoplie d'organisations qui
sont touchées par les lois qui sont visées
aujourd'hui. Je veux remercier, là, les membres de l'équipe, Jennifer Stoddart,
Guillaume Pelegrin, Julie Uzan-Naulin,
Aya Barbach et William Deneault-Rouillard, qui ont travaillé avec nous sur les
représentations, notre mémoire, qui est
Moderniser, mais conserver un équilibre. On applique la loi tous les
jours, comme je vous le disais, puis on essaie, aujourd'hui, de vous véhiculer quelques préoccupations très pratiques
dans notre quotidien sur l'impact des dispositions qui sont proposées.
Puis je vais céder la parole à mon collègue,
Karl Delwaide, qui va commencer avec les premiers sujets.
M. Delwaide (Karl) : Alors, bonjour
à tous. Le premier sujet, c'est la communication des renseignements personnels
à l'extérieur du Québec, les articles 27 et 103 du projet de loi. Vous me
permettrez de me concentrer sur l'article 103 qui
traite de l'article 17 de la loi sur le secteur privé, mais vous avez son
parallèle dans la loi sur l'accès, l'article 70.1 de la loi sur l'accès,
l'article 27 du projet de loi.
Le projet de
loi tel qu'il est rédigé prévoit qu'avant de communiquer à l'extérieur du
Québec un renseignement personnel… Je
veux juste, au moins, attirer votre attention qu'à l'extérieur du Québec…
Contrairement à d'autres lois qu'on a
au Canada, ça ne dit pas : À l'extérieur du Canada. Ça dit : À
l'extérieur du Québec. Donc, vous avez plusieurs entreprises qui ont des divisions, que ce soit au Québec, en
Ontario, en Alberta, au Nouveau-Brunswick, aux États-Unis, des filiales. Donc, à l'extérieur du
Québec, ça couvre la réalité même dans les autres provinces. Ça couvre la
réalité dans chacun des États des États-Unis.
Pourquoi
c'est important? Parce que vous exigez… Le projet de loi, s'il est adopté tel
qu'il est, exige deux critères avant
de pouvoir transférer des renseignements personnels à l'extérieur du Québec
même au sein d'une même entreprise. Ça
exige une évaluation comparative et une entente contractuelle, une entente
contractuelle qui vise à s'assurer que la juridiction réceptrice adopte
des mesures de protection similaires à celles du Québec.
Vous réalisez
que l'évaluation comparative, c'est très exigeant. Si vous exigez ça au sein de
la fonction publique, vous avez peut-être plein d'avocats qui sont heureux,
plein de juristes de l'État qui vont être heureux de faire du droit comparé.
Mais je vous jure que, pour les entreprises du Québec, là, petites, moyennes et
grandes, de faire l'exercice d'une évaluation
comparative en plus d'une entente contractuelle, c'est un fardeau extrêmement
lourd que vous imposez, selon moi, bien respectueusement.
Vous savez, une évaluation comparative pour
chacune des juridictions, ça veut dire... Au Canada, c'est, quoi,
10 provinces, bon, neuf si on exclut le Québec. Donc, l'Ontario, le
Nouveau-Brunswick, Alberta, il faut faire cette évaluation comparative. Il faudrait faire l'évaluation comparative pour
les 51 États américains. Respectueusement, c'est un fardeau qui est
extrêmement lourd.Le système actuel fonctionne bien. Le système... Vous
savez, l'article 17 actuel comporte une
exigence similaire, sauf l'évaluation comparative. Et, à date, ce que nous
avons toujours fait, ce sont des ententes contractuelles, et, les
ententes contractuelles, ça fonctionne.
• (15 h 10) •
Alors,
respectueusement, une recommandation qu'on se permet de faire, c'est d'éliminer
la notion d'évaluation comparative.
Si le gouvernement, ou si vous voulez donner le pouvoir à la Commission d'accès
de le faire, libre à vous, vous
désirez cibler des juridictions pour lesquelles ce serait automatique comme
c'est prévu, ou, à l'inverse, si vous désirez vous conférer le pouvoir de cibler des juridictions pour lesquelles ce
serait automatiquement non autorisé de transférer des renseignements personnels, libre à vous. Mais,
respectueusement, je ne pense pas que vous devriez imposer aux
entreprises le fardeau de faire ces
évaluations comparatives, à moins que vous vouliez procurer de l'emploi à la
meute de nouveaux avocats qui sortent
de l'École du Barreau. Je vous remercie, parce que ça, c'est une job d'avocat.
On n'a de cesse d'avoir des questions des clients. Si c'est ce que vous
souhaitez… Mais je ne pense pas que ce soit le but de la chose.
Deuxième
commentaire. Je me permets d'aller rondement. Puis il y a d'autres éléments,
vous savez, à ce sujet-là, sur la
communication à l'extérieur du Québec. On le souligne dans notre mémoire. C'est
la définition d'un État… Pourquoi je
vous disais, tantôt, que ça couvre autant l'Ontario, que le Nouveau-Brunswick,
que les États américains? Un État n'est pas défini, dans le projet de loi, à l'article 103. Vous savez que le Québec
est un État. Et là je ne veux pas faire de politique. Dieu m'en préserve, ce n'est pas le but. Mais, sur
le plan constitutionnel, chaque province canadienne est souveraine dans
sa juridiction, même chose pour les États américains.
Alors, il va
falloir que ce soit précisé. Qu'est-ce que vous entendez? Est-ce que vous
désirez conserver cette notion d'évaluation
comparative et imposer un fardeau aux entreprises du Québec de faire ce travail
à chaque fois ou si le système, tel
qu'on le connaît actuellement, de requérir une entente contractuelle, est un
système qui est efficient, efficace et qui permet aux entreprises de
faire des transferts de données, tout en assurant une protection légitime?
Vous me permettrez maintenant de passer au
deuxième point : les conséquences du non-respect des lois. Les conséquences du non-respect des lois, ce sont principalement les articles 150 à 152 du projet
de loi. Je veux vous glisser
un mot des pénalités administratives qui sont prévues au projet de loi
et qui prévoient des pénalités administratives pouvant aller jusqu'à
10 millions de dollars. J'ai deux commentaires que je me permets de
vous soulever.
Le premier
commentaire, c'est : C'est à la mode, ça, les pénalités administratives,
c'est nouveau, ça. Vous savez, on a
vu ça maintenant avec la loi antipourriel au fédéral, là, vous savez, la loi
qui a un nom long comme ça, là, pour empêcher l'envoi de pourriels. Ça existe aussi en vertu du RGPD, je le reconnais,
mais, selon moi, c'est... on s'écarte des principes de base de nos
systèmes juridiques.
S'il y a des
sanctions à imposer à une entreprise, bien, soit, qu'elle en supporte les
conséquences. Mais le principe pénal
a généralement servi à permettre à l'État ou à un organisme régulateur d'amener
des sanctions contre des récalcitrants, mais en préservant des droits, comme préserver contre
l'auto-incrimination, la présomption d'innocence, le fardeau de preuve. Tout ça fout le camp, excusez mon langage
familier, avec la notion de pénalités administratives. Puis, vous savez,
je suis persuadé que c'est voulu, ça. C'est
voulu parce que ça écarte les protections fondamentales des chartes des
droits. Et, selon moi, respectueusement, ce
n'est pas un bon choix. Ce n'est pas un choix avisé. C'est dangereux de glisser
là-dessus, surtout quand vous allez jusqu'à permettre jusqu'à
10 millions de dollars en pénalités administratives.
Mon deuxième commentaire qui se joint à ça, c'est…
Vous verrez votre… le processus qui est implanté, n'est-ce pas, par les articles 150 à 152, et ça, ça réfère…
Excusez, je vais vous le dire, c'est les nouveaux articles du projet de loi, ce sont les articles 90.1 et
suivants. La mécanique que vous avez mise en place ou que vous suggérez de
mettre en place, c'est de confier, à une
personne désignée par la Commission d'accès à l'information, mais une personne
qui ne ferait pas partie ni de la
section surveillance ni de la section juridictionnelle, les fonctions de
décider d'une pénalité administrative… pas
de décider, pardon, de décider de l'envoi d'un avis de non-conformité et
d'imposer… oui, de décider d'imposer une pénalité administrative sujette
au pouvoir de la commission de réviser la décision de cette personne-là.
Moi, je trouve ça un peu particulier.
Vous avez un organisme administratif, qui est la Commission d'accès, ou
bien vous lui faites confiance ou vous ne
lui faites pas confiance, sujet, encore une fois… Si vous confiez un tel
fardeau à une commission comme la
Commission d'accès, il va falloir qu'elle ait les moyens de les appliquer,
mais, de confier à une personne
désignée, qui est-ce? Est-ce que c'est mon confrère, Me Aylwin? Est-ce que
ça va être quelqu'un du système des enquêteurs de la Commission d'accès?
De confier le soin à
une personne comme ça de décider d'exposer mes clients à des pénalités de…
jusqu'à 10 millions de dollars, en
mettant de côté les garanties habituelles du système judiciaire, je trouve ça
dangereux. De confier le tout à la
Commission d'accès en révision, bien, ça ne fait qu'augmenter les coûts du
système. Et on vous propose, dans notre
mémoire, de tout simplement réserver ces pénalités administratives uniquement
pour certaines sanctions, pour des éléments strictement techniques, et
de réduire de beaucoup le maximum.
Je laisse mon
confrère continuer avec nos autres recommandations.
M. Aylwin
(Antoine) : S'il y a
une question qui n'apparaîtra pas, du projet de loi, puis qui est sous-jacente à tous les
enjeux de renseignements personnels,
ce sont les ressources de la Commission d'accès à l'information. On est
venus vous voir depuis plusieurs années pour
vous dire que c'était une lacune. Rajouter des pouvoirs à la Commission
d'accès à l'information, comme on le fait
ici, ça ne réglera pas la question des ressources. Si on veut s'attaquer… sur
un contrôle effectif, il va falloir
que le gouvernement puisse mettre les ressources, mettre des spécialistes à la
Commission d'accès.
Dans les
recommandations... On a fait 21 recommandations, là. Je ne vous les
reprends pas toutes, mais j'aimerais attirer
votre attention sur la question de renseignements sensibles, qui, pour nous,
est une source de difficultés pour
nos clients. En l'absence de définition, on vous propose de se coller aux
catégories de renseignements qui sont prévus par la charte comme étant les renseignements qui ne peuvent pas faire
l'objet de discrimination, qui sont jugés suffisamment sensibles. Donc, ça nous permettrait d'avoir une
définition claire, parce qu'ici on pourrait avoir le même renseignement
qui est sensible dans certaines circonstances et pas dans d'autres, ce qui est
très difficile d'application.
Au
niveau des transactions commerciales, on vous invite à avoir une définition qui
est plus large que celle qui est suggérée
et de se coller au texte des autres lois pareilles dans le domaine pour que ce
ne soit pas seulement dans le cadre de changement de propriété que cette
exception-là au consentement s'applique. Puis…
Le
Président (M. Bachand) : Maître, je dois vous... Maître,
malheureusement, je dois vous arrêter.
M. Aylwin
(Antoine) : Oui, je vais conclure.
Le
Président (M. Bachand) : Je dois vous arrêter parce qu'on est
rendus maintenant à la période d'échange. Je suis désolé.
M. Aylwin
(Antoine) : Parfait.
Le Président (M. Bachand) : Vous pourrez, durant la période de questions,
répondre davantage. Alors, M. le ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M. le Président. Bonjour, messieurs. Merci
de participer à la commission parlementaire.
Bon,
d'entrée de jeu, sur la notion d'État, le sens que l'on donnait, c'était
effectivement qu'une autre province constitue un autre État. Alors, on
prend bonne note de votre commentaire de spécifier l'intention du législateur.
On le garde en mémoire lorsqu'on fera l'étude détaillée.
Revenons,
si vous le voulez bien, sur la question des amendes et des sanctions
administratives pécuniaires. Là, je comprends
que vous dites : Écoutez, ce n'est pas la bonne solution, ça va être
vraiment préjudiciable pour les entreprises, notamment, ça permet, avec ce régime-là… bien, en fait, ça donne moins
de garanties de protection juridique associée aux chartes pour les entreprises. Donc, si l'État veut
encadrer le tout, ça devrait vraiment être dans le régime pénal et non
pas dans le régime de sanctions
administratives pécuniaires, comme on voit, supposons, en matière
environnementale, maintenant.
M.
Delwaide (Karl) : Oui,
essentiellement, c'est ça. Écoutez, même avant l'avènement des chartes, les
protections fondamentales en matière pénale,
comme par exemple le fardeau de preuve ou… incrimination, ça
existait. Il me semble que, de
transférer ce qui est, en principe, des pénalités… de transférer ça à un régime
strictement administratif, vous vous rendez
compte… En plus, il y a d'autres dispositions dans le projet de loi qui permettent à la commission d'exiger de fournir de l'information sans… tout simplement de forcer une
entreprise à fournir de l'information. Alors, vous avez là un outil administratif qui est très… qui va loin. Je ne
vous dis pas que ce n'est pas correct d'imposer l'obligation, de
répondre à une demande de la commission. Ça,
c'est très correct, c'est normal. Mais, lorsque vient le temps de l'étape des
sanctions, il nous semble que le processus pénal donne des garanties
plus en lien avec les fondements de notre système judiciaire.
• (15 h 20) •
M.
Aylwin (Antoine) : Je peux peut-être
ajouter une chose sur les sanctions pénales. Maintenant, il va y avoir
des dents. C'est des sanctions qui vont être
importantes. On n'a pas fait la preuve, dans les dernières années, que le
système pénal ne fonctionnait pas. Dans les
26 premières années d'application de la loi, les dispositions pénales
existaient. En 2006, le gouvernement a augmenté certains montants de plafond de pénalités, là, dans…
notamment pour la communication hors Québec, sauf que ces dispositions-là n'ont pas été
appliquées. Donc, c'est très difficile de vous dire que les sanctions
pénales ne fonctionnent pas. Elles n'ont pas été essayées encore. Donc, on n'a
pas encore la démonstration qu'il faut passer à un régime administratif, selon
nous.
M.
Jolin-Barrette : Vous
dites : On devrait attendre de voir… d'éprouver le système pénal avant
d'aller au régime administratif. Mais
le régime administratif est là aussi pour convaincre, supposons, les
entreprises, surtout en matière de protection
des renseignements personnels, de l'importance de se conformer à la
législation. C'est un régime qui est moins lourd aussi et qui peut constituer un facteur, très certainement,
d'adhésion pour les gens, bien, les personnes morales qui détiennent les
données des Québécois, à titre d'exemple.
Donc, je
comprends votre point, où est-ce que vous dites : Bien, écoutez, on
devrait être prudents là-dessus. Mais, d'un
autre côté, quand on fait la balance des inconvénients, mais on peut se
dire : Bien, il y aurait peut-être lieu de mettre ce régime-là justement pour diriger l'orientation,
pour dire à quel point la protection des renseignements personnels,
c'est important, là, puis qu'on doit vraiment
encadrer le tout, parce qu'on voit, là, il y a des fuites de données. Parfois,
il y a de la négligence. Parfois, c'est des attaques, malgré le fait que
l'entreprise ait pris tous les moyens nécessaires et a fait preuve de diligence
raisonnable. Mais comment vous recevez ça si on retourne la situation de
l'autre côté?
M.
Delwaide (Karl) : Juste bref
commentaire de ma part, et Me Aylwin complétera. Vous savez que la
commission a déjà des pouvoirs
d'ordonnance. Alors, au niveau justement de cet encadrement que vous souhaitez, bien, la
commission peut très bien l'exercer par ses
pouvoirs d'ordonnance. Et, s'il y a un manquement qui est strictement
technique... Vous remarquerez, on dit : Les pénalités
administratives pour des manquements strictement techniques pourraient exister.
Quelqu'un qui a manqué, là... son système a fait défaut ou
des choses comme ça… mais, si quelqu'un est un contrevenant volontaire, bien,
allez-y sur le plan pénal, et qu'il en subisse les conséquences, respectueusement.
M. Aylwin
(Antoine) : Je pense que
vous avez plusieurs outils. Si vous regardez notre recommandation n° 5,
ce n'est pas d'abolir les sanctions administratives, mais plutôt d'avoir un ratio de
un pour 20 entre le pénal puis l'administratif, ce qu'on estimait à 125 000 $ pour une sanction pénale, maximum de 25 millions. Nos recommandations sont reprises à la fin, là, si vous les cherchez.
Puis je pense que vous avez comme
trois étapes. La commission, avec ses enquêtes puis sa surveillance, a un pouvoir de ce qu'on appelle, en anglais, le «name
and shame», c'est-à-dire de nommer une entreprise qui a eu un comportement qui est inadéquat, qui, au niveau de
la réputation, est néfaste. Les sanctions administratives pourraient être une
première étape dans un... On ne vous dit pas de ne pas en mettre, mais de dire
qu'il y ait un plafond qui est plus bas que celui de 10 millions, parce que ça devient excessivement
important, presque du pénal, rendu là, et d'avoir la troisième étape qui est pénale, un peu comme on fait avec la
sécurité routière. On va avoir des constats d'infraction pour la
vitesse, mais, si on a une conduite
dangereuse, ça va être une infraction criminelle. Donc, c'est juste d'avoir des
étapes puis des niveaux, des paliers qui sont appropriés dans ces
circonstances-là.
M.
Jolin-Barrette : O.K., je
comprends. Sur la question des politiques internes que doivent adopter les
entreprises, là, on propose que ça soit
rendu public. Là, vous, vous dites dans votre mémoire : Écoutez,
attention, ça pourrait faire le contraire, ça pourrait mettre plus à
risque ces politiques internes là. Pourquoi?
M. Aylwin
(Antoine) : Je peux peut-être
commencer en vous disant : Ça dépend du niveau de détail que vous attendez. Si on attend à un niveau de détail qui
est de dire : On a un système de... Je vais vous donner un exemple pratique. On a un système de sécurité avec des caméras cachées. Ça, c'est une
chose. Si, après ça, je dis : Mon système de sécurité, mes caméras cachées sont situées là, là et là, je
viens de complètement défaire la sécurité que j'ai parce que, là, je
vais être exposé aux gens qui voudraient rentrer
dans mon système, où est ma protection, donc, et toutes les tentatives de
«phishing», par exemple, sur les personnes qui peuvent être appelées à
intervenir sur des systèmes de sécurité, si on met de l'information
publique, ça peut aider les fraudeurs.
Donc, le
niveau d'information qui doit être transparent risque, si on veut
protéger comme il faut les données, d'être un peu de la vanille dans tous les cas. C'est qu'on va retrouver des politiques
qui vont se ressembler d'une organisation à l'autre parce qu'on ne voudra pas mettre un niveau de détail qui
permettrait aux fraudeurs de s'en servir contre l'organisation.
M.
Jolin-Barrette : O.K., je
comprends. Sur la question du consentement implicite, vous dites : Bon,
bien, c'est absent du projet de loi n° 64.
Qu'est-ce que vous voulez dire par consentement implicite?
M.
Delwaide (Karl) : Bien,
écoutez, il y avait une interprétation de l'article
14 autrefois, là, l'exigence était qu'il fallait, puisqu'on voulait un
consentement clair, précis, spécifique, que le consentement implicite, donc,
le...
Je vais vous
donner un exemple. Quelqu'un vient porter son C.V. ici pour être engagé. Donc,
il y a manifestement un consentement.
Et malheureusement il n'y
a pas de poste aujourd'hui, mais il pourrait y en avoir un dans trois mois. Je conserve son C.V. et je ne lui ai pas demandé de
cocher : Désirez-vous que je conserve votre C.V. pendant
x semaines, au cas où une ouverture
se présenterait? Il y a une notion de... C'est un peu implicite que quelqu'un
qui vient me porter son C.V., s'il n'y a pas d'emploi aujourd'hui, bien,
il accepte que je le conserve pour une durée raisonnable, au cas où un emploi
s'ouvrirait. On disait que, tel que rédigé, l'article 14 ne permettait pas ces
consentements implicites. Il fallait un consentement exprès.
Maintenant,
vous avez, dans le projet de loi, deux ou trois endroits où, clairement,
vous dites que, pour tel type de renseignement sensible, il faut un consentement exprès,
sous-entendu le consentement implicite est donc permis. D'ailleurs, je dois avouer, un peu à ma surprise personnelle,
quand j'ai lu le dernier rapport de la Commission
d'accès à l'information, la Commission d'accès reconnaissait qu'il y avait
existence d'un consentement exprès ou implicite possible.
Alors,
tout simplement, ce qu'on veut vous souligner, c'est que nous, on
comprend que le projet de loi
avalise la notion de consentement implicite
par le fait que vous exigez à certains endroits... Je pourrai vous retrouver les articles précis, là, on les a, où vous exigez le
consentement exprès pour certains types de renseignements. Donc, vous
comprendrez qu'en logique juridique
l'interprétation est que le consentement implicite n'est pas écarté. Il est donc possible de dégager des
consentements implicites. Si c'est ce que vous voulez, parfait, il y a
certaines circonstances qui s'y prêtent bien.
M. Aylwin (Antoine) : En d'autres
mots, on vous demande d'être un peu plus explicites sur le consentement
implicite pour que ça soit clair, quand est-ce qu'il est permis.
M. Delwaide (Karl) : C'est un peu
ça.
M.
Jolin-Barrette : Sur la
question, là, il y a des intervenants
qui vous ont précédés, qui nous ont dit : Bien, vous devriez également permettre les consentements en bloc ou ne
pas exiger des consentements systématiquement. Qu'est-ce que vous en pensez, considérant qu'on viendrait exiger trop souvent des consentements, ou en fonction de la nature de l'information de la donnée personnelle,
sa considération stratégique, là, de sa sensibilité?
M. Aylwin
(Antoine) : C'est le
point 4.1 de notre mémoire. L'article 14, pour nous, pose une certaine difficulté
pratique quand on demande le consentement distinct de toute autre information communiquée. Je peux comprendre, par exemple,
quand on parle de renseignements sensibles, qu'on pourrait demander un consentement distinct comme on fait au
niveau de la loi antipourriel. La loi antipourriel demande un consentement distinct pour la sollicitation commerciale. Donc, il y a une fin
particulière pour laquelle on demande un consentement distinct.
Mais, présentement, comment l'article 14 est rédigé, c'est comme si on devait
désincarner le consentement du
contexte parce qu'on ne doit pas donner d'informations. Dans la mesure où on demande le consentement dans la rédaction
actuelle, je vous dirais, au niveau pratique, j'ai l'impression que ça va
être très difficile d'application, mais je peux
concevoir que, dans certains cas, on va vouloir scinder. C'est peut-être
là qu'on devrait intervenir pour dire quand est-ce qu'on va avoir un consentement spécifique, séparé du reste, plutôt
que d'instituer un régime général, qu'il va falloir avoir des formulaires ou il va falloir cocher
huit fois pour dire oui quand ce n'est pas tout à fait nécessaire,
quand ça peut être compris comme un bloc, là, dans la relation entre les
parties.
M.
Delwaide (Karl) : Il y a
des… Par exemple, l'ouverture d'un compte, le traitement du compte,
la fermeture du compte, l'échange d'information, tout ça, ça va de soi. Alors, est-ce qu'on a besoin de cocher à
chacun, ouvrir le compte, l'appliquer,
le fermer, échanger l'information? Ça nous semble un peu de la paperasserie. Je
veux que vous compreniez que, nous,
ce qui nous guide, c'est un petit peu une recherche d'équilibre, hein, entre : Oui, il faut protéger les renseignements personnels, mais, d'un autre côté, on est à une époque où il y a une
globalisation de l'information. On ne veut pas être en porte-à-faux, à
un moment donné, avec des fonctionnements plus globaux, là, de la planète
économique, là.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : M. le député de Chapleau, s'il vous plaît.
• (15 h 30) •
M.
Lévesque (Chapleau) :
Bonjour, maîtres. J'espère que vous allez bien. Merci beaucoup pour votre
présentation et votre mémoire.
J'aurais peut-être
deux petites questions, là, à vous poser. Vous avez parlé, là, des
contraintes que l'évaluation comparative
et que… combinée avec les ententes contractuelles, pouvait poser à votre
clientèle. J'aimerais peut-être
qu'on revienne là-dessus.
Puis j'aimerais aussi vous entendre sur… Bon,
j'imagine que vous avez eu l'occasion de parler avec plusieurs de vos clients, aborder le projet de loi n° 64. Est-ce qu'il y a un autre son de
cloche dont vous aimeriez nous faire part, que vous avez entendu, là, sur le terrain? Puis vous disiez, d'entrée de jeu, là, que vous desserviez autant les petites, moyennes entreprises
que les grandes entreprises. Est-ce que vous faites une distinction entre ces
types d'entreprises là?
M. Delwaide (Karl) : Bien, en
fait...
M. Aylwin (Antoine) : ...commencer
par la première question.
M.
Delwaide (Karl) : Oui, je
vais commencer par la première question. Le complément… Quand vous regardez le RGPD... Moi,
là, je vous donne ma lecture
personnelle. J'ai vu le projet de loi n° 64 comme étant une tentative de s'arrimer au RGPD, à certains de ses grands principes, notamment
dans un but d'adéquation, et c'est très correct, là, O.K.? En vertu du RGPD, à moins que je ne me
trompe, il a... l'Union européenne peut énoncer des juridictions qui sont
jugées comparables, alors, donc, où vous pouvez échanger des renseignements
personnels. Et, à défaut d'avoir ça, il faut un système contractuel, n'est-ce
pas? Il faut une entente contractuelle.
Il y a
une décision récente, là, cependant, qui vient dire qu'il faudrait faire une évaluation
comparative malgré ça. Ça, on en reparlera. Il y a plusieurs
chroniqueurs qui sont un petit peu interloqués par cette décision-là. Mais donc
nous, on pense que le processus
des ententes contractuelles est suffisant. Vous savez qu'il est reconnu, notamment,
aussi, entre filiales ou entre divisions
d'une même entreprise, ce qu'on appelle, en anglais, le «binding
corporate rules», là, les règles et les directives internes. Ça aussi,
ça devrait être permis, faire en
sorte que la compagnie X qui a une
filiale en Ontario ou une
division en Ontario, s'il y a une directive d'entreprise qui lie tout le monde,
ça devrait être permis.
Alors…
et, à moins que je ne me trompe encore, il y a même eu des décisions
du commissariat fédéral à la
vie privée, qui a dit qu'il y a... À un
moment donné, les ententes contractuelles, il faut quand même aussi que ce soit
avec une juridiction où le système de
justice est signifiant. Je veux dire, je ne veux pas nommer de pays, là, mais,
certains pays, vous allez me
dire : Si j'ai une entente contractuelle, c'est peut-être plus difficile
de la faire exécuter. On se comprend? Alors, le gouvernement, vous pourriez adopter des décrets à cet effet-là. Vous
pourriez vous donner le pouvoir de dire : Il y a certaines
juridictions où on pense que ça n'a pas de bon sens.
Bon,
l'autre chose, il y a... il faut faire attention avec le... Comment je pourrais
vous expliquer ça en simple… Vous exigez une évaluation comparative et
un contrat. On fait beaucoup... Vous savez, les données commerciales avec les
États-Unis, c'est immense, l'économie, les échanges économiques entre le
Québec, les États-Unis, le Canada et les États-Unis.
Il y a eu une décision de la cour de justice européenne qui dit que le système
de «privacy shields» américain ne présente pas les garanties
d'adéquation, donc, de comparabilité acceptable.
Alors, est-ce que ça
veut dire que nous, ici… Nos entreprises qui font affaire avec le Maine, le
Vermont, le Massachusetts, la Californie,
est-ce qu'elles vont pouvoir arriver et dire que c'est comparable, et là se
mettre en porte-à-faux, si elles font
aussi affaire avec l'Europe, avec le RGPD? Je ne vous dis pas qu'une évaluation
faite ici... qu'une décision va lier
les évaluations faites ici, mais vous comprenez que c'est un élément qui, il me
semble, pourrait être invoqué pour encore un grain de sable dans
l'engrenage par rapport à une relation d'adéquation avec l'Europe.
M. Aylwin
(Antoine) : Pour répondre à votre deuxième question, deux points
rapides.
Nos
plus gros clients qui font affaire dans plein de juridictions, leur principale
préoccupation, c'est : Comment est-ce
que je vais pouvoir respecter la loi du Québec en même temps que les autres
lois, d'avoir un système qui est cohérent, O.K.? Ce n'est probablement
pas la première personne qui vous dit ça, là, donc, c'est d'essayer de pouvoir
avoir une conformité qui va fonctionner à l'ensemble de l'Amérique du Nord ou
même à travers le monde.
Les
plus petits clients qui, eux, intègrent de plus en plus la question, puis ce
n'est pas encore fait, là, les questions de consentement, de politiques de renseignements personnels, maintenant,
les évaluations de facteurs de la vie privée, ils voient ça comme un monstre. La loi prévoit présentement
que, dans tout système d'information, bien, c'est à peu près tout le temps qu'il va falloir faire des évaluations des
facteurs de la vie privée. Puis la loi ne nous dit pas c'est quoi, une
évaluation des facteurs de la vie privée.
Donc, pour eux, ils voient ça comme excessivement complexe pour le traitement
des données, alors que ce n'est peut-être
pas nécessaire d'être complexe, mais peut-être que la loi pourrait être plus
précise à l'égard des attentes qu'on va avoir à ce niveau-là.
Le
Président (M. Bachand) : Merci beaucoup. Mme la députée de
Notre-Dame-de-Grâce, s'il vous plaît.
Mme Weil :
Oui, bonjour. Merci beaucoup. Vraiment, beaucoup, beaucoup de commentaires
préoccupants, évidemment, dans le sens qu'on
sent qu'il va falloir vraiment revoir attentivement les conséquences des
modifications autant pénales, mais
punitives, généralement, mais aussi les implications pour le Code civil. Donc,
j'aimerais que vous reveniez un peu
sur vos commentaires par rapport à vos craintes des conséquences du non-respect
des lois et le choix de régime à
appliquer, comment le régime pénal fonctionne, normalement, que vous, vous
voyez vraiment une atteinte dans certains cas. Je pense que c'est
tellement important. J'aimerais vous entendre plus…
Mais,
aussi, je ne sais pas, il me semble que vous n'avez pas... peut-être que vous
avez glissé dessus, l'introduction d'une
nouvelle clause d'action civile, peut-être commencer par celui-là pour bien
expliquer la préoccupation que vous avez
à cet égard, parce qu'on n'a pas le Barreau. On ne pourra pas entendre le
Barreau. D'ailleurs, une petite question. Est-ce que vous faites partie
d'un comité du Barreau du Québec en la matière sur cette question? Oui?
M. Aylwin
(Antoine) : Oui, vous allez voir mon nom dans un autre mémoire qui va
vous être acheminé par le Barreau du Québec.
Mme Weil :
Qui viendra bientôt? O.K., parce qu'on a vraiment besoin de bien comprendre les
conséquences juridiques. Puis je pense que
le ministre aussi va vouloir bien comprendre pour être
capable d'amener les correctifs au besoin. Alors, peut-être, commençons
avec l'introduction de cette nouvelle cause d'action civile.
M. Aylwin
(Antoine) : Merci, Mme la députée. Je m'excuse, M. le Président, je
présume que la parole est à nous, parce qu'on ne vous voit pas dans...
Le Président (M. Bachand) : C'est une commission qui est très
ouverte, parce que les gens sont disciplinés. Alors, allez-y, il n'y a
pas de problème.
M.
Aylwin (Antoine) : Merci.
Donc, la nouvelle cause... Vous savez, des dispositions pour des dommages
punitifs, c'est très rare dans les lois québécoises.
On a la charte québécoise des droits et libertés qui en contient. Il y a la
Loi sur la protection des arbres, la
Loi sur la protection du
consommateur. Donc, peut-être, j'en oublie une, là, mais je pense que je
viens de faire le tour.
Donc,
premièrement, s'il y avait une atteinte intentionnelle et illicite au droit à
la vie privée en vertu de la charte québécoise, il y aurait eu des
recours ou il y aurait un endroit là pour le prévoir. Donc, le prévoir dans une
loi, même dans le Code civil, c'est extraordinaire d'avoir des dommages
punitifs.
Ce qu'on voit aussi, c'est qu'avec la
protection des renseignements personnels il y a des facteurs
multiplicatifs. Donc, les entreprises ne
gèrent pas un renseignement personnel de façon... en silo. Ils vont avoir une
clientèle. Ils vont avoir des
employés. Donc, ils vont avoir une base de données, ce qui fait que, quand on
prévoit des dommages punitifs de l'ordre de 1 000 $ minimum, nous, dans notre tête, ce que ça vient
dire, c'est action collective puis c'est facteur multiplicatif. Donc, on vient prendre la solution de la Californie, qui
dit : Moi, je ne mets pas de sanction pénale importante, je ne mets
pas de sanction administrative importante,
mais je mets des dispositions pour que les recours civils puissent être
exercés, donc je privatise le mode de sanction pour le non-respect de la
loi.
Donc,
ici, ce qu'on fait, on fait les trois ici en amenant cette disposition-là. On a
une juridiction où des actions collectives sont plus présentes que dans
d'autres juridictions. Il y a énormément d'actions collectives présentement. Il y en a en matière de vie privée. On a été
impliqués dans certains de ces recours-là. Donc, on va juste multiplier les
recours. Est-ce que c'est une bonne façon de
voir à la mise en vigueur de la loi? J'en doute. J'ai l'impression que les
autres solutions de sanctions pénales sont peut-être plus appropriées et
vont plus rejoindre les objectifs du législateur que de confier ça… ou de
privatiser ces sanctions-là.
M.
Delwaide (Karl) : Et n'oubliez pas le principe d'escalier dont Me
Aylwin parlait tout à l'heure. Vous savez, ça peut commencer par une ordonnance, ça peut être une pénalité
administrative si c'est encadré de façon plus raisonnable que, et je le dis bien respectueusement,
10 millions de dollars, qui nous apparaissent un peu, beaucoup, et,
ensuite, l'étape pénale si quelqu'un ne veut pas se plier.
• (15 h 40) •
M. Aylwin
(Antoine) : Peut-être, pour compléter ma réponse au député de
Chapleau, il y a une chose que nos clients
nous parlent, c'est la sanction pénale de 25 millions. Ça fait que
soyez-en sûrs qu'ils sont sensibilisés et que, même si la disposition
finale nous prévoit une entrée en vigueur 12 mois après l'adoption, ils
sont déjà en train de penser à comment est-ce qu'ils vont être en conformité.
Mme Weil :
Et des meilleures pratiques que vous avez pu voir, peut-être, ailleurs au
Canada, peut-être, aux États-Unis, c'est moins comparable, est-ce que vous avez
des exemples à nous donner en matière de contrôle et de répression, si on veut, de corrections, de pénalités? Est-ce qu'on
ferait vraiment bande à part, le Québec, avec les approches qui sont
proposées?
M. Delwaide
(Karl) : Il y en a deux qui
me viennent à l'esprit. Il y a… Je
pense, en 2019, British Airways,
en vertu du Data Privacy Act du U.K., là, du
Royaume-Uni, a été condamnée à je ne sais plus que montant en «pounds» de
pénalités administratives, parce qu'eux, ils
suivent le modèle du RGPD. Alors, ça a été une pénalité administrative. Et là
le montant m'échappe, mais c'est un
montant substantiel. Et, tout récemment, encore, il y a Cathay Pacific, Cathay
Airlines, qui a fait l'objet… je pense, c'est 500 000 «pounds» de
pénalité administrative.
Ça, c'est des
exemples que moi, j'ai vu passer, là, dont on m'a informé, mais c'est le régime
du RGPD. 500 000 «pounds», c'est
l'équivalent de quoi, 800 000 $ canadiens à peu près, là, écoutez,
là, peut-être un peu plus, un peu moins,
là. Mais, des exemples, à notre connaissance, il y a ces deux-là, à ma
connaissance à moi. Je ne sais pas si Antoine en a d'autres. Et c'est assez récent, mais c'est le modèle RGPD. C'est le
modèle pénalités administratives. Vous avez des exemples. En vertu de la Loi canadienne anti-pourriel, là, des pénalités
ont commencé à être émises, mais ça ne rend pas le système plus acceptable sur le plan des principes
par rapport aux fondements de notre système juridique québécois tel
qu'on le connaît.
M. Aylwin
(Antoine) : C'est surtout qu'on n'a pas de données qui nous
permettraient de conclure que les gens se conforment davantage dans ces
systèmes-là non plus.
Mme Weil :
Vous parlez de l'exemption lors de transactions commerciales. C'est
page 11 de votre mémoire. Pourriez-vous
me donner un exemple de ce que... une illustration de votre propos, ici, où on…
une exception spécifique au principe de consentement, dans un contexte
de transaction commerciale, où ça s'applique?
M. Aylwin
(Antoine) : Ce qu'on a en tête principalement… Puis c'est couvert par
les autres législations qui ont cette
exception-là. Le Québec, on est comme à la fin, là… Les autres lois ont déjà
des exceptions. C'est une opération de financement.
Donc, une entreprise qui veut aller chercher le financement dans des marchés
privés va devoir, par exemple,
donner des renseignements sur ses hauts dirigeants, donc, des renseignements
sur des employés, des renseignements personnels pour pouvoir s'assurer que l'entreprise est entre
bonnes mains. En raison du manque d'exceptions, ça veut dire, techniquement, qu'il faut aller chercher le
consentement de ces gens-là pour pouvoir faire l'opération de
financement. Donc, c'est pour ça qu'on voit
que ça n'implique pas nécessairement un changement de propriété de l'entreprise,
comme c'est défini présentement, mais que ça appartient à la même logique que
l'entreprise a des opérations commerciales à mener sur ses opérations.
Mme
Weil : Je ne sais pas
combien de temps... Ah! parfait, peut-être parler aussi... Vous vous exprimez sur la section concernant... En matière d'emplois, les
défis que vous voyez, le modèle que vous prônez, peut-être expliquer un
peu ce que votre mémoire... C'est à la page 15 de votre mémoire.
M. Aylwin
(Antoine) : Bien, c'est une question qui est fondamentale, parce que
la loi québécoise repose, contrairement à la
loi européenne, par exemple, sur la pierre d'assise unique du consentement.
Donc, soit il y a consentement soit il y a exception au consentement. C'est la
pierre d'assise. Mais la relation employeur-employé n'est pas une
relation où le consentement s'exprime au niveau de l'utilisation des renseignements
personnels. Le consentement s'exprime au
niveau de l'embauche. Donc, le fait de fournir son numéro d'assurance sociale pour être payé, ça va un peu de soi quand on est embauché. Puis les
renseignements qui vont avec le fait d'être un employé d'une entreprise
découlent de l'embauche.
Donc,
de dire qu'il y a vraiment une opération de consentement distincte, c'est un
peu théorique. Et, comme le projet de
loi le fait, peut-être,
timidement, mais met le pied là-dessus, c'est que peut-être
qu'on doit penser davantage à
un système de transparence plutôt qu'à un
système de consentement, et c'est ce que... La relation employeur-employé
est encadrée spécifiquement dans les lois de
la Colombie-Britannique et de l'Alberta. Il y a une exception spécifique
qui prévoit que les notions de
consentement générales qui s'appliquent aux clients, etc, ne s'appliquent pas.
On a un cadre qui est très bien défini pour les employés.
Mme Weil :
Et donc, plus concrètement, quand vous parlez de transparence, dans quel sens…
M. Aylwin
(Antoine) : Ce que le projet de loi dit, notamment, dans les
politiques qui doivent être rendues… connues,
bien, c'est d'exprimer aux employés expressément
ce qu'on va faire avec leurs données. Puis c'est la décision d'être à
l'emploi qui va faire foi du consentement à ces pratiques-là et non pas un
consentement distinct que celui d'être employé.
Mme
Weil : O.K. Donc, en fournissant l'information, il y a comme
une adhésion implicite au fait du partage de cette information.
M. Aylwin
(Antoine) : Exact.
Mme
Weil : Santé, recherche, vous allez un peu là-dessus. On n'a pas eu le temps de… Vous n'avez pas eu
le temps d'en parler, puis, dans mes quelques
minutes… C'est un sujet bien important.
On en parle beaucoup
ici, au Parlement.
Pourriez-vous peut-être vous adresser à cette question-là? Comment vous voyez
ça?
M. Aylwin
(Antoine) : En fait, on pourrait prendre une heure là-dessus seulement,
là, mais je vais essayer de résumer, au fait
que… Bien, nous, ce qu'on constatait, c'est que le système
actuel demande des autorisations dans des cadres d'études et de recherches… n'était pas approprié. Il y a
une question de ressources. Au
niveau de la Commission
d'accès à l'information, des fois, ça prenait un an, un an et demi,
d'avoir une réponse, puis là on arrivait au bout du financement pour
faire le programme de recherche.
Donc,
cette modification-là, de ne pas demander une autorisation en amont,
c'est très positif pour nous. Puis, même si ça peut être mis en vigueur avant le 12 mois de l'entrée en vigueur du projet de loi, ça serait encore mieux. Ceci étant, ça ne veut pas dire qu'on se penche sur l'ensemble
du processus. Ça reste quand même un processus qui est balisé, puis qu'il
faut s'assurer qu'il soit cohérent avec les pratiques actuelles en matière de
recherche.
Là, la question qui se pose, c'est les utilisations en matière de recherche. Puis je vais vous parler autant
d'intelligence artificielle que
d'études cliniques. Aller chercher un consentement spécifique, d'entrée de jeu, c'est extrêmement complexe, ou de définir l'utilisation, d'entrée de jeu, c'est complexe, parce qu'on cherche. On ne sait pas encore l'utilisation précise qu'on va faire. On a
essayé d'illustrer avec l'exemple d'une recherche sur le cancer du sein qui
pourrait donner des résultats pertinents à
une recherche sur le cancer des ovaires. Bien, c'est le genre de chose qui peut
être découverte en cours de recherche. Si les utilisations secondaires
des données ne sont pas permises, bien, on vient se bloquer des possibilités
qui pourraient être très positives au niveau de la recherche parce qu'on a une
règle qui est trop restrictive en matière de l'utilisation des données.
Mme Weil :
Très bien, merci.
M. Delwaide
(Karl) : ...
Le
Président (M. Bachand) : Oui, allez-y, maître, allez-y, oui.
M. Delwaide
(Karl) : …non, non, non, ce qui n'écarte pas de demander que des
mesures de protection des renseignements soient prises. Comprenez-nous, là,
c'est deux choses distinctes. Et nous, là-dessus, au niveau de la protection,
on vous suit.
Le
Président (M. Bachand) : Merci beaucoup. M. le député de Gouin,
pour 3 min 34 s, s'il vous plaît.
M.
Nadeau-Dubois : Merci, M. le Président. Bonjour, messieurs. J'ai peu
de temps. Je vais être expéditif dans mes questions. Merci de me faire
le plaisir de réponses assez courtes.
Vous
parlez... Vous exposez des réticences à l'idée que les entreprises publient
leurs politiques puis leurs pratiques concernant
la protection des renseignements personnels. Vous avez soulevé un argument
tantôt en disant : Ça pourrait révéler
des vulnérabilités qui pourraient être exploitées par des gens malveillants.
Mais il y a un deuxième argument qui m'intrigue. Dans votre mémoire, vous dites, à la
page 14, et je cite : «Ces renseignements peuvent par ailleurs
constituer des renseignements commerciaux privilégiés pour les entreprises.»
En quoi une
politique qui explique aux consommateurs les mesures qui sont prises pour protéger les renseignements… Puis on s'entend que ce ne sera pas des politiques
avec : Voici le mot de passe pour rentrer puis voici où est le
serveur, c'est des principes généraux, là.
En quoi ça... Dans quel contexte, dans quelles circonstances ça peut être un
renseignement commercial privilégié?
M. Aylwin
(Antoine) : Je suis d'accord avec vous. Ce n'est pas sur les mesures
de sécurité que ce commentaire-là s'applique,
mais sur l'utilisation. Dans la façon dont le niveau de détail va être donné
sur l'utilisation, on peut révéler des méthodes
qui sont propres aux entreprises sur comment est-ce qu'on utilise les données
de façon dérivée, comment est-ce qu'on
peut faire de la déduction à partir des données qu'on a puis comment est-ce
qu'on va nourrir certains algorithmes qu'on
va faire dans l'aide de la recherche à l'interne de l'entreprise. C'était plus
au niveau des utilisations potentielles.
M.
Nadeau-Dubois : Mais donc... Bien, vous comprenez que ça peut être
dérangeant pour un citoyen d'entendre que,
le fait d'expliquer aux gens ce qu'on fait avec leurs données, ça va déranger
certaines entreprises parce qu'elles veulent pouvoir protéger… Pour faire de l'argent, faire du profit avec les
données, on est mieux de ne pas trop expliquer ce qu'on fait avec pour
pouvoir protéger notre avantage concurrentiel. Voyez-vous comment c'est un
argument qui peut être dérangeant pour certaines personnes?
M. Aylwin
(Antoine) : Je comprends votre préoccupation. Ce n'est pas qu'est-ce
qu'on fait avec les données, mais c'est plutôt comment on le fait, je
pense, qui est la préoccupation.
• (15 h 50) •
M.
Nadeau-Dubois : Mais est-ce
que ce n'est pas justement ça, l'objectif d'une loi comme le projet de loi n° 64, d'ajouter
de la transparence sur ce que les entreprises font avec les renseignements personnels des gens, ce n'est pas ça, même,
l'intention d'avoir un projet de loi comme ça?
M. Aylwin
(Antoine) : Je vais vous
donner un exemple où je fais la distinction. Quand on parle de ciblage
de publicités, O.K.,
c'est une préoccupation, je pense, qui est de connaître que nos données sont… pour faire du ciblage. Ça, c'est
une utilisation qui peut être communiquée puis qui fait partie de
l'objectif de transparence que vous décrivez. Mais, quand on rentre
dans les outils puis comment ça fonctionne dans la boîte, là, comment est-ce
qu'on fait les maillages, comment est-ce
qu'on fait les arrimages, bien, c'est là que ça devient la propriété
intellectuelle de l'entreprise qui développe ses techniques pour être performante au niveau de son ciblage.
Mais, si je vous dis que j'utilise votre nom, votre résidence, votre revenu pour dire qu'on va faire du ciblage
sur vous, je pense atteindre l'objectif de transparence que vous recherchez.
M.
Nadeau-Dubois : Mais où
est-ce que vous voyez dans le projet
de loi qu'il y aurait
des exigences beaucoup plus élevées que ce que vous venez de décrire là?
M. Delwaide (Karl) : On ne veut pas
qu'elles soient moins élevées. C'est tout à fait…
M.
Nadeau-Dubois : Vous
souhaitez qu'elles soient... Ah! pour vous, ce serait... par exemple, ce serait
mal avisé de demander à des
entreprises de révéler que l'adresse, la date de naissance, le lieu de
résidence est utilisé pour faire du ciblage, pour reprendre notre
exemple, là?
M. Aylwin
(Antoine) : Non, c'est parce que ce que vous nous demandez,
c'est : Où est-ce que vous voyez dans le projet de loi que ça va aussi loin? Nous, notre réponse, c'est : On
ne voit pas dans le projet de loi que ça ne va pas aussi loin. Il
n'y a pas ces... Ce n'est pas défini d'une façon qui limite l'information qui
doit être rendue disponible.
M. Delwaide
(Karl) : Ce n'est pas
encadré, c'est qu'on ne sait pas... On est devant une zone grise. On ne
sait pas comment le régulateur va l'interpréter et jusqu'à quel niveau de
précision ce sera exigé.
Le Président (M.
Bachand) : Merci beaucoup, merci beaucoup.
Sur ce, messieurs, merci beaucoup de votre collaboration aux travaux de la commission.
C'était très apprécié.
Et là-dessus la commission suspend ses travaux
quelques instants. Merci beaucoup, très bon après-midi.
(Suspension de la séance à 15 h 52)
(Reprise à 15 h 54)
Le
Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il me fait
plaisir d'accueillir Me Daniel Therrien,
commissaire à la protection de la vie privée du Canada. Alors, Me Therrien, encore une fois, grand plaisir de vous
accueillir ici de façon virtuelle, bien
sûr. C'est la façon de faire
dorénavant. Alors, comme vous savez,
vous avez 10 minutes de présentation. Après ça, nous aurons un échange
avec les membres de la commission. Donc, la parole est à vous, Me Therrien.
Merci beaucoup.
Commissariat
à la protection de la vie privée du Canada
(Visioconférence)
M.
Therrien (Daniel) : Merci beaucoup, M. le Président. Mmes
et MM. les députés, je vous remercie de votre invitation à
discuter du projet de loi n° 64 qui modernise les lois québécoises sur la protection des renseignements
personnels.
Nos sociétés
ont terriblement besoin de moderniser leurs lois en la matière après plusieurs
années de révolution numérique, qui est une force perturbatrice de nos
habitudes, de nos pratiques et de nos droits. Votre projet de loi est extrêmement opportun. Les perturbations
occasionnées par les technologies de l'information ne sont pas que
négatives. Ces technologies sont au coeur de la quatrièmerévolution
industrielle et elles vont contribuer à l'amélioration des services publics.
La pandémie
actuelle fait, d'ailleurs, ressortir l'importance des sciences, des données et
de la technologie dans la gestion de
la crise. Elle accélère grandement la révolution numérique, ce qui, selon moi,
est une raison de plus pour modifier sans délai le cadre juridique.
Donc, ces technologies de l'information peuvent servir l'intérêt public.
Cependant, ces technologies posent aussi des
risques importants pour la vie privée. Les fuites de données ont touché, l'an dernier, 30 millions de
Canadiens. On parle de plus en plus de l'existence d'un capitalisme de
surveillance, cela quelques années après
l'affaire Snowden, qui identifiait, bien sûr, la surveillance de l'État. Plus
récemment, le scandale Cambridge Analytica a mis en lumière les risques
pour la démocratie. La télémédecine offerte en temps de pandémie comporte des avantages indéniables, mais, si elle
fait appel à des plateformes privées, il y a un risque pour la
confidentialité des renseignements de santé. L'éducation à distance amène des
risques semblables.
Il faut
moderniser les lois, entre autres, parce que la population ne croit pas que les
nouvelles technologies sont utilisées
d'une manière qui respecte leur vie privée. Des sondages du commissariat
révèlent qu'environ 90 % des Canadiens sont inquiets. La vie privée est une valeur fondamentale de nos sociétés
démocratiques et un droit protégé par la charte québécoise des droits et
libertés.
Selon nous, le
point de départ d'une réforme devrait consister à s'assurer que les lois de
protection des renseignements
personnels respectent le caractère fondamental de ce droit et le mettent en
oeuvre de façon moderne et durable.
En clair, les lois devraient autoriser l'innovation responsable, qui est dans
l'intérêt public et propre à
susciter la confiance, mais interdire les utilisations de la technologie qui
sont incompatibles avec nos valeurs et nos droits. C'est l'approche que j'ai
mise de l'avant dans mon rapport annuel de l'an dernier au Parlement fédéral,
qui comprenait une proposition détaillée de réforme des lois fédérales en
matière de vie privée. Plusieurs des propositions du projet de loi n° 64 vont dans ce sens.
Par exemple,
le projet de loi prévoit des dispositions encadrant le profilage et protégeant
le droit à la réputation. Il assujettit les partis politiques aux
dispositions de la loi sur le secteur privé. Le projet de loi n° 64
vise, entre autres, à accroître le contrôle
que les citoyens ont sur leurs renseignements personnels. Les règles concernant
le consentement sont donc bonifiées.
Je souscris à ces améliorations, ayant moi-même rehaussé, il y a deux ans, les
exigences prévues dans les lignes directrices du commissariat en matière
de consentement.
Mais il est capital de dire qu'en 2020 la
protection des renseignements personnels ne peut reposer que sur le consentement. Il n'est tout simplement pas
réaliste ou raisonnable de demander aux individus de consentir à toutes
les utilisations possibles de leurs données
dans une économie de l'information aussi complexe que celle d'aujourd'hui.
Le rapport de force est trop inégal. En fait, le consentement peut servir à
légitimer des usages qui, objectivement, sont complètement déraisonnables et
contraires à nos droits et valeurs et le refus de donner son consentement peut
parfois desservir l'intérêt public.
Le projet de
loi n° 64 prévoit certaines exceptions au consentement,
par exemple en matière de recherche ou lorsque les renseignements personnels sont utilisés à des fins compatibles aux
fins pour lesquelles ils ont été recueillis. Ce sont des pas dans la
bonne… dans la direction du réalisme, mais il faut faire attention. Par
exemple, l'exception pour les fins compatibles
pourrait être interprétée de façon très large, permettant toutes sortes
d'utilisations. C'est pourquoi il existe d'autres modèles de protection des données personnelles qui tiennent
compte des limites du consentement et qui cherchent par d'autres moyens
à réaliser à la fois l'atteinte de l'intérêt public et la protection de la vie
privée.
Le modèle
européen en est un exemple. En Europe, on permet l'utilisation des données
lorsqu'elle est nécessaire à l'exécution
d'une mission d'intérêt public ou aux fins des intérêts légitimes poursuivis
par une entreprise ou un organisme public dans le respect des droits
fondamentaux. Je note qu'au Québec une entreprise doit avoir un intérêt sérieux
et légitime pour recueillir des renseignements personnels.
• (16 heures) •
C'est une
notion proche des intérêts légitimes du droit européen. À mon avis, l'approche
européenne mérite d'être considérée
parmi d'autres. Ce qui compte, c'est que la loi autorise les utilisations des
données personnelles dans l'intérêt public,
les fins légitimes ou le bien commun à l'intérieur d'un régime fondé sur le
respect des droits. Ce régime devrait imposer
aux entreprises et aux ministères la transparence et l'obligation d'une responsabilité démontrable à l'organisme de réglementation.
Mon dernier
point, si j'ai quelques secondes, serait de vous dire l'importance de
l'interopérabilité des lois. Il est important que les données puissent
voyager, mais évidemment dans le respect des droits des citoyens.
Pardon, je mets un point important et capital,
en fait, qui est les pouvoirs de contrôle et de sanction. Alors, évidemment,
il n'est pas suffisant d'avoir des lois qui protègent bien la vie privée. Il
faut assortir ces lois de mécanismes d'application de la loi qui sont
rapides et efficaces. Dans plusieurs pays du monde, cela passe par l'octroi à
l'autorité administrative compétente de pouvoirs d'ordonnance et de sanctions
pécuniaires importantes.
Il est important de dire, surtout à
la lumière de certains témoignages que vous avez reçus, que de telles lois
ne visent pas à punir les contrevenants ou à les empêcher d'innover. Elles
visent à assurer une plus grande conformité, condition
essentielle à la confiance et au respect des droits. Il faut dire que plusieurs
entreprises et organismes prennent au sérieux leurs obligations à
l'égard des renseignements personnels, mais pas toutes.
Il est donc important
que les lois ne confèrent pas d'avantages aux contrevenants. Les sanctions
doivent être proportionnelles aux gains
financiers que peuvent réaliser les entreprises qui font fi de la vie privée.
Sans cela, les entreprises ne
changeront pas leurs pratiques. Les sanctions dérisoires seront un coût
qu'elles seront prêtes à absorber dans
la recherche du profit. Le caractère proportionnel des sanctions est aussi un avantage
pour les petites entreprises. Les dispositions
prévues, donc, en matière de contrôle et de sanctions dans le projet de loi n° 64 sont, à mon avis, excellentes, et il est
important, même primordial, qu'elles soient conservées.
Donc,
mon dernier point porte sur l'interopérabilité des lois. Cette interopérabilité
sert à faciliter et à réguler les échanges de données. Elle sert aussi à
rassurer les citoyens puisque les données sont protégées de semblable façon lorsqu'elles quittent nos frontières. Et enfin
elle sert les entreprises en réduisant les coûts reliés à la conformité.
Plusieurs intervenants vous ont mis en garde
contre l'adoption d'une loi qui serait plus stricte que le règlement
européen ou d'autres lois de notre zone économique.
À ce sujet, ma
suggestion serait de ne pas craindre d'utiliser le règlement européen, le RGPD,
comme source d'inspiration, mais d'éviter
d'aller au-delà de ce règlement, sauf si vous le jugez nécessaire,
le RGPD n'étant évidemment pas parfait. Si vous le voulez, il nous fera
plaisir d'élaborer sur ce point.
Donc,
en conclusion, je salue les efforts du Québec d'amener ses lois sur la vie
privée au XXIe siècle. D'autres juridictions ont aussi pris des initiatives dans ce sens, entre autres, l'Ontario et la Colombie-Britannique, mais vous montrez la voie. Espérons que
d'autres la suivront. En effet, il est urgent d'agir. Merci, M. le Président.
Le
Président (M. Bachand) : Merci infiniment, M. le commissaire. M.
le ministre, s'il vous plaît.
M. Jolin-Barrette : Oui, merci,
M. le Président. Bonjour, M. le commissaire. Merci de participer à nos travaux de la commission sur le projet
de loi n° 64.
Si
vous permettez, reprenons sur votre dernier point, en termes d'interopérabilité des lois. Les témoins
qu'on a eus, à date, surtout du
milieu des affaires, nous ont dit : Écoutez, faites bien attention, parce
qu'il faudrait attendre après le fédéral,
il faudrait attendre les autres juridictions canadiennes pour voir ce qu'elles
vont faire pour... avant d'avancer une réforme
ici, au Québec. Vous, de votre propos, vous dites : Non, montrez la voie,
agissez à titre de leaders pour protéger les renseignements personnels,
les données personnelles des Québécois. On ne devrait pas attendre, dans le
fond.
M. Therrien (Daniel) : Tout à fait. C'est sûr que l'interopérabilité est importante. C'est sûr qu'il faut vérifier ce que les voisins immédiats font. Mais, franchement,
ça fait six ans que je suis commissaire fédéral puis ça fait six ans qu'il n'y a
pas d'action à ce niveau-là, d'amélioration des lois. La dame qui m'a précédé,
Mme Stoddart, aussi, pendant plusieurs années, plaidait pour la
réforme des lois fédérales, et, jusqu'à présent, il n'y a pas eu de telle
réforme.
Alors,
il faut agir. Et d'ailleurs on voit certaines juridictions canadiennes,
l'Ontario, la Colombie-Britannique,
comme je le mentionnais, qui ont fait des pas. L'Ontario fait des
consultations. La Colombie-Britannique a eu des commissions parlementaires
avant que l'élection soit appelée. Et je crois qu'au gouvernement fédéral aussi on est à la veille d'avoir
un projet de loi. Il y a eu une charte numérique, comme vous le savez
sans doute, qui a été déposée il y a un
peu plus d'un an. Alors, je pense qu'il est tout à fait le temps d'agir.
M. Jolin-Barrette : Et donc, si on est plus ambitieux rapidement
au Québec, ça pourrait amener le gouvernement fédéral à être plus
ambitieux, lui aussi, sur la protection des ressources personnelles.
M. Therrien (Daniel) : C'est certainement une possibilité, oui. Et votre projet de loi est excellent.
De façon générale, c'est un excellent projet de loi.
M. Jolin-Barrette : Bien, écoutez, je vais... je l'apprécie. Merci de vos
commentaires. Je vais redonner à César ce qui est à César, par contre,
c'est l'équipe ici, Me Miville-Deschênes, M. Martin-Philippe Côté, et
surtout la ministre présidente du Conseil du
trésor, Mme la députée de Champlain, que je ne peux pas nommer ici, qui est l'auteure du
projet de loi. Alors, je vais lui partager vos commentaires et vos
félicitations.
En
ce qui concerne le contexte européen, donc, oui, on a des échanges avec
l'Europe. Cependant, est-ce qu'on est trop
collés sur le volet européen versus le contexte nord-américain, en termes de
partage d'informations, de données et de protection, ou vous nous
dites : Ça va, ce que vous incorporez de l'Europe, c'est une bonne idée?
M.
Therrien (Daniel) : Alors,
le Canada et le Québec, évidemment, ont des transactions commerciales et avec l'Europe et avec les États-Unis.
Les États-Unis sont un partenaire économique extrêmement important. Et on ne peut pas ignorer
ce que les États-Unis et le reste du Canada font, mais l'Europe
aussi est importante. Et ce que j'ai demandé au gouvernement fédéral depuis
quelque temps, et ce qui est très clair depuis quelques années, Cambridge
Analytica, d'autres scandales, les fuites de données, c'est que ce qui
est en jeu avec la protection de la vie privée, des renseignements personnels, ce sont les droits des citoyens.
Quand on regarde Cambridge Analytica, par
exemple, il y avait une
utilisation des renseignements personnels dans le but de changer...
d'influencer les gens à voter d'une façon ou d'une autre.
Alors, c'est des droits fondamentaux qui sont en
cause. Et une des raisons importantes, évidemment, pour laquelle le règlement
européen doit servir d'inspiration, ne pas faire de copier-coller, mais
d'inspiration, c'est que le règlement européen est fondé
sur la vie privée comme droit de la personne. Alors, je pense que... Et, au Québec, aussi, évidemment, la vie privée, la
protection des renseignements personnels, en vertu de la charte, en vertu du Code civil, est un droit de la personne. Donc, il y a des analogies en termes de droit et
de régime juridique qui font en sorte que de s'inspirer du droit
européen est important, mais évidemment sans oublier aussi le contexte
nord-américain.
M.
Jolin-Barrette : Vous avez
débuté votre allocution en disant notamment : 30 millions de Canadiens ont subi
des fuites de données l'an passé. Vous avez dit aussi : On est dans un
capitalisme de surveillance. Qu'est-ce que vous voulez dire?
M.
Therrien (Daniel) : Bien,
quand on regarde l'utilisation par les compagnies, puis surtout, mais pas
exclusivement, les grandes compagnies
américaines comme Facebook, Google, par
exemple, on voit que les données
personnelles des citoyens de différents pays sont utilisées pour des fins
de publicité, qui fait en sorte que ces contenus-là sont extrêmement
profitables. Donc, ce sont des compagnies qui sont à l'avant-garde de ce
capitalisme-là qui utilise les renseignements personnels
pour faire des affaires. Il n'y a pas de… Ce n'est pas un problème, que de
faire des affaires, mais il faut faire en sorte que le commerce fonctionne dans le respect des droits. Et la
surveillance des citoyens par Facebook, par Google, par la
géolocalisation, qui est une des questions qui est traitée dans le projet de
loi, doit être extrêmement réglementée.
• (16 h 10) •
M. Jolin-Barrette : O.K. On prévoit un encadrement des communications
de renseignements personnels avec l'extérieur
du Québec, et ça, ça va n'être possible qu'avec une analyse de risque, qui
inclut une analyse de la législation étrangère, et qui doit conclure que
la protection est équivalente. Quelle est votre position par rapport à ça si on
exige ça dans le projet de loi?
M.
Therrien (Daniel) : Alors,
je disais, à la fin de mon allocution, qu'il y a peut-être certains points où
je vous recommanderais de ne pas
aller plus loin que le RGPD, et, à cet égard-là, il est possible que le projet de loi n° 64 aille plus loin. Alors, c'est une bonne chose que le projet de loi n° 64 fasse
en sorte que les entreprises québécoises évaluent l'impact du transfert des données des Québécois à
l'extérieur du Québec. Ça, c'est une bonne chose, et c'est une chose qui
existe dans le règlement européen. Dans le
règlement européen, il y a différentes façons d'assouplir ces règles-là, par
exemple l'adoption de contrats types ou de
codes de conduite, par exemple, qui n'existent pas dans le projet de loi n° 64 et que je vous encouragerais à étudier pour, d'une part, s'aligner, mais surtout
ne pas assujettir les entreprises québécoises à des règles encore plus
strictes que le RGPD.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Saint-Jean, s'il
vous plaît.
M. Lemieux : …M. le Président.
Bonjour, M. le commissaire Therrien.
M. Therrien (Daniel) : Bonjour.
M.
Lemieux : Juste avant vous, on s'est fait dire que ce serait bien que
le projet de loi n° 64 soit plus explicite par rapport au consentement implicite. On l'a trouvée
bien drôle, mais, en même temps, il y a quelque chose là-dedans de fondamentalement intéressant, dans la mesure où le
consentement, dans le contexte actuel, et je pense que c'est moi qui le disais hier ou, en tout cas, on en a beaucoup
parlé hier aussi… Il faut aider les consommateurs à se protéger d'eux-mêmes,
dans le fond, tellement ça va vite. Vous,
vous êtes où dans le consentement? Vous êtes où dans le sens de… Est-ce qu'effectivement… Et l'exemple qu'on nous a servi
tout à l'heure, c'est : Je vais déposer un C.V. pour obtenir un
emploi, il n'y a plus d'emplois de
disponibles, mais on garde mon C.V., on conserve mon C.V. parce que c'est
implicite que, si j'ai déposé mon C.V., les informations qu'il y a là-dedans, j'étais d'accord pour les communiquer. Je n'ai pas eu la
chance de poser la question,
mais j'allais la poser et je vous la pose à vous. On le garde combien de temps?
Il est là, mon problème, moi.
M. Therrien (Daniel) : Alors, il y a,
d'une part, une question sur la conservation des documents. Donc, les documents
devraient être conservés uniquement pour la durée pour laquelle ils sont utiles
à l'entreprise. Et, s'il
n'y a plus d'emploi à offrir, l'entreprise ne devrait pas, généralement,
conserver les renseignements en question. Ça, c'est pour la conservation.
Pour le consentement, il y a une place pour le
consentement dans nos lois de protection des renseignements personnels, mais, avec l'économie axée sur
l'information qu'on a présentement et les politiques de vie privée extrêmement
longues qu'on voit, la vie privée, la
protection des renseignements personnels ne peut pas reposer que sur le
consentement. Alors, je suis d'accord avec
les dispositions du projet de loi qui viennent bonifier les conditions du
consentement, mais il faut absolument
prévoir d'autres façons de permettre l'utilisation des renseignements, et c'est
dans ce sens-là, entre autres, que le règlement européen peut être
utile.
M. Lemieux :
Bien, justement, je voulais revenir sur le règlement européen, parce que vous
venez de dire au ministre : Attention,
c'est bien de s'aligner sur les Européens, mais, un jour, il va falloir aller
plus loin, ou, en tout cas, j'espère,
parce que, comme vous dites, on est entrés finalement dans la modernisation de
tout ça, mais, un jour, il va falloir continuer de s'ajuster. Puis vous en parliez avec
le ministre, au sens de dire : Vous en demandez plus, pour l'instant,
en tout cas, là, on verra ce que le projet de
loi devient, mais vous en demandez plus dans la mesure où il n'y a pas nécessairement des ententes contractuelles et les
autres possibilités d'aller plus loin, d'aller plus vite que juste de
faire… Et c'est beaucoup demandé aux
entreprises québécoises de faire l'analyse des risques. Donc, comment vous
proposez ou comment vous voyez, vous
envisagez la suite des choses? Si on fait juste s'aligner avec les Européens,
on est toujours à leur remorque, on
s'entend au fur et à mesure pour, tout le monde, remonter un peu le niveau?
Comment ça va fonctionner?
M.
Therrien (Daniel) : Comme je pense l'avoir dit, le règlement européen
n'est pas parfait, évidemment. Et la raison
pour laquelle je vous suggère humblement de ne pas aller plus loin que le
règlement européen, puis, généralement, il pourrait y avoir des exceptions, c'est que des entreprises québécoises
ne devraient probablement pas être désavantagées par rapport à d'autres entreprises en ayant des exigences, des
obligations plus restrictives que ce qui est déjà ce qu'on appelle le «gold standard», la norme
internationale, qui est le règlement européen.
En grande partie, c'est pour des raisons de compétitivité que je vous suggère de ne pas aller plus loin que le
règlement européen, et, comme je le dis, le règlement européen n'est pas
parfait.
Et,
par exemple, il y a un concept très intéressant dans le projet de loi n° 64, qui est de traiter de la vie privée dès
la conception et de faire en sorte que les entreprises, lorsqu'elles essaient
de colliger des renseignements, utilisent des paramètres
qui protègent le mieux possible la vie privée, d'avoir le plus haut standard
possible pour protéger la vie privée dans
la collecte des renseignements. Le règlement européen ne va pas aussi loin que
ça. Sur ce point-là, je vous encouragerais à aller plus loin que le règlement européen, parce qu'il n'y a pas de problème à demander, de
façon générale, que, quand les compagnies colligent les renseignements,
les paramètres soient à ce niveau-là. Si une compagnie veut convaincre un consommateur de lui remettre ses renseignements de
façon… pour d'autres raisons qui n'atteindraient pas cette règle-là, que
la compagnie convainque le consommateur de
le faire, mais, à défaut, que les paramètres soient toujours ceux qui
protègent le mieux la vie privée, ça me
semble une bonne idée du projet de loi n° 64 qui ne se retrouve pas dans
le règlement européen.
M.
Lemieux : Est-ce qu'il y a… Quand on regarde… Puis ça a été la
première question qui vous a été posée, mais je veux revenir dessus un
petit peu. Par rapport à la capacité de la loi québécoise et des autres lois
canadiennes et provinciales au Canada, l'interopérabilité, est-ce qu'il y a un
moment où il y a une espèce de… pas un vide, mais une complication supplémentaire pour, entre autres, les compagnies, pour qui
vous nous dites qu'à l'étranger ça peut devenir lourd? Est-ce qu'il va y avoir une sorte de flou au début, selon vous,
ou c'est tellement proche et on parle tellement de la même chose, peut-être différemment, qu'au final ça
ne sera pas un problème de l'opérationnaliser? C'est ce que vous avez
dit tantôt. Je voudrais comprendre plus comment ça va s'opérationnaliser.
M.
Therrien (Daniel) : C'est une question à 6 millions de dollars,
probablement, là. Le concept d'adéquation, dans le projet de loi
québécois, ce qui existe déjà en droit européen, c'est un exercice extrêmement
complexe de comparaison des lois. Alors,
non, les lois ne sont pas toutes pareilles. Et il peut y avoir un régime qui
n'est pas adéquat par rapport à un
autre pour des aspects importants des lois. Par exemple, si, dans un pays, le
tribunal administratif a des
pouvoirs d'ordonnance et de sanction
administrative, et que, dans un autre, ces moyens-là n'existent pas, il se peut
très bien que dans… le deuxième pays ne soit pas adéquat par rapport aux
lois de la première.
Donc,
dans l'état actuel des choses, la CAI a des pouvoirs d'ordonnance que… Le projet de loi prévoit que la
CAI pourrait imposer des sanctions
administratives, des pouvoirs que je n'ai pas. Ce sont des différences
importantes, mais je ne pense pas que
ça devrait vous empêcher d'adopter un projet de loi qui va plus loin que les
autres juridictions canadiennes, essentiellement, parce que j'espère et
je pense que les autres juridictions vont vous rejoindre.
M.
Lemieux : On revient encore au même principe que j'énonçais tout à
l'heure : On fait comment à l'avenir… À partir du moment où on a pris un peu d'avance, les autres nous
rejoignent, comme vous venez de suggérer qu'il va se passer. Pourquoi on règle ça tout le temps en allant le
plus loin possible? Est-ce que vous, vous considérez que ce qu'on a...
Puis vous avez dit : Par rapport à l'Europe, on est à la limite, là, mais,
par rapport au reste du Canada, on est loin devant, en tout cas, loin devant
vous, si j'ai bien compris ce que vous venez de me dire.
M.
Therrien (Daniel) : Le projet de loi n° 64
va certainement beaucoup plus loin que la loi fédérale actuelle, mais
j'ai bon espoir que la loi fédérale va être modifiée pour rejoindre… Est-ce que
ça va rejoindre tout à fait le projet de loi n° 64?
Je l'espère, mais je n'en suis pas certain.
M. Lemieux :
Merci, M. Therrien.
Le
Président (M. Bachand) : Merci, M. le commissaire. M. le député
de LaFontaine, s'il vous plaît.
• (16 h 20) •
M. Tanguay :
Pour combien de temps, M. le Président?
Le
Président (M. Bachand) : Je vais vous dire ça dans quelques
secondes sur mon temps. 13 min 36 s.
M.
Tanguay : Parfait, merci beaucoup, M. le Président. Bonjour, M.
Therrien. Merci d'être avec nous pour discuter du projet de loi n° 64 et de ses enjeux très importants de protection des
renseignements personnels et de la vie privée.
Vous faites bien de mentionner, dans
votre… d'entrée de jeu, là, dans votre intervention, 90 % des
Canadiens sont inquiets, une statistique qui m'a frappée. 30 millions de
Canadiens, l'an dernier, ont été touchés par des fuites de données. Alors, c'est nettement substantiel.
J'aimerais vous entendre sur... Dans mon rapport de l'an dernier… Je
vous cite, page 2 : «Dans mon
rapport de l'an dernier au Parlement, je recommandais que le caractère
fondamental du droit à la vie privée
soit reconnu dans les principes et l'énoncé d'objet des lois fédérales
régissant les secteurs public et privé.» Donc, vous nous suggérez, si je comprends bien, d'inscrire ça dans la loi...
le projet de loi n° 64. Nous recommanderez-vous de l'inscrire
ailleurs dans une autre loi? Et pourquoi c'est important, cet énoncé de
principe?
M.
Therrien (Daniel) : Comme je le disais tantôt, ce que l'histoire des
dernières années démontre,
Cambridge Analytica, entre autres, mais
d'autres scandales dans l'utilisation des renseignements personnels, c'est que
les droits de la personne, des citoyens,
dont la démocratie… Le droit à l'égalité est en cause par l'intelligence artificielle, par
exemple. Alors, ce qui est en cause, d'une
part, les technologies donnent des avantages importants, qu'il faut
continuer à privilégier, mais dans le
respect des droits. Les droits ont été violés, ces dernières années, par la
collecte des renseignements personnels. Alors, c'est le problème fondamental. Il faut que ça, ça soit
reconnu dans les lois. Le Québec,
qui… est déjà en
avant par rapport, certainement, à la loi fédérale dans ce sens-là, en
ce que le droit à la vie privée est déjà reconnu par la charte québécoise. Le
droit… Le Code civil parle aussi de l'importance de la vie privée.
Alors,
certainement, dans le contexte fédéral… Dans le contexte fédéral, la protection
des renseignements personnels, présentement, c'est plus une question de
régulation économique, d'équilibre entre la protection de la vie privée… mais aussi de promouvoir l'utilisation des
renseignements pour des fins économiques. Et la question des droits de la personne n'entre pas vraiment en jeu dans la
loi, par exemple, de la vie privée, pour ce qui est du secteur privé, au
niveau fédéral. Dans ce contexte-là, il est
particulièrement important d'indiquer dans une nouvelle loi fédérale que la vie
privée est un droit fondamental.
Au Québec, encore une
fois, il y a déjà des actions qui ont été prises, mais je recommanderais… Et je
crois, d'ailleurs, que la commission
québécoise des droits de la personne, il y a quelques années, a recommandé que,
dans le préambule des lois
québécoises sur la protection des renseignements personnels, l'importance de la
vie privée, comme droit fondamental,
comme droit de la personne, soit explicitement reconnue, ce qui pourrait avoir
comme conséquence d'être utile à
l'interprétation des textes de loi dans le détail. Alors, c'est un peu pour ça
que je recommande que la vie privée et que la protection des
renseignements personnels soient mentionnées en termes d'objectifs des lois sur
la protection des renseignements personnels.
M.
Tanguay : Et, si c'était le cas, de façon plus claire aussi,
juridiquement, dans un débat judiciaire, ça permettrait, s'il y avait...
si l'on plaidait puis on avait gain de cause qu'il y a eu infraction ou
violation d'un droit ou d'une liberté fondamentale
en vertu de la charte québécoise, il y aurait lieu, à ce moment-là, de
demander, qui plus est, des dommages-intérêts,
des dommages punitifs, ce qui pourrait aussi ajouter aux signaux qui seraient
envoyés aux récalcitrants.
M.
Therrien (Daniel) : Vous y vous connaissez mieux dans l'application de
cette loi-là que moi. Mon objectif, ça serait
plus dans l'interprétation d'un concept, par exemple, du consentement éclairé. Alors, la loi parle de consentement éclairé. Si cette notion-là apparaît dans une loi
dont un des objectifs est de reconnaître la vie privée comme droit de la
personne, le concept de consentement éclairé risque d'être interprété à la lumière de
l'importance du droit en question.
M. Tanguay : Ce qui est particulièrement intéressant… de vous avoir, M. Therrien, c'est votre regard, évidemment, pancanadien. On a eu, d'entrée de jeu, le Directeur général des élections,
qui nous a fait référence... qui a fait référence à ce qui se passe en Colombie-Britannique
en ce qui concerne l'application du régime des entreprises privées aux partis politiques.
Vous soulignez, dans votre document :
Il assujettit... Vous soulignez le fait que le projet de loi n° 64
assujettit les partis politiques aux
dispositions de loi sur le secteur privé. Donc, on a le cas de l'exemple de la
Colombie-Britannique. J'aimerais
savoir, au niveau fédéral, quel régime, s'il y en a un, peut-être pas, je ne le
sais pas, vous allez nous le dire, encadre les partis politiques à ce
chapitre.
M.
Therrien (Daniel) : Alors, les partis politiques fédéraux ne sont pas
assujettis aux lois sur la protection des renseignements personnels. Il y a certaines dispositions, que je
qualifierais de basiques, sur l'obligation des partis politiques d'avoir des registres et… Il y a des obligations
extrêmement minimalistes, mais, de façon... Les partis politiques, donc,
ne sont pas assujettis aux lois sur la
protection des renseignements personnels au fédéral ni, d'ailleurs, dans aucune
province, à part la Colombie-Britannique.
M. Tanguay :
Et quelle est votre idée… De façon un peu plus précise, vous semblez, donc,
saluer l'approche préconisée par le
gouvernement ici, à Québec, dans le projet de loi n° 64, d'assujettir les
partis politiques provinciaux au régime
des entreprises privées. J'aimerais avoir votre idée là-dessus. Ne trouvez-vous
pas qu'il y aurait lieu de faire une distinction…
entreprise privée à vocation de faire des profits versus, dans notre
démocratie, des partis politiques qui doivent rejoindre, communiquer, parler à la population — c'est l'objectif central et ultime d'un
parti politique — et, à la
limite, faire une analogie en disant :
Bien, écoutez, on a déjà mis des atermoiements pour des organismes qui
exercent, pour des fins d'études, de
recherches, de production statistique… On ne leur a pas... Là, dans ces cas-là,
on extensionnait le consentement. Alors, j'aimerais vous entendre
là-dessus, sur l'à-propos de faire copier-coller entreprise privée, parti
politique, dans le contexte démocratique et de leur mission très particulière.
M.
Therrien (Daniel) : Le
copier-coller, je ne suis pas nécessairement... Je ne pense pas que c'est nécessairement
la seule solution. Laissez-moi revenir en
arrière un peu. Alors, je dirais, l'utilisation de renseignements personnels
pour des fins d'influence des opinions politiques
est certainement un sujet de préoccupation. Cambridge Analytica en est
un exemple.
Donc,
selon moi, les communications aux fins politiques devraient faire l'objet d'une réglementation.
Vous avez raison. En tout cas, vous laissez entendre que le contexte
n'est pas le même entre les compagnies privées et les partis politiques, et effectivement le contexte n'est pas
le même. Et, dans le contexte de l'utilisation des renseignements par
des partis politiques, il y a une question d'exercice de droits fondamentaux
qui est importante.
Alors,
je n'ai pas de recommandation extrêmement pointue sur : est-ce que le
régime du secteur privé est le meilleur pour les partis politiques? Ce que je vous suggère, c'est que ça prend
une réglementation des partis politiques pour ce qui est de leur
utilisation des renseignements personnels. Et j'ajouterais, en terminant, que
je pense que mon collègue, le directeur fédéral des élections, devrait faire
des recommandations sur ces questions-là d'ici peu.
M. Tanguay :
Ah! c'est intéressant.
M.
Therrien (Daniel) : Alors, je ne suis pas un expert dans le domaine
des élections. Donc, réglementation des partis politiques, quelle
devrait être la réglementation exactement, je ne prétends pas être un expert
là-dessus.
M.
Tanguay : O.K. Bien, j'en déduis, puis détrompez-moi si j'ai
tort, que vous avez probablement été consultés dans cette préparation-là
par le directeur d'Élections Canada.
M. Therrien
(Daniel) : Oui.
M.
Tanguay : J'aimerais, s'il vous plaît, que vous explicitiez…
page 3, le troisième paragraphe de votre document, donc, à la
page 3, troisième paragraphe, on peut y lire : «Le projet de loi n° 64 prévoit certaines exceptions au consentement, par
exemple en matière de cherche ou lorsque les renseignements personnels sont
utilisés à des fins compatibles aux fins
pour lesquelles ils ont été recueillis. Ce sont des pas dans la direction d'un
plus grand réalisme, mais il faut faire attention. Par exemple,
l'exception pour les fins compatibles pourrait être interprétée de façon très
large, permettant toutes sortes d'utilisations.»
Votre
mise en garde est claire. Avez-vous des exemples auxquels vous pensiez,
peut-être, en écrivant cela? Et pouvez-vous
nous dire, donc, quels dangers auxquels... À quels dangers faites-vous
référence? Et quelle serait, dans un deuxième temps, la façon d'endiguer
ça, pour nous?
• (16 h 30) •
M.
Therrien (Daniel) : Oui. Alors, par exemple, il y a une disposition de
la loi fédérale dans le secteur
public qui utilise cette notion-là de fins
compatibles. Et donc un ministère fédéral peut colliger des renseignements pour la
fin a et prétendre que la fin b est
compatible. Ce qu'on a vu, c'est que, par
exemple, il y a des ministères
qui disaient : Tout ce qui relève
de l'application de notre loi est une fin compatible, tout notre mandat, on
collige un renseignement, on fait un x, ensuite on peut l'utiliser pour
toute autre fin qui relève de notre mandat.
Un exemple dans le
secteur privé. On voit souvent le concept qu'une compagnie privée va obtenir
des renseignements pour une fin précise x
et, ensuite, va dire : Est-ce
que vous nous donnez le consentement
pour que ça soit utilisé pour
améliorer le service à la clientèle? Alors là, on a encore une fois une
définition extrêmement large d'une fin secondaire des
renseignements, et fin compatible peut être interprété de façon aussi large que
ça.
Alors,
le défi, c'est qu'il faut être capable de permettre une utilisation pour des
fins assez larges pour que ça rejoigne l'intérêt
public ou des intérêts légitimes des compagnies ou des ministères.
Donc, c'est nécessaire, dans l'économie et dans l'industrie
technologique d'aujourd'hui, d'avoir des fins assez larges, mais d'une façon
qui… où les droits de la vie privée soient
pris en compte, d'où l'intérêt du règlement
européen, d'où l'intérêt de considérer la vie privée comme étant un
droit de la personne.
Donc, si vous
utilisez les fins compatibles comme un moyen pour permettre aux entreprises et
aux ministères d'utiliser des renseignements
pour des fins autres que celles premières, ce n'est pas nécessairement une
mauvaise chose, dans la mesure où la
loi oblige la personne qui veut utiliser les renseignements à tenir compte de
l'impact sur la vie privée. Et, quand
on regarde le projet de loi n° 64 tel qu'il est rédigé présentement, on
parle de fins compatibles sans qu'il y ait de prise en compte de la
protection des droits de la personne.
M.
Tanguay : Pour les quelque 30 secondes, ou un peu plus,
qu'il me reste, j'aimerais vous entendre… Là, je vais un pas en arrière, là, je suis très, très, très général, sans dire, l'affirmation
serait trop forte, que, justement, parce que l'on parle de la vie privée, droits fondamentaux, on ne
devrait pas permettre que soient vus certains types de renseignements très sensibles, qui participent de la vie privée,
comme étant commerciables, ne trouvez-vous pas qu'il y aurait lieu
d'avoir une réflexion sur retirer de l'approche mercantiliste certains
types de données puis de faire en sorte… sans dire, là, qu'elles ne pourraient pas être vendues, comme certains
objets de culte, là, mais ne trouvez-vous pas qu'il y a peut-être une
approche philosophique, un questionnement qu'on devrait avoir, collectivement,
là-dessus?
M.
Therrien (Daniel) : Ce qui se rapproche le plus de ça, probablement,
c'est la biométrie, la reconnaissance faciale,
par exemple. Alors, il y a des renseignements extrêmement sensibles qui ne peuvent
pas être changés. On peut changer notre mot de passe quand on fait affaire avec une entreprise,
mais on ne peut pas changer notre iris ou notre visage. Alors, si ces données-là sont... font l'objet de
piratage, par exemple, alors là c'est fini, personne ne peut plus
vraiment protéger sa vie privée.
Donc, on
parle de renseignements extrêmement sensibles. Est-ce que certaines de ces
données-là devraient être sorties du champ du commerce? Je n'irais pas
nécessairement jusque-là. Je privilégierais quand même une approche
contextuelle, qui ferait en sorte que, dans ces contextes-là où les
renseignements sont particulièrement sensibles, la réglementation devrait être extrêmement pointue; de prohiber
complètement, peut-être, mais, disons, je n'irais pas nécessairement
jusque-là.
Le Président (M.
Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous
plaît.
M.
Nadeau-Dubois : Bonjour, M. le commissaire. J'ai envie de prendre la
balle de mon collègue de l'opposition officielle au bond et de
poursuivre la réflexion avec vous sur cette question-là, parce que ce que vous
avez dit sur le consentement… Vous avez
résumé de manière très élégante quelque chose que j'essaie moi-même de dire
depuis quelques jours, c'est-à-dire
que la question du consentement… On ne peut pas baser l'ensemble de notre
approche sur le consentement parce
qu'il y a beaucoup trop de situations où ce consentement est fragile, voire
illusoire. Vous avez parlé de rapport de forces inégal. Je pense que
c'est une manière très intéressante de le présenter.
À la page 3
de votre… de la déclaration écrite que vous nous avez fournie, vous concluez…
Donc, suite... après nous avoir dit
que le consentement, ça ne pouvait pas être l'alpha et l'oméga de notre
approche en matière de protection des
renseignements personnels, qu'en s'inspirant de l'Europe on mériterait de
considérer une approche où on demande aux
entreprises de justifier pourquoi elles veulent collecter certains
renseignements, quitte à ce qu'on dise qu'il y a certains renseignements qui sont... qu'on ne peut pas
récolter, concrètement, dans une loi comme le projet de loi n° 64, de quoi pourrait avoir l'air une telle limitation?
M. Therrien (Daniel) : Une limite
qui viendrait carrément interdire certaines pratiques?
M. Nadeau-Dubois : Oui.
M. Therrien (Daniel) : Alors, ce qui
me viendrait en tête, c'est la surveillance. Quelle est l'essence de la vie privée? C'est de pouvoir vivre et, dans un monde
technologique, consulter des renseignements, s'informer de façon libre
de surveillance de la part des entreprises
ou du gouvernement. Alors, quand on parle de surveillance pure, on se
rapproche pas mal, je pense, d'une pratique
qui pourrait être interdite carrément. Et il y a certaines pratiques
commerciales de reconnaissance faciale, par exemple, qui se rapprochent
de très près du type de pratiques qui devraient probablement être interdites
complètement.
M. Nadeau-Dubois :
Des applications ou des logiciels, par exemple, qui… à partir du moment où on
l'installe une première fois puis qu'on
donne un premier consentement, au moment où on coche sans lire — c'est ce que les données disent — le
contrat d'utilisation, et qui, suite à ce premier consentement-là, enregistrent
et conservent la totalité de l'activité
qu'on fait sur l'application ou l'appareil en question, est-ce que ça, c'est le
genre de pratique commerciale qui pourrait
être interdite puisque c'est une forme de surveillance? Dans le fond, on
consent une fois, puis tout est enregistré, tout est conservé, tout ce
qui est conservable et tout ce qui peut être enregistré l'est.
M. Therrien (Daniel) : C'est
difficile de parler d'une interdiction totale dans un monde où le contexte est important. Alors, une des réalités du monde
technologique, y compris de l'économie numérique, c'est qu'il y a une
valeur indubitable qui vient avec les données personnelles. On est capables...
Prenons un
cas patent de recherche médicale. Alors, l'État et des compagnies, par exemple,
pharmaceutiques ou de services
médicaux vont colliger des renseignements au sujet de patients normalement pour
offrir un traitement précis, mais, dans
la collecte de ces renseignements-là, peuvent mettre ces renseignements-là avec
d'autres pour faciliter une recherche qui va servir le bien commun.
Alors, le
fait que des renseignements soient colligés ou mis ensemble, ça peut, à prime
abord, avoir l'air assez distant de
la fin première pour laquelle les
renseignements ont été colligés, mais je ne pense pas que ce serait une
bonne idée d'interdire ce genre de mise en commun de ces renseignements-là dans
la mesure où ça sert le bien commun.
M. Nadeau-Dubois : Donc, il
faudrait trouver des critères, puis, selon les contextes… D'accord.
Le Président (M.
Bachand) : Malheureusement, sur ce, M. le
député de Gouin, je suis désolé...
M. Therrien (Daniel) : Essentiellement,
oui.
Le
Président (M. Bachand) : Sur
ce, M. le commissaire, je vous remercie infiniment de votre
participation à la commission. Ça a été plus qu'intéressant.
Et la commission suspend ses travaux quelques
instants. Merci, M. le commissaire.
(Suspension de la séance à 16 h 39)
(Reprise à 16 h 45)
Le
Président (M. Bachand) : À
l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il
nous fait plaisir d'accueillir le
Pr Pierre-Luc Déziel. Alors, comme vous savez, Pr Déziel, vous avez
10 minutes de présentation, et, par
après, nous aurons un échange avec les membres de la commission. Alors, très
heureux de vous revoir à la Commission des institutions et la parole est
à vous.
M. Pierre-Luc Déziel
(Visioconférence)
M. Déziel
(Pierre-Luc) : Ça me fait
plaisir. Merci beaucoup, M. le
Président, M. le ministre, Mmes et MM. les députés.
Alors, bonjour. Laissez-moi d'abord vous remercier de l'invitation. Je suis
très heureux d'être avec vous aujourd'hui. C'est un véritable plaisir et
honneur de venir discuter avec vous du projet de loi n° 64.
Alors, mon nom est Pierre-Luc Déziel. Je
suis professeur à la Faculté de droit de l'Université Laval. Je suis également coresponsable de l'axe droit,
cyberjustice et cybersécurité, de l'observatoire international sur les impacts
sociaux de l'IA et du numérique. Et je suis
également impliqué, dans mes activités de recherche, dans un certain nombre de
projets de recherche interdisciplinaires
avec différents collègues des facultés de médecine, en santé publique, en génie
informatique, en intelligence artificielle, donc, impliqué dans un certain nombre de projets
de recherche qui nécessitent l'utilisation de différents jeux de données
qui comprennent des renseignements personnels.
Donc, la
perspective que je vais adopter aujourd'hui est vraiment une perspective de recherche.
J'entends souligner certains des
aspects du projet de loi n° 64 qui portent plus précisément sur l'utilisation
des renseignements personnels
à des fins de recherche. Donc, je crois qu'une des intentions du législateur
qui est très claire à la lecture du projet de loi n° 64… une de ces
intentions-là est de faciliter l'accès et de faciliter la circulation des renseignements
personnels dans un contexte de recherche.
Alors, dans une perspective où le gouvernement
du Québec amorce un grand projet
de transformation numérique et qu'il mise
sur la valorisation des données, je crois que c'est une intention qui est tout à fait louable et qui mérite d'être
saluée.
Néanmoins, je crois aussi que le projet de loi
comporte certains éléments qui sont problématiques en termes de recherche. Il y en a quelques-uns, mais je vais
me concentrer sur un de ces éléments-là. Nous aurons très certainement l'occasion de revenir sur d'autres de ces éléments
au cours de la période de questions, mais je veux me concentrer sur un
des éléments qui me paraissent
particulièrement importants, et c'est celui de l'attribution des autorisations
de recherche pour l'utilisation des renseignements personnels, donc, à des fins d'étude, de recherche et de
statistiques, donc, la manière dont les
chercheurs, dans un écosystème qui favorise la recherche, peuvent avoir accès à
des renseignements personnels
pour conduire une recherche de pointe.
Dans le
modèle actuel, les chercheurs qui veulent obtenir des renseignements personnels à des fins de recherche, sans avoir à passer par le consentement individuel
qui peut être difficile à obtenir ou impraticable, doivent obtenir une autorisation auprès de la Commission d'accès à l'information. Une fois que cette autorisation-là est obtenue,
ils doivent aller voir les organismes publics ou les entreprises pour
obtenir les renseignements personnels.
Donc, une des
critiques principales de ce modèle-là est celle de la multiplication des
autorisations et les délais importants
que ces autorisations-là peuvent encourir pour l'accès aux données dans
des fins de recherche, donc, multiplication
des autorisations, parce
que les chercheurs vont normalement avoir à aller chercher une autorisation
du comité d'éthique à la recherche de leur institution, vont passer à travers souvent des
processus rigoureux d'évaluation de leur protocole de recherche par les pairs, vont avoir à aller chercher
l'accord des organismes ou des entreprises aussi pour obtenir ces
renseignements personnels là, donc, et une autorisation auprès de la CAI.
Donc, ça peut
engendrer des délais qui sont particulièrement importants. Il y a une
multiplication des procédures qui
sont en place. Et je tiens à attirer votre attention ou vraiment souligner que
ces délais-là ne sont pas uniquement dans une perspective d'inconvénients. Il y a un impact réel sur la recherche.
C'est-à-dire que plusieurs des projets de recherche qui sont conduits au Québec et qui sont subventionnés
sont subventionnés pendant trois ou quatre ans, et la première année de ces projets-là va souvent être consacrée à remplir
ces formulaires-là, ces formulaires d'autorisation, et à attendre
d'avoir accès aux données.
Il y a
plusieurs étudiants qu'on peut aller chercher, qu'on peut aller recruter au
niveau international. On les amène au
Québec. On les amène dans les universités, dans les facultés. Ils entament un
processus de recherche, de mémoire à la maîtrise ou de doctorat et ils passent les premiers temps de leurs
études à simplement attendre de pouvoir recevoir les données. Et donc ce
n'est pas juste un inconvénient. Il y a des enjeux réels pour l'attractivité
des étudiants au niveau international, la diplomation, mais aussi l'avancement
et la compétitivité de l'écosystème de recherche au Québec.
Donc, une des
solutions qui est apportée par le projet
de loi n° 64, qui est une
solution intéressante, mais qui, à mon sens, comporte aussi un certain
nombre de problèmes, c'est de couper l'intermédiaire que représente la CAI,
donc, d'évacuer la CAI de ce processus d'autorisation là et de favoriser
l'échange ou le dialogue entre les chercheurs et les organismes publics ou les
entreprises auprès desquelles ils vont aller chercher les renseignements personnels.
• (16 h 50) •
Donc, l'objectif
derrière tout ça, c'est d'accélérer les choses, de favoriser le partage, de faire en sorte qu'on aille plus vite, donc,
de réduire ces délais-là, et c'est quelque
chose de très important. Donc, on
parle, par exemple, de l'article 125 de la loi sur l'accès qui est supprimé. On le
remplace par les articles 65.0.1 à 65.0.3 de la loi sur l'accès. Les
articles 12 et 21 de la loi sur le privé qui sont modifiés aussi.
On ajoute les articles 21.0.1 et 21.0.2 de la loi sur le privé. Donc, le but est de faciliter
l'accès aux données de recherche, d'accélérer les processus,
mais, à mon sens, au final, et c'est, je crois, ce que le milieu de la recherche craint, c'est qu'on va, en fait,
déplacer le problème. On va déplacer le problème, c'est-à-dire
qu'on va imposer d'autres délais, et ce, pour deux raisons.
La première,
c'est qu'il y a une crainte, en fait, de la multiplication des interprétations des critères qu'on va trouver dans
la loi. Donc, jusqu'à présent, on avait la Commission d'accès à l'information qui fournissait l'interprétation unique
des différents critères qu'on trouve dans la
loi. Donc, ce qu'on peut craindre maintenant, c'est qu'en l'évacuant les
chercheurs soient amenés à dialoguer avec
différents organismes, différentes entreprises qui, eux, vont interpréter de
manière différente ces critères qu'on va trouver dans la loi.
Donc, il y
aura peut-être un problème d'uniformisation, d'application ou de
l'interprétation de la loi, un problème de prévisibilité aussi des effets de la loi. Et donc les chercheurs vont
être dans une situation où ils vont devoir se familiariser avec ces différentes interprétations là. Ils ne
vont pas savoir, si une demande passe à un endroit, pourquoi est-ce qu'elle
est refusée dans un autre endroit. Donc, ça peut entraîner des délais qui sont
supplémentaires.
Le deuxième
point, qui est particulièrement important, à mon sens, c'est l'idée que les
chercheurs seront… auront maintenant
l'obligation de conduire les évaluations sur le facteur relatif à la vie
privée. Ces évaluations-là, elles sont des évaluations qui sont longues, qui sont fastidieuses, qui sont complexes,
qui demandent un haut niveau de connaissances et d'expertise qui, dans certains cas, vont peut-être manquer aux
chercheurs. De plus, les trois conseils fédéraux, trois organismes subventionnaires fédéraux, ont
comme ambition d'imposer aux chercheurs de développer des plans de
gestion de leurs données.
Donc, ce
qu'on voit à travers tout ça, c'est qu'en fait on essaie d'accélérer les
choses, mais on remplace par d'autres mécanismes
qui vont peut-être encore une fois ralentir les choses. Et, à mon sens, à mon
avis, le problème, en fait, n'est pas la
CAI qu'on essaie de… ou la Commission
d'accès à l'information qu'on essaie
d'écarter de ce processus-là. Le problème, à mon sens, c'est le niveau à travers lequel on va exercer le contrôle.
Donc, le contrôle, à quel niveau on va l'exercer?
Et,
présentement, dans le modèle actuel, mais dans le modèle qui est proposé aussi,
le contrôle s'exerce à la pièce, dans
une manière très granulaire, c'est-à-dire projet par projet. Donc, un chercheur
qui va avoir cinq, 10, 15 projets de recherche, et c'est des choses
qu'on voit très bien dans les grands centres de recherche ou dans les grandes
chaires de recherche, va devoir faire cinq,
10, 15 fois ces différentes autorisations là, cinq, 10, 15 fois ces
évaluations de facteurs relatifs à la vie privée.
Donc, à mon
sens, la solution idéale ou une solution qui serait envisageable ne serait pas
d'exercer un contrôle au niveau des
projets de recherche, mais d'exercer un contrôle au niveau des chercheurs en
tant que tels, et c'est quelque chose qu'on va retrouver ailleurs au
Québec, au Canada aussi. On pourra en parler un petit peu plus tard. Mais donc
l'idée d'exercer ce contrôle au niveau des chercheurs pourrait se décliner en
quatre temps.
Donc, dans un premier temps, ça serait de ne pas
attribuer des autorisations d'utilisation des renseignements personnels à des fins de recherche seulement pour
des projets de recherche, mais d'habiliter des chercheurs à pouvoir
utiliser des renseignements personnels dans
un contexte de recherche, pour une programmation de recherche et non pas pour
un protocole de recherche particulier. Ce
serait de rendre ces chercheurs-là imputables, de les former, de les
accompagner. Je crois que mon collègue, le
Pr Vincent Gautrais, vous parlait d'accompagnement, donc, de les former, de les
accompagner, d'auditer leurs pratiques, d'auditer…
Donc, dans le
projet de loi, on parle d'élaborer des politiques
de gestion des données, des plans de gestion des données, donc, d'auditer leurs pratiques et d'auditer leurs politiques
sur une base régulière. La CAI pourrait faire ce travail avec les ressources
adéquates… et d'assurer une traçabilité des données dans un écosystème qui
favorise un mode de gestion collective des données de recherche.
Alors, peut-être,
s'il me reste un peu de temps… Je vous ai dit qu'il y avait certains
exemples. Ce n'est pas un modèle qui
est particulièrement ou radicalement novateur. C'est des choses qu'on voit ailleurs.
En Ontario, par exemple, il y
a l'ICES, donc, l'Institute for Clinical Evaluative Sciences, qui, en fait,
fédère différentes banques de données sur la
santé, qui va chercher ces données-là auprès des hôpitaux, auprès des laboratoires, auprès des cliniques, et va, en
fait, permettre l'accès à ces données-là à différents chercheurs.
Les
chercheurs doivent obtenir une autorisation préalable en fonction de leur
compétence, de leur programmation de
recherche, ou obtenir une autorisation qui est provisoire, vont être audités
sur une base régulière. Mais, une fois que le chercheur est authentifié,
est jugé comme pouvant... a l'autorisation d'utiliser ces renseignements personnels
là, il a beaucoup plus de flexibilité,
beaucoup plus d'agilité pour évoluer dans l'écosystème. ICES est régulièrement
audité au niveau macro par le
Commissaire à l'information et à la protection de la vie privée de l'Ontario,
donc, le penchant de la CAI, et attribue ces autorisations à des
chercheurs qui sont compétents.
On a aussi certains exemples, dans une certaine
mesure, ou certains précédents en droit québécois. La Loi concernant le partage
de certains renseignements de santé, par exemple, institue ce genre de mode de
circulation de l'information. C'est-à-dire
que la loi va permettre le regroupement de différentes banques de données,
d'actifs informationnels. Il y aura un processus pour offrir la
possibilité d'autoriser certains intervenants, donc, notamment les médecins,
les pharmaciens, les infirmiers et les infirmières, à consulter ces banques de
données là. Donc, à mon sens...
Le
Président (M. Bachand) :
Merci beaucoup, M. le professeur. On doit passer maintenant à la période
d'échange, Pr Déziel. Désolé.
M. Déziel (Pierre-Luc) : Parfait.
Le Président (M.
Bachand) : Merci beaucoup pour votre présentation. M. le
ministre, s'il vous plaît.
M. Jolin-Barrette : Merci, M. le Président. Pr Déziel, bonjour.
Merci de participer aux travaux de la commission parlementaire.
Revenons,
là, sur la réalité pratico-pratique, là, des chercheurs, là. Vous dites,
là : Écoutez, on a des projets de recherche,
là, on passe un an à remplir des documents. J'imagine que ce n'est pas l'objectif des chercheurs de remplir de la paperasse
pendant un an aussi. Alors, comment est-ce qu'on fait pour que ça soit plus
efficace tout en s'assurant de protéger les données personnelles des individus?
M. Déziel (Pierre-Luc) : Bien, c'est un petit peu comme je... Donc,
c'est ça, la question est extrêmement pertinente.
Donc, merci beaucoup. Donc, évidemment,
comme je le disais, ces délais-là ont des enjeux considérables au niveau
du milieu de la recherche, et, souvent, il
faut qu'on attende un certain temps avant d'avoir accès aux données. Le
problème, à mon avis, justement, c'est pour les chercheurs qui commencent des
projets de recherche… doivent, à chaque projet de recherche, obtenir ces
différents types d'autorisations là.
Les modèles qu'on
voit ailleurs, par exemple en Ontario, ce n'est pas d'autoriser des projets de
recherche individuellement, mais de donner une autorisation qui est beaucoup plus globale à un chercheur en particulier. On passe à travers un
processus rigoureux. On regarde la compétence de ce chercheur-là. On forme ce
chercheur-là. Et, une fois qu'il a accès aux données, il peut conduire
les différents projets de recherche qu'il a à faire.
Donc, quand il
commence un nouveau projet de recherche, il n'a pas besoin encore une fois de
remplir la paperasse. Il a déjà cette autorisation-là. On fait un audit régulier de ces processus de recherche là. Les
banques de données font ces processus
d'audit là aussi auprès... par
exemple, ici, ça pourrait être de la
CAI. Et donc, à partir de ce moment-là, on donne beaucoup plus de flexibilité, beaucoup plus d'agilité au chercheur. On contrôle non pas
chacun de ses projets de recherche, mais lui comme personne, sa capacité
à assurer la protection de la vie privée.
Donc,
dans une perspective de protection des renseignements
personnels, l'objectif est vraiment plus de travailler sur la confidentialité et les mesures qui sont
prises pour assurer le caractère confidentiel de ces renseignements-là.
Donc, les banques de données vont permettre
des accès qui sont contrôlés, des forts processus d'authentification des personnes.
Donc, est-ce que c'est bel et bien la bonne
personne qui a accès à ces... qui essaie d'avoir accès aux données? On va avoir
des ententes de partage de données ou des
clauses qui sont très importantes, qui interdisent toute forme de
réidentification des données, toute forme de
transfert de l'extérieur des données. Et il y a plusieurs modèles, aussi, qui
vont, tout simplement d'un point de
vue technique, rendre impossible le fait que le chercheur puisse télécharger ou
amener ces données-là ailleurs.
Donc, l'enjeu, ce
n'est pas, en matière de protection de la vie privée, tant de contrôler chacun
des projets de recherche et de faire en
sorte qu'on a des politiques pour un projet, mais vraiment d'assurer la
confidentialité beaucoup plus globale de l'infrastructure de recherche.
• (17 heures) •
M. Jolin-Barrette : Donc, je comprends aussi qu'il y a des moyens alternatifs
comparativement à ce qu'on fait présentement,
et, pour faciliter la recherche, notamment dans ce domaine-là, qui est assez
compétitif, il faut trouver un mécanisme
qui va faire en sorte de s'assurer que les chercheurs puissent se concentrer
sur leurs recherches tout en assurant la confidentialité.
Vous
avez abordé un peu, là, le rôle de la Commission d'accès à l'information. Pour que
je comprenne bien, là, les pouvoirs
supplémentaires qu'on veut lui donner, là, est-ce que vous êtes en faveur ou
vous dites : Ce n'est pas nécessaire parce qu'il y a déjà
énormément de pouvoirs à la Commission d'accès?
M. Déziel (Pierre-Luc) : Bien, je pense que les pouvoirs supplémentaires qu'on entend donner à la Commission d'accès à l'information sont nécessaires
et sont pertinents. J'ai eu l'occasion d'écouter plusieurs des… ou certaines
des présentations qui ont été faites. C'est
vrai que, dans une certaine mesure, le fameux 2 %, ou 4 %, est, dans
une certaine mesure, peut-être largement inspiré du règlement européen,
et, surtout dans un contexte de sanctions administratives, peut être
particulièrement imposant et dissuasif.
Toutefois,
je note aussi, dans le contexte... à la lecture du projet de loi, qu'on ne dit
pas que ça va être des sanctions qui sont automatiquement autour de ces
montants-là, hein? On parle de «jusqu'à». Donc, très certainement, il y aura possibilité, il y aura une marge de manoeuvre,
pour la Commission d'accès à l'information, de pouvoir ajuster les
sanctions à la grosseur ou à la taille d'une
entreprise et à la gravité de l'infraction. Donc, à mon sens, ils sont
nécessaires. Je crois que le 2 %
ou 4 %, les 15 ou 25 millions, c'est un plafond. Ça ne veut pas dire
que c'est quelque chose qui est automatique. Il va falloir que la CAI soit très claire sur la manière dont elle va
attribuer... ou que ce soit prévisible, comment elle va attribuer ces
sanctions-là.
Mais, au-delà de tout
ça, je crois qu'il y a surtout un besoin de renforcer les ressources qui sont
mises à la disposition de la Commission
d'accès à l'information. C'est-à-dire que les délais qui sont imposés… Là, on
parlait un petit peu de recherche. Les
délais sont longs, mais sont justifiables aussi dans la mesure où c'est
important, pour la Commission d'accès
à l'information, de s'assurer que le traitement des renseignements personnels
protège bien la vie privée. On
travaille beaucoup avec la Commission d'accès à l'information. On connaît
comment ils fonctionnent. Les délais, ce n'est pas par paresse, c'est
parce qu'il y a... Il manque, à mon avis, un petit peu de ressources de ce
côté-là, donc, quelque chose qui pourrait
accélérer ou rendre la recherche plus compétitive. Si on regarde un modèle,
comme on l'a, actuellement, ce qui
est proposé dans le projet de loi n° 64, ce n'est pas juste
ce pouvoir de sanctions, mais c'est vraiment d'augmenter les ressources
qui sont mises à sa disposition.
M. Jolin-Barrette : Je comprends que ça prend des bras aussi à la Commission d'accès pour
faire son travail.
M. Déziel (Pierre-Luc) : Exactement,
oui.
M.
Jolin-Barrette : O.K. Est-ce qu'avec le projet de loi vous estimez que
la Commission d'accès a tous les pouvoirs, maintenant, là, pour intervenir avec
les entreprises privées puis les organismes publics? Est-ce que c'est
suffisamment... C'est suffisant ou il manque des choses?
M. Déziel
(Pierre-Luc) : Je vous
dirais qu'à mon avis, en tout cas, et ça, c'est mon avis personnel, j'ai
l'impression que c'est un effort
considérable et qu'il y a une augmentation considérable des pouvoirs. Je pense
qu'on la dote de pouvoirs beaucoup
plus importants, qu'on lui donne des outils qui sont très pertinents, très
puissants. À savoir si on a tout, tout, tout, peut-être, il faudrait lui
demander. C'est elle qui est dans la réalité des choses. Mais, à mon sens, et
je pense qu'il y a consensus là-dessus,
c'est qu'il y a vraiment une augmentation considérable et importante pour lui
donner les outils pour bien protéger la vie privée.
À mon avis,
par contre, c'est peut-être que... La Commission d'accès à l'information
devrait aussi... On lui reproche souvent un certain biais. En fait,
c'est-à-dire qu'elle protège peut-être ou elle surprotège peut-être les
renseignements personnels. Et, à mon sens,
en fait, la Commission d'accès à l'information, elle fait ce que la loi lui
demande de faire et ce que le mandat
lui est confié… À mon avis, dans une perspective de recherche, encore une fois,
il devrait y avoir un mandat, à la CAI, ou une section particulière sur
la recherche. On l'a déjà un petit peu avec les autorisations. Puis c'est une protection de la vie privée, mais aussi une
valorisation des données dans une perspective de recherche, d'innovation
et de progrès scientifique, finalement.
Donc, la CAI
a des ressources, mais, même avec ses ressources ou ses nouveaux outils que
vous évoquez, qu'on a dans le projet
de loi, il y aurait peut-être quelque chose à… même sur la mission ou son
mandat qu'on lui donne à la base, l'élargir, tout ça pour arrimer cet
équilibre-là entre la protection de la vie privée puis la valorisation de la
recherche.
M. Jolin-Barrette : Je vous
remercie.
Le Président (M.
Bachand) : M. le député de Chapleau, s'il
vous plaît.
M.
Lévesque (Chapleau) : Oui, M. le Président. Bonjour, Pr Déziel. Un plaisir de vous retrouver. Nous
avions eu l'occasion d'échanger lors de la commission, là, sur l'application de
traçage de la COVID-19, comme le président l'a si bien mentionné.
Je sais que
vous avez axé votre présentation sur la notion de recherche, mais j'aimerais
aller également sur le fond du projet de loi, là, un
petit peu plus large, là, comme réflexion. Puis je sais que vous avez ces
capacités-là. On a eu des discussions
par rapport à ça, peut-être, en lien avec les fameuses définitions des
renseignements personnels. On a eu tout à l'heure, là, la notion de renseignements sensibles qui a été intégrée ou
même tout ce qui était, là, renseignements anonymisés, dépersonnalisés. J'aimerais peut-être vous
entendre sur ces questions-là. Qu'est-ce que vous en pensez? Devrions-nous
définir… Certains disaient qu'il fallait
utiliser les notions de la charte. Il y a aussi la notion européenne. Donc,
j'aimerais avoir un peu, là, votre son de cloche par rapport à ça.
M. Déziel
(Pierre-Luc) : Absolument.
Bien, c'est une question qui est très importante et c'est vrai que c'est
dans une perspective de recherche, mais ça
éclaire aussi sur le débat beaucoup plus large. Donc, moi, une de mes
préoccupations, c'est, par exemple, la
définition de renseignements qui sont dépersonnalisés. Donc on veut ajouter un
peu plus de flexibilité, dire :
Une fois qu'un renseignement est dépersonnalisé, c'est-à-dire qu'on a retiré
les identifiants directs ou indirects, on a plus de flexibilité pour
pouvoir les utiliser.
Toutefois, la
définition actuelle ou celle qui est proposée de la dépersonnalisation, à mon
sens, elle n'est pas assez précise.
C'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à partir du
moment où il n'est plus possible d'identifier directement une personne.
Alors, on peut ne plus identifier directement une personne tout simplement en
enlevant son nom, mais, indirectement, ça peut demeurer très, très, très facile
de réidentifier la personne.
Et donc ce
qu'on n'a pas dans la loi, actuellement, ou dans le projet de loi,
actuellement, c'est une définition plus rigoureuse ou plus précise de ce
qu'est un renseignement dépersonnalisé. Par exemple, dans le reste du Canada,
il y a différentes juridictions ou… en fait,
presque l'ensemble des provinces, dans leurs lois sur la protection des
renseignements personnels dans le domaine de
la santé, qui vont dégager des seuils à partir duquel… beaucoup plus précis,
des seuils plus précis à partir desquels on peut dire qu'un
renseignement est dépersonnalisé.
Par exemple,
en Ontario, dans la loi de 2004, sur la protection des renseignements
personnels dans le domaine de la santé,
on dit : Un renseignement est dépersonnalisé une fois qu'on ne peut plus
identifier directement la personne, mais où il n'y a pas de fortes
probabilités de réindentifier la personne. Et ces fortes probabilités-là sont
évaluées en fonction du contexte, donc, quels
types de renseignements on a, c'est quoi, les capacités de la personne qui va
maîtriser ces renseignements-là. En Alberta, en Saskatchewan, on a un autre
critère qui va nous dire : Est-ce
que ça va être facile de réindentifier les personnes? Et il y a
même de la jurisprudence au niveau fédéral, la règle Gordon c. Santé, de 2008,
qui va nous dire est-ce que
ça serait… est-ce que c'est raisonnablement possible de prévoir qu'il y
aura une forme de réindentification.
Donc, à mon sens,
la définition, elle n'est pas assez précise dans le projet de loi. Elle pourrait être plus précise en s'adaptant d'exemples qui sont canadiens, qu'on comprend et qu'on
connaît. Finalement, il n'y aura aucun seuil qui va être parfait, mais ça va amener un petit plus de
précision derrière tout ça. À mon
sens, là, on aurait quelque chose qui serait peut-être imprécis, mais trop large aussi.
Concernant
les données anonymisées, donc, le projet
de loi n° 64 prévoit qu'une
donnée anonymisée est, en quelque part, une mesure de sécurité qui peut remplacer la
destruction des données. Et ça, c'est assez intéressant parce que
ça veut dire qu'on peut les garder, les
anonymiser et les utiliser à différentes fins. Toutefois, le projet de loi propose qu'un renseignement va être
anonymisé à partir du moment où on va taire l'identité de la personne
et que ça va être impossible ou ça va être irréversible qu'on va être
capable de réidentifier des personnes.
Alors,
c'est quelque chose qu'on trouve beaucoup dans la doctrine,
mais même l'écho que j'ai des chercheurs qui travaillent sur des techniques d'anonymisation parle beaucoup
plus de pseudoanonymisation et va nous dire que le risque zéro, le risque de réidentification est presque...
il peut être réduit à très, très,
très bas, finalement.
Mais l'idée de mettre dans la loi quelque chose comme étant irréversible ou impossible va peut-être,
en fait, amener une barrière trop importante, et dans le sens où, en
fait, ces données n'existeront pas, puis on ne pourra jamais utiliser ça, finalement.
Donc, c'est l'une des craintes qu'on a.
M.
Lévesque (Chapleau) : …à
cette crainte-là, c'est la destruction des données lorsqu'on a fini
l'utilisation qu'on avait à en faire, avec le consentement, bien
entendu?
M. Déziel
(Pierre-Luc) : Non. Je pense que la solution, ça serait de mieux
définir qu'est-ce qu'on entend par données
qui sont anonymes, finalement, ou anonymisées, c'est-à-dire, peut-être, de
préciser qu'on peut... C'est possible, par
exemple, de pseudoanonymiser un jeu
de données, d'enlever tous les identifiants directs et indirects, de
remplacer ça par des codes et de détruire la
clé qui nous permet de réidentifier des personnes. Mais, dans les données, il y
aura souvent des signatures uniques, finalement,
c'est-à-dire un historique personnel, un taux de cholestérol
qui est très individuel ou l'évolution
d'un trouble de cholestérol qui est très individuel. Mais on va pouvoir
identifier les personnes seulement quand on va se joindre à d'autres
banques de données, on va croiser avec d'autres banques de données.
Donc,
à mon sens, l'idée, ce n'est pas de se départir de cette notion, elle est
excessivement importante pour un domaine... dans le domaine de la
recherche, mais de mieux préciser qu'est-ce qu'on veut dire par là et de dire, par
exemple… irréversible ou un faible risque de réidentification avec les
techniques d'anonymisation, finalement, donc, c'est plus de travailler ou de
préciser cette notion-là.
M.
Lévesque (Chapleau) : O.K.,
merci. Est-ce que vous êtes à l'aise avec le concept de gradation de
sensibilité de certaines données? Parce que
certains sont venus nous parler… bon, plus sensibles, moins sensibles, selon
certains critères de gradation. Est-ce que c'est un concept qui vous
parle ou ce ne serait pas à intégrer nécessairement?
M. Déziel (Pierre-Luc) : Bien, c'est un concept qui est intéressant. Ce
qu'on voit, par contre, c'est que... En fait, une des choses qu'on remarque, notamment, dans le milieu de la recherche, c'est que tous
les renseignements, même les plus anodins ou les plus banals, peuvent devenir particulièrement sensibles à un moment ou à un autre puis être utilisés pour réidentifier les personnes ou indiquer des
choses qui sont assez intimes auprès de la personne. Donc, par exemple, des données de géolocalisation ou des achats de carte de crédit… Il y a plusieurs
études qui démontrent que les achats de cartes de crédit… qui a de l'air assez banal, c'est-à-dire qu'est-ce qu'on
est allés acheter à… bien, on peut quand
même retracer des choses assez intimes au sujet des personnes.
Par
contre, moi, je trouve que la définition de renseignements sensibles qui
est proposée dans le projet de loi
est quand même très intéressante et permettrait quand même, justement,
une approche qui serait beaucoup plus contextuelle, donc, pas dire tout le temps : Ce renseignement-là n'est pas très sensible, celui-là est sensible,
celui-là est très sensible, mais
vraiment d'avoir une approche plus contextuelle. L'expression même, «des
attentes raisonnables»… En quelque part, je ne peux pas m'empêcher de faire un lien avec l'article 8, où la
jurisprudence relative à l'article 8 de la charte canadienne permet
une évaluation qui serait beaucoup plus contextuelle, pas nécessairement
uniquement en fonction de ce renseignement-là, mais dans le contexte au sein
duquel il a été utilisé.
• (17 h 10) •
M.
Lévesque (Chapleau) : Parfait, merci. J'aimerais peut-être vous amener
sur la notion de consentement. On a eu, là... Bon, il y a des
modifications qui sont proposées au projet de loi. Je ne sais pas si vous êtes
en accord avec ces modifications-là ou vous
auriez peut-être d'autres propositions par rapport au consentement. On a eu des
spécialistes qui sont venus nous dire
que, bon, en Europe, par exemple, le consentement, c'est presque explicite,
c'est presque la dernière étape, puis
les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés,
là, de longs textes en petit
texte, là, in-octavo, puis c'est presque compliqué de le lire. Donc, je ne sais
pas ce que vous en pensez de ce concept-là.
M. Déziel (Pierre-Luc) : Bien, pour avoir suivi un petit peu les auditions
depuis le début et pour être quand
même au fait de ce que la littérature va
dire, c'est vrai que le consentement a ses limites, a des limites qui sont
assez importantes. Vous en avez discuté. Le Pr Gautrais, que vous
avez entendu, a l'expression, souvent, que c'est, en quelque part, un bouclier,
presque, pour les entreprises, c'est-à-dire qu'ils peuvent se
déresponsabiliser, mettre la responsabilité sur les individus.
À mon sens… Et le
consentement demeure un élément essentiel d'une bonne protection des renseignements
personnels, nécessaire, mais non suffisante, et il faut que ça soit renfoncé aussi
par d'autres mécanismes. À mon avis, une des choses sur lesquelles on doit jouer ou on pourrait jouer, c'est quelque chose qui pourrait être développé par la jurisprudence aussi, c'est qu'est-ce qu'on entend par un intérêt sérieux
et légitime de collecter, d'utiliser ou de divulguer des renseignements
personnels.
Ce qu'il ne faut pas oublier, à mon avis… Donc,
nos lois sont structurées pour faire en sorte qu'obtenir le consentement
n'est pas suffisant même pour faire un
traitement des renseignements
personnels. Il faut que l'entreprise
m'informe de la fin pour laquelle il va collecter ces renseignements-là.
Et, avant même de tout ça, il va falloir que cette fin-là puisse être considérée comme contribuant à l'atteinte d'un
objectif qu'on considère comme étant sérieux et légitime. Au niveau
fédéral, on va parler de raisonnable et acceptable, dans les circonstances.
Donc, à partir de ce moment-là, c'est
beaucoup plus de… ça serait beaucoup plus de travailler aussi sur les
fins ou sur les objectifs qu'on peut viser en matière de protection et de
traitement des renseignements
personnels qu'on considère comme étant
acceptables et légitimes dans le contexte québécois, finalement. Donc,
ce que je veux dire par là, c'est que la manière, dont nos lois sont construites aujourd'hui, même si on a le consentement de la personne puis on ne participe
pas à l'atteinte d'un objectif
qu'on considère légitime et raisonnable, le consentement ne suffit pas. Il faut
remplir ce critère-là avant.
Et
c'est un article… C'est l'article 4, par exemple, de la loi dans le secteur privé... sont très peu utilisés,
finalement. Le paragraphe
5 (3) de la loi fédérale est très peu utilisé. Il y a peu de débats autour de
ces notions-là. Il y a peu de décisions autour de ces notions-là. À mon sens, on pourrait agir encore un petit peu plus tôt puis régir ou encadrer les utilisations qu'on considère comme étant acceptables ou pas,
finalement, peut-être offrir des «guidelines» un peu plus... pardon,
des lignes directives un peu plus précises à ce sujet-là puis jouer sur ce point
de vue là.
Le Président (M. Bachand) : Merci
beaucoup, M. le professeur. Je me
tourne vers l'opposition officielle
pour 17 minutes. M. le député de LaFontaine.
M.
Tanguay : Bonjour,
Pr Déziel. Bonjour. Merci d'être virtuellement avec nous, mais d'échanger,
donc, sur le projet de loi n° 64
et sur des enjeux qui, de façon très, très évidente, je pense, touchent la
population, le respect de la vie privée. Et ce qui est intéressant avec
votre intervention, c'est que vous apportez, sous un chapitre très particulier,
la recherche. Vous apportez votre expertise concrète également, pas juste
théorique, mais très concrète.
J'aimerais
ça, pour ma gouverne, parce que je ne
suis pas comme vous, loin de là, un expert en la matière… Ça semble... D'entrée de jeu, vous avez fait le
commentaire, ou durant votre première intervention : Un parcours du
combattant pour se faire reconnaître chercheur. Vous parliez de… La première
année, on remplit des formulaires. Juste pour ma gouverne puis, peut-être, la gouverne des collègues, ça prend quoi pour être qualifié de chercheur?
Et quelle est l'évolution de cela? Est-ce que c'est plus difficile? Est-ce
que c'est plus souple? Et est-ce qu'on n'aurait pas une réflexion aussi à se
faire quant à ce processus de qualification là, au-delà de la paperasse, là?
M. Déziel (Pierre-Luc) : Oui, bien, en fait, c'est ça,
c'est qu'en ce moment, présentement, ce n'est pas le chercheur lui-même qui se qualifie, c'est son... Il qualifie
son projet de recherche, finalement. Donc, il obtient l'autorisation en
fonction d'un projet de recherche. Donc,
normalement, pour avoir accès à des fonds d'un organisme subventionnaire pour
pouvoir conduire ces recherches-là, il va
falloir avoir, par exemple, un poste de professeur ou ce genre de chose là, avoir un certain nombre de
publications, avoir déjà participé à d'autres projets de recherche dans le
cadre des études, par exemple, mais c'est un parcours beaucoup plus axé le
projet de recherche individuel que sur le chercheur en tant que tel.
Le
modèle qu'on voit en Ontario, le modèle d'ICES, par exemple, est beaucoup
plus sur le pedigree, si on veut, ou
le C.V. du chercheur en tant que tel, ses compétences, est-ce qu'il a publié dans des revues ou des publications qui sont revues par les pairs, est-ce que
c'est un chercheur qui est reconnu par sa communauté, par ses pairs, est-ce que
c'est un professeur d'université, par exemple, est-ce que vous avez déjà contribué à d'autres
projets qui ont participé à l'avancement de la science.
Donc,
c'est un petit peu comme ça qu'on évalue tout ça. Mais, sinon, au Québec,
on y va pièce par pièce, projet par projet,
finalement. Et c'est effectivement
beaucoup de formulaires à remplir, beaucoup de paperasse à remplir. Et, si
je peux me permettre, en fait, un des grands obstacles qu'il y a aussi, ce
n'est pas juste remplir les formulaires, demander les autorisations, c'est d'essayer de faire cadrer la manière dont la
recherche est actuellement conduite au Québec, notamment dans le contexte de l'intelligence artificielle,
et les critères qui sont demandés par la loi et interprétés par la CAI pour
avoir aux renseignements personnels.
Donc,
je vous donne un exemple très simple. Par exemple, il va falloir, dans un
contexte scientifique, respecter un critère
qui est établi par la loi et qui est
interprété par la Commission d'accès à l'information, qui est le critère de
nécessité. C'est-à-dire qu'il va falloir,
pour aller faire une recherche, n'aller chercher que les renseignements qui
sont nécessaires à l'atteinte de
notre objectif de recherche. Si un renseignement est pertinent, mais non
nécessaire, on ne pourra pas avoir accès à ce renseignement personnel
là.
Alors,
beaucoup des techniques qui sont développées dans le contexte de l'intelligence artificielle vont devoir fonctionner avec beaucoup de jeux de données très,
très, très importants, très grands. Et un des objectifs de
l'intelligence artificielle, c'est justement de déterminer quels types de
renseignements peuvent être nécessaires pour prédire… par exemple, le patient a telle maladie… chez telle
personne… ou quelle personne est plus… quel type de personne est plus à
risque de développer telle maladie.
Donc
là, on a vraiment un achoppement qui est très important. C'est-à-dire qu'on
demande aux chercheurs de nous dire
qu'est-ce qui est nécessaire pour ta recherche, et l'objectif de la recherche,
c'est de dire : Bien, j'essaie de savoir justement qu'est-ce qui est
nécessaire. Donc, ce n'est pas la faute de la CAI en tant que telle. Elle
interprète ces critères-là. Mais là il y a
un achoppement qui est assez direct, qui est assez frontal. Comment est-ce que
la recherche est conduite et quels sont les critères qu'on demande aux
chercheurs de remplir dans le cadre d'un projet en particulier?
M. Tanguay :
Et donc vous nous invitez aussi… Vous ne le retrouvez pas, cet amendement-là,
dans le projet de loi n° 64. Vous nous
invitez même, j'imagine, à reconsidérer cela, ce critère-là, qui pourrait être
quoi? Je prends mon crayon de législateur : Toute nécessité… Ce
serait pertinent à la recherche, j'imagine?
M. Déziel
(Pierre-Luc) : …pertinent, ça pourrait être quelque chose
d'intéressant. On pourrait dire que, de toute façon, il y a une branche de
l'interprétation du critère de nécessité qui porte justement sur la pertinence.
La pertinence, c'est quelque chose... ou le critère de pertinence, quelque
chose…
M.
Tanguay : Ça peut être plus large.
M. Déziel (Pierre-Luc) : …qu'on trouve dans le Code civil aussi. Je pense,
le critère de nécessité, vous en avez parlé.
Ce principe de limitation de la collecte là demeure important dans le contexte,
par exemple, du secteur privé, auprès des
organismes publics aussi. Je pense qu'un des arguments qui est sous-jacent à
mon propos aujourd'hui, c'est de dire que
le domaine de la recherche est un petit peu un secteur différent et unique,
dans une certaine mesure, qui ne s'apparente pas à de l'administration publique, tel qu'est visé par la loi sur
l'accès, qui ne s'apparente pas à des activités commerciales telles qu'elles sont visées par la loi sur le
secteur privé. Donc, je pense que ce qui serait intéressant, ce serait de
réfléchir à une manière dont on pourrait
jouer sur les particularités ou l'unicité de ce milieu-là et d'avoir des
dispositions, une section ou quelque chose qui soit un régime
d'encadrement qui soit propre au milieu de la recherche, finalement.
• (17 h 20) •
M.
Tanguay : Et j'imagine… Je serais curieux de savoir… Je veux
vous poser la question. J'imagine qu'on ne parle pas de compétitivité au point de vue mercantile de l'expression.
Mais, au niveau de la compétitivité de nos chaires de recherche, et tout ça, au point de vue
international, est-ce que nous sommes… Puis là vous avez donné un bel
exemple, le critère de nécessité un peu plus
limitatif. Comment on se compare à l'international? Puis, pour nous, on n'est
pas peu fiers de savoir que telle
université… L'Université Laval, pour reprendre votre… là où vous êtes
professeur, on n'est pas peu fiers, socialement,
collectivement, de dire : Aïe! Nos chercheurs ont fait toute une
découverte, et ainsi de suite. Comment on se compare, à ce chapitre-là,
accès à l'information, ce dont on parle, là, avec les autres universités, par
exemple?
M. Déziel (Pierre-Luc) : Bien, à mon sens, on se compare très bien, mais
les échos que j'entends du terrain, surtout dans le domaine de la recherche, c'est qu'on a des ressources
informationnelles, des données de recherche là-dessus, dans le domaine de la santé, pardon, qui sont
excessivement riches, qui sont particulières, qui sont uniques, en quelque
part, dans le monde, et que, même si on est compétitifs, on les sous-exploite,
dans une certaine mesure.
Et,
par exemple, dans le domaine de la recherche, ce qui se passe, je vous donnais
l'exemple d'ICES en Ontario, plusieurs
des chercheurs, au Québec, qui font de la recherche dans le domaine de la
santé, vont chercher leurs données en Ontario,
finalement. Donc, ils sont reconnus par ICES comme étant des chercheurs, font
de la recherche au Québec, mais avec
des données de l'Ontario parce que c'est trop difficile ou presque impossible
pour eux d'avoir des données québécoises.
Donc, les recherches sont faites au Québec. On essaie de trouver des solutions,
dans certains cas, pour des problématiques québécoises, mais on
s'entraîne sur des données qui… de l'extérieur.
Donc,
on est très compétitifs. On pourrait probablement être encore... et
compétitifs, comme vous le dites, vous faites
bien de le dire, pas dans un point de vue mercantile, là, finalement, mais on
est très bons, à mon avis. Mais il y aurait une possibilité, peut-être,
d'être encore meilleurs, finalement. Et le règlement européen donne beaucoup de
marge de manoeuvre aux scientifiques au
niveau de la science. C'est-à-dire qu'une des conditions de la nécessité du
traitement de l'information dans le
RGPD… Il y en a plusieurs. Il n'y a pas juste le consentement. Il y a
l'intérêt... Il y a des missions d'intérêt
public, et les considérants du RGPD vont nous dire clairement qu'une recherche
scientifique, bien balisée, là, évidemment,
bien encadrée, bien structurée, qu'on aura révisée aussi, participe à ces
intérêts publics et communs, finalement.
M.
Tanguay : Est-ce qu'il y a un aspect… Puis vous m'inspirez
cette question-là. Au niveau de la conservation des données pour x période de temps suite au dépôt du résultat, du
rapport de recherche, il n'y a pas un aspect aussi de... Donc, quel est l'état des lieux par rapport à cette
capacité de conserver? Y a-t-il une limite de temps à l'heure où on se
parle?
M. Déziel
(Pierre-Luc) : Normalement, le principe... Puis c'est pour ça que je
vous dis que le milieu de la recherche,
c'est un principe... assez unique puis qu'en le soumettant à des lois qui sont
prévues pour d'autres choses il y a certains
problèmes. C'est-à-dire que le principe général… Normalement, en protection des
renseignements personnels, si on va
chercher des renseignements pour une fin, une fois que notre fin est atteinte,
on détruit les renseignements ou, là, comme on le propose, mais c'est
quelque chose qu'on trouve plutôt au niveau fédéral, on les anonymise.
Donc, comme je le
disais un petit peu plus tard... un peu plus tôt, l'anonymisation, dans la
manière dont elle formulée dans le projet de
loi, à mon sens, elle est presque inopératoire, là. Ça va être très difficile
de s'en servir. Donc, normalement, le
principe général, c'est de faire en sorte que le chercheur, une fois qu'il a
collecté ses données, des fois, ça peut
lui prendre très longtemps, ou il a eu accès à ces renseignements-là, une fois
que son projet est fini et que ses objectifs sont atteints, il doit se départir de ces données-là. Et donc, s'il veut
faire une nouvelle recherche qui serait différente, mais avec ces données-là, il doit tout repasser par le
processus d'autorisation, donc, et ça, ça peut être une problématique et
ça peut rajouter des délais supplémentaires, encore une fois. Donc, la
conservation, ce serait quelque chose de... ou la réutilisation, quelque chose
d'envisageable.
Peut-être un dernier
point sur ça. Les trois conseils fédéraux vont dans une direction où on
considère que les données qui sont générées
par la recherche, en quelque part, sont financées par les fonds publics et
devraient, en quelque part, appartenir à la collectivité aussi. Et donc,
de plus en plus, ce qu'on va demander aux chercheurs, ça va être de conserver
leurs données, de pouvoir les verser dans des dépôts ou dans des grands dépôts
qui vont permettre cette réutilisation des données là, publier des catalogues
de métadonnées, savoir quelle donnée est disponible puis essayer de faciliter
cet accès-là.
Donc,
le milieu de la recherche essaie d'évoluer dans cette direction-là. À l'Université Laval, il y a une initiative que vous connaissez peut-être, qui s'appelle PULSAR, où on essaie de faire une
centralisation des données de recherche, des lacs de données, pour une réutilisation ou une utilisation
secondaire des données, une revalorisation des données. Mais, encore une fois, comme je vous expliquais, on est
confrontés à plusieurs des contraintes qui sont imposées dans la loi et
qui, à mon sens, sont plus ou moins pertinentes dans un secteur d'activité
comme la recherche.
M.
Tanguay : Et, au niveau
des technologies qui avancent rapidement, évidemment,
là, c'est un euphémisme, pour les
bons motifs puis, des fois, pour les mauvais motifs, le piratage, au niveau
de nos chaires de recherche, au
niveau des chercheurs, chercheuses au
Québec, sommes-nous bien outillés, conscients... Je n'ai pas d'exemple, peut-être
que vous en avez, où des chercheurs
ont été piratés. Alors, quel est notre niveau de protection là-dessus?
Puis est-ce qu'il n'y aurait
pas, au-delà, peut-être, de modifications législatives, lieu de se pencher sur
cette question-là ou pas?
M. Déziel
(Pierre-Luc) : Moi, à ma
connaissance, en tout cas, je n'ai pas vraiment eu connaissance
d'incidents majeurs, là, ou même mineurs,
là, au niveau de la protection des renseignements personnels
par les chercheurs. À mon avis, pour
parler avec plusieurs d'entre eux, bien... Et c'est normal, ce ne sont pas des
juristes, donc, les concepts de la loi sont
peut-être peu familiers pour eux, mais ce que je vous
dirais, c'est que c'est une population qui est... Je dirais, c'est des gens qui sont assez faciles à... peuvent
apprendre rapidement, sont sensibilisés, très certainement, à ces questions-là et sont...
Ils sont mus aussi par des intérêts ou des impératifs qui sont différents…
d'organismes publics ou les entreprises.
C'est-à-dire
qu'un chercheur, par exemple, typiquement, ne va pas vraiment
avoir besoin de l'identité des personnes.
Des données anonymisées ou dépersonnalisées, dans la grande majorité
des cas, va pouvoir servir ses fins. Dans une mesure où il y aurait tentative de réindentification, il n'a
pas besoin d'aller vers les gens pour leur vendre un produit, pour leur proposer un service. L'identité lui
importe plus ou moins. Donc, les risques de réidentification sont... Les
intérêts qui mèneraient à une
réidentification des personnes à partir de données dépersonnalisées ne sont pas
très élevés. Qui plus est, si jamais
il y a un incident ou il y a quelque
chose qui est problématique, bien, le chercheur n'obtiendra plus ou aura
de la difficulté à obtenir les autorisations
auprès de la Commission d'accès à l'information, et, sans données, bien, ça
veut dire un peu... plus de projet de recherche, et la carrière est un
peu terminée.
Donc, moi,
plusieurs des chercheurs, ce qu'ils me disent, c'est : On n'est pas une
entreprise, on n'est pas Facebook, on n'est pas Google, on n'a pas les
mêmes intérêts, moi, il faut que je fasse attention aux données, parce que, si
je n'y ai plus accès, ma carrière est terminée. Donc, je pense que c'est...
M. Tanguay :
Oui. Je ne vous poserai pas la question à savoir ce que vous pensez, si on
devrait appliquer la règle applicable
aux entreprises privées aux partis politiques. Je pense qu'on bifurquerait sur
un autre domaine à ce niveau-là. Mais
ça me faisait penser, ce que vous avez dit là… Effectivement, je veux dire, on
n'est pas Google. On n'est pas... Quand vous dites : Nous, les
chercheurs… on a d'autres vocations.
Un concept
que je trouvais intéressant, permettre la programmation de recherche, donc,
permettre l'accès à des données pour
une programmation de recherche, pouvez-vous expliciter… Autrement dit, pour
plus... Vous nous l'avez clairement
dit, quand on applique, on applique pour un projet. Là, on pourrait appliquer
pour plus d'un projet ou une sorte de parapluie de projets. J'aimerais
ça vous entendre là-dessus.
M. Déziel
(Pierre-Luc) : Oui, bien, en
fait, c'est que le projet de loi… La terminologie qui est utilisée ou le
terme qui est utilisé en matière... pour les
évaluations relatives aux facteurs d'impact sur la vie privée, c'est le terme
de protocole de recherche. Donc,
«protocole de recherche», ça veut dire quelque chose de très précis :
exactement mes méthodes de recherche,
ma méthodologie de recherche étape par étape, qu'est-ce que je vais faire avec
les données. «Programmation de recherche»,
c'est un concept qui est plus large, finalement, c'est-à-dire, je vais mener
différents projets de recherche où l'objectif
de la recherche, c'est d'aller faire ça, je risque d'avoir besoin d'à peu près
de ce type de donnée là. Et un des problèmes
qu'on a, puis c'est un petit peu comme je vous expliquais tout à l'heure,
c'est… Le protocole de recherche, souvent,
est tellement précis qu'on va déjà avoir besoin, en quelque part, des données
pour être capables de l'élaborer.
Donc, je vous
donne un exemple très rapide, finalement. J'étais dans une rencontre récemment
entre un organisme public et des
chercheurs en intelligence artificielle, et les chercheurs en intelligence
artificielle, bien, ils n'avaient pas leur protocole de recherche encore parce qu'ils ne savaient pas encore quel
algorithme ils allaient utiliser pour traiter les données, et, pour savoir quel algorithme utiliser, bien, il
fallait déjà qu'ils aient une idée générale des données qui se
trouvaient là, et l'organisme ne peut pas donner les données tant qu'il n'y a
pas le protocole de recherche.
Donc, vous
voyez qu'on est un peu dans une confrontation où on ne peut pas faire le
protocole tant qu'on n'a pas les
données puis on ne peut pas donner les données tant qu'on n'a pas le protocole.
Donc, «programmation», ce serait un terme
peut-être plus flexible, peut-être plus général, qui donnerait un peu plus de
marge de manoeuvre aux chercheurs pour l'accès aux données.
Le
Président (M. Bachand) :
Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, pour deux
minutes.
• (17 h 30) •
Mme Weil :
O.K., d'accord. Donc, pour revenir sur les dispositions du projet de loi qui
sont proposées concernant des renseignements personnels à utiliser sans
le consentement pour des fins d'études, recherche et production statistiques, juste pour revenir… pour bien
comprendre, est-ce que vous avez des recommandations de modifications ou est-ce que c'est bien libellé, selon
vous, la proposition?
M. Déziel
(Pierre-Luc) : Oui… Non,
c'est ça… Bien, ma recommandation ou mes recommandations plus précises, bien, ça serait de prendre le domaine de la recherche, un peu
comme je disais à votre collègue, de manière… comme un secteur différent, mais… Je vais répondre très rapidement. J'aurai des recommandations précises,
mais je n'ai pas eu le temps de terminer mon mémoire. Donc, je vous
enverrai mon mémoire.
Mme Weil : Ah! ça, écoutez…
M. Déziel
(Pierre-Luc) : Donc, je suis désolé. La rentrée a été très
occupée. On fait des cours en ligne.
Mme Weil : Formidable! Donc,
c'est une des…
M. Déziel
(Pierre-Luc) : Donc, j'aurai
des recommandations précises dans les prochains jours. J'ai presque
terminé la rédaction, mais j'ai préféré
attendre de vous envoyer quelque chose d'exhaustif et de final avant… au lieu
de précipiter les choses. Je suis vraiment désolé pour ça.
Mme Weil :
Non, pas du tout, et je vous remercie beaucoup, M. Déziel, parce que votre
présentation est très, très riche,
très riche. Et donc, pour nous, de saisir tout ça sans avoir un écrit, ce n'est
pas évident. On peut aller écouter votre témoignage. Mais vous avez...
Je regardais vos recherches. Il y a des choses intéressantes. Vous avez écrit
sur le droit à l'oubli, hein?
M. Déziel (Pierre-Luc) : Oui.
Mme Weil :
Le droit à l'oubli, est-ce que vous avez quelque chose à nous dire sur... vos
perspectives sur ce droit à l'oubli,
si c'est applicable. L'autre, c'est, dans cette époque d'intelligence
artificielle… Est-ce qu'il y a des limites du droit à la vie privée dans
cette ère d'intelligence artificielle? C'est les deux autres questions, mais,
en une minute, ça va être peut-être impossible, mais peut-être, dans votre
mémoire…
Le Président (M.
Bachand) : Il reste quelques secondes, Pr Déziel.
Mme Weil : En votre mémoire,
peut-être vous allez pouvoir y répondre.
M. Déziel
(Pierre-Luc) : Peut-être
répondre un peu plus dans le mémoire… Peut-être, rapidement, sur le droit à l'oubli,
disons, là, le droit à l'oubli, pour moi, c'est un outil... Il y a beaucoup
de débats. Est-ce que c'est vraiment
quelque chose qu'on pourrait être capables d'appliquer? Est-ce que
la version européenne est applicable au Québec? Est-ce que ça ne serait pas trop un impact
important sur la liberté d'expression, l'enjeu de la territorialité?
À mon sens, j'aime beaucoup, même, la façon dont
le commissaire à la protection de la vie privée du Canada aborde cette problématique-là, c'est-à-dire un déréférencement qui serait local. À mon sens, peut-être
que ce n'est pas nécessairement de la protection de la vie privée, le droit à
l'oubli, mais c'est quelque chose d'intéressant. Moi, je n'ai pas de problème
à ce que ça soit dans une loi sur la protection
des renseignements personnels. Et, à mon avis,
sur l'enjeu de la liberté
d'expression, je pense que les tribunaux vont être très bien
capables de l'appliquer dans une manière qui va respecter la liberté
d'expression au Québec, au Canada, même si c'est dans une façon qui est
différente d'en Europe.
Le
Président (M. Bachand) : Merci beaucoup, Pr Déziel. Très appréciée, votre collaboration à la commission.
J'avais le député de LaFontaine pour une demande
de directive.
M. Tanguay : M. le Président,
je ne veux pas allonger notre séance plus que raisonnablement, demande de directive, M. le Président. Notre
secrétaire, que je salue, très efficace secrétaire de la commission, nous a envoyé un courriel cet
après-midi, spécifiant : Le Commissaire à la santé et au bien-être réitère sa
demande d'être entendu sur le projet de loi n° 64… pour vous souligner, M. le Président, que nous avons,
selon l'horaire, une plage horaire de disponible la semaine prochaine. Pourrions-nous donner suite à cet
acteur, Commissaire à la santé et au bien-être, qui réitère… Ce n'est pas peu dire, là, il veut être entendu, puis on a une
place la semaine prochaine. Pouvons-nous, M. le Président, demande de
directive, s'assurer qu'il pourra combler ladite place libre?
Le Président (M.
Bachand) : Écoutez, il y a une place. Je vais prendre ça en
considération. Effectivement, il y a une opportunité pour mardi après-midi.
Alors, je prends ça en considération et je vous reviens très rapidement. Merci
beaucoup.
M. Tanguay : Merci, M. le
Président.
(Fin de la séance à 17 h 34)