Journal des débats (Hansard) of the Committee on Institutions

(Douze heures douze minutes)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît!

Des voix : ...

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! S'il vous plaît! Merci. Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte. Je vous souhaite, bien sûr, la bienvenue. Et, comme vous le savez, je vous demande d'éteindre la sonnerie de votre appareil électronique.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois (Gouin).

Le Président (M. Bachand) : Merci beaucoup. Est-ce qu'il y a des droits de vote par procuration?

La Secrétaire : Oui. M. Lévesque (Chapleau) a un droit de vote pour les députés suivants : M. Lafrenière (Vachon), Mme Lecours (Les Plaines), M. Lamothe (Ungava). M. Tanguay (LaFontaine) a un droit de vote pour M. Birnbaum (D'Arcy-McGee).

Auditions (suite)

Le Président (M. Bachand) : Merci beaucoup. Ce midi, nous allons recevoir les représentants du Conseil du patronat du Québec. Alors, bienvenue. Je vous rappelle que vous disposez de 10 minutes de présentation, et, par après, nous aurons un échange avec les membres de la commission. Donc, je vous invite à débuter, d'abord, en vous présentant et, après ça, de procéder à votre exposé. Merci.

Conseil du patronat du Québec

(Visioconférence)

M. Blackburn (Karl) : Alors, merci. Je m'appelle Karl Blackburn. Je suis président et chef de la direction du Conseil du patronat du Québec. Je suis accompagné de Me Karolyne Gagnon, qui est vice-présidente, Travail et affaires juridiques, au Conseil du patronat.

D'abord, M. le ministre, Mmes et MM. les députés, merci de permettre au Conseil du patronat du Québec de venir exprimer son point de vue de cette réforme importante. Le Conseil du patronat du Québec, c'est 50 ans de cohésion et de dialogue. Le CPQ incarne la voix des employeurs du Québec et représente les intérêts de plus de 70 000 employeurs de toutes tailles et de toutes les régions, issus du secteur privé ou parapublic, et cela, directement ou par l'intermédiaire de 70 associations sectorielles qui les regroupent.

D'emblée, nous saluons la volonté du gouvernement et son leadership à l'effet de moderniser l'encadrement qui doit assurer la protection des renseignements personnels. Nous vivons désormais dans une ère numérique. Si les transformations ont été graduelles sur plusieurs décennies... l'évaluation… l'évolution, pardon, a été fulgurante au cours des dernières années. Les modes de collecte, d'utilisation et de conservation des données… On a vu décupler leur capacité et leur accessibilité.

Jamais dans l'histoire les rapports entre citoyens n'ont été transformés aussi rapidement et à aussi grande échelle. Les gouvernements, les entreprises, les institutions, les individus ont tous été rapprochés et interconnectés sur pratiquement toutes les facettes de leurs activités. Avant la pandémie... avec la pandémie, pardon, l'apport du numérique dans l'économie et dans nos rapports sociaux a été accentué encore davantage et de manière exponentielle.

Les échanges commerciaux évoluent également dans un environnement numérique de plus en plus complexe, obligeant les gouvernements à mettre leurs efforts en commun afin d'harmoniser et de renforcer leurs mesures d'encadrement car il faut éviter de placer nos entreprises et nos institutions en situation d'isolement par rapport à leurs voisins. Dès lors qu'un projet de loi affecte la transmission transfrontalière de données, un arrimage s'impose pour harmoniser le tout avec les autres provinces, le fédéral et nos partenaires commerciaux. Nous comprenons à quel point ce défi d'arrimage est grand, mais nous sommes confiants que le gouvernement, à terme, ne commettra pas l'erreur de faire cavalier seul dans un univers interconnecté.

C'est donc avec cet oeil que nous avons analysé ce projet de loi qui modernise la protection des renseignements personnels dans le secteur privé. Le mémoire que vous avez en main propose trois angles d'approche : l'importance de la coordination avec les autres juridictions au Canada et les autres partenaires économiques; l'atteinte des objectifs et les coûts d'implantation pour les entreprises; et les exigences issues des dispositions particulières du projet de loi n° 64 et les enjeux des entreprises.

D'abord, il nous paraît fondamental de chercher par tous les moyens à coordonner et à harmoniser nos exigences législatives avec celles de nos voisins et autres marchés économiques. Notre mémoire rappelle, par exemple, que votre projet de loi s'inspire en bonne partie du Règlement général sur la protection des données de l'Union européenne.

Ce règlement comporte des différences significatives par rapport à la loi canadienne sur la protection des renseignements personnels et les données électroniques. Pour ne citer que quelques exemples, la notion de consentement explicite, le droit à la portabilité, le droit à l'effacement ou à l'oubli et la protection du droit à la vie privée dès la conception, ce ne sont pas des notions présentes dans la loi canadienne. Ces différences significatives entre ces deux régimes de protection risquent de poser un problème de fond.

En effet, comme le projet de loi n° 64 est essentiellement inspiré de la réglementation européenne, alors que ce dernier n'est pas en adéquation avec la loi canadienne, le Québec risque de devoir se conformer à un régime différent de celui de nos voisins et partenaires. Ce faisant, les distinctions majeures qui existent risquent inévitablement d'isoler et de ralentir plusieurs activités économiques du Québec.

C'est pourquoi nous recommandons d'assurer une action concertée avec les autres provinces et le fédéral avant l'adoption de la forme définitive du p.l. n° 64 et d'assurer que l'encadrement des données personnelles et de leur circulation transfrontalière sont harmonisés avec les principaux partenaires commerciaux du Québec.

De plus, qu'en est-il du vol des données personnelles par les fraudeurs? Vous savez que, si une entreprise doit assumer des pénalités plus importantes lorsqu'elle est victime d'un vol de données, on ne réglera en rien la situation de l'individu dont les renseignements personnels sont utilisés par les fraudeurs. De ce fait, ne serait-il pas important d'évaluer toutes les solutions permettant d'assurer la protection des données personnelles, par exemple en mettant disponible un processus automatique d'anonymisation lors d'un vol de données? En revanche, le CPQ reconnaît qu'il est important de prévoir des sanctions pour les organisations délinquantes. Même le gouvernement n'est pas à l'abri des défis de sécurité que comporte la cybercriminalité.

Cela étant, l'État doit pouvoir jouer un rôle d'accompagnateur pour favoriser les meilleures pratiques et établir des mesures visant à gagner et conserver la confiance du public. C'est pourquoi nous recommandons d'explorer, d'abord, les meilleures pratiques pour contrer les cyberattaques et de s'assurer que les dispositions législatives préconisées se limitent à ce qui est essentiel pour assurer la protection des renseignements personnels.

En juillet dernier, un grand nombre d'associations, des grandes, des moyennes et des petites entreprises du Québec ont mentionné que l'analyse d'impact réglementaire du projet de loi n° 64 faite par le gouvernement sous-estimait de manière importante les coûts réels engendrés par une telle réforme. Notre mémoire démontre que les coûts d'implantation, les coûts de maintien récurrents et tout le fardeau administratif, notamment, pour les PME, n'est pas suffisamment pris en compte.

C'est pourquoi nous recommandons de procéder à une analyse d'impact réglementaire en ciblant plus particulièrement les mesures qui ont un impact réel sur la protection des renseignements personnels… de celles qui n'en ont pas afin de diminuer le fardeau réglementaire des entreprises.

• (12 h 20) •

Aussi, le projet de loi n° 64 propose de modifier l'article 14 de la loi sur le privé, qui prévoit déjà que le consentement doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il souhaite y ajouter que ce consentement doit être requis de nouveau pour chacune des fins, des termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée.

En plus d'alourdir et complexifier les processus, notamment pour le secteur financier et commercial, et même dans la gestion des dossiers des employés, cette notion de consentement spécifique est inexistante dans la législation canadienne et européenne. Conséquemment, nous recommandons de permettre le consentement en bloc dans la mesure où le consentement vise généralement à accéder aux informations nécessaires dans un cadre contractuel ou autre.

Quant à la circulation transfrontalière des renseignements personnels, des changements proposés dans le projet de loi viennent ajouter un fardeau considérable sur les épaules des entreprises québécoises qui transigent dans d'autres juridictions. Par exemple, le projet de loi propose d'obliger les entreprises à effectuer une évaluation individuelle des équivalences des lois sur la protection des données dans toutes les juridictions auxquelles elles pourraient être amenées à transférer des données.

C'est pourquoi nous recommandons de procéder à une évaluation globale de la notion de degré d'équivalence et de coordonner cette disposition avec celles des autres juridictions canadiennes, qui n'affecterait pas la compétitivité des entreprises québécoises. Et aussi nous recommandons de prévoir que les mesures contractuelles puissent être un élément, d'office, qui permet d'assurer la protection des renseignements personnels.

Enfin, sur la question des sanctions, nous reconnaissons qu'un resserrement de l'encadrement doit comporter des ajustements, des pénalités afin de dissuader les contrevenants. Le projet de loi prévoit une augmentation substantielle des sanctions administratives pécuniaires et des amendes pénales, mais, vu l'ampleur des nouveaux concepts introduits par le projet de loi, la moindre interprétation erronée entraînera d'importantes pénalités.

Par ailleurs, le fait que la transmission des données peut traverser plusieurs juridictions canadiennes et qu'aucun arrimage n'est encore prévu à cet effet… Un seul événement pourrait se voir sanctionner plusieurs fois et ainsi recevoir une pénalité disproportionnée eu égard à la faute. C'est pourquoi nous demandons une certaine souplesse à cet égard afin de donner le temps aux entreprises de s'adapter aux nouvelles dispositions avant que des sanctions importantes leur soient imposées et que soit inclus dans la loi qu'une seule amende à la juridiction où la faute a été commise puisse être imposée.

M. le ministre, en somme, nous souscrivons évidemment à l'idée de moderniser les mesures de protection des renseignements personnels. Nous avons cherché à démontrer toute l'importance de travailler de pair avec nos voisins et partenaires et les conséquences négatives, pour nos entreprises et notre économie, de faire cavalier seul. Vous devez utiliser le leadership qui vous caractérise non pas comme rempart contre les autres, mais comme tremplin pour faire en sorte que le Québec assume son rôle de leader partout sur la planète.

Le Conseil du patronat du Québec demeure convaincu que le meilleur moyen d'arrimer des dispositions législatives plus robustes dans la société québécoise tout en s'assurant de leur application réside en grande partie dans le rôle de l'État de mettre en place des moyens, des guides de bonnes pratiques, des contrats types, des lignes directrices d'interprétation, des normes plus complexes, qui assureront le respect des normes et, ultimement, une réelle protection des renseignements personnels. Nos recommandations se veulent constructives et nous offrons à nouveau toute notre collaboration au gouvernement pour s'assurer de la mise en oeuvre de moyens efficaces, réalistes et adaptés pour que les entreprises puissent poursuivre leurs activités économiques dans un monde de concurrence interjuridictionnelle, en s'assurant du respect de la protection des renseignements personnels de tous les citoyens du Québec. Merci.

Le Président (M. Bachand) : Merci beaucoup, M. Blackburn. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Merci, M. le Président. Bonjour, M. Blackburn. Merci d'être présent en commission parlementaire. Vous me permettrez de vous féliciter pour votre nomination à la tête du Conseil du patronat. On n'avait pas eu l'occasion de se voir, bien là c'est virtuellement, mais toutes mes félicitations et bonne continuité aussi dans votre mandat à la tête du Conseil du patronat.

Peut-être, d'entrée de jeu, là, au niveau des entreprises, la FCEI est venue avant vous avant-hier. On a eu également la Fédération des chambres de commerce. Et ce qu'on constate, et je le dis, là, de façon très pondérée, c'est qu'il y a peut-être une petite réticence de la part du milieu des affaires relativement à la rapidité avec laquelle on devrait aller de l'avant avec le projet de loi n° 64 ou la protection des renseignements personnels.

Ce que je lis, là, des trois organisations, des trois mémoires, c'est de dire : Faites attention, vous devez vous assurer d'avoir le même cadre d'encadrement, si je peux dire, là, que les autres juridictions canadiennes et nord-américaines. Dans la balance, de l'autre côté, par contre, on a les citoyens qui réclament ardemment un renforcement de la Loi sur la protection des renseignements personnels. Donc, comment on arrime tout ça? Puis, peut-être, sous-question aussi, comment vous voyez ça, la détention des informations personnelles par les tiers?

M. Blackburn (Karl) : Ce que je peux faire, M. le ministre… D'abord, merci pour vos bons mots. Je les prends avec beaucoup de fierté.

Ceci étant, le monde des affaires n'est pas contre, au contraire, un meilleur encadrement au niveau des renseignements personnels. Nous sommes tous, à la base, des individus qui… On voit bien à chaque semaine, dans les médias, des histoires d'horreur concernant le vol de données personnelles. Il est clair que, pour nos organisations, on est d'accord avec la démarche qui vise à encadrer le respect ou la garde de ces données personnelles pour éviter que des fraudeurs, pour éviter que des groupes mal intentionnés puissent, malheureusement, les utiliser et causer des torts extrêmement importants aux citoyens qui se verraient ainsi floués de leurs données personnelles.

Maintenant que je vous dis ça, effectivement, il y a quand même une certaine préoccupation concernant l'application de telles mesures, parce que, qu'on le veuille ou non, la COVID-19, la pandémie dans laquelle, malheureusement, toute l'économie mondiale a été plongée, je dirais qu'elle nous a plongés dans le XXIe siècle. Si, en 2000, on pensait que tout allait arrêter, bien, tout a continué de fonctionner, mais, en mars dernier, je pense qu'on a frappé notre bogue de l'an 2000. Et, depuis ce temps, la vitesse grand V prévaut pour les mesures d'aide, les programmes mis en place, l'accélération de l'utilisation de la technologie en termes de capacité de transiger avec nos clients, de capacité de transiger avec nos fournisseurs et nos partenaires, mais également la capacité de transiger avec le gouvernement. Qui aurait pensé, il y a quelques mois à peine, qu'on était rendus à cette étape-là?

Alors, force est de constater que la technologie occupe maintenant beaucoup plus de place dans notre environnement économique. Et je suis convaincu que, si nous positionnons correctement le leadership qui vous caractérise, M. le ministre, nous pouvons faire en sorte que ce tremplin de protection des données personnelles, de la volonté que le gouvernement, que les citoyens et que les entreprises ont de faire en sorte qu'on puisse protéger ces données-là de façon efficace et correcte, bien, que ça ne soit pas un frein à la relance économique pour le Québec, mais, au contraire, que ça puisse nous servir de tremplin, parce que, nos inquiétudes, elles se retrouvent là.

Bien évidemment, on l'a présenté dans notre mémoire, à partir du moment où, malheureusement, il y aurait des éléments qui feraient en sorte qu'on deviendrait un peu plus isolés par rapport à nos partenaires d'affaires des autres provinces ou des autres pays, bien, malheureusement, il y a des avantages économiques qui, inévitablement, pourraient se traduire par des conséquences sur notre relance économique, sécuritaire et durable à laquelle, tous, nous aspirons.

Alors, ce qu'on dit au gouvernement : On a quelque chose d'extrêmement solide entre les mains. Vous avez quelque chose d'extrêmement solide entre les mains. Je pense que ça serait important de prendre le temps nécessaire de mettre en place chacune des pièces du puzzle pour nous assurer que ces mesures de protection qui visent à protéger puis à rassurer les citoyens ne soient pas un frein à la relance économique, mais, au contraire, puissent être un avantage sur les entreprises au Québec, pour le gouvernement du Québec et pour les citoyens du Québec.

Et, pour votre deuxième sous-question, de la façon de garder, je vous dirais, les données par rapport à la question que vous souleviez dans le projet de loi, je demanderais à ma collègue, Me Karolyne Gagnon, de vous donner davantage de concret ou d'explications concernant la garde spécifique des données. Karolyne?

• (12 h 30) •

Mme Gagnon (Karolyne) : Alors, merci, M. le ministre. Merci, M. Blackburn.

Ce qu'il est important de savoir, en fait, au niveau de la conservation, de la transposition des données, surtout dans un système, là, comme le nôtre, c'est bien toutes ces notions d'équivalence, parce que je crois que c'est un des éléments qu'on a soulevés. Par rapport aux tests d'équivalence et aux notions qui ont été établies dans le projet de loi n° 64, on ne retrouve plus la possibilité, de façon contractuelle, de s'entendre sur les bonnes pratiques, les bonnes façons de faire. Puis je pense qu'avant tout, pour protéger les données des citoyens, il est important que ça soit les entreprises, les tiers, entre eux, qui prennent les meilleures dispositions.

Alors, on n'est pas contre le fait de protéger. En fait, on a parlé également de la notion de consentement du citoyen. Mais, comme vous l'avez entendu, là, longuement, le 22 et le 23, là, devant vous, la notion de consentement est un risque aussi pour le citoyen qui n'a pas toujours toutes les données possibles, là, pour savoir à quoi il doit être protégé.

Alors, nous, dans ces tests-là, les tests d'équivalence qui, en ce moment, sont très rigides, qui, également, là, demandent aux entreprises, petites, moyennes et grandes, il faut dire que les grandes, quelquefois, ont plus de moyens que les petites… mais de faire en sorte de faire une étude exhaustive, d'envoyer des experts dans les différentes juridictions. Nous croyons que, généralement, et ça s'est déjà fait, et ça se fait, dans l'économie, et ça s'est toujours fait, que des bons contrats, des bonnes ententes avec... entre les tiers, entre les différentes parties prenantes, là, d'un contrat de transfert de données, demeurent importantes et doivent être ajoutées à la loi.

Là, je ne peux pas vous dire en détail… Naturellement, je suis la vice-présidente du travail et des affaires juridiques, mais ces éléments-là, en particulier, je pense, ça vous a été bien présenté. C'est une préoccupation. Et, souvent, ce sont les entreprises qui sont les mieux outillées pour faire en sorte qu'un contrat protège le consommateur, protège les citoyens, puis ça, c'est un élément qui est très important.

M. Jolin-Barrette : Peut-être juste une question là-dessus, Me Gagnon. Souvent, le consommateur, ça va être un contrat d'adhésion où, même s'il s'engage, par voie contractuelle, au niveau des données, bien, ce qu'on constate, c'est que le consommateur ne lit pas nécessairement le contrat ou n'est pas au courant du détail. Puis c'est l'entreprise qui établit le contrat sur le partage d'information ou les données. Là, le consommateur va vouloir avoir le produit, lui, ou le service, et cette notion-là de consentement n'est pas si apparente que ça. Bien, ce que je veux dire, la personne, elle signe, elle dit : J'accepte, j'ai compris, tout ça. Mais on a un défi de pédagogie, d'expliquer en quoi le fait de contracter, le fait de souscrire, ça va être quoi, les conséquences, puis je ne suis pas sûr que c'est toujours saisi de la façon appropriée, là. Hier, on a des gens qui sont venus nous expliquer, là, les contrats, là, qu'il y a sur le Web, là, qui ont des pages et des pages aussi. Comment est-ce qu'on fait pour encadrer ça puis s'assurer que les citoyens, réellement, consentent aux conséquences, là, du partage de leurs informations?

Mme Gagnon (Karolyne) : C'est une bonne question, M. le ministre. Et je pense que c'est fondamental, parce que je suis un citoyen, vous l'êtes aussi, puis la première préoccupation par rapport à une loi qui origine, en fait, du droit à la vie privée, c'est qu'on protège les données, c'est qu'on protège les informations, parce que moi, aussi, je veux, de façon pertinente, efficace, pouvoir faire des achats, pouvoir contracter et pouvoir, comme on a dit un peu plus tôt, puis vous l'avez bien entendu, peser rapidement sur le consentement pour avoir accès au produit.

Alors, c'est pour ça qu'on vous dit puis qu'on dit dans notre mémoire… Ce qui est important… En fait, quand on parle de problèmes transfrontaliers, j'aimerais ça revenir également sur ça, on ne parle pas de freiner, parce que, M. Blackburn, il a bien, bien répondu : On ne veut pas freiner la mise en oeuvre de dispositions qui nous semblent fondamentales. Ce qu'on demande, c'est de discuter avec l'ensemble de nos partenaires provinciaux.

Alors, c'est important au fédéral. Moi, j'ai beaucoup de grandes entreprises qui sont de juridiction fédérale, qui ont leur place d'affaires ici, au Québec, qui nous disent : Les façons de faire, on veut les arrimer, on veut avoir le temps de vous parler pour bien faire les choses, on ne dit pas de changer la loi, on dit simplement : Écoutez-nous.

On comprend que, cette semaine, on a une commission parlementaire qui est restreinte, là. On est bien honorés de pouvoir s'exprimer au nom des entreprises qu'on représente, mais il y a plusieurs grandes entreprises et il y a même des organismes paragouvernementaux, et, bon, moi, j'ai eu affaire plus à des entreprises paragouvernementales, qui sont soucieux de certaines dispositions, naturellement, qui aimeraient vous en parler, qui ont des experts pour vous en parler, parce que je n'ai aucune prétention d'une expertise aussi poussée.

On a parlé, par exemple, de la biotechnologie au niveau du commerce. On a parlé de plusieurs notions qui étaient... Puis, vous le savez, le monde technologique nous demande une expertise particulière. Et il y a des gens qui, spécifiquement, se posent les bonnes questions, et je pense qu'au niveau... puis se servir de tremplins pour justement parler de ces choses-là et faire en sorte qu'on les expose de manière précise.

Au niveau du consommateur, parce que ça me semble être le plus important, quand je vous disais : Oui, il faut informer le consommateur, on n'est pas dupes, là. Le consommateur espère, puis je l'espère avant tout, que, lorsqu'il appuie sur un consentement de 30 pages, ou de deux pages, ou de 10 pages, maintenant, l'Internet n'a plus de limite, là, pour un consentement écrit, bien oui, que l'État ait fait en sorte que ce type de consentement là reflète quelque chose qu'il protège.

Alors, naturellement, ce qui est important, puis ce qui est important dans notre mémoire… Je pense que l'État a un rôle d'éducation et, surtout, d'accompagnement des entreprises. Quand on vous a parlé puis quand on vous a suggéré de mettre des guides de bonnes pratiques, de mettre des contrats types, parce que les contrats types peuvent aider les entreprises… Ça va être un temps énorme, des montants qui sont importants.

Alors, si on va dans la réduction des montants pour l'évaluation de l'analyse d'impact, ça, c'est des éléments qui sont importants, de faire en sorte... Bien là, je ne peux pas penser que la Commission d'accès à l'information va tout faire, mais qu'on pourrait faire en sorte, peut-être, là, de donner des instruments qui permettent aux entreprises, oui, d'établir des régimes de protection pour les individus et de faire le meilleur qui soit pour qu'on protège ces données-là de façon importante.

Alors, vous avez parlé un petit peu plus tôt, là, dans des conversations avec d'autres, lors des représentations : Est-ce que ça se fait ici? Moi, je vais vous dire que le CPQ travaille de pair avec la CNESST, et, déjà, on protège les individus parce qu'on leur donne des instruments. Ne serait-ce que la politique de harcèlement au travail, on met des modèles pour les entreprises. Alors, c'est important d'accompagner, puis de bien accompagner, faire en sorte que, oui, on va respecter le but premier, qui est la protection des renseignements personnels.

Et j'irais peut-être même un petit peu plus loin, parce qu'il faut le souligner au niveau de ces éléments-là, quand on parle de mettre des choses en place pour les individus, oui, on se fie à l'État. On se fie à une loi solide. Mais je vous ai mis également une expertise, là, qui m'a un peu surprise, au niveau de l'Europe, Même après plusieurs années… L'Europe est bien organisée avec ses 27 États. Ils ont même une possibilité… Parce qu'ils sont en commission. Ils sont regroupés. C'est beaucoup plus développé, là, que ça ne l'est ici. Puis on souhaiterait avoir le même genre de protection, mais qui coûte très cher aussi pour l'État. Alors, ils ont mis ensemble toutes leurs connaissances pour permettre, là, aux entreprises de pouvoir réagir très vite et d'en arriver à des résultats, là, qui sont probants. Et, malgré ça, ce que je lisais, puis vous le lirez dans notre mémoire, c'est seulement 33 % des entreprises, en ce moment, qui sont conformes à la loi.

Alors, malgré tout l'appui puis la bonne volonté qu'on veut mettre en place le régime, là, qu'on trouve tout à fait sérieux, puis probablement le meilleur régime au monde, là, même s'il y a des distinctions qu'il faudrait avoir ou qu'il faudrait adapter ici, au Québec… Alors, c'est un régime qui nous permet, à ce moment-là, de comparer un peu qu'est-ce qu'on veut, tout mettre sur la table ou choisir les meilleures dispositions pour protéger le citoyen, pour protéger le consommateur et de permettre aux entreprises de continuer à pouvoir travailler dans un système où la concurrence est énorme, la concurrence est mondiale, et de les accompagner, et de poursuivre, là, en ce sens-là.

M. Jolin-Barrette : Je vous remercie. J'invite les membres… bien, en fait, s'il y a des partenaires qui veulent déposer des mémoires à la Commission des institutions, à le faire. Peut-être, je vais céder la parole, M. le Président, à mes collègues.

Le Président (M. Bachand) : M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Bonjour, M. Blackburn, Me Gagnon. Merci de votre présentation.

Peut-être, pour poursuivre un peu sur l'idée d'arrimage dont vous avez fait mention, là, il y avait des intervenants qui étaient venus, précédemment, nous mentionner qu'au niveau... Il faudrait un peu attendre et s'arrimer avec les partenaires provinciaux, au fédéral, puis il faudrait attendre que le fédéral légifère. J'aimerais vous entendre, pour vous, qu'est-ce que ce serait, la notion d'arrimage puis quelles étapes vous voyez. Est-ce qu'on devrait attendre que le fédéral légifère ou le Québec peut aller de l'avant, peut, dans le fond, élaborer sa loi puis ensuite s'arrimer, donc, juste pour voir un peu, là, où vous vous situez?

M. Blackburn (Karl) : Juste avant de céder la parole à Karolyne, ce qui nous habite là-dedans, c'est certain que… Nos frontières n'existent plus aujourd'hui. Les frontières n'existent plus. On est capables, à un clic de souris, d'être en communication avec n'importe quel État à travers le monde. Donc, il y a quand même, je dirais, une responsabilité de ce qu'on va mettre en place puisse bien desservir les objectifs que poursuit le gouvernement en termes de protection, mais que ça puisse également être conforme et applicable de façon efficace, en lien avec la volonté du gouvernement de protéger les données personnelles des citoyens.

Donc, je pense que cet objectif-là nécessite qu'il y ait une coordination, un arrimage entre nos juridictions voisines justement pour faire en sorte que ce qui va être mis en place ne fasse pas cavalier seul, mais, au contraire, soit un vaste réseau de protection où les juridictions voisines, les juridictions avec lesquelles on a plus de transactions, bien, soient également au même niveau ou au même diapason.

Et, de façon plus concrète, au niveau légal ou au niveau de quel projet de loi devrait être déposé avant ou quel règlement devrait être amené avant, je demanderais peut-être à Karolyne de vous donner exactement le positionnement qu'on chérit en termes d'application étape par étape.

• (12 h 40) •

Mme Gagnon (Karolyne) : Alors, merci, M. Blackburn. Je pense que je n'ai pas la prétention de pouvoir vous fournir les étapes, mais je crois que ce qui est vraiment important… Donc, moi, je… Le dépôt du projet de loi est sensationnel. Le fait qu'on le dépose maintenant, au début… Puis, M. Blackburn l'a dit, nos entreprises, en ce moment, sont prises avec la COVID, avec une reprise économique, avec plusieurs arrimages à faire, mais c'est un début. Le dépôt nous permet de discuter.

Ce qu'on demande à ce moment-ci, c'est… Oui, il y a plusieurs préoccupations, il y a plusieurs subtilités. On a entendu le Pr Gautrais, là, je ne voudrais pas faire erreur sur son nom… mais qui nous disait : On est une société particulière puis on a un arrimage particulier aussi, parce qu'on est à l'intérieur d'États qui, eux, font les choses différemment, bon, naturellement, ne serait-ce qu'au niveau du common law, si on l'applique au niveau d'une notion de droit civil.

Alors, on ne demande pas d'attendre que le fédéral adopte… parce qu'on ne l'attendra pas, là, puis je pense qu'on est souvent les pionniers dans bien des domaines. Puis, naturellement, la protection des renseignements personnels nous incombe tous, comme société, et puis nous préoccupe. Alors, je suis autant préoccupée que le citoyen à côté et je veux que ça se fasse rapidement, mais on veut que ça se fasse bien.

Et, quand on parle de concertation, posons la question : Quelles sont les problématiques, quand je suis une compagnie qui a son siège social au Québec et qui est régie, pour envoyer des données, des données, qui, quelquefois, ne sont pas nécessairement des données personnelles, qui peuvent se retrouver dans le bottin téléphonique, par exemple? Alors, une loi qui me dit : Bien là, il faut que je fasse une étude d'impact en Alberta, parce que j'ai une filière à qui je veux transférer des données… C'est des petits ajustements, et ces ajustements-là…

Le Président (M. Bachand) : Merci, Me Gagnon. Malheureusement, je dois vous interrompre. Le temps passe tellement bien en bonne compagnie, tellement vite en bonne compagnie. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Pour combien de temps, M. le Président?

Le Président (M. Bachand) : 15 m 36 s.

M. Tanguay : 15 min 36? Merci beaucoup. Bien, bonjour, M. Blackburn. Heureux de vous retrouver, de même que Me Gagnon. Merci d'être là avec nous aujourd'hui pour répondre à nos questions. Je pense que votre mémoire puis votre point de vue est assez limpide. On sait où vous… quelles sont vos préoccupations, qui, je pense, sont des préoccupations tout à fait légitimes. Et je vais m'assurer, M. le Président, de laisser du temps pour que ma collègue de Notre-Dame-de-Grâce puisse également poser des questions.

Dans votre mémoire, bon, on parle… On voit évidemment des impacts que pourraient avoir, au niveau de la compétitivité, des frais engendrés, même des pénalités, là, le cas échéant, d'une lourdeur dans l'application de ce que seraient des éléments quand même assez nouveaux, d'où l'importance d'avoir, là, des guides de bonnes pratiques, des contrats types, des lignes directrices. Vous voulez, bref, avoir une assistance, je dirais ça de même, du gouvernement, peut-être de la Commission d'accès à l'information, que soient rendus publics, donc, des guides de bonnes pratiques, et tout ça.

Puis j'ai peut-être mal compris puis je vous inviterais peut-être à me préciser ça. Vous avez, par ailleurs, dit… Dans le contexte de la gestion des risques et tests d'équivalence plus restrictifs au Québec qu'en Europe, vous dites : «Prévoir — à votre recommandation n° 7 — que les mesures contractuelles puissent être un élément d'office qui permette d'assurer la protection des renseignements personnels.»

Pouvez-vous expliciter en quoi… Moi, quand je lis ça, puis de ce que je comprends, puis peut-être que je fais fausse route, vous allez me corriger si j'ai tort, mais je vois une sorte d'autorégulation par négociation contractuelle, qui pourrait, par ailleurs, atteindre les standards requis par la loi québécoise. Mais pouvez-vous expliciter en quoi ça, ça pourrait être une avenue plus souple, efficace et qui n'affecterait pas la compétitivité hors frontière, là, des entreprises québécoises?

M. Blackburn (Karl) : Alors, merci, M. le député. D'abord, d'entrée de jeu, je vais peut-être faire un peu un retour sur votre première partie de commentaire et, par la suite, je céderai la parole à Karolyne, qui pourra davantage vous donner de détails au niveau précis.

La volonté qu'on poursuit, comme organisation, c'est clair qu'elle est la même que ce que vous poursuivez comme parlementaires, que ce que poursuit le gouvernement, c'est de nous mettre dans une situation où les données personnelles soient sécurisées, et ce, pour le bien de tout le monde.

Maintenant, on fait un pas de recul et on se remet dans le contexte de la COVID-19, malheureusement, qui a mis sur pause l'économie mondiale. On est au coeur probablement de la pire crise économique des 150 dernières années. On voit bien qu'il y a des secteurs de l'économie qui se relèvent plus rapidement, qui sont moins affectés que d'autres, mais, en contrepartie, il y a d'autres secteurs qui sont durement affectés et qui, probablement, risquent de ne pas être capables de se relever.

Donc, dans le contexte, souvent, vite et bien, ça ne fait pas toujours… ce n'est pas toujours la meilleure façon de procéder. Donc, dans ce contexte, les éléments qu'on soulève par rapport à l'application du mémoire, les objectifs qu'on poursuit comme organisation sont les mêmes que poursuit le gouvernement, alors, ça, c'est clair : la protection des données et un encadrement des mécanismes régissant cette protection des données.

Maintenant, le contexte un peu... pas un peu, le contexte très particulier dans lequel on se retrouve nécessite, je dirais, d'accorder une importance plus grande à plusieurs points de détails qui risquent, dans un monde normal, d'être très difficiles, voire impossibles à appliquer. Et la question que vous soulevez, elle est extrêmement pertinente, et, à ce moment-ci, je demanderais à Karolyne de vous donner davantage les orientations par rapport au point précis que vous avez soulevé dans votre commentaire, M. le député.

Mme Gagnon (Karolyne) : Alors, merci, M. Blackburn. Bonjour, M. le député de LaFontaine. Ça me fait plaisir. Vos questions sont toujours à point et pertinentes, là, relativement à des dispositions particulières, et c'en est une principalement très intéressante, puisque l'article 17... En fait, l'article 17 nous permet de s'assurer que le régime juridique d'un autre État a suffisamment de protection ou offre suffisamment de protection lorsque je décide de transmettre des données. Alors, c'est le but premier de l'article 17.

Quand je parle d'obligations contractuelles, je me réfère plus au paragraphe 3°, où on dit : Il y a différentes façons de le faire. Alors, une est d'aller voir quel type de régime juridique on a, quelle est la finalité, quelles sont les protections dont il bénéficie. Alors, ce qui est important, quand j'ai un contrat, c'est que je peux transférer cette obligation-là à un tiers. Je peux lui dire : Tu dois t'assurer que les données ou que la façon de les traiter sont sécuritaires selon nos propres critères.

Alors, ça se passe... un peu la même chose en construction, dans les appels d'offres. Naturellement, je ne peux pas penser que le sous-traitant, au niveau de l'environnement, va respecter les règles de l'environnement, puis je ne peux pas toutes les mettre non plus, mais je peux exiger, de façon contractuelle, qu'il respecte les obligations du Québec, les obligations de l'environnement ou autres, ce sur quoi je n'aurai pas de prise lorsqu'il aura les données entre ses mains.

Alors, ça devient une exigence contractuelle qui supplée puis qui s'ajoute aux autres exigences. C'est simplement parce que ce n'est pas prévu. Peut-être que le législateur ou… En fait, peut-être, quand on a déposé le projet de loi, que c'était une volonté, parce que ça a toujours existé, mais, quand je parle à différents grands bureaux d'avocats, des gens qui sont préoccupés de la question, on me dit : On ne le voit pas apparaître. Et ce serait bon que ce soit également prévu, pour que, justement, quand je transfère des données, j'aie une protection supplémentaire qui... parce que je peux faire une grande étude par rapport au terrain, je peux envoyer un expert, puis, l'expert, je ne peux pas savoir si, effectivement, ce qu'il va me rendre est concret, m'assure une protection. Je peux tout faire ça par rapport à l'étude qui est très exhaustive.

Mais, en plus de ça, si mon partenaire, de façon contractuelle, s'engage à respecter toutes les données qui sont... ou tous les moyens qui sont pris ici, au Québec, pour protéger les données personnelles d'un individu, ça devient un élément supplémentaire. Ce qu'on dit dans notre mémoire : Est-ce que cet élément-là n'est pas suffisant ici pour se prémunir contre une étude exhaustive de ces données-là à l'étranger, qui ne vont jamais me garantir que j'ai l'expert qui est approprié? Je crois que oui. Ça c'est toujours fait au niveau des contrats, et le bris d'un contrat ou l'irrespect d'une de ses dispositions, à ce moment-là, peut encourir de graves… bien, de graves poursuites, là, de part et d'autre.

Puis je pense qu'on vous avait souligné également, plus tôt, que c'est important pour les entreprises, puis on m'a téléphoné ce matin à ce niveau-là. Vous savez, une entreprise, là, tient à ce que les données qu'elle transmet, les données qu'elle a en sa possession, soient gardées confidentielles et à respecter les règles. Il en va souvent de sa réputation. Il en va souvent même de sa pérennité. Et ça, vous l'avez entendu, mais c'est ce qu'ils nous disent : On veut… On est d'accord… Quand on dit : On est d'accord, mais on veut tellement bien faire les choses, on veut aider le gouvernement, on veut qu'il y ait un arrimage et faire en sorte que, quand on aura un système qui est bien parti… parce qu'on a un beau projet de loi, là, avec des dispositions dont la majorité sont intéressantes, mais, quand on aura un projet de loi qui est un guide, comme le dit Karl, pour l'ensemble de tous les territoires et du Québec et d'ailleurs, on sera des pionniers, puis des pionniers qui seront probablement imités par la suite. Merci.

• (12 h 50) •

M. Tanguay : ...laisser du temps, M. le Président, avec votre permission, à ma collègue de Notre-Dame-de-Grâce.

Dans le fond, si je résume, l'article 17 pourrait, selon cette option-là, se résumer, pour une entreprise, à faire une vérification diligente du sérieux et de la raisonnabilité de son sous-traitant ou de son cocontractant. Puis, une fois qu'il a fait cette vérification diligente là que mon cocontractant est une entreprise sérieuse, m'offre toutes les indications qu'elle va bien gérer et protéger les renseignements, donc ça simplifie l'évaluation, l'analyse.

Puis on a toujours, comme cocontractant, aussi… Quand on a de l'information, par exemple, ou quoi que ce soit, un bien qui appartient à un tiers ou pour lequel un tiers pourrait réclamer des dommages et intérêts, bien, on a toujours l'obligation de faire affaire avec des sous-traitants, des contractants qui sont, à nos yeux, après vérification qu'on n'a pas commis de faute, dignes de notre confiance. Donc, ça résumerait l'analyse à cela et la responsabilité à cela aussi.

Mme Gagnon (Karolyne) : Bien, vous l'avez bien exprimé. Il y aura peut-être des particularités, là, par rapport à ce qu'on fait, mais, vraiment, parce que moi, je dis… Quand on dit : Les mesures de protection dont les renseignements bénéficiaient, y compris les mesures contractuelles, ça vient, en fait, donner l'assurance supplémentaire, là, qui est au niveau, là, de la diligence raisonnable… pourrait être complétée puis favoriser un bon contrat. Merci. Je vous entends…

Le Président (M. Bachand) : Merci, maître. Alors, je cède la parole à la députée de Notre-Dame-de-Grâce, s'il vous plaît.

Mme Weil : Merci beaucoup. Alors, hier, on a entendu le Pr Gautrais. Et puis je vous dirais que le point et les arguments apportés par le milieu économique et les acteurs de l'économie, c'est un peu… beaucoup ce que vous avez dit, mais on a mis beaucoup l'accent sur les petites et moyennes entreprises, où ils sont démunis pour être capables de vraiment livrer la marchandise, selon eux.

Alors, on leur posait des questions sur comment arrimer, donc, d'une part, l'obligation de protéger les renseignements personnels, et qu'eux soient conformes à la loi, et on est arrivés sur la question d'accompagnement du gouvernement, et, vous, c'est presque comme… Ce serait une recommandation additionnelle que vous auriez peut-être à expliciter, parce que, lui, qui est très enthousiaste par rapport à l'orientation du projet de loi… mais, quand on posait cette question, il dit : L'État… je ne sais pas s'il a dit «en Amérique du Nord», là, mais l'État, souvent, ne fait pas tout ce qu'ils ont à faire pour aider et accompagner ceux qu'ils ont à accompagner. Et, dans votre phrase, vous dites ça. Vous recommandez un peu ce qu'on a entendu hier, des guides de bonnes pratiques et une aide qui serait, comment dire, ajustée au niveau de l'entreprise, les grandes, grandes, dans un premier temps.

Donc, ça c'est une question que j'ai. Je vais vous poser les deux questions pour que vous ayez le temps de répondre. L'autre, la réaction, en tout cas, que moi, j'ai eue hier, c'est d'essayer d'arrimer le fédéral, et toutes les provinces, et les États-Unis. C'est complexe, presque impossible. Comment proposez-vous, au-delà des discussions, de ne pas constater éventuellement une certaine inertie et que, souvent, c'est parce qu'il y a un État en Amérique du Nord… Notamment, nous, on avance, on bouge. Je comprends tout à fait votre recommandation de consulter, bien consulter, et se donner le temps de bien consulter, apporter les modifications, consulter le fédéral et d'autres, mais sans tomber dans l'inertie, sur un enjeu aussi important.

M. Blackburn (Karl) : Je pourrais peut-être, Mme la députée, prendre la première partie de votre question, concernant la grandeur de l'entreprise et les capacités de cette entreprise de pouvoir implanter des systèmes qui sont plus onéreux, plus coûteux, avec les expertises nécessaires, versus, des fois, les plus petites entreprises, qui n'ont pas nécessairement l'agilité ou les capacités de s'adapter à une vitesse, je dirais, plus importante.

Mais, en même temps que je vous dis cela, il y a aussi des petites entreprises qui sont très rapides, très agiles. Ce matin, j'avais une rencontre téléphonique avec une petite entreprise d'ici, du Québec, qui est un fleuron dans son domaine d'activité et qui fait en sorte que la réalité dans laquelle notre économie se retrouve soit, pour elle, un tremplin pour être capable d'aller plus vite, plus loin que ses compétiteurs.

Donc, dans l'accompagnement souhaité par la part du gouvernement, c'est d'abord et avant tout de s'assurer que tous soient au même niveau en ce qui a trait à l'application et les mécanismes, ou les cahiers, ou les guides pratiques d'utilisation de cette façon de protéger les renseignements personnels, et, encore une fois, c'est la volonté que nous poursuivons. Mais, entre le fait de le faire seul, dans un univers de juridictions qui ne sont pas au même endroit, ou de le faire comme étant un leader, avec la majorité…

Il y aura probablement toujours certains États ou certaines réalités de juridictions qui ne seront pas au même niveau que ce que nous voudrons bien comme organisation. Mais, dans ce sens-là, au moins, on aura la capacité d'être capables de mixer les objectifs poursuivis, et de le faire dans un plus grand espace, et ce, au bénéfice des clients ou des consommateurs qui vont voir leurs données, de façon plus importante, corrigées, mais, en même temps, pour les entreprises ou les employeurs, de fonctionner sur une base qui est essentiellement la même et qui ne vient pas défavoriser certains secteurs de l'économie versus d'autres secteurs qui n'ont pas les mêmes critères.

Et, peut-être, Karolyne pourrait davantage expliquer un peu plus précisément le deuxième point de votre question, sur si on fonctionne seuls ou si on ne fonctionne pas nécessairement seuls, où, malheureusement, certains États pourraient ralentir le pas de façon volontaire.

Le Président (M. Bachand) : Sur ce, le temps est écoulé. Je dois passer la parole au député de Gouin. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Pour trois minutes…

Le Président (M. Bachand) : …

M. Nadeau-Dubois : 3 min 24 s? Vous constatez comme moi… Bonjour, M. Blackburn, Mme Gagnon. J'ai peu de temps. J'ai deux sujets que j'aimerais aborder avec vous.

D'abord, sur la question de la récolte de données par les entreprises, il y a plutôt un consensus scientifique, un consensus auprès des experts qu'au moment où on se parle il y a certaines entreprises qui ont des pratiques de collectes de données qui sont abusives, autrement dit, qui collectent plus de données que ce qui est vraiment nécessaire, notamment parce qu'elles font le pari que ces données-là ne sont peut-être pas monétisables aujourd'hui, mais que, l'avancement technologique étant ce qu'il est, elles le deviendront éventuellement.

Donc, c'est documenté, comme pratique de surtout les grandes entreprises, de collecter plus que nécessaire en se disant : Bien, un jour, il y aura peut-être moyen de faire de l'argent avec ça. Donc, on ne prend pas de chances. On en prend plus que ce qu'on a besoin aujourd'hui. Ce phénomène-là, il existe. En tout cas, c'est ce que les experts nous disent. C'est ce qu'ils nous disent depuis au moins deux jours, Puis, dans la littérature, aussi, c'est largement admis. Est-ce que vous reconnaissez que ce phénomène-là existe? Et, si oui, puisque j'imagine que vous le reconnaissez, êtes-vous d'accord qu'un projet de loi sur la protection des renseignements personnels devrait, au-delà de la question du consentement, venir imposer des limites sur même ce qui est permis de demander aux citoyens et aux citoyennes comme données?

M. Blackburn (Karl) : Votre question me permet d'ouvrir le débat sur une façon très philosophique et très large, de concentrer un certain élément de réponse. Peut-être je vais laisser la chance à Karolyne de finaliser, je dirais, la deuxième question de votre volet.

Mais les données personnelles auxquelles nous, comme consommateurs, ou comme clients, ou comme citoyens, on est amenés à donner, c'est, bien sûr, toujours sur une base volontaire. Et je n'ai jamais senti, moi, de pression, pour mon point de vue personnel, de partager l'ensemble de mes données personnelles avant de faire une transaction ou de devenir un membre dans une organisation ou dans une grande entreprise. Et là ça vient aussi à une certaine responsabilité des consommateurs et des citoyens. Tout peut se faire, mais tout ne peut pas... obligé de se réaliser également.

Alors, je pense qu'il faut être conscient de... Effectivement, il y a des réalités, au niveau informatique, au niveau de données, qui font en sorte qu'on est rentrés dans le XXIe siècle de façon extrêmement rapide, mais, en même temps, on n'est pas obligés de tout faire et de tout donner.

M. Nadeau-Dubois : Je suis désolé d'être cavalier, mais mon temps file très vite. Sur ma deuxième question, est-ce que, dans le projet de loi, il devrait y avoir des limites objectives à ce qui est même permis aux entreprises de demander comme données personnelles?

M. Blackburn (Karl) : Me Gagnon, je vous laisse la parole.

Mme Gagnon (Karolyne) : Merci, M. Blackburn.

Le Président (M. Bachand) : Rapidement, Me Gagnon, s'il vous plaît.

Mme Gagnon (Karolyne) : Oui. Au niveau des données nécessaires, en fait, pour la loi sur le secteur public et parapublic, ça a toujours été prévu qu'on ne collecte uniquement que ce qui est nécessaire à l'entreprise. Naturellement, lors de l'utilisation, si on a une utilisation autre, qu'est-ce que va changer la loi? On a déjà que c'est bien circonscrit, la notion de nécessité, et qu'on le définisse ou qu'on l'ait, parce que tout ça est une question d'éducation. Alors, c'est ce qu'on vous disait, peut-être, puis je sais que ça se fait en Europe, d'établir qu'est-ce qui est vraiment nécessaire, quel est le titre, quelle est la définition. Qu'importe comment je vais pointu dans la loi, ce sera toujours une compréhension générale de la notion de nécessité qui se retrouvait déjà dans une loi plus grande. Alors, je vois...

Le Président (M. Bachand) : Merci. Dernier commentaire, M. le député de Gouin, rapidement.

M. Nadeau-Dubois : Donc, je comprends que vous n'êtes pas fermés à cette idée-là?

Mme Gagnon (Karolyne) : Bien, en fait, ce qu'on vient de décrire, la notion de nécessité, on est certains que les décisions vont le décrire. Je sais qu'en Europe, ce qu'ils faisaient souvent, c'est… Quand je vous parle de guide de bonnes pratiques, c'est de définir et interpréter la notion de nécessité et de donner les outils aux entreprises pour savoir et bien définir leur mandat.

M. Nadeau-Dubois : Merci.

Le Président (M. Bachand) : Merci beaucoup. Sur ce, Me Gagnon, M. Blackburn, merci beaucoup d'avoir participé aux travaux de la commission.

Et la commission suspend ses travaux jusqu'à 15 heures. Merci.

(Suspension de la séance à 13 heures)

(Reprise à 15 h 06)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon après-midi. La Commission des institutions reprend ses travaux. Je demande, bien sûr, à toutes les personnes présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, loi modernisant des dispositions législatives en matière de renseignements personnels.

Nous avons maintenant la chance et le plaisir d'accueillir deux avocats de chez la firme Fasken. Alors donc, comme vous le savez, vous avez 10 minutes de présentation. Merci beaucoup d'être avec nous en visioconférence. Et puis je demanderais, d'abord, de vous identifier et de débuter votre exposé. La parole est à vous. Merci beaucoup.

  MM. Karl Delwaide et Antoine Aylwin

(Visioconférence)

M. Aylwin (Antoine) : Bonjour, M. le Président, M. le ministre, MM. Et Mmes les députés. Mon nom est Antoine Aylwin. Je suis accompagné de mon collègue, Karl Delwaide.

M. Delwaide (Karl) : Bonjour.

M. Aylwin (Antoine) : Je vous remercie pour l'invitation. On est contents de vous revoir à la Commission des institutions. Depuis juin, quand le projet de loi n° 64 a été déposé, avec l'équipe, on a eu des réunions à toutes les semaines pour discuter des différents sujets. C'est un projet de loi qui est costaud. Il y a plusieurs modifications qui sont apportées. On a publié, depuis le mois de juin, à toutes les semaines, des commentaires, là, au bénéfice de nos clients, pour discuter des enjeux.

Comme vous le savez, on est des avocats d'affaires. On conseille des petites, moyennes, grandes entreprises, des organismes publics, des ordres professionnels, bref, toute la panoplie d'organisations qui sont touchées par les lois qui sont visées aujourd'hui. Je veux remercier, là, les membres de l'équipe, Jennifer Stoddart, Guillaume Pelegrin, Julie Uzan-Naulin, Aya Barbach et William Deneault-Rouillard, qui ont travaillé avec nous sur les représentations, notre mémoire, qui est Moderniser, mais conserver un équilibre. On applique la loi tous les jours, comme je vous le disais, puis on essaie, aujourd'hui, de vous véhiculer quelques préoccupations très pratiques dans notre quotidien sur l'impact des dispositions qui sont proposées.

Puis je vais céder la parole à mon collègue, Karl Delwaide, qui va commencer avec les premiers sujets.

M. Delwaide (Karl) : Alors, bonjour à tous. Le premier sujet, c'est la communication des renseignements personnels à l'extérieur du Québec, les articles 27 et 103 du projet de loi. Vous me permettrez de me concentrer sur l'article 103 qui traite de l'article 17 de la loi sur le secteur privé, mais vous avez son parallèle dans la loi sur l'accès, l'article 70.1 de la loi sur l'accès, l'article 27 du projet de loi.

Le projet de loi tel qu'il est rédigé prévoit qu'avant de communiquer à l'extérieur du Québec un renseignement personnel… Je veux juste, au moins, attirer votre attention qu'à l'extérieur du Québec… Contrairement à d'autres lois qu'on a au Canada, ça ne dit pas : À l'extérieur du Canada. Ça dit : À l'extérieur du Québec. Donc, vous avez plusieurs entreprises qui ont des divisions, que ce soit au Québec, en Ontario, en Alberta, au Nouveau-Brunswick, aux États-Unis, des filiales. Donc, à l'extérieur du Québec, ça couvre la réalité même dans les autres provinces. Ça couvre la réalité dans chacun des États des États-Unis.

Pourquoi c'est important? Parce que vous exigez… Le projet de loi, s'il est adopté tel qu'il est, exige deux critères avant de pouvoir transférer des renseignements personnels à l'extérieur du Québec même au sein d'une même entreprise. Ça exige une évaluation comparative et une entente contractuelle, une entente contractuelle qui vise à s'assurer que la juridiction réceptrice adopte des mesures de protection similaires à celles du Québec.

Vous réalisez que l'évaluation comparative, c'est très exigeant. Si vous exigez ça au sein de la fonction publique, vous avez peut-être plein d'avocats qui sont heureux, plein de juristes de l'État qui vont être heureux de faire du droit comparé. Mais je vous jure que, pour les entreprises du Québec, là, petites, moyennes et grandes, de faire l'exercice d'une évaluation comparative en plus d'une entente contractuelle, c'est un fardeau extrêmement lourd que vous imposez, selon moi, bien respectueusement.

Vous savez, une évaluation comparative pour chacune des juridictions, ça veut dire... Au Canada, c'est, quoi, 10 provinces, bon, neuf si on exclut le Québec. Donc, l'Ontario, le Nouveau-Brunswick, Alberta, il faut faire cette évaluation comparative. Il faudrait faire l'évaluation comparative pour les 51 États américains. Respectueusement, c'est un fardeau qui est extrêmement lourd.Le système actuel fonctionne bien. Le système... Vous savez, l'article 17 actuel comporte une exigence similaire, sauf l'évaluation comparative. Et, à date, ce que nous avons toujours fait, ce sont des ententes contractuelles, et, les ententes contractuelles, ça fonctionne.

• (15 h 10) •

Alors, respectueusement, une recommandation qu'on se permet de faire, c'est d'éliminer la notion d'évaluation comparative. Si le gouvernement, ou si vous voulez donner le pouvoir à la Commission d'accès de le faire, libre à vous, vous désirez cibler des juridictions pour lesquelles ce serait automatique comme c'est prévu, ou, à l'inverse, si vous désirez vous conférer le pouvoir de cibler des juridictions pour lesquelles ce serait automatiquement non autorisé de transférer des renseignements personnels, libre à vous. Mais, respectueusement, je ne pense pas que vous devriez imposer aux entreprises le fardeau de faire ces évaluations comparatives, à moins que vous vouliez procurer de l'emploi à la meute de nouveaux avocats qui sortent de l'École du Barreau. Je vous remercie, parce que ça, c'est une job d'avocat. On n'a de cesse d'avoir des questions des clients. Si c'est ce que vous souhaitez… Mais je ne pense pas que ce soit le but de la chose.

Deuxième commentaire. Je me permets d'aller rondement. Puis il y a d'autres éléments, vous savez, à ce sujet-là, sur la communication à l'extérieur du Québec. On le souligne dans notre mémoire. C'est la définition d'un État… Pourquoi je vous disais, tantôt, que ça couvre autant l'Ontario, que le Nouveau-Brunswick, que les États américains? Un État n'est pas défini, dans le projet de loi, à l'article 103. Vous savez que le Québec est un État. Et là je ne veux pas faire de politique. Dieu m'en préserve, ce n'est pas le but. Mais, sur le plan constitutionnel, chaque province canadienne est souveraine dans sa juridiction, même chose pour les États américains.

Alors, il va falloir que ce soit précisé. Qu'est-ce que vous entendez? Est-ce que vous désirez conserver cette notion d'évaluation comparative et imposer un fardeau aux entreprises du Québec de faire ce travail à chaque fois ou si le système, tel qu'on le connaît actuellement, de requérir une entente contractuelle, est un système qui est efficient, efficace et qui permet aux entreprises de faire des transferts de données, tout en assurant une protection légitime?

Vous me permettrez maintenant de passer au deuxième point : les conséquences du non-respect des lois. Les conséquences du non-respect des lois, ce sont principalement les articles 150 à 152 du projet de loi. Je veux vous glisser un mot des pénalités administratives qui sont prévues au projet de loi et qui prévoient des pénalités administratives pouvant aller jusqu'à 10 millions de dollars. J'ai deux commentaires que je me permets de vous soulever.

Le premier commentaire, c'est : C'est à la mode, ça, les pénalités administratives, c'est nouveau, ça. Vous savez, on a vu ça maintenant avec la loi antipourriel au fédéral, là, vous savez, la loi qui a un nom long comme ça, là, pour empêcher l'envoi de pourriels. Ça existe aussi en vertu du RGPD, je le reconnais, mais, selon moi, c'est... on s'écarte des principes de base de nos systèmes juridiques.

S'il y a des sanctions à imposer à une entreprise, bien, soit, qu'elle en supporte les conséquences. Mais le principe pénal a généralement servi à permettre à l'État ou à un organisme régulateur d'amener des sanctions contre des récalcitrants, mais en préservant des droits, comme préserver contre l'auto-incrimination, la présomption d'innocence, le fardeau de preuve. Tout ça fout le camp, excusez mon langage familier, avec la notion de pénalités administratives. Puis, vous savez, je suis persuadé que c'est voulu, ça. C'est voulu parce que ça écarte les protections fondamentales des chartes des droits. Et, selon moi, respectueusement, ce n'est pas un bon choix. Ce n'est pas un choix avisé. C'est dangereux de glisser là-dessus, surtout quand vous allez jusqu'à permettre jusqu'à 10 millions de dollars en pénalités administratives.

Mon deuxième commentaire qui se joint à ça, c'est… Vous verrez votre… le processus qui est implanté, n'est-ce pas, par les articles 150 à 152, et ça, ça réfère… Excusez, je vais vous le dire, c'est les nouveaux articles du projet de loi, ce sont les articles 90.1 et suivants. La mécanique que vous avez mise en place ou que vous suggérez de mettre en place, c'est de confier, à une personne désignée par la Commission d'accès à l'information, mais une personne qui ne ferait pas partie ni de la section surveillance ni de la section juridictionnelle, les fonctions de décider d'une pénalité administrative… pas de décider, pardon, de décider de l'envoi d'un avis de non-conformité et d'imposer… oui, de décider d'imposer une pénalité administrative sujette au pouvoir de la commission de réviser la décision de cette personne-là.

Moi, je trouve ça un peu particulier. Vous avez un organisme administratif, qui est la Commission d'accès, ou bien vous lui faites confiance ou vous ne lui faites pas confiance, sujet, encore une fois… Si vous confiez un tel fardeau à une commission comme la Commission d'accès, il va falloir qu'elle ait les moyens de les appliquer, mais, de confier à une personne désignée, qui est-ce? Est-ce que c'est mon confrère, Me Aylwin? Est-ce que ça va être quelqu'un du système des enquêteurs de la Commission d'accès?

De confier le soin à une personne comme ça de décider d'exposer mes clients à des pénalités de… jusqu'à 10 millions de dollars, en mettant de côté les garanties habituelles du système judiciaire, je trouve ça dangereux. De confier le tout à la Commission d'accès en révision, bien, ça ne fait qu'augmenter les coûts du système. Et on vous propose, dans notre mémoire, de tout simplement réserver ces pénalités administratives uniquement pour certaines sanctions, pour des éléments strictement techniques, et de réduire de beaucoup le maximum.

Je laisse mon confrère continuer avec nos autres recommandations.

M. Aylwin (Antoine) : S'il y a une question qui n'apparaîtra pas, du projet de loi, puis qui est sous-jacente à tous les enjeux de renseignements personnels, ce sont les ressources de la Commission d'accès à l'information. On est venus vous voir depuis plusieurs années pour vous dire que c'était une lacune. Rajouter des pouvoirs à la Commission d'accès à l'information, comme on le fait ici, ça ne réglera pas la question des ressources. Si on veut s'attaquer… sur un contrôle effectif, il va falloir que le gouvernement puisse mettre les ressources, mettre des spécialistes à la Commission d'accès.

Dans les recommandations... On a fait 21 recommandations, là. Je ne vous les reprends pas toutes, mais j'aimerais attirer votre attention sur la question de renseignements sensibles, qui, pour nous, est une source de difficultés pour nos clients. En l'absence de définition, on vous propose de se coller aux catégories de renseignements qui sont prévus par la charte comme étant les renseignements qui ne peuvent pas faire l'objet de discrimination, qui sont jugés suffisamment sensibles. Donc, ça nous permettrait d'avoir une définition claire, parce qu'ici on pourrait avoir le même renseignement qui est sensible dans certaines circonstances et pas dans d'autres, ce qui est très difficile d'application.

Au niveau des transactions commerciales, on vous invite à avoir une définition qui est plus large que celle qui est suggérée et de se coller au texte des autres lois pareilles dans le domaine pour que ce ne soit pas seulement dans le cadre de changement de propriété que cette exception-là au consentement s'applique. Puis…

Le Président (M. Bachand) : Maître, je dois vous... Maître, malheureusement, je dois vous arrêter.

M. Aylwin (Antoine) : Oui, je vais conclure.

Le Président (M. Bachand) : Je dois vous arrêter parce qu'on est rendus maintenant à la période d'échange. Je suis désolé.

M. Aylwin (Antoine) : Parfait.

Le Président (M. Bachand) : Vous pourrez, durant la période de questions, répondre davantage. Alors, M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Merci, M. le Président. Bonjour, messieurs. Merci de participer à la commission parlementaire.

Bon, d'entrée de jeu, sur la notion d'État, le sens que l'on donnait, c'était effectivement qu'une autre province constitue un autre État. Alors, on prend bonne note de votre commentaire de spécifier l'intention du législateur. On le garde en mémoire lorsqu'on fera l'étude détaillée.

Revenons, si vous le voulez bien, sur la question des amendes et des sanctions administratives pécuniaires. Là, je comprends que vous dites : Écoutez, ce n'est pas la bonne solution, ça va être vraiment préjudiciable pour les entreprises, notamment, ça permet, avec ce régime-là… bien, en fait, ça donne moins de garanties de protection juridique associée aux chartes pour les entreprises. Donc, si l'État veut encadrer le tout, ça devrait vraiment être dans le régime pénal et non pas dans le régime de sanctions administratives pécuniaires, comme on voit, supposons, en matière environnementale, maintenant.

M. Delwaide (Karl) : Oui, essentiellement, c'est ça. Écoutez, même avant l'avènement des chartes, les protections fondamentales en matière pénale, comme par exemple le fardeau de preuve ou… incrimination, ça existait. Il me semble que, de transférer ce qui est, en principe, des pénalités… de transférer ça à un régime strictement administratif, vous vous rendez compte… En plus, il y a d'autres dispositions dans le projet de loi qui permettent à la commission d'exiger de fournir de l'information sans… tout simplement de forcer une entreprise à fournir de l'information. Alors, vous avez là un outil administratif qui est très… qui va loin. Je ne vous dis pas que ce n'est pas correct d'imposer l'obligation, de répondre à une demande de la commission. Ça, c'est très correct, c'est normal. Mais, lorsque vient le temps de l'étape des sanctions, il nous semble que le processus pénal donne des garanties plus en lien avec les fondements de notre système judiciaire.

• (15 h 20) •

M. Aylwin (Antoine) : Je peux peut-être ajouter une chose sur les sanctions pénales. Maintenant, il va y avoir des dents. C'est des sanctions qui vont être importantes. On n'a pas fait la preuve, dans les dernières années, que le système pénal ne fonctionnait pas. Dans les 26 premières années d'application de la loi, les dispositions pénales existaient. En 2006, le gouvernement a augmenté certains montants de plafond de pénalités, là, dans… notamment pour la communication hors Québec, sauf que ces dispositions-là n'ont pas été appliquées. Donc, c'est très difficile de vous dire que les sanctions pénales ne fonctionnent pas. Elles n'ont pas été essayées encore. Donc, on n'a pas encore la démonstration qu'il faut passer à un régime administratif, selon nous.

M. Jolin-Barrette : Vous dites : On devrait attendre de voir… d'éprouver le système pénal avant d'aller au régime administratif. Mais le régime administratif est là aussi pour convaincre, supposons, les entreprises, surtout en matière de protection des renseignements personnels, de l'importance de se conformer à la législation. C'est un régime qui est moins lourd aussi et qui peut constituer un facteur, très certainement, d'adhésion pour les gens, bien, les personnes morales qui détiennent les données des Québécois, à titre d'exemple.

Donc, je comprends votre point, où est-ce que vous dites : Bien, écoutez, on devrait être prudents là-dessus. Mais, d'un autre côté, quand on fait la balance des inconvénients, mais on peut se dire : Bien, il y aurait peut-être lieu de mettre ce régime-là justement pour diriger l'orientation, pour dire à quel point la protection des renseignements personnels, c'est important, là, puis qu'on doit vraiment encadrer le tout, parce qu'on voit, là, il y a des fuites de données. Parfois, il y a de la négligence. Parfois, c'est des attaques, malgré le fait que l'entreprise ait pris tous les moyens nécessaires et a fait preuve de diligence raisonnable. Mais comment vous recevez ça si on retourne la situation de l'autre côté?

M. Delwaide (Karl) : Juste bref commentaire de ma part, et Me Aylwin complétera. Vous savez que la commission a déjà des pouvoirs d'ordonnance. Alors, au niveau justement de cet encadrement que vous souhaitez, bien, la commission peut très bien l'exercer par ses pouvoirs d'ordonnance. Et, s'il y a un manquement qui est strictement technique... Vous remarquerez, on dit : Les pénalités administratives pour des manquements strictement techniques pourraient exister. Quelqu'un qui a manqué, là... son système a fait défaut ou des choses comme ça… mais, si quelqu'un est un contrevenant volontaire, bien, allez-y sur le plan pénal, et qu'il en subisse les conséquences, respectueusement.

M. Aylwin (Antoine) : Je pense que vous avez plusieurs outils. Si vous regardez notre recommandation n° 5, ce n'est pas d'abolir les sanctions administratives, mais plutôt d'avoir un ratio de un pour 20 entre le pénal puis l'administratif, ce qu'on estimait à 125 000 $ pour une sanction pénale, maximum de 25 millions. Nos recommandations sont reprises à la fin, là, si vous les cherchez.

Puis je pense que vous avez comme trois étapes. La commission, avec ses enquêtes puis sa surveillance, a un pouvoir de ce qu'on appelle, en anglais, le «name and shame», c'est-à-dire de nommer une entreprise qui a eu un comportement qui est inadéquat, qui, au niveau de la réputation, est néfaste. Les sanctions administratives pourraient être une première étape dans un... On ne vous dit pas de ne pas en mettre, mais de dire qu'il y ait un plafond qui est plus bas que celui de 10 millions, parce que ça devient excessivement important, presque du pénal, rendu là, et d'avoir la troisième étape qui est pénale, un peu comme on fait avec la sécurité routière. On va avoir des constats d'infraction pour la vitesse, mais, si on a une conduite dangereuse, ça va être une infraction criminelle. Donc, c'est juste d'avoir des étapes puis des niveaux, des paliers qui sont appropriés dans ces circonstances-là.

M. Jolin-Barrette : O.K., je comprends. Sur la question des politiques internes que doivent adopter les entreprises, là, on propose que ça soit rendu public. Là, vous, vous dites dans votre mémoire : Écoutez, attention, ça pourrait faire le contraire, ça pourrait mettre plus à risque ces politiques internes là. Pourquoi?

M. Aylwin (Antoine) : Je peux peut-être commencer en vous disant : Ça dépend du niveau de détail que vous attendez. Si on attend à un niveau de détail qui est de dire : On a un système de... Je vais vous donner un exemple pratique. On a un système de sécurité avec des caméras cachées. Ça, c'est une chose. Si, après ça, je dis : Mon système de sécurité, mes caméras cachées sont situées là, là et là, je viens de complètement défaire la sécurité que j'ai parce que, là, je vais être exposé aux gens qui voudraient rentrer dans mon système, où est ma protection, donc, et toutes les tentatives de «phishing», par exemple, sur les personnes qui peuvent être appelées à intervenir sur des systèmes de sécurité, si on met de l'information publique, ça peut aider les fraudeurs.

Donc, le niveau d'information qui doit être transparent risque, si on veut protéger comme il faut les données, d'être un peu de la vanille dans tous les cas. C'est qu'on va retrouver des politiques qui vont se ressembler d'une organisation à l'autre parce qu'on ne voudra pas mettre un niveau de détail qui permettrait aux fraudeurs de s'en servir contre l'organisation.

M. Jolin-Barrette : O.K., je comprends. Sur la question du consentement implicite, vous dites : Bon, bien, c'est absent du projet de loi n° 64. Qu'est-ce que vous voulez dire par consentement implicite?

M. Delwaide (Karl) : Bien, écoutez, il y avait une interprétation de l'article 14 autrefois, là, l'exigence était qu'il fallait, puisqu'on voulait un consentement clair, précis, spécifique, que le consentement implicite, donc, le...

Je vais vous donner un exemple. Quelqu'un vient porter son C.V. ici pour être engagé. Donc, il y a manifestement un consentement. Et malheureusement il n'y a pas de poste aujourd'hui, mais il pourrait y en avoir un dans trois mois. Je conserve son C.V. et je ne lui ai pas demandé de cocher : Désirez-vous que je conserve votre C.V. pendant x semaines, au cas où une ouverture se présenterait? Il y a une notion de... C'est un peu implicite que quelqu'un qui vient me porter son C.V., s'il n'y a pas d'emploi aujourd'hui, bien, il accepte que je le conserve pour une durée raisonnable, au cas où un emploi s'ouvrirait. On disait que, tel que rédigé, l'article 14 ne permettait pas ces consentements implicites. Il fallait un consentement exprès.

Maintenant, vous avez, dans le projet de loi, deux ou trois endroits où, clairement, vous dites que, pour tel type de renseignement sensible, il faut un consentement exprès, sous-entendu le consentement implicite est donc permis. D'ailleurs, je dois avouer, un peu à ma surprise personnelle, quand j'ai lu le dernier rapport de la Commission d'accès à l'information, la Commission d'accès reconnaissait qu'il y avait existence d'un consentement exprès ou implicite possible.

Alors, tout simplement, ce qu'on veut vous souligner, c'est que nous, on comprend que le projet de loi avalise la notion de consentement implicite par le fait que vous exigez à certains endroits... Je pourrai vous retrouver les articles précis, là, on les a, où vous exigez le consentement exprès pour certains types de renseignements. Donc, vous comprendrez qu'en logique juridique l'interprétation est que le consentement implicite n'est pas écarté. Il est donc possible de dégager des consentements implicites. Si c'est ce que vous voulez, parfait, il y a certaines circonstances qui s'y prêtent bien.

M. Aylwin (Antoine) : En d'autres mots, on vous demande d'être un peu plus explicites sur le consentement implicite pour que ça soit clair, quand est-ce qu'il est permis.

M. Delwaide (Karl) : C'est un peu ça.

M. Jolin-Barrette : Sur la question, là, il y a des intervenants qui vous ont précédés, qui nous ont dit : Bien, vous devriez également permettre les consentements en bloc ou ne pas exiger des consentements systématiquement. Qu'est-ce que vous en pensez, considérant qu'on viendrait exiger trop souvent des consentements, ou en fonction de la nature de l'information de la donnée personnelle, sa considération stratégique, là, de sa sensibilité?

M. Aylwin (Antoine) : C'est le point 4.1 de notre mémoire. L'article 14, pour nous, pose une certaine difficulté pratique quand on demande le consentement distinct de toute autre information communiquée. Je peux comprendre, par exemple, quand on parle de renseignements sensibles, qu'on pourrait demander un consentement distinct comme on fait au niveau de la loi antipourriel. La loi antipourriel demande un consentement distinct pour la sollicitation commerciale. Donc, il y a une fin particulière pour laquelle on demande un consentement distinct.

Mais, présentement, comment l'article 14 est rédigé, c'est comme si on devait désincarner le consentement du contexte parce qu'on ne doit pas donner d'informations. Dans la mesure où on demande le consentement dans la rédaction actuelle, je vous dirais, au niveau pratique, j'ai l'impression que ça va être très difficile d'application, mais je peux concevoir que, dans certains cas, on va vouloir scinder. C'est peut-être là qu'on devrait intervenir pour dire quand est-ce qu'on va avoir un consentement spécifique, séparé du reste, plutôt que d'instituer un régime général, qu'il va falloir avoir des formulaires ou il va falloir cocher huit fois pour dire oui quand ce n'est pas tout à fait nécessaire, quand ça peut être compris comme un bloc, là, dans la relation entre les parties.

M. Delwaide (Karl) : Il y a des… Par exemple, l'ouverture d'un compte, le traitement du compte, la fermeture du compte, l'échange d'information, tout ça, ça va de soi. Alors, est-ce qu'on a besoin de cocher à chacun, ouvrir le compte, l'appliquer, le fermer, échanger l'information? Ça nous semble un peu de la paperasserie. Je veux que vous compreniez que, nous, ce qui nous guide, c'est un petit peu une recherche d'équilibre, hein, entre : Oui, il faut protéger les renseignements personnels, mais, d'un autre côté, on est à une époque où il y a une globalisation de l'information. On ne veut pas être en porte-à-faux, à un moment donné, avec des fonctionnements plus globaux, là, de la planète économique, là.

M. Jolin-Barrette : Je vous remercie.

Le Président (M. Bachand) : M. le député de Chapleau, s'il vous plaît.

• (15 h 30) •

M. Lévesque (Chapleau) : Bonjour, maîtres. J'espère que vous allez bien. Merci beaucoup pour votre présentation et votre mémoire.

J'aurais peut-être deux petites questions, là, à vous poser. Vous avez parlé, là, des contraintes que l'évaluation comparative et que… combinée avec les ententes contractuelles, pouvait poser à votre clientèle. J'aimerais peut-être qu'on revienne là-dessus.

Puis j'aimerais aussi vous entendre sur… Bon, j'imagine que vous avez eu l'occasion de parler avec plusieurs de vos clients, aborder le projet de loi n° 64. Est-ce qu'il y a un autre son de cloche dont vous aimeriez nous faire part, que vous avez entendu, là, sur le terrain? Puis vous disiez, d'entrée de jeu, là, que vous desserviez autant les petites, moyennes entreprises que les grandes entreprises. Est-ce que vous faites une distinction entre ces types d'entreprises là?

M. Delwaide (Karl) : Bien, en fait...

M. Aylwin (Antoine) : ...commencer par la première question.

M. Delwaide (Karl) : Oui, je vais commencer par la première question. Le complément… Quand vous regardez le RGPD... Moi, là, je vous donne ma lecture personnelle. J'ai vu le projet de loi n° 64 comme étant une tentative de s'arrimer au RGPD, à certains de ses grands principes, notamment dans un but d'adéquation, et c'est très correct, là, O.K.? En vertu du RGPD, à moins que je ne me trompe, il a... l'Union européenne peut énoncer des juridictions qui sont jugées comparables, alors, donc, où vous pouvez échanger des renseignements personnels. Et, à défaut d'avoir ça, il faut un système contractuel, n'est-ce pas? Il faut une entente contractuelle.

Il y a une décision récente, là, cependant, qui vient dire qu'il faudrait faire une évaluation comparative malgré ça. Ça, on en reparlera. Il y a plusieurs chroniqueurs qui sont un petit peu interloqués par cette décision-là. Mais donc nous, on pense que le processus des ententes contractuelles est suffisant. Vous savez qu'il est reconnu, notamment, aussi, entre filiales ou entre divisions d'une même entreprise, ce qu'on appelle, en anglais, le «binding corporate rules», là, les règles et les directives internes. Ça aussi, ça devrait être permis, faire en sorte que la compagnie X qui a une filiale en Ontario ou une division en Ontario, s'il y a une directive d'entreprise qui lie tout le monde, ça devrait être permis.

Alors… et, à moins que je ne me trompe encore, il y a même eu des décisions du commissariat fédéral à la vie privée, qui a dit qu'il y a... À un moment donné, les ententes contractuelles, il faut quand même aussi que ce soit avec une juridiction où le système de justice est signifiant. Je veux dire, je ne veux pas nommer de pays, là, mais, certains pays, vous allez me dire : Si j'ai une entente contractuelle, c'est peut-être plus difficile de la faire exécuter. On se comprend? Alors, le gouvernement, vous pourriez adopter des décrets à cet effet-là. Vous pourriez vous donner le pouvoir de dire : Il y a certaines juridictions où on pense que ça n'a pas de bon sens.

Bon, l'autre chose, il y a... il faut faire attention avec le... Comment je pourrais vous expliquer ça en simple… Vous exigez une évaluation comparative et un contrat. On fait beaucoup... Vous savez, les données commerciales avec les États-Unis, c'est immense, l'économie, les échanges économiques entre le Québec, les États-Unis, le Canada et les États-Unis. Il y a eu une décision de la cour de justice européenne qui dit que le système de «privacy shields» américain ne présente pas les garanties d'adéquation, donc, de comparabilité acceptable.

Alors, est-ce que ça veut dire que nous, ici… Nos entreprises qui font affaire avec le Maine, le Vermont, le Massachusetts, la Californie, est-ce qu'elles vont pouvoir arriver et dire que c'est comparable, et là se mettre en porte-à-faux, si elles font aussi affaire avec l'Europe, avec le RGPD? Je ne vous dis pas qu'une évaluation faite ici... qu'une décision va lier les évaluations faites ici, mais vous comprenez que c'est un élément qui, il me semble, pourrait être invoqué pour encore un grain de sable dans l'engrenage par rapport à une relation d'adéquation avec l'Europe.

M. Aylwin (Antoine) : Pour répondre à votre deuxième question, deux points rapides.

Nos plus gros clients qui font affaire dans plein de juridictions, leur principale préoccupation, c'est : Comment est-ce que je vais pouvoir respecter la loi du Québec en même temps que les autres lois, d'avoir un système qui est cohérent, O.K.? Ce n'est probablement pas la première personne qui vous dit ça, là, donc, c'est d'essayer de pouvoir avoir une conformité qui va fonctionner à l'ensemble de l'Amérique du Nord ou même à travers le monde.

Les plus petits clients qui, eux, intègrent de plus en plus la question, puis ce n'est pas encore fait, là, les questions de consentement, de politiques de renseignements personnels, maintenant, les évaluations de facteurs de la vie privée, ils voient ça comme un monstre. La loi prévoit présentement que, dans tout système d'information, bien, c'est à peu près tout le temps qu'il va falloir faire des évaluations des facteurs de la vie privée. Puis la loi ne nous dit pas c'est quoi, une évaluation des facteurs de la vie privée. Donc, pour eux, ils voient ça comme excessivement complexe pour le traitement des données, alors que ce n'est peut-être pas nécessaire d'être complexe, mais peut-être que la loi pourrait être plus précise à l'égard des attentes qu'on va avoir à ce niveau-là.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît.

Mme Weil : Oui, bonjour. Merci beaucoup. Vraiment, beaucoup, beaucoup de commentaires préoccupants, évidemment, dans le sens qu'on sent qu'il va falloir vraiment revoir attentivement les conséquences des modifications autant pénales, mais punitives, généralement, mais aussi les implications pour le Code civil. Donc, j'aimerais que vous reveniez un peu sur vos commentaires par rapport à vos craintes des conséquences du non-respect des lois et le choix de régime à appliquer, comment le régime pénal fonctionne, normalement, que vous, vous voyez vraiment une atteinte dans certains cas. Je pense que c'est tellement important. J'aimerais vous entendre plus…

Mais, aussi, je ne sais pas, il me semble que vous n'avez pas... peut-être que vous avez glissé dessus, l'introduction d'une nouvelle clause d'action civile, peut-être commencer par celui-là pour bien expliquer la préoccupation que vous avez à cet égard, parce qu'on n'a pas le Barreau. On ne pourra pas entendre le Barreau. D'ailleurs, une petite question. Est-ce que vous faites partie d'un comité du Barreau du Québec en la matière sur cette question? Oui?

M. Aylwin (Antoine) : Oui, vous allez voir mon nom dans un autre mémoire qui va vous être acheminé par le Barreau du Québec.

Mme Weil : Qui viendra bientôt? O.K., parce qu'on a vraiment besoin de bien comprendre les conséquences juridiques. Puis je pense que le ministre aussi va vouloir bien comprendre pour être capable d'amener les correctifs au besoin. Alors, peut-être, commençons avec l'introduction de cette nouvelle cause d'action civile.

M. Aylwin (Antoine) : Merci, Mme la députée. Je m'excuse, M. le Président, je présume que la parole est à nous, parce qu'on ne vous voit pas dans...

Le Président (M. Bachand) : C'est une commission qui est très ouverte, parce que les gens sont disciplinés. Alors, allez-y, il n'y a pas de problème.

M. Aylwin (Antoine) : Merci. Donc, la nouvelle cause... Vous savez, des dispositions pour des dommages punitifs, c'est très rare dans les lois québécoises. On a la charte québécoise des droits et libertés qui en contient. Il y a la Loi sur la protection des arbres, la Loi sur la protection du consommateur. Donc, peut-être, j'en oublie une, là, mais je pense que je viens de faire le tour.

Donc, premièrement, s'il y avait une atteinte intentionnelle et illicite au droit à la vie privée en vertu de la charte québécoise, il y aurait eu des recours ou il y aurait un endroit là pour le prévoir. Donc, le prévoir dans une loi, même dans le Code civil, c'est extraordinaire d'avoir des dommages punitifs.

Ce qu'on voit aussi, c'est qu'avec la protection des renseignements personnels il y a des facteurs multiplicatifs. Donc, les entreprises ne gèrent pas un renseignement personnel de façon... en silo. Ils vont avoir une clientèle. Ils vont avoir des employés. Donc, ils vont avoir une base de données, ce qui fait que, quand on prévoit des dommages punitifs de l'ordre de 1 000 $ minimum, nous, dans notre tête, ce que ça vient dire, c'est action collective puis c'est facteur multiplicatif. Donc, on vient prendre la solution de la Californie, qui dit : Moi, je ne mets pas de sanction pénale importante, je ne mets pas de sanction administrative importante, mais je mets des dispositions pour que les recours civils puissent être exercés, donc je privatise le mode de sanction pour le non-respect de la loi.

Donc, ici, ce qu'on fait, on fait les trois ici en amenant cette disposition-là. On a une juridiction où des actions collectives sont plus présentes que dans d'autres juridictions. Il y a énormément d'actions collectives présentement. Il y en a en matière de vie privée. On a été impliqués dans certains de ces recours-là. Donc, on va juste multiplier les recours. Est-ce que c'est une bonne façon de voir à la mise en vigueur de la loi? J'en doute. J'ai l'impression que les autres solutions de sanctions pénales sont peut-être plus appropriées et vont plus rejoindre les objectifs du législateur que de confier ça… ou de privatiser ces sanctions-là.

M. Delwaide (Karl) : Et n'oubliez pas le principe d'escalier dont Me Aylwin parlait tout à l'heure. Vous savez, ça peut commencer par une ordonnance, ça peut être une pénalité administrative si c'est encadré de façon plus raisonnable que, et je le dis bien respectueusement, 10 millions de dollars, qui nous apparaissent un peu, beaucoup, et, ensuite, l'étape pénale si quelqu'un ne veut pas se plier.

• (15 h 40) •

M. Aylwin (Antoine) : Peut-être, pour compléter ma réponse au député de Chapleau, il y a une chose que nos clients nous parlent, c'est la sanction pénale de 25 millions. Ça fait que soyez-en sûrs qu'ils sont sensibilisés et que, même si la disposition finale nous prévoit une entrée en vigueur 12 mois après l'adoption, ils sont déjà en train de penser à comment est-ce qu'ils vont être en conformité.

Mme Weil : Et des meilleures pratiques que vous avez pu voir, peut-être, ailleurs au Canada, peut-être, aux États-Unis, c'est moins comparable, est-ce que vous avez des exemples à nous donner en matière de contrôle et de répression, si on veut, de corrections, de pénalités? Est-ce qu'on ferait vraiment bande à part, le Québec, avec les approches qui sont proposées?

M. Delwaide (Karl) : Il y en a deux qui me viennent à l'esprit. Il y a… Je pense, en 2019, British Airways, en vertu du Data Privacy Act du U.K., là, du Royaume-Uni, a été condamnée à je ne sais plus que montant en «pounds» de pénalités administratives, parce qu'eux, ils suivent le modèle du RGPD. Alors, ça a été une pénalité administrative. Et là le montant m'échappe, mais c'est un montant substantiel. Et, tout récemment, encore, il y a Cathay Pacific, Cathay Airlines, qui a fait l'objet… je pense, c'est 500 000 «pounds» de pénalité administrative.

Ça, c'est des exemples que moi, j'ai vu passer, là, dont on m'a informé, mais c'est le régime du RGPD. 500 000 «pounds», c'est l'équivalent de quoi, 800 000 $ canadiens à peu près, là, écoutez, là, peut-être un peu plus, un peu moins, là. Mais, des exemples, à notre connaissance, il y a ces deux-là, à ma connaissance à moi. Je ne sais pas si Antoine en a d'autres. Et c'est assez récent, mais c'est le modèle RGPD. C'est le modèle pénalités administratives. Vous avez des exemples. En vertu de la Loi canadienne anti-pourriel, là, des pénalités ont commencé à être émises, mais ça ne rend pas le système plus acceptable sur le plan des principes par rapport aux fondements de notre système juridique québécois tel qu'on le connaît.

M. Aylwin (Antoine) : C'est surtout qu'on n'a pas de données qui nous permettraient de conclure que les gens se conforment davantage dans ces systèmes-là non plus.

Mme Weil : Vous parlez de l'exemption lors de transactions commerciales. C'est page 11 de votre mémoire. Pourriez-vous me donner un exemple de ce que... une illustration de votre propos, ici, où on… une exception spécifique au principe de consentement, dans un contexte de transaction commerciale, où ça s'applique?

M. Aylwin (Antoine) : Ce qu'on a en tête principalement… Puis c'est couvert par les autres législations qui ont cette exception-là. Le Québec, on est comme à la fin, là… Les autres lois ont déjà des exceptions. C'est une opération de financement. Donc, une entreprise qui veut aller chercher le financement dans des marchés privés va devoir, par exemple, donner des renseignements sur ses hauts dirigeants, donc, des renseignements sur des employés, des renseignements personnels pour pouvoir s'assurer que l'entreprise est entre bonnes mains. En raison du manque d'exceptions, ça veut dire, techniquement, qu'il faut aller chercher le consentement de ces gens-là pour pouvoir faire l'opération de financement. Donc, c'est pour ça qu'on voit que ça n'implique pas nécessairement un changement de propriété de l'entreprise, comme c'est défini présentement, mais que ça appartient à la même logique que l'entreprise a des opérations commerciales à mener sur ses opérations.

Mme Weil : Je ne sais pas combien de temps... Ah! parfait, peut-être parler aussi... Vous vous exprimez sur la section concernant... En matière d'emplois, les défis que vous voyez, le modèle que vous prônez, peut-être expliquer un peu ce que votre mémoire... C'est à la page 15 de votre mémoire.

M. Aylwin (Antoine) : Bien, c'est une question qui est fondamentale, parce que la loi québécoise repose, contrairement à la loi européenne, par exemple, sur la pierre d'assise unique du consentement. Donc, soit il y a consentement soit il y a exception au consentement. C'est la pierre d'assise. Mais la relation employeur-employé n'est pas une relation où le consentement s'exprime au niveau de l'utilisation des renseignements personnels. Le consentement s'exprime au niveau de l'embauche. Donc, le fait de fournir son numéro d'assurance sociale pour être payé, ça va un peu de soi quand on est embauché. Puis les renseignements qui vont avec le fait d'être un employé d'une entreprise découlent de l'embauche.

Donc, de dire qu'il y a vraiment une opération de consentement distincte, c'est un peu théorique. Et, comme le projet de loi le fait, peut-être, timidement, mais met le pied là-dessus, c'est que peut-être qu'on doit penser davantage à un système de transparence plutôt qu'à un système de consentement, et c'est ce que... La relation employeur-employé est encadrée spécifiquement dans les lois de la Colombie-Britannique et de l'Alberta. Il y a une exception spécifique qui prévoit que les notions de consentement générales qui s'appliquent aux clients, etc, ne s'appliquent pas. On a un cadre qui est très bien défini pour les employés.

Mme Weil : Et donc, plus concrètement, quand vous parlez de transparence, dans quel sens…

M. Aylwin (Antoine) : Ce que le projet de loi dit, notamment, dans les politiques qui doivent être rendues… connues, bien, c'est d'exprimer aux employés expressément ce qu'on va faire avec leurs données. Puis c'est la décision d'être à l'emploi qui va faire foi du consentement à ces pratiques-là et non pas un consentement distinct que celui d'être employé.

Mme Weil : O.K. Donc, en fournissant l'information, il y a comme une adhésion implicite au fait du partage de cette information.

M. Aylwin (Antoine) : Exact.

Mme Weil : Santé, recherche, vous allez un peu là-dessus. On n'a pas eu le temps de… Vous n'avez pas eu le temps d'en parler, puis, dans mes quelques minutes… C'est un sujet bien important. On en parle beaucoup ici, au Parlement. Pourriez-vous peut-être vous adresser à cette question-là? Comment vous voyez ça?

M. Aylwin (Antoine) : En fait, on pourrait prendre une heure là-dessus seulement, là, mais je vais essayer de résumer, au fait que… Bien, nous, ce qu'on constatait, c'est que le système actuel demande des autorisations dans des cadres d'études et de recherches… n'était pas approprié. Il y a une question de ressources. Au niveau de la Commission d'accès à l'information, des fois, ça prenait un an, un an et demi, d'avoir une réponse, puis là on arrivait au bout du financement pour faire le programme de recherche.

Donc, cette modification-là, de ne pas demander une autorisation en amont, c'est très positif pour nous. Puis, même si ça peut être mis en vigueur avant le 12 mois de l'entrée en vigueur du projet de loi, ça serait encore mieux. Ceci étant, ça ne veut pas dire qu'on se penche sur l'ensemble du processus. Ça reste quand même un processus qui est balisé, puis qu'il faut s'assurer qu'il soit cohérent avec les pratiques actuelles en matière de recherche.

Là, la question qui se pose, c'est les utilisations en matière de recherche. Puis je vais vous parler autant d'intelligence artificielle que d'études cliniques. Aller chercher un consentement spécifique, d'entrée de jeu, c'est extrêmement complexe, ou de définir l'utilisation, d'entrée de jeu, c'est complexe, parce qu'on cherche. On ne sait pas encore l'utilisation précise qu'on va faire. On a essayé d'illustrer avec l'exemple d'une recherche sur le cancer du sein qui pourrait donner des résultats pertinents à une recherche sur le cancer des ovaires. Bien, c'est le genre de chose qui peut être découverte en cours de recherche. Si les utilisations secondaires des données ne sont pas permises, bien, on vient se bloquer des possibilités qui pourraient être très positives au niveau de la recherche parce qu'on a une règle qui est trop restrictive en matière de l'utilisation des données.

Mme Weil : Très bien, merci.

M. Delwaide (Karl) : ...

Le Président (M. Bachand) : Oui, allez-y, maître, allez-y, oui.

M. Delwaide (Karl) : …non, non, non, ce qui n'écarte pas de demander que des mesures de protection des renseignements soient prises. Comprenez-nous, là, c'est deux choses distinctes. Et nous, là-dessus, au niveau de la protection, on vous suit.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, pour 3 min 34 s, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, messieurs. J'ai peu de temps. Je vais être expéditif dans mes questions. Merci de me faire le plaisir de réponses assez courtes.

Vous parlez... Vous exposez des réticences à l'idée que les entreprises publient leurs politiques puis leurs pratiques concernant la protection des renseignements personnels. Vous avez soulevé un argument tantôt en disant : Ça pourrait révéler des vulnérabilités qui pourraient être exploitées par des gens malveillants. Mais il y a un deuxième argument qui m'intrigue. Dans votre mémoire, vous dites, à la page 14, et je cite : «Ces renseignements peuvent par ailleurs constituer des renseignements commerciaux privilégiés pour les entreprises.»

En quoi une politique qui explique aux consommateurs les mesures qui sont prises pour protéger les renseignements… Puis on s'entend que ce ne sera pas des politiques avec : Voici le mot de passe pour rentrer puis voici où est le serveur, c'est des principes généraux, là. En quoi ça... Dans quel contexte, dans quelles circonstances ça peut être un renseignement commercial privilégié?

M. Aylwin (Antoine) : Je suis d'accord avec vous. Ce n'est pas sur les mesures de sécurité que ce commentaire-là s'applique, mais sur l'utilisation. Dans la façon dont le niveau de détail va être donné sur l'utilisation, on peut révéler des méthodes qui sont propres aux entreprises sur comment est-ce qu'on utilise les données de façon dérivée, comment est-ce qu'on peut faire de la déduction à partir des données qu'on a puis comment est-ce qu'on va nourrir certains algorithmes qu'on va faire dans l'aide de la recherche à l'interne de l'entreprise. C'était plus au niveau des utilisations potentielles.

M. Nadeau-Dubois :  Mais donc... Bien, vous comprenez que ça peut être dérangeant pour un citoyen d'entendre que, le fait d'expliquer aux gens ce qu'on fait avec leurs données, ça va déranger certaines entreprises parce qu'elles veulent pouvoir protéger… Pour faire de l'argent, faire du profit avec les données, on est mieux de ne pas trop expliquer ce qu'on fait avec pour pouvoir protéger notre avantage concurrentiel. Voyez-vous comment c'est un argument qui peut être dérangeant pour certaines personnes?

M. Aylwin (Antoine) : Je comprends votre préoccupation. Ce n'est pas qu'est-ce qu'on fait avec les données, mais c'est plutôt comment on le fait, je pense, qui est la préoccupation.

• (15 h 50) •

M. Nadeau-Dubois : Mais est-ce que ce n'est pas justement ça, l'objectif d'une loi comme le projet de loi n° 64, d'ajouter de la transparence sur ce que les entreprises font avec les renseignements personnels des gens, ce n'est pas ça, même, l'intention d'avoir un projet de loi comme ça?

M. Aylwin (Antoine) : Je vais vous donner un exemple où je fais la distinction. Quand on parle de ciblage de publicités, O.K., c'est une préoccupation, je pense, qui est de connaître que nos données sont… pour faire du ciblage. Ça, c'est une utilisation qui peut être communiquée puis qui fait partie de l'objectif de transparence que vous décrivez. Mais, quand on rentre dans les outils puis comment ça fonctionne dans la boîte, là, comment est-ce qu'on fait les maillages, comment est-ce qu'on fait les arrimages, bien, c'est là que ça devient la propriété intellectuelle de l'entreprise qui développe ses techniques pour être performante au niveau de son ciblage. Mais, si je vous dis que j'utilise votre nom, votre résidence, votre revenu pour dire qu'on va faire du ciblage sur vous, je pense atteindre l'objectif de transparence que vous recherchez.

M. Nadeau-Dubois : Mais où est-ce que vous voyez dans le projet de loi qu'il y aurait des exigences beaucoup plus élevées que ce que vous venez de décrire là?

M. Delwaide (Karl) : On ne veut pas qu'elles soient moins élevées. C'est tout à fait…

M. Nadeau-Dubois : Vous souhaitez qu'elles soient... Ah! pour vous, ce serait... par exemple, ce serait mal avisé de demander à des entreprises de révéler que l'adresse, la date de naissance, le lieu de résidence est utilisé pour faire du ciblage, pour reprendre notre exemple, là?

M. Aylwin (Antoine) : Non, c'est parce que ce que vous nous demandez, c'est : Où est-ce que vous voyez dans le projet de loi que ça va aussi loin? Nous, notre réponse, c'est : On ne voit pas dans le projet de loi que ça ne va pas aussi loin. Il n'y a pas ces... Ce n'est pas défini d'une façon qui limite l'information qui doit être rendue disponible.

M. Delwaide (Karl) : Ce n'est pas encadré, c'est qu'on ne sait pas... On est devant une zone grise. On ne sait pas comment le régulateur va l'interpréter et jusqu'à quel niveau de précision ce sera exigé.

Le Président (M. Bachand) : Merci beaucoup, merci beaucoup. Sur ce, messieurs, merci beaucoup de votre collaboration aux travaux de la commission. C'était très apprécié.

Et là-dessus la commission suspend ses travaux quelques instants. Merci beaucoup, très bon après-midi.

(Suspension de la séance à 15 h 52)

(Reprise à 15 h 54)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il me fait plaisir d'accueillir Me Daniel Therrien, commissaire à la protection de la vie privée du Canada. Alors, Me Therrien, encore une fois, grand plaisir de vous accueillir ici de façon virtuelle, bien sûr. C'est la façon de faire dorénavant. Alors, comme vous savez, vous avez 10 minutes de présentation. Après ça, nous aurons un échange avec les membres de la commission. Donc, la parole est à vous, Me Therrien. Merci beaucoup.

Commissariat à la protection de la vie privée du Canada

(Visioconférence)

M. Therrien (Daniel) : Merci beaucoup, M. le Président. Mmes et MM. les députés, je vous remercie de votre invitation à discuter du projet de loi n° 64 qui modernise les lois québécoises sur la protection des renseignements personnels.

Nos sociétés ont terriblement besoin de moderniser leurs lois en la matière après plusieurs années de révolution numérique, qui est une force perturbatrice de nos habitudes, de nos pratiques et de nos droits. Votre projet de loi est extrêmement opportun. Les perturbations occasionnées par les technologies de l'information ne sont pas que négatives. Ces technologies sont au coeur de la quatrièmerévolution industrielle et elles vont contribuer à l'amélioration des services publics.

La pandémie actuelle fait, d'ailleurs, ressortir l'importance des sciences, des données et de la technologie dans la gestion de la crise. Elle accélère grandement la révolution numérique, ce qui, selon moi, est une raison de plus pour modifier sans délai le cadre juridique. Donc, ces technologies de l'information peuvent servir l'intérêt public.

Cependant, ces technologies posent aussi des risques importants pour la vie privée. Les fuites de données ont touché, l'an dernier, 30 millions de Canadiens. On parle de plus en plus de l'existence d'un capitalisme de surveillance, cela quelques années après l'affaire Snowden, qui identifiait, bien sûr, la surveillance de l'État. Plus récemment, le scandale Cambridge Analytica a mis en lumière les risques pour la démocratie. La télémédecine offerte en temps de pandémie comporte des avantages indéniables, mais, si elle fait appel à des plateformes privées, il y a un risque pour la confidentialité des renseignements de santé. L'éducation à distance amène des risques semblables.

Il faut moderniser les lois, entre autres, parce que la population ne croit pas que les nouvelles technologies sont utilisées d'une manière qui respecte leur vie privée. Des sondages du commissariat révèlent qu'environ 90 % des Canadiens sont inquiets. La vie privée est une valeur fondamentale de nos sociétés démocratiques et un droit protégé par la charte québécoise des droits et libertés.

Selon nous, le point de départ d'une réforme devrait consister à s'assurer que les lois de protection des renseignements personnels respectent le caractère fondamental de ce droit et le mettent en oeuvre de façon moderne et durable. En clair, les lois devraient autoriser l'innovation responsable, qui est dans l'intérêt public et propre à susciter la confiance, mais interdire les utilisations de la technologie qui sont incompatibles avec nos valeurs et nos droits. C'est l'approche que j'ai mise de l'avant dans mon rapport annuel de l'an dernier au Parlement fédéral, qui comprenait une proposition détaillée de réforme des lois fédérales en matière de vie privée. Plusieurs des propositions du projet de loi n° 64 vont dans ce sens.

Par exemple, le projet de loi prévoit des dispositions encadrant le profilage et protégeant le droit à la réputation. Il assujettit les partis politiques aux dispositions de la loi sur le secteur privé. Le projet de loi n° 64 vise, entre autres, à accroître le contrôle que les citoyens ont sur leurs renseignements personnels. Les règles concernant le consentement sont donc bonifiées. Je souscris à ces améliorations, ayant moi-même rehaussé, il y a deux ans, les exigences prévues dans les lignes directrices du commissariat en matière de consentement.

Mais il est capital de dire qu'en 2020 la protection des renseignements personnels ne peut reposer que sur le consentement. Il n'est tout simplement pas réaliste ou raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l'information aussi complexe que celle d'aujourd'hui. Le rapport de force est trop inégal. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs et le refus de donner son consentement peut parfois desservir l'intérêt public.

Le projet de loi n° 64 prévoit certaines exceptions au consentement, par exemple en matière de recherche ou lorsque les renseignements personnels sont utilisés à des fins compatibles aux fins pour lesquelles ils ont été recueillis. Ce sont des pas dans la bonne… dans la direction du réalisme, mais il faut faire attention. Par exemple, l'exception pour les fins compatibles pourrait être interprétée de façon très large, permettant toutes sortes d'utilisations. C'est pourquoi il existe d'autres modèles de protection des données personnelles qui tiennent compte des limites du consentement et qui cherchent par d'autres moyens à réaliser à la fois l'atteinte de l'intérêt public et la protection de la vie privée.

Le modèle européen en est un exemple. En Europe, on permet l'utilisation des données lorsqu'elle est nécessaire à l'exécution d'une mission d'intérêt public ou aux fins des intérêts légitimes poursuivis par une entreprise ou un organisme public dans le respect des droits fondamentaux. Je note qu'au Québec une entreprise doit avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels.

• (16 heures) •

C'est une notion proche des intérêts légitimes du droit européen. À mon avis, l'approche européenne mérite d'être considérée parmi d'autres. Ce qui compte, c'est que la loi autorise les utilisations des données personnelles dans l'intérêt public, les fins légitimes ou le bien commun à l'intérieur d'un régime fondé sur le respect des droits. Ce régime devrait imposer aux entreprises et aux ministères la transparence et l'obligation d'une responsabilité démontrable à l'organisme de réglementation.

Mon dernier point, si j'ai quelques secondes, serait de vous dire l'importance de l'interopérabilité des lois. Il est important que les données puissent voyager, mais évidemment dans le respect des droits des citoyens.

Pardon, je mets un point important et capital, en fait, qui est les pouvoirs de contrôle et de sanction. Alors, évidemment, il n'est pas suffisant d'avoir des lois qui protègent bien la vie privée. Il faut assortir ces lois de mécanismes d'application de la loi qui sont rapides et efficaces. Dans plusieurs pays du monde, cela passe par l'octroi à l'autorité administrative compétente de pouvoirs d'ordonnance et de sanctions pécuniaires importantes.

Il est important de dire, surtout à la lumière de certains témoignages que vous avez reçus, que de telles lois ne visent pas à punir les contrevenants ou à les empêcher d'innover. Elles visent à assurer une plus grande conformité, condition essentielle à la confiance et au respect des droits. Il faut dire que plusieurs entreprises et organismes prennent au sérieux leurs obligations à l'égard des renseignements personnels, mais pas toutes.

Il est donc important que les lois ne confèrent pas d'avantages aux contrevenants. Les sanctions doivent être proportionnelles aux gains financiers que peuvent réaliser les entreprises qui font fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs pratiques. Les sanctions dérisoires seront un coût qu'elles seront prêtes à absorber dans la recherche du profit. Le caractère proportionnel des sanctions est aussi un avantage pour les petites entreprises. Les dispositions prévues, donc, en matière de contrôle et de sanctions dans le projet de loi n° 64 sont, à mon avis, excellentes, et il est important, même primordial, qu'elles soient conservées.

Donc, mon dernier point porte sur l'interopérabilité des lois. Cette interopérabilité sert à faciliter et à réguler les échanges de données. Elle sert aussi à rassurer les citoyens puisque les données sont protégées de semblable façon lorsqu'elles quittent nos frontières. Et enfin elle sert les entreprises en réduisant les coûts reliés à la conformité. Plusieurs intervenants vous ont mis en garde contre l'adoption d'une loi qui serait plus stricte que le règlement européen ou d'autres lois de notre zone économique.

À ce sujet, ma suggestion serait de ne pas craindre d'utiliser le règlement européen, le RGPD, comme source d'inspiration, mais d'éviter d'aller au-delà de ce règlement, sauf si vous le jugez nécessaire, le RGPD n'étant évidemment pas parfait. Si vous le voulez, il nous fera plaisir d'élaborer sur ce point.

Donc, en conclusion, je salue les efforts du Québec d'amener ses lois sur la vie privée au XXIe siècle. D'autres juridictions ont aussi pris des initiatives dans ce sens, entre autres, l'Ontario et la Colombie-Britannique, mais vous montrez la voie. Espérons que d'autres la suivront. En effet, il est urgent d'agir. Merci, M. le Président.

Le Président (M. Bachand) : Merci infiniment, M. le commissaire. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui, merci, M. le Président. Bonjour, M. le commissaire. Merci de participer à nos travaux de la commission sur le projet de loi n° 64.

Si vous permettez, reprenons sur votre dernier point, en termes d'interopérabilité des lois. Les témoins qu'on a eus, à date, surtout du milieu des affaires, nous ont dit : Écoutez, faites bien attention, parce qu'il faudrait attendre après le fédéral, il faudrait attendre les autres juridictions canadiennes pour voir ce qu'elles vont faire pour... avant d'avancer une réforme ici, au Québec. Vous, de votre propos, vous dites : Non, montrez la voie, agissez à titre de leaders pour protéger les renseignements personnels, les données personnelles des Québécois. On ne devrait pas attendre, dans le fond.

M. Therrien (Daniel) : Tout à fait. C'est sûr que l'interopérabilité est importante. C'est sûr qu'il faut vérifier ce que les voisins immédiats font. Mais, franchement, ça fait six ans que je suis commissaire fédéral puis ça fait six ans qu'il n'y a pas d'action à ce niveau-là, d'amélioration des lois. La dame qui m'a précédé, Mme Stoddart, aussi, pendant plusieurs années, plaidait pour la réforme des lois fédérales, et, jusqu'à présent, il n'y a pas eu de telle réforme.

Alors, il faut agir. Et d'ailleurs on voit certaines juridictions canadiennes, l'Ontario, la Colombie-Britannique, comme je le mentionnais, qui ont fait des pas. L'Ontario fait des consultations. La Colombie-Britannique a eu des commissions parlementaires avant que l'élection soit appelée. Et je crois qu'au gouvernement fédéral aussi on est à la veille d'avoir un projet de loi. Il y a eu une charte numérique, comme vous le savez sans doute, qui a été déposée il y a un peu plus d'un an. Alors, je pense qu'il est tout à fait le temps d'agir.

M. Jolin-Barrette : Et donc, si on est plus ambitieux rapidement au Québec, ça pourrait amener le gouvernement fédéral à être plus ambitieux, lui aussi, sur la protection des ressources personnelles.

M. Therrien (Daniel) : C'est certainement une possibilité, oui. Et votre projet de loi est excellent. De façon générale, c'est un excellent projet de loi.

M. Jolin-Barrette : Bien, écoutez, je vais... je l'apprécie. Merci de vos commentaires. Je vais redonner à César ce qui est à César, par contre, c'est l'équipe ici, Me Miville-Deschênes, M. Martin-Philippe Côté, et surtout la ministre présidente du Conseil du trésor, Mme la députée de Champlain, que je ne peux pas nommer ici, qui est l'auteure du projet de loi. Alors, je vais lui partager vos commentaires et vos félicitations.

En ce qui concerne le contexte européen, donc, oui, on a des échanges avec l'Europe. Cependant, est-ce qu'on est trop collés sur le volet européen versus le contexte nord-américain, en termes de partage d'informations, de données et de protection, ou vous nous dites : Ça va, ce que vous incorporez de l'Europe, c'est une bonne idée?

M. Therrien (Daniel) : Alors, le Canada et le Québec, évidemment, ont des transactions commerciales et avec l'Europe et avec les États-Unis. Les États-Unis sont un partenaire économique extrêmement important. Et on ne peut pas ignorer ce que les États-Unis et le reste du Canada font, mais l'Europe aussi est importante. Et ce que j'ai demandé au gouvernement fédéral depuis quelque temps, et ce qui est très clair depuis quelques années, Cambridge Analytica, d'autres scandales, les fuites de données, c'est que ce qui est en jeu avec la protection de la vie privée, des renseignements personnels, ce sont les droits des citoyens. Quand on regarde Cambridge Analytica, par exemple, il y avait une utilisation des renseignements personnels dans le but de changer... d'influencer les gens à voter d'une façon ou d'une autre.

Alors, c'est des droits fondamentaux qui sont en cause. Et une des raisons importantes, évidemment, pour laquelle le règlement européen doit servir d'inspiration, ne pas faire de copier-coller, mais d'inspiration, c'est que le règlement européen est fondé sur la vie privée comme droit de la personne. Alors, je pense que... Et, au Québec, aussi, évidemment, la vie privée, la protection des renseignements personnels, en vertu de la charte, en vertu du Code civil, est un droit de la personne. Donc, il y a des analogies en termes de droit et de régime juridique qui font en sorte que de s'inspirer du droit européen est important, mais évidemment sans oublier aussi le contexte nord-américain.

M. Jolin-Barrette : Vous avez débuté votre allocution en disant notamment : 30 millions de Canadiens ont subi des fuites de données l'an passé. Vous avez dit aussi : On est dans un capitalisme de surveillance. Qu'est-ce que vous voulez dire?

M. Therrien (Daniel) : Bien, quand on regarde l'utilisation par les compagnies, puis surtout, mais pas exclusivement, les grandes compagnies américaines comme Facebook, Google, par exemple, on voit que les données personnelles des citoyens de différents pays sont utilisées pour des fins de publicité, qui fait en sorte que ces contenus-là sont extrêmement profitables. Donc, ce sont des compagnies qui sont à l'avant-garde de ce capitalisme-là qui utilise les renseignements personnels pour faire des affaires. Il n'y a pas de… Ce n'est pas un problème, que de faire des affaires, mais il faut faire en sorte que le commerce fonctionne dans le respect des droits. Et la surveillance des citoyens par Facebook, par Google, par la géolocalisation, qui est une des questions qui est traitée dans le projet de loi, doit être extrêmement réglementée.

• (16 h 10) •

M. Jolin-Barrette : O.K. On prévoit un encadrement des communications de renseignements personnels avec l'extérieur du Québec, et ça, ça va n'être possible qu'avec une analyse de risque, qui inclut une analyse de la législation étrangère, et qui doit conclure que la protection est équivalente. Quelle est votre position par rapport à ça si on exige ça dans le projet de loi?

M. Therrien (Daniel) : Alors, je disais, à la fin de mon allocution, qu'il y a peut-être certains points où je vous recommanderais de ne pas aller plus loin que le RGPD, et, à cet égard-là, il est possible que le projet de loi n° 64 aille plus loin. Alors, c'est une bonne chose que le projet de loi n° 64 fasse en sorte que les entreprises québécoises évaluent l'impact du transfert des données des Québécois à l'extérieur du Québec. Ça, c'est une bonne chose, et c'est une chose qui existe dans le règlement européen. Dans le règlement européen, il y a différentes façons d'assouplir ces règles-là, par exemple l'adoption de contrats types ou de codes de conduite, par exemple, qui n'existent pas dans le projet de loi n° 64 et que je vous encouragerais à étudier pour, d'une part, s'aligner, mais surtout ne pas assujettir les entreprises québécoises à des règles encore plus strictes que le RGPD.

M. Jolin-Barrette : Je vous remercie.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Saint-Jean, s'il vous plaît.

M. Lemieux : …M. le Président. Bonjour, M. le commissaire Therrien.

M. Therrien (Daniel) : Bonjour.

M. Lemieux : Juste avant vous, on s'est fait dire que ce serait bien que le projet de loi n° 64 soit plus explicite par rapport au consentement implicite. On l'a trouvée bien drôle, mais, en même temps, il y a quelque chose là-dedans de fondamentalement intéressant, dans la mesure où le consentement, dans le contexte actuel, et je pense que c'est moi qui le disais hier ou, en tout cas, on en a beaucoup parlé hier aussi… Il faut aider les consommateurs à se protéger d'eux-mêmes, dans le fond, tellement ça va vite. Vous, vous êtes où dans le consentement? Vous êtes où dans le sens de… Est-ce qu'effectivement… Et l'exemple qu'on nous a servi tout à l'heure, c'est : Je vais déposer un C.V. pour obtenir un emploi, il n'y a plus d'emplois de disponibles, mais on garde mon C.V., on conserve mon C.V. parce que c'est implicite que, si j'ai déposé mon C.V., les informations qu'il y a là-dedans, j'étais d'accord pour les communiquer. Je n'ai pas eu la chance de poser la question, mais j'allais la poser et je vous la pose à vous. On le garde combien de temps? Il est là, mon problème, moi.

M. Therrien (Daniel) : Alors, il y a, d'une part, une question sur la conservation des documents. Donc, les documents devraient être conservés uniquement pour la durée pour laquelle ils sont utiles à l'entreprise. Et, s'il n'y a plus d'emploi à offrir, l'entreprise ne devrait pas, généralement, conserver les renseignements en question. Ça, c'est pour la conservation.

Pour le consentement, il y a une place pour le consentement dans nos lois de protection des renseignements personnels, mais, avec l'économie axée sur l'information qu'on a présentement et les politiques de vie privée extrêmement longues qu'on voit, la vie privée, la protection des renseignements personnels ne peut pas reposer que sur le consentement. Alors, je suis d'accord avec les dispositions du projet de loi qui viennent bonifier les conditions du consentement, mais il faut absolument prévoir d'autres façons de permettre l'utilisation des renseignements, et c'est dans ce sens-là, entre autres, que le règlement européen peut être utile.

M. Lemieux : Bien, justement, je voulais revenir sur le règlement européen, parce que vous venez de dire au ministre : Attention, c'est bien de s'aligner sur les Européens, mais, un jour, il va falloir aller plus loin, ou, en tout cas, j'espère, parce que, comme vous dites, on est entrés finalement dans la modernisation de tout ça, mais, un jour, il va falloir continuer de s'ajuster. Puis vous en parliez avec le ministre, au sens de dire : Vous en demandez plus, pour l'instant, en tout cas, là, on verra ce que le projet de loi devient, mais vous en demandez plus dans la mesure où il n'y a pas nécessairement des ententes contractuelles et les autres possibilités d'aller plus loin, d'aller plus vite que juste de faire… Et c'est beaucoup demandé aux entreprises québécoises de faire l'analyse des risques. Donc, comment vous proposez ou comment vous voyez, vous envisagez la suite des choses? Si on fait juste s'aligner avec les Européens, on est toujours à leur remorque, on s'entend au fur et à mesure pour, tout le monde, remonter un peu le niveau? Comment ça va fonctionner?

M. Therrien (Daniel) : Comme je pense l'avoir dit, le règlement européen n'est pas parfait, évidemment. Et la raison pour laquelle je vous suggère humblement de ne pas aller plus loin que le règlement européen, puis, généralement, il pourrait y avoir des exceptions, c'est que des entreprises québécoises ne devraient probablement pas être désavantagées par rapport à d'autres entreprises en ayant des exigences, des obligations plus restrictives que ce qui est déjà ce qu'on appelle le «gold standard», la norme internationale, qui est le règlement européen. En grande partie, c'est pour des raisons de compétitivité que je vous suggère de ne pas aller plus loin que le règlement européen, et, comme je le dis, le règlement européen n'est pas parfait.

Et, par exemple, il y a un concept très intéressant dans le projet de loi n° 64, qui est de traiter de la vie privée dès la conception et de faire en sorte que les entreprises, lorsqu'elles essaient de colliger des renseignements, utilisent des paramètres qui protègent le mieux possible la vie privée, d'avoir le plus haut standard possible pour protéger la vie privée dans la collecte des renseignements. Le règlement européen ne va pas aussi loin que ça. Sur ce point-là, je vous encouragerais à aller plus loin que le règlement européen, parce qu'il n'y a pas de problème à demander, de façon générale, que, quand les compagnies colligent les renseignements, les paramètres soient à ce niveau-là. Si une compagnie veut convaincre un consommateur de lui remettre ses renseignements de façon… pour d'autres raisons qui n'atteindraient pas cette règle-là, que la compagnie convainque le consommateur de le faire, mais, à défaut, que les paramètres soient toujours ceux qui protègent le mieux la vie privée, ça me semble une bonne idée du projet de loi n° 64 qui ne se retrouve pas dans le règlement européen.

M. Lemieux : Est-ce qu'il y a… Quand on regarde… Puis ça a été la première question qui vous a été posée, mais je veux revenir dessus un petit peu. Par rapport à la capacité de la loi québécoise et des autres lois canadiennes et provinciales au Canada, l'interopérabilité, est-ce qu'il y a un moment où il y a une espèce de… pas un vide, mais une complication supplémentaire pour, entre autres, les compagnies, pour qui vous nous dites qu'à l'étranger ça peut devenir lourd? Est-ce qu'il va y avoir une sorte de flou au début, selon vous, ou c'est tellement proche et on parle tellement de la même chose, peut-être différemment, qu'au final ça ne sera pas un problème de l'opérationnaliser? C'est ce que vous avez dit tantôt. Je voudrais comprendre plus comment ça va s'opérationnaliser.

M. Therrien (Daniel) : C'est une question à 6 millions de dollars, probablement, là. Le concept d'adéquation, dans le projet de loi québécois, ce qui existe déjà en droit européen, c'est un exercice extrêmement complexe de comparaison des lois. Alors, non, les lois ne sont pas toutes pareilles. Et il peut y avoir un régime qui n'est pas adéquat par rapport à un autre pour des aspects importants des lois. Par exemple, si, dans un pays, le tribunal administratif a des pouvoirs d'ordonnance et de sanction administrative, et que, dans un autre, ces moyens-là n'existent pas, il se peut très bien que dans… le deuxième pays ne soit pas adéquat par rapport aux lois de la première.

Donc, dans l'état actuel des choses, la CAI a des pouvoirs d'ordonnance que… Le projet de loi prévoit que la CAI pourrait imposer des sanctions administratives, des pouvoirs que je n'ai pas. Ce sont des différences importantes, mais je ne pense pas que ça devrait vous empêcher d'adopter un projet de loi qui va plus loin que les autres juridictions canadiennes, essentiellement, parce que j'espère et je pense que les autres juridictions vont vous rejoindre.

M. Lemieux : On revient encore au même principe que j'énonçais tout à l'heure : On fait comment à l'avenir… À partir du moment où on a pris un peu d'avance, les autres nous rejoignent, comme vous venez de suggérer qu'il va se passer. Pourquoi on règle ça tout le temps en allant le plus loin possible? Est-ce que vous, vous considérez que ce qu'on a... Puis vous avez dit : Par rapport à l'Europe, on est à la limite, là, mais, par rapport au reste du Canada, on est loin devant, en tout cas, loin devant vous, si j'ai bien compris ce que vous venez de me dire.

M. Therrien (Daniel) : Le projet de loi n° 64 va certainement beaucoup plus loin que la loi fédérale actuelle, mais j'ai bon espoir que la loi fédérale va être modifiée pour rejoindre… Est-ce que ça va rejoindre tout à fait le projet de loi n° 64? Je l'espère, mais je n'en suis pas certain.

M. Lemieux : Merci, M. Therrien.

Le Président (M. Bachand) : Merci, M. le commissaire. M. le député de LaFontaine, s'il vous plaît.

• (16 h 20) •

M. Tanguay : Pour combien de temps, M. le Président?

Le Président (M. Bachand) : Je vais vous dire ça dans quelques secondes sur mon temps. 13 min 36 s.

M. Tanguay : Parfait, merci beaucoup, M. le Président. Bonjour, M. Therrien. Merci d'être avec nous pour discuter du projet de loi n° 64 et de ses enjeux très importants de protection des renseignements personnels et de la vie privée.

Vous faites bien de mentionner, dans votre… d'entrée de jeu, là, dans votre intervention, 90 % des Canadiens sont inquiets, une statistique qui m'a frappée. 30 millions de Canadiens, l'an dernier, ont été touchés par des fuites de données. Alors, c'est nettement substantiel. J'aimerais vous entendre sur... Dans mon rapport de l'an dernier… Je vous cite, page 2 : «Dans mon rapport de l'an dernier au Parlement, je recommandais que le caractère fondamental du droit à la vie privée soit reconnu dans les principes et l'énoncé d'objet des lois fédérales régissant les secteurs public et privé.» Donc, vous nous suggérez, si je comprends bien, d'inscrire ça dans la loi... le projet de loi n° 64. Nous recommanderez-vous de l'inscrire ailleurs dans une autre loi? Et pourquoi c'est important, cet énoncé de principe?

M. Therrien (Daniel) : Comme je le disais tantôt, ce que l'histoire des dernières années démontre, Cambridge Analytica, entre autres, mais d'autres scandales dans l'utilisation des renseignements personnels, c'est que les droits de la personne, des citoyens, dont la démocratie… Le droit à l'égalité est en cause par l'intelligence artificielle, par exemple. Alors, ce qui est en cause, d'une part, les technologies donnent des avantages importants, qu'il faut continuer à privilégier, mais dans le respect des droits. Les droits ont été violés, ces dernières années, par la collecte des renseignements personnels. Alors, c'est le problème fondamental. Il faut que ça, ça soit reconnu dans les lois. Le Québec, qui… est déjà en avant par rapport, certainement, à la loi fédérale dans ce sens-là, en ce que le droit à la vie privée est déjà reconnu par la charte québécoise. Le droit… Le Code civil parle aussi de l'importance de la vie privée.

Alors, certainement, dans le contexte fédéral… Dans le contexte fédéral, la protection des renseignements personnels, présentement, c'est plus une question de régulation économique, d'équilibre entre la protection de la vie privée… mais aussi de promouvoir l'utilisation des renseignements pour des fins économiques. Et la question des droits de la personne n'entre pas vraiment en jeu dans la loi, par exemple, de la vie privée, pour ce qui est du secteur privé, au niveau fédéral. Dans ce contexte-là, il est particulièrement important d'indiquer dans une nouvelle loi fédérale que la vie privée est un droit fondamental.

Au Québec, encore une fois, il y a déjà des actions qui ont été prises, mais je recommanderais… Et je crois, d'ailleurs, que la commission québécoise des droits de la personne, il y a quelques années, a recommandé que, dans le préambule des lois québécoises sur la protection des renseignements personnels, l'importance de la vie privée, comme droit fondamental, comme droit de la personne, soit explicitement reconnue, ce qui pourrait avoir comme conséquence d'être utile à l'interprétation des textes de loi dans le détail. Alors, c'est un peu pour ça que je recommande que la vie privée et que la protection des renseignements personnels soient mentionnées en termes d'objectifs des lois sur la protection des renseignements personnels.

M. Tanguay : Et, si c'était le cas, de façon plus claire aussi, juridiquement, dans un débat judiciaire, ça permettrait, s'il y avait... si l'on plaidait puis on avait gain de cause qu'il y a eu infraction ou violation d'un droit ou d'une liberté fondamentale en vertu de la charte québécoise, il y aurait lieu, à ce moment-là, de demander, qui plus est, des dommages-intérêts, des dommages punitifs, ce qui pourrait aussi ajouter aux signaux qui seraient envoyés aux récalcitrants.

M. Therrien (Daniel) : Vous y vous connaissez mieux dans l'application de cette loi-là que moi. Mon objectif, ça serait plus dans l'interprétation d'un concept, par exemple, du consentement éclairé. Alors, la loi parle de consentement éclairé. Si cette notion-là apparaît dans une loi dont un des objectifs est de reconnaître la vie privée comme droit de la personne, le concept de consentement éclairé risque d'être interprété à la lumière de l'importance du droit en question.

M. Tanguay : Ce qui est particulièrement intéressant… de vous avoir, M. Therrien, c'est votre regard, évidemment, pancanadien. On a eu, d'entrée de jeu, le Directeur général des élections, qui nous a fait référence... qui a fait référence à ce qui se passe en Colombie-Britannique en ce qui concerne l'application du régime des entreprises privées aux partis politiques. Vous soulignez, dans votre document : Il assujettit... Vous soulignez le fait que le projet de loi n° 64 assujettit les partis politiques aux dispositions de loi sur le secteur privé. Donc, on a le cas de l'exemple de la Colombie-Britannique. J'aimerais savoir, au niveau fédéral, quel régime, s'il y en a un, peut-être pas, je ne le sais pas, vous allez nous le dire, encadre les partis politiques à ce chapitre.

M. Therrien (Daniel) : Alors, les partis politiques fédéraux ne sont pas assujettis aux lois sur la protection des renseignements personnels. Il y a certaines dispositions, que je qualifierais de basiques, sur l'obligation des partis politiques d'avoir des registres et… Il y a des obligations extrêmement minimalistes, mais, de façon... Les partis politiques, donc, ne sont pas assujettis aux lois sur la protection des renseignements personnels au fédéral ni, d'ailleurs, dans aucune province, à part la Colombie-Britannique.

M. Tanguay : Et quelle est votre idée… De façon un peu plus précise, vous semblez, donc, saluer l'approche préconisée par le gouvernement ici, à Québec, dans le projet de loi n° 64, d'assujettir les partis politiques provinciaux au régime des entreprises privées. J'aimerais avoir votre idée là-dessus. Ne trouvez-vous pas qu'il y aurait lieu de faire une distinction… entreprise privée à vocation de faire des profits versus, dans notre démocratie, des partis politiques qui doivent rejoindre, communiquer, parler à la population — c'est l'objectif central et ultime d'un parti politique — et, à la limite, faire une analogie en disant : Bien, écoutez, on a déjà mis des atermoiements pour des organismes qui exercent, pour des fins d'études, de recherches, de production statistique… On ne leur a pas... Là, dans ces cas-là, on extensionnait le consentement. Alors, j'aimerais vous entendre là-dessus, sur l'à-propos de faire copier-coller entreprise privée, parti politique, dans le contexte démocratique et de leur mission très particulière.

M. Therrien (Daniel) : Le copier-coller, je ne suis pas nécessairement... Je ne pense pas que c'est nécessairement la seule solution. Laissez-moi revenir en arrière un peu. Alors, je dirais, l'utilisation de renseignements personnels pour des fins d'influence des opinions politiques est certainement un sujet de préoccupation. Cambridge Analytica en est un exemple.

Donc, selon moi, les communications aux fins politiques devraient faire l'objet d'une réglementation. Vous avez raison. En tout cas, vous laissez entendre que le contexte n'est pas le même entre les compagnies privées et les partis politiques, et effectivement le contexte n'est pas le même. Et, dans le contexte de l'utilisation des renseignements par des partis politiques, il y a une question d'exercice de droits fondamentaux qui est importante.

Alors, je n'ai pas de recommandation extrêmement pointue sur : est-ce que le régime du secteur privé est le meilleur pour les partis politiques? Ce que je vous suggère, c'est que ça prend une réglementation des partis politiques pour ce qui est de leur utilisation des renseignements personnels. Et j'ajouterais, en terminant, que je pense que mon collègue, le directeur fédéral des élections, devrait faire des recommandations sur ces questions-là d'ici peu.

M. Tanguay : Ah! c'est intéressant.

M. Therrien (Daniel) : Alors, je ne suis pas un expert dans le domaine des élections. Donc, réglementation des partis politiques, quelle devrait être la réglementation exactement, je ne prétends pas être un expert là-dessus.

M. Tanguay : O.K. Bien, j'en déduis, puis détrompez-moi si j'ai tort, que vous avez probablement été consultés dans cette préparation-là par le directeur d'Élections Canada.

M. Therrien (Daniel) : Oui.

M. Tanguay : J'aimerais, s'il vous plaît, que vous explicitiez… page 3, le troisième paragraphe de votre document, donc, à la page 3, troisième paragraphe, on peut y lire : «Le projet de loi n° 64 prévoit certaines exceptions au consentement, par exemple en matière de cherche ou lorsque les renseignements personnels sont utilisés à des fins compatibles aux fins pour lesquelles ils ont été recueillis. Ce sont des pas dans la direction d'un plus grand réalisme, mais il faut faire attention. Par exemple, l'exception pour les fins compatibles pourrait être interprétée de façon très large, permettant toutes sortes d'utilisations.»

Votre mise en garde est claire. Avez-vous des exemples auxquels vous pensiez, peut-être, en écrivant cela? Et pouvez-vous nous dire, donc, quels dangers auxquels... À quels dangers faites-vous référence? Et quelle serait, dans un deuxième temps, la façon d'endiguer ça, pour nous?

• (16 h 30) •

M. Therrien (Daniel) : Oui. Alors, par exemple, il y a une disposition de la loi fédérale dans le secteur public qui utilise cette notion-là de fins compatibles. Et donc un ministère fédéral peut colliger des renseignements pour la fin a et prétendre que la fin b est compatible. Ce qu'on a vu, c'est que, par exemple, il y a des ministères qui disaient : Tout ce qui relève de l'application de notre loi est une fin compatible, tout notre mandat, on collige un renseignement, on fait un x, ensuite on peut l'utiliser pour toute autre fin qui relève de notre mandat.

Un exemple dans le secteur privé. On voit souvent le concept qu'une compagnie privée va obtenir des renseignements pour une fin précise x et, ensuite, va dire : Est-ce que vous nous donnez le consentement pour que ça soit utilisé pour améliorer le service à la clientèle? Alors là, on a encore une fois une définition extrêmement large d'une fin secondaire des renseignements, et fin compatible peut être interprété de façon aussi large que ça.

Alors, le défi, c'est qu'il faut être capable de permettre une utilisation pour des fins assez larges pour que ça rejoigne l'intérêt public ou des intérêts légitimes des compagnies ou des ministères. Donc, c'est nécessaire, dans l'économie et dans l'industrie technologique d'aujourd'hui, d'avoir des fins assez larges, mais d'une façon qui… où les droits de la vie privée soient pris en compte, d'où l'intérêt du règlement européen, d'où l'intérêt de considérer la vie privée comme étant un droit de la personne.

Donc, si vous utilisez les fins compatibles comme un moyen pour permettre aux entreprises et aux ministères d'utiliser des renseignements pour des fins autres que celles premières, ce n'est pas nécessairement une mauvaise chose, dans la mesure où la loi oblige la personne qui veut utiliser les renseignements à tenir compte de l'impact sur la vie privée. Et, quand on regarde le projet de loi n° 64 tel qu'il est rédigé présentement, on parle de fins compatibles sans qu'il y ait de prise en compte de la protection des droits de la personne.

M. Tanguay : Pour les quelque 30 secondes, ou un peu plus, qu'il me reste, j'aimerais vous entendre… Là, je vais un pas en arrière, là, je suis très, très, très général, sans dire, l'affirmation serait trop forte, que, justement, parce que l'on parle de la vie privée, droits fondamentaux, on ne devrait pas permettre que soient vus certains types de renseignements très sensibles, qui participent de la vie privée, comme étant commerciables, ne trouvez-vous pas qu'il y aurait lieu d'avoir une réflexion sur retirer de l'approche mercantiliste certains types de données puis de faire en sorte… sans dire, là, qu'elles ne pourraient pas être vendues, comme certains objets de culte, là, mais ne trouvez-vous pas qu'il y a peut-être une approche philosophique, un questionnement qu'on devrait avoir, collectivement, là-dessus?

M. Therrien (Daniel) : Ce qui se rapproche le plus de ça, probablement, c'est la biométrie, la reconnaissance faciale, par exemple. Alors, il y a des renseignements extrêmement sensibles qui ne peuvent pas être changés. On peut changer notre mot de passe quand on fait affaire avec une entreprise, mais on ne peut pas changer notre iris ou notre visage. Alors, si ces données-là sont... font l'objet de piratage, par exemple, alors là c'est fini, personne ne peut plus vraiment protéger sa vie privée.

Donc, on parle de renseignements extrêmement sensibles. Est-ce que certaines de ces données-là devraient être sorties du champ du commerce? Je n'irais pas nécessairement jusque-là. Je privilégierais quand même une approche contextuelle, qui ferait en sorte que, dans ces contextes-là où les renseignements sont particulièrement sensibles, la réglementation devrait être extrêmement pointue; de prohiber complètement, peut-être, mais, disons, je n'irais pas nécessairement jusque-là.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Bonjour, M. le commissaire. J'ai envie de prendre la balle de mon collègue de l'opposition officielle au bond et de poursuivre la réflexion avec vous sur cette question-là, parce que ce que vous avez dit sur le consentement… Vous avez résumé de manière très élégante quelque chose que j'essaie moi-même de dire depuis quelques jours, c'est-à-dire que la question du consentement… On ne peut pas baser l'ensemble de notre approche sur le consentement parce qu'il y a beaucoup trop de situations où ce consentement est fragile, voire illusoire. Vous avez parlé de rapport de forces inégal. Je pense que c'est une manière très intéressante de le présenter.

À la page 3 de votre… de la déclaration écrite que vous nous avez fournie, vous concluez… Donc, suite... après nous avoir dit que le consentement, ça ne pouvait pas être l'alpha et l'oméga de notre approche en matière de protection des renseignements personnels, qu'en s'inspirant de l'Europe on mériterait de considérer une approche où on demande aux entreprises de justifier pourquoi elles veulent collecter certains renseignements, quitte à ce qu'on dise qu'il y a certains renseignements qui sont... qu'on ne peut pas récolter, concrètement, dans une loi comme le projet de loi n° 64, de quoi pourrait avoir l'air une telle limitation?

M. Therrien (Daniel) : Une limite qui viendrait carrément interdire certaines pratiques?

M. Nadeau-Dubois : Oui.

M. Therrien (Daniel) : Alors, ce qui me viendrait en tête, c'est la surveillance. Quelle est l'essence de la vie privée? C'est de pouvoir vivre et, dans un monde technologique, consulter des renseignements, s'informer de façon libre de surveillance de la part des entreprises ou du gouvernement. Alors, quand on parle de surveillance pure, on se rapproche pas mal, je pense, d'une pratique qui pourrait être interdite carrément. Et il y a certaines pratiques commerciales de reconnaissance faciale, par exemple, qui se rapprochent de très près du type de pratiques qui devraient probablement être interdites complètement.

M. Nadeau-Dubois : Des applications ou des logiciels, par exemple, qui… à partir du moment où on l'installe une première fois puis qu'on donne un premier consentement, au moment où on coche sans lire — c'est ce que les données disent — le contrat d'utilisation, et qui, suite à ce premier consentement-là, enregistrent et conservent la totalité de l'activité qu'on fait sur l'application ou l'appareil en question, est-ce que ça, c'est le genre de pratique commerciale qui pourrait être interdite puisque c'est une forme de surveillance? Dans le fond, on consent une fois, puis tout est enregistré, tout est conservé, tout ce qui est conservable et tout ce qui peut être enregistré l'est.

M. Therrien (Daniel) : C'est difficile de parler d'une interdiction totale dans un monde où le contexte est important. Alors, une des réalités du monde technologique, y compris de l'économie numérique, c'est qu'il y a une valeur indubitable qui vient avec les données personnelles. On est capables...

Prenons un cas patent de recherche médicale. Alors, l'État et des compagnies, par exemple, pharmaceutiques ou de services médicaux vont colliger des renseignements au sujet de patients normalement pour offrir un traitement précis, mais, dans la collecte de ces renseignements-là, peuvent mettre ces renseignements-là avec d'autres pour faciliter une recherche qui va servir le bien commun.

Alors, le fait que des renseignements soient colligés ou mis ensemble, ça peut, à prime abord, avoir l'air assez distant de la fin première pour laquelle les renseignements ont été colligés, mais je ne pense pas que ce serait une bonne idée d'interdire ce genre de mise en commun de ces renseignements-là dans la mesure où ça sert le bien commun.

M. Nadeau-Dubois : Donc, il faudrait trouver des critères, puis, selon les contextes… D'accord.

Le Président (M. Bachand) : Malheureusement, sur ce, M. le député de Gouin, je suis désolé...

M. Therrien (Daniel) : Essentiellement, oui.

Le Président (M. Bachand) : Sur ce, M. le commissaire, je vous remercie infiniment de votre participation à la commission. Ça a été plus qu'intéressant.

Et la commission suspend ses travaux quelques instants. Merci, M. le commissaire.

(Suspension de la séance à 16 h 39)

(Reprise à 16 h 45)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Alors, il nous fait plaisir d'accueillir le Pr Pierre-Luc Déziel. Alors, comme vous savez, Pr Déziel, vous avez 10 minutes de présentation, et, par après, nous aurons un échange avec les membres de la commission. Alors, très heureux de vous revoir à la Commission des institutions et la parole est à vous.

M. Pierre-Luc Déziel

(Visioconférence)

M. Déziel (Pierre-Luc) : Ça me fait plaisir. Merci beaucoup, M. le Président, M. le ministre, Mmes et MM. les députés. Alors, bonjour. Laissez-moi d'abord vous remercier de l'invitation. Je suis très heureux d'être avec vous aujourd'hui. C'est un véritable plaisir et honneur de venir discuter avec vous du projet de loi n° 64.

Alors, mon nom est Pierre-Luc Déziel. Je suis professeur à la Faculté de droit de l'Université Laval. Je suis également coresponsable de l'axe droit, cyberjustice et cybersécurité, de l'observatoire international sur les impacts sociaux de l'IA et du numérique. Et je suis également impliqué, dans mes activités de recherche, dans un certain nombre de projets de recherche interdisciplinaires avec différents collègues des facultés de médecine, en santé publique, en génie informatique, en intelligence artificielle, donc, impliqué dans un certain nombre de projets de recherche qui nécessitent l'utilisation de différents jeux de données qui comprennent des renseignements personnels.

Donc, la perspective que je vais adopter aujourd'hui est vraiment une perspective de recherche. J'entends souligner certains des aspects du projet de loi n° 64 qui portent plus précisément sur l'utilisation des renseignements personnels à des fins de recherche. Donc, je crois qu'une des intentions du législateur qui est très claire à la lecture du projet de loi n° 64… une de ces intentions-là est de faciliter l'accès et de faciliter la circulation des renseignements personnels dans un contexte de recherche. Alors, dans une perspective où le gouvernement du Québec amorce un grand projet de transformation numérique et qu'il mise sur la valorisation des données, je crois que c'est une intention qui est tout à fait louable et qui mérite d'être saluée.

Néanmoins, je crois aussi que le projet de loi comporte certains éléments qui sont problématiques en termes de recherche. Il y en a quelques-uns, mais je vais me concentrer sur un de ces éléments-là. Nous aurons très certainement l'occasion de revenir sur d'autres de ces éléments au cours de la période de questions, mais je veux me concentrer sur un des éléments qui me paraissent particulièrement importants, et c'est celui de l'attribution des autorisations de recherche pour l'utilisation des renseignements personnels, donc, à des fins d'étude, de recherche et de statistiques, donc, la manière dont les chercheurs, dans un écosystème qui favorise la recherche, peuvent avoir accès à des renseignements personnels pour conduire une recherche de pointe.

Dans le modèle actuel, les chercheurs qui veulent obtenir des renseignements personnels à des fins de recherche, sans avoir à passer par le consentement individuel qui peut être difficile à obtenir ou impraticable, doivent obtenir une autorisation auprès de la Commission d'accès à l'information. Une fois que cette autorisation-là est obtenue, ils doivent aller voir les organismes publics ou les entreprises pour obtenir les renseignements personnels.

Donc, une des critiques principales de ce modèle-là est celle de la multiplication des autorisations et les délais importants que ces autorisations-là peuvent encourir pour l'accès aux données dans des fins de recherche, donc, multiplication des autorisations, parce que les chercheurs vont normalement avoir à aller chercher une autorisation du comité d'éthique à la recherche de leur institution, vont passer à travers souvent des processus rigoureux d'évaluation de leur protocole de recherche par les pairs, vont avoir à aller chercher l'accord des organismes ou des entreprises aussi pour obtenir ces renseignements personnels là, donc, et une autorisation auprès de la CAI.

Donc, ça peut engendrer des délais qui sont particulièrement importants. Il y a une multiplication des procédures qui sont en place. Et je tiens à attirer votre attention ou vraiment souligner que ces délais-là ne sont pas uniquement dans une perspective d'inconvénients. Il y a un impact réel sur la recherche. C'est-à-dire que plusieurs des projets de recherche qui sont conduits au Québec et qui sont subventionnés sont subventionnés pendant trois ou quatre ans, et la première année de ces projets-là va souvent être consacrée à remplir ces formulaires-là, ces formulaires d'autorisation, et à attendre d'avoir accès aux données.

Il y a plusieurs étudiants qu'on peut aller chercher, qu'on peut aller recruter au niveau international. On les amène au Québec. On les amène dans les universités, dans les facultés. Ils entament un processus de recherche, de mémoire à la maîtrise ou de doctorat et ils passent les premiers temps de leurs études à simplement attendre de pouvoir recevoir les données. Et donc ce n'est pas juste un inconvénient. Il y a des enjeux réels pour l'attractivité des étudiants au niveau international, la diplomation, mais aussi l'avancement et la compétitivité de l'écosystème de recherche au Québec.

Donc, une des solutions qui est apportée par le projet de loi n° 64, qui est une solution intéressante, mais qui, à mon sens, comporte aussi un certain nombre de problèmes, c'est de couper l'intermédiaire que représente la CAI, donc, d'évacuer la CAI de ce processus d'autorisation là et de favoriser l'échange ou le dialogue entre les chercheurs et les organismes publics ou les entreprises auprès desquelles ils vont aller chercher les renseignements personnels.

• (16 h 50) •

Donc, l'objectif derrière tout ça, c'est d'accélérer les choses, de favoriser le partage, de faire en sorte qu'on aille plus vite, donc, de réduire ces délais-là, et c'est quelque chose de très important. Donc, on parle, par exemple, de l'article 125 de la loi sur l'accès qui est supprimé. On le remplace par les articles 65.0.1 à 65.0.3 de la loi sur l'accès. Les articles 12 et 21 de la loi sur le privé qui sont modifiés aussi. On ajoute les articles 21.0.1 et 21.0.2 de la loi sur le privé. Donc, le but est de faciliter l'accès aux données de recherche, d'accélérer les processus, mais, à mon sens, au final, et c'est, je crois, ce que le milieu de la recherche craint, c'est qu'on va, en fait, déplacer le problème. On va déplacer le problème, c'est-à-dire qu'on va imposer d'autres délais, et ce, pour deux raisons.

La première, c'est qu'il y a une crainte, en fait, de la multiplication des interprétations des critères qu'on va trouver dans la loi. Donc, jusqu'à présent, on avait la Commission d'accès à l'information qui fournissait l'interprétation unique des différents critères qu'on trouve dans la loi. Donc, ce qu'on peut craindre maintenant, c'est qu'en l'évacuant les chercheurs soient amenés à dialoguer avec différents organismes, différentes entreprises qui, eux, vont interpréter de manière différente ces critères qu'on va trouver dans la loi.

Donc, il y aura peut-être un problème d'uniformisation, d'application ou de l'interprétation de la loi, un problème de prévisibilité aussi des effets de la loi. Et donc les chercheurs vont être dans une situation où ils vont devoir se familiariser avec ces différentes interprétations là. Ils ne vont pas savoir, si une demande passe à un endroit, pourquoi est-ce qu'elle est refusée dans un autre endroit. Donc, ça peut entraîner des délais qui sont supplémentaires.

Le deuxième point, qui est particulièrement important, à mon sens, c'est l'idée que les chercheurs seront… auront maintenant l'obligation de conduire les évaluations sur le facteur relatif à la vie privée. Ces évaluations-là, elles sont des évaluations qui sont longues, qui sont fastidieuses, qui sont complexes, qui demandent un haut niveau de connaissances et d'expertise qui, dans certains cas, vont peut-être manquer aux chercheurs. De plus, les trois conseils fédéraux, trois organismes subventionnaires fédéraux, ont comme ambition d'imposer aux chercheurs de développer des plans de gestion de leurs données.

Donc, ce qu'on voit à travers tout ça, c'est qu'en fait on essaie d'accélérer les choses, mais on remplace par d'autres mécanismes qui vont peut-être encore une fois ralentir les choses. Et, à mon sens, à mon avis, le problème, en fait, n'est pas la CAI qu'on essaie de… ou la Commission d'accès à l'information qu'on essaie d'écarter de ce processus-là. Le problème, à mon sens, c'est le niveau à travers lequel on va exercer le contrôle. Donc, le contrôle, à quel niveau on va l'exercer?

Et, présentement, dans le modèle actuel, mais dans le modèle qui est proposé aussi, le contrôle s'exerce à la pièce, dans une manière très granulaire, c'est-à-dire projet par projet. Donc, un chercheur qui va avoir cinq, 10, 15 projets de recherche, et c'est des choses qu'on voit très bien dans les grands centres de recherche ou dans les grandes chaires de recherche, va devoir faire cinq, 10, 15 fois ces différentes autorisations là, cinq, 10, 15 fois ces évaluations de facteurs relatifs à la vie privée.

Donc, à mon sens, la solution idéale ou une solution qui serait envisageable ne serait pas d'exercer un contrôle au niveau des projets de recherche, mais d'exercer un contrôle au niveau des chercheurs en tant que tels, et c'est quelque chose qu'on va retrouver ailleurs au Québec, au Canada aussi. On pourra en parler un petit peu plus tard. Mais donc l'idée d'exercer ce contrôle au niveau des chercheurs pourrait se décliner en quatre temps.

Donc, dans un premier temps, ça serait de ne pas attribuer des autorisations d'utilisation des renseignements personnels à des fins de recherche seulement pour des projets de recherche, mais d'habiliter des chercheurs à pouvoir utiliser des renseignements personnels dans un contexte de recherche, pour une programmation de recherche et non pas pour un protocole de recherche particulier. Ce serait de rendre ces chercheurs-là imputables, de les former, de les accompagner. Je crois que mon collègue, le Pr Vincent Gautrais, vous parlait d'accompagnement, donc, de les former, de les accompagner, d'auditer leurs pratiques, d'auditer…

Donc, dans le projet de loi, on parle d'élaborer des politiques de gestion des données, des plans de gestion des données, donc, d'auditer leurs pratiques et d'auditer leurs politiques sur une base régulière. La CAI pourrait faire ce travail avec les ressources adéquates… et d'assurer une traçabilité des données dans un écosystème qui favorise un mode de gestion collective des données de recherche.

Alors, peut-être, s'il me reste un peu de temps… Je vous ai dit qu'il y avait certains exemples. Ce n'est pas un modèle qui est particulièrement ou radicalement novateur. C'est des choses qu'on voit ailleurs. En Ontario, par exemple, il y a l'ICES, donc, l'Institute for Clinical Evaluative Sciences, qui, en fait, fédère différentes banques de données sur la santé, qui va chercher ces données-là auprès des hôpitaux, auprès des laboratoires, auprès des cliniques, et va, en fait, permettre l'accès à ces données-là à différents chercheurs.

Les chercheurs doivent obtenir une autorisation préalable en fonction de leur compétence, de leur programmation de recherche, ou obtenir une autorisation qui est provisoire, vont être audités sur une base régulière. Mais, une fois que le chercheur est authentifié, est jugé comme pouvant... a l'autorisation d'utiliser ces renseignements personnels là, il a beaucoup plus de flexibilité, beaucoup plus d'agilité pour évoluer dans l'écosystème. ICES est régulièrement audité au niveau macro par le Commissaire à l'information et à la protection de la vie privée de l'Ontario, donc, le penchant de la CAI, et attribue ces autorisations à des chercheurs qui sont compétents.

On a aussi certains exemples, dans une certaine mesure, ou certains précédents en droit québécois. La Loi concernant le partage de certains renseignements de santé, par exemple, institue ce genre de mode de circulation de l'information. C'est-à-dire que la loi va permettre le regroupement de différentes banques de données, d'actifs informationnels. Il y aura un processus pour offrir la possibilité d'autoriser certains intervenants, donc, notamment les médecins, les pharmaciens, les infirmiers et les infirmières, à consulter ces banques de données là. Donc, à mon sens...

Le Président (M. Bachand) : Merci beaucoup, M. le professeur. On doit passer maintenant à la période d'échange, Pr Déziel. Désolé.

M. Déziel (Pierre-Luc) : Parfait.

Le Président (M. Bachand) : Merci beaucoup pour votre présentation. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Merci, M. le Président. Pr Déziel, bonjour. Merci de participer aux travaux de la commission parlementaire.

Revenons, là, sur la réalité pratico-pratique, là, des chercheurs, là. Vous dites, là : Écoutez, on a des projets de recherche, là, on passe un an à remplir des documents. J'imagine que ce n'est pas l'objectif des chercheurs de remplir de la paperasse pendant un an aussi. Alors, comment est-ce qu'on fait pour que ça soit plus efficace tout en s'assurant de protéger les données personnelles des individus?

M. Déziel (Pierre-Luc) : Bien, c'est un petit peu comme je... Donc, c'est ça, la question est extrêmement pertinente. Donc, merci beaucoup. Donc, évidemment, comme je le disais, ces délais-là ont des enjeux considérables au niveau du milieu de la recherche, et, souvent, il faut qu'on attende un certain temps avant d'avoir accès aux données. Le problème, à mon avis, justement, c'est pour les chercheurs qui commencent des projets de recherche… doivent, à chaque projet de recherche, obtenir ces différents types d'autorisations là.

Les modèles qu'on voit ailleurs, par exemple en Ontario, ce n'est pas d'autoriser des projets de recherche individuellement, mais de donner une autorisation qui est beaucoup plus globale à un chercheur en particulier. On passe à travers un processus rigoureux. On regarde la compétence de ce chercheur-là. On forme ce chercheur-là. Et, une fois qu'il a accès aux données, il peut conduire les différents projets de recherche qu'il a à faire.

Donc, quand il commence un nouveau projet de recherche, il n'a pas besoin encore une fois de remplir la paperasse. Il a déjà cette autorisation-là. On fait un audit régulier de ces processus de recherche là. Les banques de données font ces processus d'audit là aussi auprès... par exemple, ici, ça pourrait être de la CAI. Et donc, à partir de ce moment-là, on donne beaucoup plus de flexibilité, beaucoup plus d'agilité au chercheur. On contrôle non pas chacun de ses projets de recherche, mais lui comme personne, sa capacité à assurer la protection de la vie privée.

Donc, dans une perspective de protection des renseignements personnels, l'objectif est vraiment plus de travailler sur la confidentialité et les mesures qui sont prises pour assurer le caractère confidentiel de ces renseignements-là. Donc, les banques de données vont permettre des accès qui sont contrôlés, des forts processus d'authentification des personnes. Donc, est-ce que c'est bel et bien la bonne personne qui a accès à ces... qui essaie d'avoir accès aux données? On va avoir des ententes de partage de données ou des clauses qui sont très importantes, qui interdisent toute forme de réidentification des données, toute forme de transfert de l'extérieur des données. Et il y a plusieurs modèles, aussi, qui vont, tout simplement d'un point de vue technique, rendre impossible le fait que le chercheur puisse télécharger ou amener ces données-là ailleurs.

Donc, l'enjeu, ce n'est pas, en matière de protection de la vie privée, tant de contrôler chacun des projets de recherche et de faire en sorte qu'on a des politiques pour un projet, mais vraiment d'assurer la confidentialité beaucoup plus globale de l'infrastructure de recherche.

• (17 heures) •

M. Jolin-Barrette : Donc, je comprends aussi qu'il y a des moyens alternatifs comparativement à ce qu'on fait présentement, et, pour faciliter la recherche, notamment dans ce domaine-là, qui est assez compétitif, il faut trouver un mécanisme qui va faire en sorte de s'assurer que les chercheurs puissent se concentrer sur leurs recherches tout en assurant la confidentialité.

Vous avez abordé un peu, là, le rôle de la Commission d'accès à l'information. Pour que je comprenne bien, là, les pouvoirs supplémentaires qu'on veut lui donner, là, est-ce que vous êtes en faveur ou vous dites : Ce n'est pas nécessaire parce qu'il y a déjà énormément de pouvoirs à la Commission d'accès?

M. Déziel (Pierre-Luc) : Bien, je pense que les pouvoirs supplémentaires qu'on entend donner à la Commission d'accès à l'information sont nécessaires et sont pertinents. J'ai eu l'occasion d'écouter plusieurs des… ou certaines des présentations qui ont été faites. C'est vrai que, dans une certaine mesure, le fameux 2 %, ou 4 %, est, dans une certaine mesure, peut-être largement inspiré du règlement européen, et, surtout dans un contexte de sanctions administratives, peut être particulièrement imposant et dissuasif.

Toutefois, je note aussi, dans le contexte... à la lecture du projet de loi, qu'on ne dit pas que ça va être des sanctions qui sont automatiquement autour de ces montants-là, hein? On parle de «jusqu'à». Donc, très certainement, il y aura possibilité, il y aura une marge de manoeuvre, pour la Commission d'accès à l'information, de pouvoir ajuster les sanctions à la grosseur ou à la taille d'une entreprise et à la gravité de l'infraction. Donc, à mon sens, ils sont nécessaires. Je crois que le 2 % ou 4 %, les 15 ou 25 millions, c'est un plafond. Ça ne veut pas dire que c'est quelque chose qui est automatique. Il va falloir que la CAI soit très claire sur la manière dont elle va attribuer... ou que ce soit prévisible, comment elle va attribuer ces sanctions-là.

Mais, au-delà de tout ça, je crois qu'il y a surtout un besoin de renforcer les ressources qui sont mises à la disposition de la Commission d'accès à l'information. C'est-à-dire que les délais qui sont imposés… Là, on parlait un petit peu de recherche. Les délais sont longs, mais sont justifiables aussi dans la mesure où c'est important, pour la Commission d'accès à l'information, de s'assurer que le traitement des renseignements personnels protège bien la vie privée. On travaille beaucoup avec la Commission d'accès à l'information. On connaît comment ils fonctionnent. Les délais, ce n'est pas par paresse, c'est parce qu'il y a... Il manque, à mon avis, un petit peu de ressources de ce côté-là, donc, quelque chose qui pourrait accélérer ou rendre la recherche plus compétitive. Si on regarde un modèle, comme on l'a, actuellement, ce qui est proposé dans le projet de loi n° 64, ce n'est pas juste ce pouvoir de sanctions, mais c'est vraiment d'augmenter les ressources qui sont mises à sa disposition.

M. Jolin-Barrette : Je comprends que ça prend des bras aussi à la Commission d'accès pour faire son travail.

M. Déziel (Pierre-Luc) : Exactement, oui.

M. Jolin-Barrette : O.K. Est-ce qu'avec le projet de loi vous estimez que la Commission d'accès a tous les pouvoirs, maintenant, là, pour intervenir avec les entreprises privées puis les organismes publics? Est-ce que c'est suffisamment... C'est suffisant ou il manque des choses?

M. Déziel (Pierre-Luc) : Je vous dirais qu'à mon avis, en tout cas, et ça, c'est mon avis personnel, j'ai l'impression que c'est un effort considérable et qu'il y a une augmentation considérable des pouvoirs. Je pense qu'on la dote de pouvoirs beaucoup plus importants, qu'on lui donne des outils qui sont très pertinents, très puissants. À savoir si on a tout, tout, tout, peut-être, il faudrait lui demander. C'est elle qui est dans la réalité des choses. Mais, à mon sens, et je pense qu'il y a consensus là-dessus, c'est qu'il y a vraiment une augmentation considérable et importante pour lui donner les outils pour bien protéger la vie privée.

À mon avis, par contre, c'est peut-être que... La Commission d'accès à l'information devrait aussi... On lui reproche souvent un certain biais. En fait, c'est-à-dire qu'elle protège peut-être ou elle surprotège peut-être les renseignements personnels. Et, à mon sens, en fait, la Commission d'accès à l'information, elle fait ce que la loi lui demande de faire et ce que le mandat lui est confié… À mon avis, dans une perspective de recherche, encore une fois, il devrait y avoir un mandat, à la CAI, ou une section particulière sur la recherche. On l'a déjà un petit peu avec les autorisations. Puis c'est une protection de la vie privée, mais aussi une valorisation des données dans une perspective de recherche, d'innovation et de progrès scientifique, finalement.

Donc, la CAI a des ressources, mais, même avec ses ressources ou ses nouveaux outils que vous évoquez, qu'on a dans le projet de loi, il y aurait peut-être quelque chose à… même sur la mission ou son mandat qu'on lui donne à la base, l'élargir, tout ça pour arrimer cet équilibre-là entre la protection de la vie privée puis la valorisation de la recherche.

M. Jolin-Barrette : Je vous remercie.

Le Président (M. Bachand) : M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, M. le Président. Bonjour, Pr Déziel. Un plaisir de vous retrouver. Nous avions eu l'occasion d'échanger lors de la commission, là, sur l'application de traçage de la COVID-19, comme le président l'a si bien mentionné.

Je sais que vous avez axé votre présentation sur la notion de recherche, mais j'aimerais aller également sur le fond du projet de loi, là, un petit peu plus large, là, comme réflexion. Puis je sais que vous avez ces capacités-là. On a eu des discussions par rapport à ça, peut-être, en lien avec les fameuses définitions des renseignements personnels. On a eu tout à l'heure, là, la notion de renseignements sensibles qui a été intégrée ou même tout ce qui était, là, renseignements anonymisés, dépersonnalisés. J'aimerais peut-être vous entendre sur ces questions-là. Qu'est-ce que vous en pensez? Devrions-nous définir… Certains disaient qu'il fallait utiliser les notions de la charte. Il y a aussi la notion européenne. Donc, j'aimerais avoir un peu, là, votre son de cloche par rapport à ça.

M. Déziel (Pierre-Luc) : Absolument. Bien, c'est une question qui est très importante et c'est vrai que c'est dans une perspective de recherche, mais ça éclaire aussi sur le débat beaucoup plus large. Donc, moi, une de mes préoccupations, c'est, par exemple, la définition de renseignements qui sont dépersonnalisés. Donc on veut ajouter un peu plus de flexibilité, dire : Une fois qu'un renseignement est dépersonnalisé, c'est-à-dire qu'on a retiré les identifiants directs ou indirects, on a plus de flexibilité pour pouvoir les utiliser.

Toutefois, la définition actuelle ou celle qui est proposée de la dépersonnalisation, à mon sens, elle n'est pas assez précise. C'est-à-dire qu'on va dire qu'un renseignement est dépersonnalisé à partir du moment où il n'est plus possible d'identifier directement une personne. Alors, on peut ne plus identifier directement une personne tout simplement en enlevant son nom, mais, indirectement, ça peut demeurer très, très, très facile de réidentifier la personne.

Et donc ce qu'on n'a pas dans la loi, actuellement, ou dans le projet de loi, actuellement, c'est une définition plus rigoureuse ou plus précise de ce qu'est un renseignement dépersonnalisé. Par exemple, dans le reste du Canada, il y a différentes juridictions ou… en fait, presque l'ensemble des provinces, dans leurs lois sur la protection des renseignements personnels dans le domaine de la santé, qui vont dégager des seuils à partir duquel… beaucoup plus précis, des seuils plus précis à partir desquels on peut dire qu'un renseignement est dépersonnalisé.

Par exemple, en Ontario, dans la loi de 2004, sur la protection des renseignements personnels dans le domaine de la santé, on dit : Un renseignement est dépersonnalisé une fois qu'on ne peut plus identifier directement la personne, mais où il n'y a pas de fortes probabilités de réindentifier la personne. Et ces fortes probabilités-là sont évaluées en fonction du contexte, donc, quels types de renseignements on a, c'est quoi, les capacités de la personne qui va maîtriser ces renseignements-là. En Alberta, en Saskatchewan, on a un autre critère qui va nous dire : Est-ce que ça va être facile de réindentifier les personnes? Et il y a même de la jurisprudence au niveau fédéral, la règle Gordon c. Santé, de 2008, qui va nous dire est-ce que ça serait… est-ce que c'est raisonnablement possible de prévoir qu'il y aura une forme de réindentification.

Donc, à mon sens, la définition, elle n'est pas assez précise dans le projet de loi. Elle pourrait être plus précise en s'adaptant d'exemples qui sont canadiens, qu'on comprend et qu'on connaît. Finalement, il n'y aura aucun seuil qui va être parfait, mais ça va amener un petit plus de précision derrière tout ça. À mon sens, là, on aurait quelque chose qui serait peut-être imprécis, mais trop large aussi.

Concernant les données anonymisées, donc, le projet de loi n° 64 prévoit qu'une donnée anonymisée est, en quelque part, une mesure de sécurité qui peut remplacer la destruction des données. Et ça, c'est assez intéressant parce que ça veut dire qu'on peut les garder, les anonymiser et les utiliser à différentes fins. Toutefois, le projet de loi propose qu'un renseignement va être anonymisé à partir du moment où on va taire l'identité de la personne et que ça va être impossible ou ça va être irréversible qu'on va être capable de réidentifier des personnes.

Alors, c'est quelque chose qu'on trouve beaucoup dans la doctrine, mais même l'écho que j'ai des chercheurs qui travaillent sur des techniques d'anonymisation parle beaucoup plus de pseudoanonymisation et va nous dire que le risque zéro, le risque de réidentification est presque... il peut être réduit à très, très, très bas, finalement. Mais l'idée de mettre dans la loi quelque chose comme étant irréversible ou impossible va peut-être, en fait, amener une barrière trop importante, et dans le sens où, en fait, ces données n'existeront pas, puis on ne pourra jamais utiliser ça, finalement. Donc, c'est l'une des craintes qu'on a.

M. Lévesque (Chapleau) : …à cette crainte-là, c'est la destruction des données lorsqu'on a fini l'utilisation qu'on avait à en faire, avec le consentement, bien entendu?

M. Déziel (Pierre-Luc) : Non. Je pense que la solution, ça serait de mieux définir qu'est-ce qu'on entend par données qui sont anonymes, finalement, ou anonymisées, c'est-à-dire, peut-être, de préciser qu'on peut... C'est possible, par exemple, de pseudoanonymiser un jeu de données, d'enlever tous les identifiants directs et indirects, de remplacer ça par des codes et de détruire la clé qui nous permet de réidentifier des personnes. Mais, dans les données, il y aura souvent des signatures uniques, finalement, c'est-à-dire un historique personnel, un taux de cholestérol qui est très individuel ou l'évolution d'un trouble de cholestérol qui est très individuel. Mais on va pouvoir identifier les personnes seulement quand on va se joindre à d'autres banques de données, on va croiser avec d'autres banques de données.

Donc, à mon sens, l'idée, ce n'est pas de se départir de cette notion, elle est excessivement importante pour un domaine... dans le domaine de la recherche, mais de mieux préciser qu'est-ce qu'on veut dire par là et de dire, par exemple… irréversible ou un faible risque de réidentification avec les techniques d'anonymisation, finalement, donc, c'est plus de travailler ou de préciser cette notion-là.

M. Lévesque (Chapleau) : O.K., merci. Est-ce que vous êtes à l'aise avec le concept de gradation de sensibilité de certaines données? Parce que certains sont venus nous parler… bon, plus sensibles, moins sensibles, selon certains critères de gradation. Est-ce que c'est un concept qui vous parle ou ce ne serait pas à intégrer nécessairement?

M. Déziel (Pierre-Luc) : Bien, c'est un concept qui est intéressant. Ce qu'on voit, par contre, c'est que... En fait, une des choses qu'on remarque, notamment, dans le milieu de la recherche, c'est que tous les renseignements, même les plus anodins ou les plus banals, peuvent devenir particulièrement sensibles à un moment ou à un autre puis être utilisés pour réidentifier les personnes ou indiquer des choses qui sont assez intimes auprès de la personne. Donc, par exemple, des données de géolocalisation ou des achats de carte de crédit… Il y a plusieurs études qui démontrent que les achats de cartes de crédit… qui a de l'air assez banal, c'est-à-dire qu'est-ce qu'on est allés acheter à… bien, on peut quand même retracer des choses assez intimes au sujet des personnes.

Par contre, moi, je trouve que la définition de renseignements sensibles qui est proposée dans le projet de loi est quand même très intéressante et permettrait quand même, justement, une approche qui serait beaucoup plus contextuelle, donc, pas dire tout le temps : Ce renseignement-là n'est pas très sensible, celui-là est sensible, celui-là est très sensible, mais vraiment d'avoir une approche plus contextuelle. L'expression même, «des attentes raisonnables»… En quelque part, je ne peux pas m'empêcher de faire un lien avec l'article 8, où la jurisprudence relative à l'article 8 de la charte canadienne permet une évaluation qui serait beaucoup plus contextuelle, pas nécessairement uniquement en fonction de ce renseignement-là, mais dans le contexte au sein duquel il a été utilisé.

• (17 h 10) •

M. Lévesque (Chapleau) : Parfait, merci. J'aimerais peut-être vous amener sur la notion de consentement. On a eu, là... Bon, il y a des modifications qui sont proposées au projet de loi. Je ne sais pas si vous êtes en accord avec ces modifications-là ou vous auriez peut-être d'autres propositions par rapport au consentement. On a eu des spécialistes qui sont venus nous dire que, bon, en Europe, par exemple, le consentement, c'est presque explicite, c'est presque la dernière étape, puis les citoyens, les gens qui, bon, naviguent en ligne, souvent, sont bombardés, là, de longs textes en petit texte, là, in-octavo, puis c'est presque compliqué de le lire. Donc, je ne sais pas ce que vous en pensez de ce concept-là.

M. Déziel (Pierre-Luc) : Bien, pour avoir suivi un petit peu les auditions depuis le début et pour être quand même au fait de ce que la littérature va dire, c'est vrai que le consentement a ses limites, a des limites qui sont assez importantes. Vous en avez discuté. Le Pr Gautrais, que vous avez entendu, a l'expression, souvent, que c'est, en quelque part, un bouclier, presque, pour les entreprises, c'est-à-dire qu'ils peuvent se déresponsabiliser, mettre la responsabilité sur les individus.

À mon sens… Et le consentement demeure un élément essentiel d'une bonne protection des renseignements personnels, nécessaire, mais non suffisante, et il faut que ça soit renfoncé aussi par d'autres mécanismes. À mon avis, une des choses sur lesquelles on doit jouer ou on pourrait jouer, c'est quelque chose qui pourrait être développé par la jurisprudence aussi, c'est qu'est-ce qu'on entend par un intérêt sérieux et légitime de collecter, d'utiliser ou de divulguer des renseignements personnels.

Ce qu'il ne faut pas oublier, à mon avis… Donc, nos lois sont structurées pour faire en sorte qu'obtenir le consentement n'est pas suffisant même pour faire un traitement des renseignements personnels. Il faut que l'entreprise m'informe de la fin pour laquelle il va collecter ces renseignements-là. Et, avant même de tout ça, il va falloir que cette fin-là puisse être considérée comme contribuant à l'atteinte d'un objectif qu'on considère comme étant sérieux et légitime. Au niveau fédéral, on va parler de raisonnable et acceptable, dans les circonstances.

Donc, à partir de ce moment-là, c'est beaucoup plus de… ça serait beaucoup plus de travailler aussi sur les fins ou sur les objectifs qu'on peut viser en matière de protection et de traitement des renseignements personnels qu'on considère comme étant acceptables et légitimes dans le contexte québécois, finalement. Donc, ce que je veux dire par là, c'est que la manière, dont nos lois sont construites aujourd'hui, même si on a le consentement de la personne puis on ne participe pas à l'atteinte d'un objectif qu'on considère légitime et raisonnable, le consentement ne suffit pas. Il faut remplir ce critère-là avant.

Et c'est un article… C'est l'article 4, par exemple, de la loi dans le secteur privé... sont très peu utilisés, finalement. Le paragraphe 5 (3) de la loi fédérale est très peu utilisé. Il y a peu de débats autour de ces notions-là. Il y a peu de décisions autour de ces notions-là. À mon sens, on pourrait agir encore un petit peu plus tôt puis régir ou encadrer les utilisations qu'on considère comme étant acceptables ou pas, finalement, peut-être offrir des «guidelines» un peu plus... pardon, des lignes directives un peu plus précises à ce sujet-là puis jouer sur ce point de vue là.

Le Président (M. Bachand) : Merci beaucoup, M. le professeur. Je me tourne vers l'opposition officielle pour 17 minutes. M. le député de LaFontaine.

M. Tanguay : Bonjour, Pr Déziel. Bonjour. Merci d'être virtuellement avec nous, mais d'échanger, donc, sur le projet de loi n° 64 et sur des enjeux qui, de façon très, très évidente, je pense, touchent la population, le respect de la vie privée. Et ce qui est intéressant avec votre intervention, c'est que vous apportez, sous un chapitre très particulier, la recherche. Vous apportez votre expertise concrète également, pas juste théorique, mais très concrète.

J'aimerais ça, pour ma gouverne, parce que je ne suis pas comme vous, loin de là, un expert en la matière… Ça semble... D'entrée de jeu, vous avez fait le commentaire, ou durant votre première intervention : Un parcours du combattant pour se faire reconnaître chercheur. Vous parliez de… La première année, on remplit des formulaires. Juste pour ma gouverne puis, peut-être, la gouverne des collègues, ça prend quoi pour être qualifié de chercheur? Et quelle est l'évolution de cela? Est-ce que c'est plus difficile? Est-ce que c'est plus souple? Et est-ce qu'on n'aurait pas une réflexion aussi à se faire quant à ce processus de qualification là, au-delà de la paperasse, là?

M. Déziel (Pierre-Luc) : Oui, bien, en fait, c'est ça, c'est qu'en ce moment, présentement, ce n'est pas le chercheur lui-même qui se qualifie, c'est son... Il qualifie son projet de recherche, finalement. Donc, il obtient l'autorisation en fonction d'un projet de recherche. Donc, normalement, pour avoir accès à des fonds d'un organisme subventionnaire pour pouvoir conduire ces recherches-là, il va falloir avoir, par exemple, un poste de professeur ou ce genre de chose là, avoir un certain nombre de publications, avoir déjà participé à d'autres projets de recherche dans le cadre des études, par exemple, mais c'est un parcours beaucoup plus axé le projet de recherche individuel que sur le chercheur en tant que tel.

Le modèle qu'on voit en Ontario, le modèle d'ICES, par exemple, est beaucoup plus sur le pedigree, si on veut, ou le C.V. du chercheur en tant que tel, ses compétences, est-ce qu'il a publié dans des revues ou des publications qui sont revues par les pairs, est-ce que c'est un chercheur qui est reconnu par sa communauté, par ses pairs, est-ce que c'est un professeur d'université, par exemple, est-ce que vous avez déjà contribué à d'autres projets qui ont participé à l'avancement de la science.

Donc, c'est un petit peu comme ça qu'on évalue tout ça. Mais, sinon, au Québec, on y va pièce par pièce, projet par projet, finalement. Et c'est effectivement beaucoup de formulaires à remplir, beaucoup de paperasse à remplir. Et, si je peux me permettre, en fait, un des grands obstacles qu'il y a aussi, ce n'est pas juste remplir les formulaires, demander les autorisations, c'est d'essayer de faire cadrer la manière dont la recherche est actuellement conduite au Québec, notamment dans le contexte de l'intelligence artificielle, et les critères qui sont demandés par la loi et interprétés par la CAI pour avoir aux renseignements personnels.

Donc, je vous donne un exemple très simple. Par exemple, il va falloir, dans un contexte scientifique, respecter un critère qui est établi par la loi et qui est interprété par la Commission d'accès à l'information, qui est le critère de nécessité. C'est-à-dire qu'il va falloir, pour aller faire une recherche, n'aller chercher que les renseignements qui sont nécessaires à l'atteinte de notre objectif de recherche. Si un renseignement est pertinent, mais non nécessaire, on ne pourra pas avoir accès à ce renseignement personnel là.

Alors, beaucoup des techniques qui sont développées dans le contexte de l'intelligence artificielle vont devoir fonctionner avec beaucoup de jeux de données très, très, très importants, très grands. Et un des objectifs de l'intelligence artificielle, c'est justement de déterminer quels types de renseignements peuvent être nécessaires pour prédire… par exemple, le patient a telle maladie… chez telle personne… ou quelle personne est plus… quel type de personne est plus à risque de développer telle maladie.

Donc là, on a vraiment un achoppement qui est très important. C'est-à-dire qu'on demande aux chercheurs de nous dire qu'est-ce qui est nécessaire pour ta recherche, et l'objectif de la recherche, c'est de dire : Bien, j'essaie de savoir justement qu'est-ce qui est nécessaire. Donc, ce n'est pas la faute de la CAI en tant que telle. Elle interprète ces critères-là. Mais là il y a un achoppement qui est assez direct, qui est assez frontal. Comment est-ce que la recherche est conduite et quels sont les critères qu'on demande aux chercheurs de remplir dans le cadre d'un projet en particulier?

M. Tanguay : Et donc vous nous invitez aussi… Vous ne le retrouvez pas, cet amendement-là, dans le projet de loi n° 64. Vous nous invitez même, j'imagine, à reconsidérer cela, ce critère-là, qui pourrait être quoi? Je prends mon crayon de législateur : Toute nécessité… Ce serait pertinent à la recherche, j'imagine?

M. Déziel (Pierre-Luc) : …pertinent, ça pourrait être quelque chose d'intéressant. On pourrait dire que, de toute façon, il y a une branche de l'interprétation du critère de nécessité qui porte justement sur la pertinence. La pertinence, c'est quelque chose... ou le critère de pertinence, quelque chose…

M. Tanguay : Ça peut être plus large.

M. Déziel (Pierre-Luc) : …qu'on trouve dans le Code civil aussi. Je pense, le critère de nécessité, vous en avez parlé. Ce principe de limitation de la collecte là demeure important dans le contexte, par exemple, du secteur privé, auprès des organismes publics aussi. Je pense qu'un des arguments qui est sous-jacent à mon propos aujourd'hui, c'est de dire que le domaine de la recherche est un petit peu un secteur différent et unique, dans une certaine mesure, qui ne s'apparente pas à de l'administration publique, tel qu'est visé par la loi sur l'accès, qui ne s'apparente pas à des activités commerciales telles qu'elles sont visées par la loi sur le secteur privé. Donc, je pense que ce qui serait intéressant, ce serait de réfléchir à une manière dont on pourrait jouer sur les particularités ou l'unicité de ce milieu-là et d'avoir des dispositions, une section ou quelque chose qui soit un régime d'encadrement qui soit propre au milieu de la recherche, finalement.

• (17 h 20) •

M. Tanguay : Et j'imagine… Je serais curieux de savoir… Je veux vous poser la question. J'imagine qu'on ne parle pas de compétitivité au point de vue mercantile de l'expression. Mais, au niveau de la compétitivité de nos chaires de recherche, et tout ça, au point de vue international, est-ce que nous sommes… Puis là vous avez donné un bel exemple, le critère de nécessité un peu plus limitatif. Comment on se compare à l'international? Puis, pour nous, on n'est pas peu fiers de savoir que telle université… L'Université Laval, pour reprendre votre… là où vous êtes professeur, on n'est pas peu fiers, socialement, collectivement, de dire : Aïe! Nos chercheurs ont fait toute une découverte, et ainsi de suite. Comment on se compare, à ce chapitre-là, accès à l'information, ce dont on parle, là, avec les autres universités, par exemple?

M. Déziel (Pierre-Luc) : Bien, à mon sens, on se compare très bien, mais les échos que j'entends du terrain, surtout dans le domaine de la recherche, c'est qu'on a des ressources informationnelles, des données de recherche là-dessus, dans le domaine de la santé, pardon, qui sont excessivement riches, qui sont particulières, qui sont uniques, en quelque part, dans le monde, et que, même si on est compétitifs, on les sous-exploite, dans une certaine mesure.

Et, par exemple, dans le domaine de la recherche, ce qui se passe, je vous donnais l'exemple d'ICES en Ontario, plusieurs des chercheurs, au Québec, qui font de la recherche dans le domaine de la santé, vont chercher leurs données en Ontario, finalement. Donc, ils sont reconnus par ICES comme étant des chercheurs, font de la recherche au Québec, mais avec des données de l'Ontario parce que c'est trop difficile ou presque impossible pour eux d'avoir des données québécoises. Donc, les recherches sont faites au Québec. On essaie de trouver des solutions, dans certains cas, pour des problématiques québécoises, mais on s'entraîne sur des données qui… de l'extérieur.

Donc, on est très compétitifs. On pourrait probablement être encore... et compétitifs, comme vous le dites, vous faites bien de le dire, pas dans un point de vue mercantile, là, finalement, mais on est très bons, à mon avis. Mais il y aurait une possibilité, peut-être, d'être encore meilleurs, finalement. Et le règlement européen donne beaucoup de marge de manoeuvre aux scientifiques au niveau de la science. C'est-à-dire qu'une des conditions de la nécessité du traitement de l'information dans le RGPD… Il y en a plusieurs. Il n'y a pas juste le consentement. Il y a l'intérêt... Il y a des missions d'intérêt public, et les considérants du RGPD vont nous dire clairement qu'une recherche scientifique, bien balisée, là, évidemment, bien encadrée, bien structurée, qu'on aura révisée aussi, participe à ces intérêts publics et communs, finalement.

M. Tanguay : Est-ce qu'il y a un aspect… Puis vous m'inspirez cette question-là. Au niveau de la conservation des données pour x période de temps suite au dépôt du résultat, du rapport de recherche, il n'y a pas un aspect aussi de... Donc, quel est l'état des lieux par rapport à cette capacité de conserver? Y a-t-il une limite de temps à l'heure où on se parle?

M. Déziel (Pierre-Luc) : Normalement, le principe... Puis c'est pour ça que je vous dis que le milieu de la recherche, c'est un principe... assez unique puis qu'en le soumettant à des lois qui sont prévues pour d'autres choses il y a certains problèmes. C'est-à-dire que le principe général… Normalement, en protection des renseignements personnels, si on va chercher des renseignements pour une fin, une fois que notre fin est atteinte, on détruit les renseignements ou, là, comme on le propose, mais c'est quelque chose qu'on trouve plutôt au niveau fédéral, on les anonymise.

Donc, comme je le disais un petit peu plus tard... un peu plus tôt, l'anonymisation, dans la manière dont elle formulée dans le projet de loi, à mon sens, elle est presque inopératoire, là. Ça va être très difficile de s'en servir. Donc, normalement, le principe général, c'est de faire en sorte que le chercheur, une fois qu'il a collecté ses données, des fois, ça peut lui prendre très longtemps, ou il a eu accès à ces renseignements-là, une fois que son projet est fini et que ses objectifs sont atteints, il doit se départir de ces données-là. Et donc, s'il veut faire une nouvelle recherche qui serait différente, mais avec ces données-là, il doit tout repasser par le processus d'autorisation, donc, et ça, ça peut être une problématique et ça peut rajouter des délais supplémentaires, encore une fois. Donc, la conservation, ce serait quelque chose de... ou la réutilisation, quelque chose d'envisageable.

Peut-être un dernier point sur ça. Les trois conseils fédéraux vont dans une direction où on considère que les données qui sont générées par la recherche, en quelque part, sont financées par les fonds publics et devraient, en quelque part, appartenir à la collectivité aussi. Et donc, de plus en plus, ce qu'on va demander aux chercheurs, ça va être de conserver leurs données, de pouvoir les verser dans des dépôts ou dans des grands dépôts qui vont permettre cette réutilisation des données là, publier des catalogues de métadonnées, savoir quelle donnée est disponible puis essayer de faciliter cet accès-là.

Donc, le milieu de la recherche essaie d'évoluer dans cette direction-là. À l'Université Laval, il y a une initiative que vous connaissez peut-être, qui s'appelle PULSAR, où on essaie de faire une centralisation des données de recherche, des lacs de données, pour une réutilisation ou une utilisation secondaire des données, une revalorisation des données. Mais, encore une fois, comme je vous expliquais, on est confrontés à plusieurs des contraintes qui sont imposées dans la loi et qui, à mon sens, sont plus ou moins pertinentes dans un secteur d'activité comme la recherche.

M. Tanguay : Et, au niveau des technologies qui avancent rapidement, évidemment, là, c'est un euphémisme, pour les bons motifs puis, des fois, pour les mauvais motifs, le piratage, au niveau de nos chaires de recherche, au niveau des chercheurs, chercheuses au Québec, sommes-nous bien outillés, conscients... Je n'ai pas d'exemple, peut-être que vous en avez, où des chercheurs ont été piratés. Alors, quel est notre niveau de protection là-dessus? Puis est-ce qu'il n'y aurait pas, au-delà, peut-être, de modifications législatives, lieu de se pencher sur cette question-là ou pas?

M. Déziel (Pierre-Luc) : Moi, à ma connaissance, en tout cas, je n'ai pas vraiment eu connaissance d'incidents majeurs, là, ou même mineurs, là, au niveau de la protection des renseignements personnels par les chercheurs. À mon avis, pour parler avec plusieurs d'entre eux, bien... Et c'est normal, ce ne sont pas des juristes, donc, les concepts de la loi sont peut-être peu familiers pour eux, mais ce que je vous dirais, c'est que c'est une population qui est... Je dirais, c'est des gens qui sont assez faciles à... peuvent apprendre rapidement, sont sensibilisés, très certainement, à ces questions-là et sont... Ils sont mus aussi par des intérêts ou des impératifs qui sont différents… d'organismes publics ou les entreprises.

C'est-à-dire qu'un chercheur, par exemple, typiquement, ne va pas vraiment avoir besoin de l'identité des personnes. Des données anonymisées ou dépersonnalisées, dans la grande majorité des cas, va pouvoir servir ses fins. Dans une mesure où il y aurait tentative de réindentification, il n'a pas besoin d'aller vers les gens pour leur vendre un produit, pour leur proposer un service. L'identité lui importe plus ou moins. Donc, les risques de réidentification sont... Les intérêts qui mèneraient à une réidentification des personnes à partir de données dépersonnalisées ne sont pas très élevés. Qui plus est, si jamais il y a un incident ou il y a quelque chose qui est problématique, bien, le chercheur n'obtiendra plus ou aura de la difficulté à obtenir les autorisations auprès de la Commission d'accès à l'information, et, sans données, bien, ça veut dire un peu... plus de projet de recherche, et la carrière est un peu terminée.

Donc, moi, plusieurs des chercheurs, ce qu'ils me disent, c'est : On n'est pas une entreprise, on n'est pas Facebook, on n'est pas Google, on n'a pas les mêmes intérêts, moi, il faut que je fasse attention aux données, parce que, si je n'y ai plus accès, ma carrière est terminée. Donc, je pense que c'est...

M. Tanguay : Oui. Je ne vous poserai pas la question à savoir ce que vous pensez, si on devrait appliquer la règle applicable aux entreprises privées aux partis politiques. Je pense qu'on bifurquerait sur un autre domaine à ce niveau-là. Mais ça me faisait penser, ce que vous avez dit là… Effectivement, je veux dire, on n'est pas Google. On n'est pas... Quand vous dites : Nous, les chercheurs… on a d'autres vocations.

Un concept que je trouvais intéressant, permettre la programmation de recherche, donc, permettre l'accès à des données pour une programmation de recherche, pouvez-vous expliciter… Autrement dit, pour plus... Vous nous l'avez clairement dit, quand on applique, on applique pour un projet. Là, on pourrait appliquer pour plus d'un projet ou une sorte de parapluie de projets. J'aimerais ça vous entendre là-dessus.

M. Déziel (Pierre-Luc) : Oui, bien, en fait, c'est que le projet de loi… La terminologie qui est utilisée ou le terme qui est utilisé en matière... pour les évaluations relatives aux facteurs d'impact sur la vie privée, c'est le terme de protocole de recherche. Donc, «protocole de recherche», ça veut dire quelque chose de très précis : exactement mes méthodes de recherche, ma méthodologie de recherche étape par étape, qu'est-ce que je vais faire avec les données. «Programmation de recherche», c'est un concept qui est plus large, finalement, c'est-à-dire, je vais mener différents projets de recherche où l'objectif de la recherche, c'est d'aller faire ça, je risque d'avoir besoin d'à peu près de ce type de donnée là. Et un des problèmes qu'on a, puis c'est un petit peu comme je vous expliquais tout à l'heure, c'est… Le protocole de recherche, souvent, est tellement précis qu'on va déjà avoir besoin, en quelque part, des données pour être capables de l'élaborer.

Donc, je vous donne un exemple très rapide, finalement. J'étais dans une rencontre récemment entre un organisme public et des chercheurs en intelligence artificielle, et les chercheurs en intelligence artificielle, bien, ils n'avaient pas leur protocole de recherche encore parce qu'ils ne savaient pas encore quel algorithme ils allaient utiliser pour traiter les données, et, pour savoir quel algorithme utiliser, bien, il fallait déjà qu'ils aient une idée générale des données qui se trouvaient là, et l'organisme ne peut pas donner les données tant qu'il n'y a pas le protocole de recherche.

Donc, vous voyez qu'on est un peu dans une confrontation où on ne peut pas faire le protocole tant qu'on n'a pas les données puis on ne peut pas donner les données tant qu'on n'a pas le protocole. Donc, «programmation», ce serait un terme peut-être plus flexible, peut-être plus général, qui donnerait un peu plus de marge de manoeuvre aux chercheurs pour l'accès aux données.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, pour deux minutes.

• (17 h 30) •

Mme Weil : O.K., d'accord. Donc, pour revenir sur les dispositions du projet de loi qui sont proposées concernant des renseignements personnels à utiliser sans le consentement pour des fins d'études, recherche et production statistiques, juste pour revenir… pour bien comprendre, est-ce que vous avez des recommandations de modifications ou est-ce que c'est bien libellé, selon vous, la proposition?

M. Déziel (Pierre-Luc) : Oui… Non, c'est ça… Bien, ma recommandation ou mes recommandations plus précises, bien, ça serait de prendre le domaine de la recherche, un peu comme je disais à votre collègue, de manière… comme un secteur différent, mais… Je vais répondre très rapidement. J'aurai des recommandations précises, mais je n'ai pas eu le temps de terminer mon mémoire. Donc, je vous enverrai mon mémoire.

Mme Weil : Ah! ça, écoutez…

M. Déziel (Pierre-Luc) : Donc, je suis désolé. La rentrée a été très occupée. On fait des cours en ligne.

Mme Weil : Formidable! Donc, c'est une des…

M. Déziel (Pierre-Luc) : Donc, j'aurai des recommandations précises dans les prochains jours. J'ai presque terminé la rédaction, mais j'ai préféré attendre de vous envoyer quelque chose d'exhaustif et de final avant… au lieu de précipiter les choses. Je suis vraiment désolé pour ça.

Mme Weil : Non, pas du tout, et je vous remercie beaucoup, M. Déziel, parce que votre présentation est très, très riche, très riche. Et donc, pour nous, de saisir tout ça sans avoir un écrit, ce n'est pas évident. On peut aller écouter votre témoignage. Mais vous avez... Je regardais vos recherches. Il y a des choses intéressantes. Vous avez écrit sur le droit à l'oubli, hein?

M. Déziel (Pierre-Luc) : Oui.

Mme Weil : Le droit à l'oubli, est-ce que vous avez quelque chose à nous dire sur... vos perspectives sur ce droit à l'oubli, si c'est applicable. L'autre, c'est, dans cette époque d'intelligence artificielle… Est-ce qu'il y a des limites du droit à la vie privée dans cette ère d'intelligence artificielle? C'est les deux autres questions, mais, en une minute, ça va être peut-être impossible, mais peut-être, dans votre mémoire…

Le Président (M. Bachand) : Il reste quelques secondes, Pr Déziel.

Mme Weil : En votre mémoire, peut-être vous allez pouvoir y répondre.

M. Déziel (Pierre-Luc) : Peut-être répondre un peu plus dans le mémoire… Peut-être, rapidement, sur le droit à l'oubli, disons, là, le droit à l'oubli, pour moi, c'est un outil... Il y a beaucoup de débats. Est-ce que c'est vraiment quelque chose qu'on pourrait être capables d'appliquer? Est-ce que la version européenne est applicable au Québec? Est-ce que ça ne serait pas trop un impact important sur la liberté d'expression, l'enjeu de la territorialité?

À mon sens, j'aime beaucoup, même, la façon dont le commissaire à la protection de la vie privée du Canada aborde cette problématique-là, c'est-à-dire un déréférencement qui serait local. À mon sens, peut-être que ce n'est pas nécessairement de la protection de la vie privée, le droit à l'oubli, mais c'est quelque chose d'intéressant. Moi, je n'ai pas de problème à ce que ça soit dans une loi sur la protection des renseignements personnels. Et, à mon avis, sur l'enjeu de la liberté d'expression, je pense que les tribunaux vont être très bien capables de l'appliquer dans une manière qui va respecter la liberté d'expression au Québec, au Canada, même si c'est dans une façon qui est différente d'en Europe.

Le Président (M. Bachand) : Merci beaucoup, Pr Déziel. Très appréciée, votre collaboration à la commission.

J'avais le député de LaFontaine pour une demande de directive.

M. Tanguay : M. le Président, je ne veux pas allonger notre séance plus que raisonnablement, demande de directive, M. le Président. Notre secrétaire, que je salue, très efficace secrétaire de la commission, nous a envoyé un courriel cet après-midi, spécifiant : Le Commissaire à la santé et au bien-être réitère sa demande d'être entendu sur le projet de loi n° 64… pour vous souligner, M. le Président, que nous avons, selon l'horaire, une plage horaire de disponible la semaine prochaine. Pourrions-nous donner suite à cet acteur, Commissaire à la santé et au bien-être, qui réitère… Ce n'est pas peu dire, là, il veut être entendu, puis on a une place la semaine prochaine. Pouvons-nous, M. le Président, demande de directive, s'assurer qu'il pourra combler ladite place libre?

Le Président (M. Bachand) : Écoutez, il y a une place. Je vais prendre ça en considération. Effectivement, il y a une opportunité pour mardi après-midi. Alors, je prends ça en considération et je vous reviens très rapidement. Merci beaucoup.

M. Tanguay : Merci, M. le Président.

(Fin de la séance à 17 h 34)