To use the Calendar, Javascript must be activated in your browser.
For more information

Home > Parliamentary Proceedings > Committee Proceedings > Journal des débats (Hansard) of the Committee on Institutions

Advanced search in the Parliamentary Proceedings section

Start date must precede end date.

Skip Navigation LinksJournal des débats (Hansard) of the Committee on Institutions

Version finale

42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)

Tuesday, September 29, 2020 - Vol. 45 N° 96

Special consultations and public hearings on Bill 64, An Act to modernize legislative provisions as regards the protection of personal information


Aller directement au contenu du Journal des débats

Table des matières

Auditions (suite)

Bureau d'assurance du Canada (BAC)

Commission de l'éthique en science et en technologie (CEST)

Mme Céline Castets-Renard

Option Consommateurs

Régie de l'assurance maladie du Québec (RAMQ)

Commission d'accès à l'information (CAI)

Mémoires déposés

Autres intervenants

M. André Bachand, président

M. Simon Jolin-Barrette

M. Mathieu Lévesque

Mme Kathleen Weil

M. Marc Tanguay

M. Gabriel Nadeau-Dubois

M. Louis Lemieux

M. Ian Lafrenière

M. Martin Ouellet

*          Mme Marie-Pierre, Grignon, BAC

*          M. Alain Camirand, idem

*          M. Jocelyn Maclure, CEST

*          M. Dominic Cliche, idem

*          M. Christian Corbeil, Option Consommateurs

*          M. Alexandre Plourde, idem

*          M. Marco Thibault, RAMQ

*          Mme Sonia Marceau, idem

*          Mme Diane Poitras, CAI

*          M. Jean-Sébastien Desmeules, idem

*          Témoins interrogés par les membres de la commission

Journal des débats

(Dix heures)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon matin. Ayant constaté le quorum, je déclare la séance de la Commission des institutions ouverte. Je vous souhaite, bien sûr, la bienvenue, en ce beau matin, et demande aux personnes présentes dans la salle de bien vouloir éteindre la sonnerie de leurs appareils électroniques.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Avant de débuter, Mme la secrétaire, y a-t-il des remplacements?

La Secrétaire : Oui, M. le Président. M. Fontecilla (Laurier-Dorion) sera remplacé par M. Nadeau-Dubois (Gouin) et M. LeBel (Rimouski) par M. Ouellet (René-Lévesque).

Le Président (M. Bachand) : Merci. Est-ce qu'il y a des droits de vote par procuration?

La Secrétaire : Oui. M. Lévesque (Chapleau) pourra voter pour M. Lamothe (Ungava), pour M. Martel (Nicolet-Bécancour) et pour Mme Lecours (Les Plaines), et Mme Weil (Notre-Dame-de-Grâce) pourra voter pour M. Birnbaum (D'Arcy-McGee).

Auditions (suite)

Le Président (M. Bachand) : Merci beaucoup. Je souhaite donc la bienvenue aux représentants du Bureau d'assurance du Canada. Bienvenue, bon matin, et je vous rappelle que vous disposez de 10 minutes de présentation, et, après ça, on aura un échange avec les membres de la commission présents. Donc, bienvenue, et la parole est à vous. Je vous demanderais de vous identifier, cependant, pour débuter.

Bureau d'assurance du Canada (BAC)

(Visioconférence)

Mme Grignon (Marie-Pierre) : Oui, bonjour. Je suis Marie-Pierre Grignon. Je suis accompagnée de Me Alain Camirand.

Le Président (M. Bachand) : Merci.

Mme Grignon (Marie-Pierre) : Donc, M. le Président, chers membres de la commission, je suis Me Marie-Pierre Grignon, donc, directrice des affaires techniques et juridiques au Bureau d'assurance du Canada. Donc, je suis accompagnée, comme je viens de le dire, avec M. Alain Camirand, vice-président associé, conformité, chez compagnie d'assurance habitation et auto TD, une société qui est membre du BAC.

Je souhaite d'abord vous remercier pour l'invitation faite au Bureau d'assurance du Canada de participer aux consultations particulières sur le projet de loi n° 64. J'aimerais aussi vous rappeler que la mission du Bureau d'assurance du Canada est de représenter les sociétés privées d'assurance de dommages, soit les compagnies qui assurent les automobiles, les habitations et les entreprises. Le BAC est donc le porte-parole de plus de 100 assureurs, représentant plus de 90 % des parts de marché au Québec et au Canada. Ces sociétés sont des acteurs de premier plan dans l'économie québécoise et canadienne, tant au niveau de l'emploi, de la fiscalité que de la protection du patrimoine des entreprises et des citoyens. Le BAC joue également un rôle d'importance au chapitre de l'accès à l'assurance et à la sensibilisation des consommateurs aux risques et aux mesures de prévention des sinistres.

L'industrie d'assurance de dommages salue la volonté du gouvernement d'actualiser le cadre législatif qui protège les renseignements personnels au Québec. Comme nous l'avons déjà mentionné lors de la sortie du dernier rapport quinquennal de la Commission d'accès à l'information, nous croyons que le cadre actuel ne répond plus aux besoins tant des entreprises que des consommateurs.

La récente rétro des règles encadrant l'utilisation des renseignements personnels au sein de l'Union européenne est un exemple à suivre selon nous. Il est cependant important de noter que ce succès est le résultat d'une vision commune de la protection des renseignements personnels entre les différentes juridictions. Ceci évite de nombreux obstacles qui peuvent nuire de manière importante aux entreprises dont les activités s'étendent au-delà de leurs propres frontières nationales.

Notre industrie est composée de sociétés à charte québécoise ainsi que de sociétés à charte canadienne qui opèrent dans plusieurs provinces. C'est aussi une des industries les plus réglementées et c'est notamment pour ces deux raisons que nous sommes particulièrement sensibilisés aux enjeux d'harmonisation entre les lois qui visent les mêmes objectifs, que ce soit au sein d'une même province ou au niveau fédéral.

Je voudrais aussi mentionner que la nature même des activités d'assurance nécessite le traitement d'un grand volume de renseignements personnels et financiers. Pour établir une prime d'assurance qui est équitable pour chaque assuré, il est essentiel de bien évaluer le risque que représente chaque individu et chaque bien. Cette appréciation du risque se base sur des modèles prédictifs qui utilisent de nombreuses variables. La collecte d'informations est donc au coeur du processus d'assurance depuis toujours, et c'est pourquoi les assureurs accordent beaucoup d'importance à la protection des renseignements personnels de leurs clients. La confiance de ces derniers, leur réputation en dépend.

À la page 3 de notre mémoire, vous aurez vu la liste des principaux enjeux que nous souhaitons vous présenter aujourd'hui. Parmi eux, on retrouve l'harmonisation de la loi avec l'ensemble de l'encadrement législatif des assureurs. Aussi, nous suggérons certaines exceptions, mesures transitoires aux droits acquis afin de ne pas nuire indûment aux opérations. Vous remarquerez qu'il s'agit généralement de problématiques liées à l'application de la loi plutôt qu'à son fondement.

Le BAC et ses membres souhaitent, par cette démarche, vous proposer de maintenir l'équilibre entre la protection adéquate des consommateurs et la capacité de conduire des affaires efficacement dans une économie en pleine évolution, et ce, dans un secteur où le fardeau réglementaire peut devenir un frein important à l'innovation.

Pour bien comprendre l'enjeu que représente un manque d'harmonisation avec l'encadrement législatif qui existe déjà dans la province et le reste du Canada, il faut connaître le contexte dans lequel les compagnies d'assurance de dommages évoluent. Comme mentionné plus tôt, les activités des sociétés d'assurance sont déjà rigoureusement encadrées par le ministère des Finances, par l'Autorité des marchés financiers, et ce, à travers plusieurs lois, règlements et plus d'une vingtaine de lignes directrices, et ce, seulement au Québec. Comme la majorité d'entre elles font des affaires ailleurs au pays, elles sont soumises à un encadrement tous aussi rigoureux dans chaque province où elles sont présentes, en plus de devoir respecter la réglementation fédérale.

À titre d'exemple de redondances ou d'incohérences potentielles, certains aspects visés par le projet de loi n° 64, comme les incidents de sécurité et les communications à l'extérieur du Québec, sont déjà encadrés par les lignes directrices émises par l'Autorité des marchés financiers. Le fait d'ajouter de nouvelles règles ayant le même objet que celles qui existent déjà peut créer une importante confusion et même donner lieu à des contradictions. Dans notre mémoire, nous identifions des articles qui nécessitent, à notre avis, une harmonisation et nous y proposons certaines modifications.

Plusieurs de nos recommandations visent également à ce que la loi soit davantage basée sur les principes, comme le proposait d'ailleurs le dernier rapport quinquennal de la Commission d'accès à l'information. Une telle approche permet aux entreprises d'établir leur propre cadre de gouvernance et d'atteindre les objectifs de protection du consommateur plus facilement. Elles permettraient également à chaque entreprise d'établir des mécanismes qui cadrent avec leur culture et leur structure de manière à rendre les mesures de protection des renseignements plus efficaces et durables. Pour le consommateur qui veut que son information soit protégée, c'est le résultat final qui compte et non la façon d'y parvenir.

Les mécanismes proposés dans le projet de loi n° 64 pour le transfert d'information imposent d'importantes barrières aux entreprises. Tout d'abord, il est important de faciliter le transfert des renseignements personnels entre entités faisant partie d'un même groupe financier ou lors de transactions commerciales comme des fusions ou des acquisitions. Le projet de loi propose seulement de limiter les circonstances pour lesquelles un échange de renseignements personnels entre entreprises est permis, sans obtenir le consentement de la personne concernée, au transfert de propriété. Ceci n'est pas suffisamment large pour inclure toutes les transactions commerciales entre entreprises qui devraient bénéficier d'une telle possibilité.

En ce qui concerne la communication de renseignements personnels entre les provinces, les mesures proposées nous semblent trop contraignantes et difficiles à justifier étant donné l'existence de lois protégeant et responsabilisant les entreprises en matière de renseignements personnels dans les autres provinces canadiennes. Selon nous, il serait plus approprié que l'obligation d'effectuer une étude d'impact et de risques ne s'applique qu'en présence d'une transmission de renseignements personnels à l'extérieur du pays.

J'aimerais aussi vous parler de prévention de la fraude. En assurance de dommages, la fraude représente plus de 15 % du montant payé par les assureurs en règlement de sinistre. On parle donc de plus de 1 milliard de dollars par année à travers le Canada. Les assureurs doivent donc être vigilants, et c'est l'ensemble des assurés qui finissent par payer pour ce fléau.

• (10 h 10) •

L'article 18 de la loi sur le secteur privé donne déjà aux entreprises le droit de communiquer entre elles des renseignements personnels lorsqu'elles ont des motifs raisonnables de croire que la personne concernée a commis ou est sur le point de commettre un crime ou une infraction à la loi. Ceci n'est pas suffisant pour prévenir la fraude à grande échelle, de façon significative. Les assureurs doivent pouvoir collecter, utiliser ou échanger des renseignements avec d'autres organismes ou entreprises. Vous comprendrez que si l'on doit obtenir le consentement d'un individu à cette fin, l'objectif de lutte contre la fraude est compromis. À cet égard, l'industrie de l'assurance de dommages souhaite donc que la communication entre assureurs de certains renseignements relatifs à la... une information relative à la prévention de la fraude soit clairement permise.

En ce qui concerne les sanctions proposées, nous nous expliquons mal leur ampleur à la lumière de l'environnement économique et législatif qui prévaut au Québec. La dissuasion doit bien entendu faire partie des objectifs des sanctions, mais celles préposées... celles proposées, pardon, nous semblent démesurées. Elles s'apparentent à celles qu'on retrouve dans le marché européen, alors que ce dernier est très différent du nôtre. En effet, la population de l'Union européenne, qui compte 27 États membres, est de 447 millions d'habitants. Ainsi, nous suggérons que les sanctions soient davantage de l'ordre de celles que l'on retrouve dans les lois québécoises.

Et finalement, les dispositions transitoires devraient prévoir des droits acquis, tant pour le traitement des informations et des consentements obtenus avant l'entrée en vigueur de la loi que pour les conditions applicables aux relations contractuelles qui sont en cours. Dans le cas contraire, il en résulterait un fardeau énorme sur les opérations des entreprises, en plus de créer de la confusion chez les consommateurs et de l'incertitude dans les relations commerciales.

En terminant, nous insistons sur l'importance d'harmoniser les différentes législations applicables aux assureurs de dommages, tant au Québec que dans l'ensemble du pays, de mettre en place des moyens pour contrer la fraude en assurance et de s'assurer que la loi s'adapte tant à l'évolution technologique, qui ne cesse de s'accélérer, qu'aux besoins des consommateurs, et ce, en étant basée sur des principes plutôt que sur des façons de faire.

Merci beaucoup pour votre attention. Nous sommes maintenant prêts à répondre à vos questions.

Le Président (M. Bachand) : Merci beaucoup, Me Grignon. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui. Bonjour, M. le Président, heureux de vous retrouver après cette... en début de semaine. Me Grignon, Me Camirand, bonjour. Merci de participer aux travaux de la commission sur le projet de loi n° 64.

D'entrée de jeu, au niveau, là, du Bureau d'assurance du Canada, là, j'aimerais qu'on revienne, là, sur le concept de décision automatisée, qui ne contient aucune distinction d'application, notamment sur les contrats et le droit d'opposition. Je voudrais que vous me parliez de ça, parce que c'était soulevé dans votre mémoire, et vous disiez : Bon, bien, ça entraîne un fardeau administratif pour les entreprises. Pouvez-vous nous expliquer précisément ce que vous voulez dire par là?

Mme Grignon (Marie-Pierre) : Bien, en fait, je pense que ce qui est proposé, c'est... On comprend qu'au niveau de la transparence, c'est très important, donc il faut informer les consommateurs, tout ça. Je veux juste... au niveau de votre question, vous voulez savoir exactement... Est-ce que vous parlez de la télématique puis de ces choses-là ou... peut-être juste préciser un petit peu votre question.

M. Jolin-Barrette : Bien, la télématique, c'est les décisions automatisées?

Mme Grignon (Marie-Pierre) : Pardon?

M. Jolin-Barrette : La télématique, comme vous dites, c'est les décisions automatisées?

Mme Grignon (Marie-Pierre) : Pardon, vous parlez... excusez, la... oui, au niveau des décisions... je vais peut-être laisser Alain, mon collègue Alain, répondre à cette question au niveau de l'automatisation des réponses. Merci.

M. Camirand (Alain) : Oui. Bien, je pense que ce qu'il est important de comprendre, dans l'environnement des assureurs, c'est que, de façon générale, toutes les décisions d'assurance sont automatisées, là. C'est-à-dire que la façon dont on fonctionne, c'est que les clients nous fournissent un certain nombre d'informations, et on prend cette information-là, et on la met dans nos systèmes, qui vont générer les primes, qui vont générer les propositions de couverture qui seront adaptées aux besoins des clients... Et donc, dans ce sens-là, quand on regarde le libellé du projet de loi, bien, on note, là, à peu près toutes nos décisions, finalement, là, en tant qu'assureur seraient sujettes à la disposition, là, du projet de loi concernant les décisions fondées exclusivement sur un traitement automatisé. Donc, ça vient alourdir singulièrement, là, nos opérations, là, parce que c'est de la façon dont on fonctionne, là. Je ne sais pas si ça répond à votre question.

M. Jolin-Barrette : Donc, je comprends, là, que vous, là, dans votre modèle d'affaires, là... supposons que moi, là, je veux avoir une soumission pour une assurance, là, bien, en fait, je transmets mes informations personnelles et nominatives à l'assureur avec mon niveau de risque, et là ensuite, souvent, c'est mis dans un programme informatique, puis ça me donne ma cotation, mon niveau de risque, sur lequel vous pouvez me présenter une police d'assurance.

C'est un peu ça, votre crainte, au niveau... parce que vous avez des mécanismes automatisés puis là vous dites : Bien, avec la modification législative, nous, ça va entraîner une problématique au niveau de notre modèle d'affaires parce qu'on traite beaucoup de renseignements personnels. Est-ce que c'est ça que je comprends?

M. Camirand (Alain) : Oui, exactement. À peu près toutes les décisions qu'un assureur va prendre vont faire l'objet d'un processus automatisé, là, jusqu'à un certain point, et on doute que le but de la disposition soit de rendre sujettes, à cette disposition-là, toutes les décisions qu'un assureur peut prendre, là, concernant son client, là. Donc, c'est dans cette optique-là qu'on a émis des préoccupations par rapport au libellé de cette disposition-là sur les décisions automatisées. Ça nous semble trop large pour les... compte tenu de notre modèle d'affaires.

M. Jolin-Barrette : O.K. Donc, vous, vous voudriez qu'on ait un assouplissement à ce niveau-là. Mais sur l'importance de protéger les renseignements et sur la demande de consentement, ça, vous êtes à l'aise avec ça?

M. Camirand (Alain) : Bien, évidemment, la question de la protection des renseignements, c'est quelque chose, là, qui nous tient à coeur, là. Ce n'est pas du tout l'enjeu, là, pour nous. Je pense que les assureurs, là, ont à coeur de protéger l'information de leurs clients, là, pour la simple et bonne raison qu'on est une... des institutions financières, et la confiance est à la base de nos modèles d'affaires respectifs. Donc, si les clients n'ont pas confiance en nos organisations pour protéger leurs renseignements, ils ne nous les confieront pas.

Donc, c'est clairement... de l'industrie de ne pas faire ce qui est nécessaire pour protéger l'information des clients, là. C'est vraiment les impacts opérationnels, là, qu'on essaie de prévenir de façon à éviter d'alourdir inutilement le processus, parce qu'encore une fois, là, il n'y a pas de valeur ajoutée pour nous d'informer le client, là, à chaque fois, là, qu'on prend une décision sur lui parce que c'est quelque chose qu'on fait de façon...

Je pense que la disposition visait à prendre en considération des préoccupations légitimes pour un certain nombre de transactions qui pourraient être faites, là, à l'insu du client, mais, dans notre milieu à nous, ce n'est pas vraiment une préoccupation. Je pense que les gens s'attendent à ce qu'on utilise leurs informations pour leur proposer des produits qui sont adaptés à leurs besoins et aussi des produits pour lesquels la tarification, là, tient compte de leurs circonstances spécifiques, là.

M. Jolin-Barrette : O.K. Vous proposez également que... bien, vous dites : C'est important d'harmoniser les critères de divulgation d'un incident de confidentialité avec le fédéral. Donc, vous dites : On devrait avoir les mêmes règles qu'au fédéral au niveau d'un incident de confidentialité.

Mme Grignon (Marie-Pierre) : En fait, je peux prendre... peut-être répondre à cette question-là. C'est que, de façon générale, on demande à ce qu'il y ait une harmonisation à travers le pays. On ne suggère pas qu'il y ait des lois qui soient meilleures, donc que la loi fédérale soit meilleure que ce qui est proposé. Je pense qu'on est allé chercher effectivement ce qui est peut-être plus intéressant, puis la loi fédérale a été modifiée quand même à plusieurs reprises au cours des dernières années, donc je pense que c'est important de s'en inspirer à certains égards.

Donc, ce qu'on dit, c'est davantage qu'il y ait une harmonisation à travers le Canada, de façon à ce que les entreprises qui oeuvrent dans différentes provinces ne soient pas soumises à des règles qui sont complètement différentes d'une province à l'autre. Puis on réfère beaucoup également au RGDP, parce qu'on sait que ça sera probablement de cette loi-là que les autres provinces vont s'inspirer lorsqu'elles modifieront leur propre loi. Donc, c'est plus dans ce sens-là.

M. Jolin-Barrette : O.K. À la lumière de votre mémoire, là, vous semblez être craintifs par rapport aux sanctions qui pourraient être émises en regard de non-conformité. Comment est-ce qu'on pourrait minimiser vos craintes relativement aux montants des amendes, relativement aux sanctions administratives pécuniaires?

Mme Grignon (Marie-Pierre) : Bien, en fait, je ne vois pas ça comme une crainte, là. Comme on l'écrit, on comprend bien que c'est important qu'il y ait des sanctions. C'est plutôt l'ampleur de ces sanctions-là, notamment au niveau de sanctions administratives, si on les compare à ce qu'on retrouve dans d'autres lois au Québec... bien, on n'est pas du tout, du tout dans le même ordre, puis si effectivement ça se compare à ce qu'on retrouve en Europe, bien, ce n'est pas les mêmes... on n'a pas le même bassin de populations aussi qui peuvent être affectées, là, suite à un non-respect de la loi. Donc, ce qu'on demande, simplement, ça serait de se coller davantage aux dispositions, aux sanctions pénales ou administratives qu'on retrouve dans d'autres lois au Québec, tout simplement.

M. Jolin-Barrette : Donc, vous voulez qu'on diminue le montant, parce que les amendes puis les sanctions administratives sont très élevées, là, dans le cadre du projet de loi n° 64. Donc, vous souhaiteriez qu'on réduise le montant des amendes puis des sanctions administratives pécuniaires.

• (10 h 20) •

Mme Grignon (Marie-Pierre) : Oui, simplement, pour, comme je vous dis, les arrimer avec ce qu'on peut retrouver dans d'autres lois qui sont aussi importantes, là, que ce soit la Loi sur la protection de l'environnement. On a déjà la Loi sur les assureurs aussi où on retrouve les sanctions, mais ce ne sont pas des sanctions du même ordre, si on peut dire.

M. Jolin-Barrette : Mais vous ne pensez pas que le législateur québécois doit envoyer un signal très clair relativement aux données personnelles, à la lumière des différents événements qui sont survenus au cours des dernières années, des derniers mois aussi, et qu'il y a une certaine forme, parfois, de négligence aussi par rapport aux données personnelles des Québécois? Vous ne pensez pas qu'il y a un signal qui doit être envoyé pour dire : Écoutez, là, c'est primordial, là, ces informations-là, parce que c'est la vie, c'est les renseignements personnels de la population, là, qui se retrouvent... puis, après ça, ça mène à de la fraude, du vol d'identité, puis ça chamboule la vie des individus, là, à partir du moment où la personne se fait voler ses données personnelles, là, et sont utilisées à mauvais escient?

Mme Grignon (Marie-Pierre) : Tout à fait. On comprend les impacts. D'ailleurs, les impacts sont énormes aussi sur les entreprises, sur leur réputation, la confiance de leurs assurés. Donc, certainement que les assureurs comprennent très, très bien l'importance de protéger les informations personnelles, ils l'ont toujours fait. Comme Alain l'a dit, les renseignements personnels, c'est nécessaire au fonctionnement même de l'assurance, c'est à la base même de la tarification, etc., donc on ne nie pas du tout l'importance de la protection au niveau de la protection des renseignements personnels puis, tout simplement, on parle en termes d'ampleur des montants, et non pas d'éliminer ces montants-là qui sont importants, là.

M. Jolin-Barrette : Je vous remercie.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui. Merci beaucoup, M. le Président. J'en profite pour saluer, là, mes collègues, vous saluer, M. le Président, aussi. Je suis bien content d'être de retour ce matin.

Me Grignon, merci pour votre présentation. Également, M. Camirand, merci d'être présent. Peut-être une petite question en lien avec la fraude, là. Vous proposez certaines mesures pour combattre, là, justement, la preuve. Vous proposez notamment que la notion de dépersonnalisation, là, des données soit ajoutée, là, pour... comme une possibilité, là, pour ne pas détruire les renseignements personnels. J'aimerais peut-être vous entendre sur ça, là, d'abord, qu'est-ce que vous entendez par ça puis comment vous entrevoyez cette possibilité-là.

Mme Grignon (Marie-Pierre) : Oui, en fait, au niveau de la fraude, bien, comme on l'a dit, c'est sûr que c'est encore... on peut encore considérer que c'est un fléau au Canada. Donc, on demande d'avoir plus de liberté quant à l'utilisation des renseignements personnels pour réduire la fraude. D'ailleurs, en Europe, la fraude est déjà considérée comme un intérêt légitime pour lequel on peut utiliser les informations dans le but de prévenir la fraude.

Vous me parlez également de la dépersonnalisation ou de l'anonymisation des renseignements. Je vois ça de façon différente. En fait, c'est que les exigences de la loi en ce qui concerne la dépersonnalisation puis l'anonymisation, on veut s'assurer que ça ne fera pas en sorte que les données ne pourront pas être utilisées à des fins actuarielles, parce que c'est essentiel pour être en mesure de mettre en place ou, en fait, de créer des modèles prédictifs puis des modèles actuariels qui font en sorte que les primes sont équitables et qui représentent la réalité. Donc, je ne sais pas si ça répond à votre question.

M. Lévesque (Chapleau) : Oui, oui, tout à fait. Est-ce que vous avez d'autres propositions pour, justement, réduire les possibilités de fraude ou, du moins, certains outils que vous aimeriez peut-être voir ajoutés sur le projet de loi ou ailleurs, là, que vous avez peut-être discutés, là, avec vos membres de ces possibilités-là?

Mme Grignon (Marie-Pierre) : Bien, en fait, peut-être que je pourrais dire que l'important, ça serait la possibilité d'échanger de l'information pour être en mesure, donc... entre assureurs, notamment, pour être en mesure de prévenir la fraude. Je ne sais pas si, Alain, tu avais d'autres suggestions en termes d'autres mécanismes comme tels auxquels tu penses, là, mais, de notre côté, ça serait plus au niveau, effectivement, d'échange d'information.

M. Camirand (Alain) : Oui, en fait, effectivement, les assureurs, au cours des dernières années, ont développé plusieurs modèles informatiques, des modèles d'intelligence artificielle, qui leur permettent de recouper des informations qui permettent d'identifier plus facilement les cas potentiels de fraude, c'est quelque chose qui est particulièrement avancé en Ontario, et la législation canadienne donne... (panne de son) ...c'est important que les compagnies d'assurance puissent continuer d'innover, à bâtir des modèles pour lutter contre la fraude organisée, notamment par l'utilisation, là, de l'intelligence artificielle. Et, si le libellé de la loi est trop restrictif, si le libellé ne permet pas un échange efficace d'informations entre les compagnies d'assurance, ça risque de nous empêcher d'utiliser, au Québec, ces modèles-là qui se sont avérés efficaces et qui permettent de lutter plus efficacement contre des fraudeurs qui sont eux-mêmes de plus en plus sophistiqués et qui mettent en place des stratagèmes extrêmement audacieux et compliqués, là, qui sont difficiles de contrer avec les méthodes traditionnelles de lutte contre la fraude en assurance.

Et le danger qu'on a ici, c'est que, si l'environnement réglementaire québécois est trop restrictif, il y a un risque que les fraudeurs s'en rendent compte et éventuellement décident de prendre le Québec pour cible parce que l'environnement réglementaire leur sera favorable. Et ça, c'est quelque chose qui, je crois, là, on doit être vigilants à cet égard-là et s'assurer que l'environnement réglementaire maintient une balance raisonnable entre le besoin de protéger l'information des gens mais aussi la nécessité de donner aux compagnies d'assurance les moyens dont ils ont besoin pour lutter contre la fraude en assurance qui, rappelons-le, est un véritable fléau, là, qui affecte tous les Québécois, là. C'est tous les Québécois qui paient le fait que certaines personnes malavisées utilisent la fraude en assurance.

M. Lévesque (Chapleau) : Je comprends. Donc, selon vous, il y aurait un certain équilibre à atteindre entre, justement, le combat, là, de la fraude, là, chez les assureurs et la protection des renseignements personnels.

Vous avez mentionné, là, la possibilité de transférer ou, du moins, d'échanger de l'information entre assureurs ou entre groupes d'assureurs, vous ne percevez pas un risque, là, justement, de... parce que plus que les données vont s'échanger, plus qu'il va y avoir un risque, justement, là, pour la protection de ces renseignements-là. Bien, est-ce que... je ne sais pas, je veux juste voir votre opinion par rapport à ça, là, sur ce risque-là et où serait cet équilibre-là, là.

Donc... parce que, si on se met à transiger ou, du moins, à échanger des données entre assureurs et entre différentes entreprises, bien, il y a plusieurs mains... ça passe entre plusieurs mains, donc le risque peut augmenter par rapport à ça.

M. Camirand (Alain) : Vous avez tout à fait raison, puis je pense que c'est effectivement une préoccupation des assureurs qui sont impliqués dans ce genre d'initiative là. Il va de soi que toutes les mesures de protection requises prises ou vont être prises, là, dans l'éventualité où les assureurs, là, développent ce genre de modèle là, là. Et il faut comprendre aussi que ce n'est pas nécessairement toute l'information qui va être échangée, là. On parle de l'information qui permet d'identifier... (Interruption) excusez-moi, des fraudes potentielles. Donc, ça reste un niveau d'information qui est quand même limité, là.

M. Lévesque (Chapleau) : Peut-être en terminant, là, sur la notion, justement... d'anonymisation, pardon, et de dépersonnalisation des données, il y a plusieurs experts qui nous ont dit qu'il y avait quand même une crainte ou une possibilité, en recoupant certaines données, de finalement pouvoir retracer ou retrouver qui était... à qui appartenaient ces données. Est-ce que vous partagez ces craintes? Est-ce que c'est quelque chose qui vous préoccupe aussi chez les assureurs?

Mme Grignon (Marie-Pierre) : Bien, c'est effectivement, en fait, difficile de complètement anonymiser ou dépersonnaliser, certainement. Au niveau technique, c'est ce que nous aussi, on a compris. Par ailleurs, je pense que si les autres règles, au niveau de la protection des renseignements, sont permises... Nous, en fait, notre préoccupation, comme je l'ai dit tantôt, était beaucoup au niveau de l'utilisation au niveau de l'actuariat parce que, dans certains cas, si tu anonymises complètement l'information... par exemple, les adresses vont être des informations qui vont être pertinentes pour les actuaires, et ces informations-là, pour être vraiment utiles et complètes, doivent être utilisées parfois sur une assez longue période de temps. Donc, si l'information est complètement anonymisée, elle devient... puis, si c'est bien fait, selon, j'imagine, les règles de l'art, à ce moment-là, bien, l'information n'est plus utilisable de façon efficace par les actuaires pour créer des modèles actuariels.

Le Président (M. Bachand) : Merci beaucoup.

M. Camirand (Alain) : Peut-être juste pour ajouter là-dessus, si vous permettez...

Le Président (M. Bachand) : Je dois céder la parole à la députée de Notre-Dame-de-Grâce, M. Camirand. Désolé.

M. Camirand (Alain) : ...les données actuarielles...

Le Président (M. Bachand) : M. Camirand, je...

• (10 h 30) •

M. Camirand (Alain) : ...d'innover, de développer des nouveaux produits, de faire une planification adaptée aux besoins des clients. C'est fondamental pour une compagnie d'assurance d'être capable d'utiliser les données des clients afin d'évaluer des tendances, évaluer... de nouveaux produits...

Le Président (M. Bachand) : Merci, M. Camirand. Je dois malheureusement vous couper. Je dois vous couper. Mme la députée de Notre-Dame-de-Grâce, s'il vous plaît. Désolé, M. Camirand. Mme la députée, s'il vous plaît.

Mme Weil : Oui, si vous voulez terminer votre phrase, M. Camirand. Est-ce que vous m'entendez?

M. Camirand (Alain) : ...ce n'est que l'information, pour les compagnies d'assurance, c'est capital. Et, sans information, on ne peut pas innover. Donc, il faut éviter de se mettre dans une situation où les assureurs ne pourront plus utiliser les données de leurs clients pour des fins actuarielles.

Mme Weil : Alors, bonjour, Mme Grignon, M. Camirand. Merci d'être là. Vous avez un mémoire très riche en recommandations, et c'est sûr qu'on n'aura pas le temps de toutes les revoir.

Mais on va commencer peut-être par regarder cette notion d'harmonisation. Évidemment, beaucoup d'autres groupes l'ont proposée aussi. Je vous dirais, beaucoup ont insisté sur une certaine harmonisation avec la loi fédérale, le RGPD. Et j'ai compris, dans une intervention de Mme Grignon, que, si on regardait... bien, dans un premier temps, la loi fédérale, qui a déjà subi des modernisations au cours des dernières années, qu'on pourrait imaginer, c'est votre prévision, que les provinces vont de toute façon s'ajuster à la loi fédérale. Donc, je ne pense pas que vous nous demandez d'aller voir ce qui se passe dans toutes les provinces et de prévoir, mais vous dites : S'il y avait une certaine harmonisation avec le gouvernement fédéral, éventuellement, les systèmes vont s'harmoniser.

Pouvez-vous nous expliquer — c'est un sujet qui revient souvent — comment y procéder, quel temps ça prendrait? Est-ce que ça va prendre... C'est tout simplement carrément de s'inspirer de cette loi, sans plus, et d'avoir des mesures... je ne me rappelle plus si vous rentrez dans le détail des mesures qui sont les plus problématiques pour vous, puis qu'on pourrait les identifier, puis de voir à ajuster notre libellé. C'est un peu ce que vous nous demandez, mais ce serait limité à un exercice de ce genre. Est-ce que c'est bien ça?

Mme Grignon (Marie-Pierre) : Oui, je peux y aller, Alain. En fait, oui, s'inspirer de la loi fédérale, certainement, mais, en même temps, on sait qu'elle sera peut-être également modifiée et probablement pour se... au nouveau principe plus international... puis on parle beaucoup du RGPD. Donc, c'est pour ça qu'on y réfère également beaucoup dans notre mémoire parce qu'éventuellement on pense que ça sera cette approche-là qui sera adoptée, peut-être par l'ensemble des pays, mais, en tout cas, du moins, on va parler du Canada, donc par le fédéral et les autres provinces canadiennes. On pense que cette approche-là doit être favorisée parce qu'en fait elle change un peu l'approche qui, avant, était davantage basée sur le consentement pour responsabiliser davantage les entreprises, donc faire en sorte que les entreprises, lorsqu'elles vont recueillir des données, aient intérêt légitime, collectent des renseignements qui soient nécessaires à leurs activités, également que les entreprises soient transparentes. Donc, ce sont des principes importants qu'on retrouve dans le RGPD.

Et, en plus, on met des mécanismes en place pour que ça soit respecté. On parle de... vous excuserez les anglicismes, mais de «privacy by design», «privacy by default». Ça fait en sorte qu'en fait qu'on change l'approche. Ce n'est plus autant au consommateur de gérer toutes ces informations-là, à prendre peut-être autant de décisions au niveau... en donnant une multitude de consentements qui, souvent, lorsqu'il sera comme assailli de données, bien, les décisions qu'il va prendre ne seront peut-être plus aussi pertinentes.

Donc, je pense que c'est plus dans ce sens-là où il faut un peu s'inspirer de cette nouvelle approche là, qui fait en sorte que, oui, le consommateur a certains consentements à donner, mais lorsque c'est vraiment utile. D'ailleurs, au niveau de l'Europe, les consentements, à la base, ne sont pas requis, et c'est seulement dans certaines circonstances qu'ils le seront. On peut penser au fait que, lorsque c'est pour la préparation ou l'exécution d'un contrat, le consentement n'est pas requis à la base ou encore en prévention de la fraude comme je le disais tantôt.

Ça fait que je pense que c'est plus dans ce sens-là où il faut s'assurer que la législation québécoise respecte ces grands principes là, sans que ça soit un copier-coller. Certainement qu'il faut considérer nos réalités, les réalités qui sont propres au Québec, mais, quand on parle d'harmonisation, c'est dans ce sens-là.

Mme Weil : Oui, merci. Est-ce que vous pouvez donner un exemple? Vous dites que le projet de loi est trop spécifique dans les cas qui sont visés et devrait s'orienter sur des grands principes. Pouvez-vous donner des exemples de ça? C'est un... et je pense que la loi fédérale va plus dans le sens de grands principes, c'est un peu ce que vous dites, mais que... bon, les genres de torts que ça peut produire, vous causer, quand on va sur le très spécifique.

Mme Grignon (Marie-Pierre) : Bien, en fait, ce qu'on dit, c'est que, lorsque la loi est trop... elle n'est pas basée sur des principes puis qu'elle est trop spécifique, ça ne permet pas à chaque entreprise de l'adapter en fonction de sa taille, de ses normes de gouvernance, etc. Puis aussi je pense que, si la loi est basée sur des principes, ça va lui permettre de passer le temps, d'une part, de traverser les époques, et ça peut faire en sorte que, justement, surtout dans une loi comme celle-là qui s'applique à l'ensemble des entreprises du Québec et qui ne tient pas compte des particularités sectorielles... bien, quand c'est basé sur les principes, ça permet davantage aux entreprises d'adapter, en fait, la loi pour qu'ultimement les résultats soient atteints, les obligations soient respectées, mais en utilisant des moyens qui peuvent être différents. Si on regarde au niveau... Allez-y.

Mme Weil : J'allais vous dire, bien, peut-être si vous pourriez préciser des grands principes que vous voyez, par exemple, qui seraient notamment, j'imagine, dans la loi fédérale.

Mme Grignon (Marie-Pierre) : Oui. Bien, si on regarde des exemples, en fait, où il y a plus de flexibilité au niveau du RGPD, on peut penser en ce qui concerne la fonction de responsable, par exemple. On va permettre la mutualisation de la fonction, ce qui n'est pas prévu présentement dans le p.l. n° 64. On va prévoir également la possibilité de déléguer la fonction à l'extérieur de l'organisation pour différentes raisons, si c'est des petites entreprises ou pour d'autres motifs. On peut penser aussi à l'évaluation des facteurs de risque. Dans le projet de loi n° 64, on dit que tous les projets doivent être... sont visés, en fait, par ces telles évaluations là. On pense que ce n'est pas nécessaire et qu'on devrait regarder ce qui se fait au niveau européen et prévoir un seuil de matérialité ou d'autres critères comme ceux-là. Ça permet de moduler, en fait, les exigences en fonction des besoins réels.

Mme Weil : Maintenant, vous faites...

Mme Grignon (Marie-Pierre) : Je peux vous donner d'autres exemples, là. Je peux penser au transfert à l'extérieur de la province, par exemple, où le projet de loi propose seulement un modèle. On pense qu'il y a différentes façons qui peuvent être utilisées pour s'assurer de la protection des renseignements personnels, par l'utilisation d'obligations prévues dans un contrat, par exemple, donc faire en sorte que la personne à qui on va envoyer de l'information à l'extérieur de la province soit quand même obligée de respecter les règles qui s'appliquent au Québec. Donc, c'est toutes des choses qui, selon nous, offrent plus de flexibilité.

Mme Weil : Donc, dans vos recommandations... parce que je pense que vos recommandations font écho à ces grandes orientations que vous mentionnez, donc la mutualisation, en fait, ça, c'est... est-ce que c'est une pratique actuellement dans l'industrie pour... dans le domaine de protection des renseignements personnels ou ce serait... c'est quelque chose à développer?

Mme Grignon (Marie-Pierre) : Je pense que ça existe déjà, mais je vais laisser peut-être Alain répondre là-dessus, au niveau des organisations, si, pratiquement, c'est ce qu'on voit, la mutualisation de la fonction, mais je ne suis pas certaine que c'est permis. Alors, ça serait quelque chose d'utile, mais...

M. Camirand (Alain) : Oui, en fait, dans les grands groupes financiers, on trouve plusieurs différentes entités juridiques, et donc, évidemment, pour ces entreprises juridiques là, la plupart des fonctions centrales sont centralisées, de sorte que, mettons, il y a un ombudsman pour l'ensemble des compagnies qui sont membres d'un même groupe financier. Pour les fins de la Loi sur la protection des renseignements personnels, on aimerait ça avoir la possibilité d'avoir une personne responsable pour l'ensemble du groupe... au lieu d'avoir aucun pour chacune des entités juridiques, ce qui n'est pas vraiment efficace et ce n'est pas vraiment dans l'intérêt des clients. Donc, c'est une façon pour... la mutualisation, telle qu'on l'explique dans notre prochain mémoire, c'est une façon pour nous d'avoir une meilleure efficacité organisationnelle qui va aller jusqu'à bénéficier au client.

• (10 h 40) •

Mme Weil : Donc, c'est votre recommandation 3.1, c'est bien ça? Donc, quand vous dites que vous recommandez de préciser que c'est la personne ayant la plus haute autorité au Québec qui est responsable d'office, c'est la personne au Québec, une personne pour l'entreprise ou un groupe d'entreprises. Si on permet la mutualisation, ce serait une personne, dans un cas comme ça, au Québec?

M. Camirand (Alain) : Oui, ce serait une personne imputable, mais avec la possibilité de déléguer les fonctions à une équipe, parce qu'un des enjeux aussi du projet de loi, c'est qu'on permet la délégation à une seule autre personne. Et, pour nous, c'est important, là, que plusieurs personnes soient en mesure de s'acquitter des obligations prévues dans la loi afin de s'assurer, là, que les requêtes et demandes des clients soient gérées de façon efficace et dans l'intérêt des clients.

Mme Weil : Donc, cette notion de flexibilité, vous y revenez dans d'autres recommandations. Quand le projet de loi est trop prescriptif vis-à-vis le responsable de la protection, vous dites qu'il faut être plus flexible et adopter des modèles, comme vous le dites, avec plus de flexibilité dans la gouvernance. Donc, cette question de gouvernance, de flexibilité, elle est un peu partout dans votre projet de loi, je vous dirais, dans les recommandations que vous faites.

Donc, l'approche est à... à quelque part, l'approche est à revoir, mais sans détruire, selon... Je vous pose la question parce que vous avez beaucoup, beaucoup de recommandations. C'est des recommandations, selon vous, qui ne viennent pas miner les objectifs de la loi et l'urgence, je dirais, d'agir.

Juste la question de l'harmonisation avec le gouvernement fédéral, le temps presse. Tout ce qui passe par des ententes ou une conversation avec le gouvernement fédéral, si je comprends bien, ce n'est pas nécessairement de passer par là mais de s'en inspirer, à quelque part, dans les domaines les plus importants que vous mentionnez.

Parce que je... Comme législateurs, on sent, et je pense que vous le comprenez, on sent que ce projet de loi vient, évidemment, couvrir ou réparer des brèches. On sait que c'est un exercice bien compliqué. Donc, si vous nous dites : Inspirez-vous de la loi fédérale, je pense que vous donnez quand même des bonnes indications, dans votre projet de loi, sur le comment on pourrait s'en inspirer. Selon vous, est-ce que votre projet de loi... ou ça prendrait plus que ça? Dans vos recommandations, on viendrait se rapprocher du projet de loi fédéral. D'après ce que je comprends et d'après ce que je connais, c'est cette approche...

Mme Grignon (Marie-Pierre) : Bien, écoutez, c'est certain... Notre position, c'est qu'au niveau fédéral, étant donné que les entreprises font affaire dans différentes provinces, c'est important d'avoir l'harmonisation au niveau fédéral. Je pense qu'on est quand même à un moment, par contre, où il faut avoir une certaine vision puis s'inspirer également de la loi européenne, puisqu'on pense que c'est là où va s'en aller également, fort possiblement, le fédéral, éventuellement.

Puis on réfère au fédéral parce qu'effectivement il y a des bonnes choses là-dedans. Comme vous l'avez dit, ils ont révisé à quelques reprises récemment, probablement en tenant compte de cette nouvelle approche là. Si on pense, par exemple, au consentement, bien, c'est moins prescriptif quant à... ça doit être implicite, explicite, tout ça. On y va selon les circonstances, on donne plus de latitude aux entreprises, puis je pense que ça, ça va dans le sens de la loi européenne.

On voit déjà un changement d'approche, là, quant à la question du consentement. On fait attention, on ne veut pas obliger les entreprises à obtenir tel type ou tel type de consentement dans telle ou telle circonstance. Oui, les renseignements sont... Lorsque les renseignements sont sensibles, on comprend que c'est important d'y porter une attention plus particulière, mais il y a quand même un changement d'approche puis qui a déjà été... Je pense que le fédéral a déjà emboîté le pas un petit peu à ce niveau-là, puis c'est pour ça qu'on réfère à certaines dispositions au fédéral.

Puis, si on regarde... Vous avez référé également aux fonctions de responsable. Bien, on comprend que le responsable doit être imputable. Par ailleurs, certains articles de la loi, puis on le précise dans le mémoire, là, laissent entendre que c'est le responsable lui-même qui doit exécuter certaines tâches. Tout simplement, on dit qu'il faut tenir compte de la structure de chaque entreprise, de tout ça, comment c'est fait puis faire en sorte qu'éventuellement l'ensemble des tâches du responsable puissent être déléguées, là, aussi, ou sous-déléguées.

Mme Weil : J'aimerais, si j'ai le temps...

Le Président (M. Bachand) : Rapidement.

Mme Weil : Les dommages et intérêts, donc, vous faites deux points, dans votre mémoire, que vous n'avez pas dits verbalement. Vous avez dit, tout simplement, vous inspirer de ce qui se fait dans d'autres lois comparables, comme la loi...

Mme Grignon (Marie-Pierre) : Excusez, on ne vous entend pas très bien lorsque vous parlez, Me Weil.

Mme Weil : Ah! Est-ce que vous m'entendez mieux? Oui? J'aimerais vous amener sur la...

Mme Grignon (Marie-Pierre) : Ça coupe.

Mme Weil : Oui? Vous m'entendez? Non?

Mme Grignon (Marie-Pierre) : Oui, O.K. Oui, allez-y.

Mme Weil : Oui, la section sur les dommages et intérêts, parce que vous soulevez des points différents de ce que vous avez dit ici, en commission. Vous avez parlé de s'inspirer d'autres lois semblables, mais ici vous parlez du Code civil, déjà, qui prévoit, en vertu des principes de responsabilité civile, une responsabilité, donc, quand un préjudice est causé. Et vous parlez aussi de l'article 49 de la Charte des droits et libertés de la personne.

Est-ce que vous pourriez, donc, peut-être aller de... bien, peut-être, en une minute, expliquer un peu les deux arguments que vous présentez ici?

Le Président (M. Bachand) : Donc, rapidement, Me Grignon, s'il vous plaît. Merci.

Mme Grignon (Marie-Pierre) : Oui. En fait, ce qu'on dit simplement, c'est qu'en vertu des règles du Code civil il y a déjà des droits d'action. On peut déjà poursuivre en responsabilité et on ne pense pas nécessaire, comme on dit, d'en rajouter dans ce projet de loi là. Il y a déjà des sanctions administratives, des sanctions pénales qui sont prévues. On pense que c'est suffisant puis que le cadre législatif au Québec, là, permettra de toute façon aux consommateurs d'avoir ces recours-là.

Mme Weil : Merci beaucoup.

Le Président (M. Bachand) : Merci beaucoup, Me Grignon, M. Camirand. Merci de votre collaboration pour les travaux de cette commission.

Je suspends les travaux jusqu'à après les affaires courantes. Merci beaucoup.

(Suspension de la séance à 10 h 47)

(Reprise à 15 h 35)

Le Président (M. Bachand) : Bon après-midi. À l'ordre, s'il vous plaît! La Commission des institutions reprend ses travaux.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Cet après-midi, nous allons recevoir trois groupes, donc les gens d'Option Consommateurs, la Pre Céline Castets-Renard de l'Université d'Ottawa, mais nous allons d'abord débuter par les représentants de la Commission de l'éthique en science et en technologie. Alors, je vous invite à... M. Maclure et M. Cliche, bienvenue. M. Maclure est au téléphone. Alors, M. Maclure, je vous laisse la parole, s'il vous plaît.

Commission de l'éthique en science et en technologie (CEST)

M. Maclure (Jocelyn) : Merci beaucoup, M. le Président. Merci et désolé des pépins techniques qui font en sorte que je ne peux pas me joindre à vous en vidéoconférence. C'est un plaisir pour nous et un honneur de participer à cette discussion importante pour l'avenir de notre démocratie.

Donc, je suis Jocelyn Maclure, professeur de philosophie à l'Université Laval et président de la Commission de l'éthique en science et en technologie du Québec. Je suis accompagné de Dominic Cliche, qui est conseiller en éthique à cette même commission. La Commission de l'éthique travaille sur plusieurs dossiers qui sont en lien avec les nouvelles technologies de l'information et de la communication en intelligence artificielle, les données massives. Et depuis qu'on a publié, en 2018, un avis sur les enjeux éthiques de la ville intelligente, la question de la protection de la vie privée est au coeur de plusieurs des dossiers sur lesquels on travaille aujourd'hui, et c'est justement Dominic, là, qui s'occupe de plusieurs de ces dossiers.

On tient, à la commission, à saluer l'initiative du gouvernement eu égard à cette volonté de moderniser les lois sur la protection des renseignements personnels et de la vie privée et surtout d'avoir une approche qui est ambitieuse en la matière. C'est un de nos messages les plus importants. Je pense que l'horizon devant nous, là, à moyen terme, pour l'ensemble des sociétés démocratiques, c'est d'élaborer des cadres normatifs à la fois beaucoup plus clairs et beaucoup plus exigeants envers ceux qui utilisent les données personnelles et que, bon, je pense que c'est tout à fait une bonne idée que de vouloir être à l'avant-plan de cette rénovation des lois de protection de la vie privée.

Si c'est si important de protéger la vie privée et si c'est devenu un droit fondamental, c'est que c'est fondé dans des valeurs éthiques absolument fondamentales, dont le droit à l'autonomie. On ne peut pas être autonome si on n'exerce pas un certain contrôle sur les renseignements qui nous concernent, que l'on souhaite partager ou que l'on ne souhaite pas partager, que l'on souhaite garder comme étant confidentiels. Le respect de la vie privée, c'est nécessaire à l'autonomie, mais aussi à la protection de l'intégrité de la personne, à la protection de sa vie privée, parce que, bon, aujourd'hui, avec les nouvelles technologies, en particulier les systèmes d'intelligence artificielle, on peut avoir accès à des pans très importants de notre intimité en valorisant, en utilisant les données, en particulier les renseignements personnels.

Par exemple, un système d'intelligence artificielle, aujourd'hui, peut produire des prédictions avec un taux de succès élevé sur, par exemple, les opinions politiques d'une personne ou même, dans certains cas, sur son orientation sexuelle. Un exemple célèbre montrait qu'un algorithme pouvait déduire qu'une femme était enceinte en croisant certaines des données la concernant et non seulement des données dites personnelles.

Donc, c'est crucial de rénover ces lois. La commission salue, entre autres choses, le renforcement des pouvoirs de la Commission d'accès à l'information qui est prévu dans le projet de loi n° 64. On salue aussi l'élaboration de normes plus claires qui concernent la communication des finalités présidant à la collecte et à l'utilisation des renseignements personnels. On salue aussi le fait qu'il y ait une meilleure définition de ce qui constitue un renseignement de nature sensible dans le projet de loi.

Et, en matière de gouvernance, le fait de prévoir la formation de comités d'accès à l'information et à la protection des renseignements personnels et obliger la production d'évaluations des facteurs relatifs à la vie privée, tout ça nous apparaît comme des pistes judicieuses pour permettre une gestion responsable des données.

Quelques remarques rapides. On va déposer un document à la commission dans les prochains jours, mais quelques remarques rapides. Bon, une évaluation éthique de nouvelles technologies et aussi d'un nouveau cadre législatif exige de comparer les bénéfices qui peuvent être engendrés, dans ce cas-ci, par une plus grande valorisation, un plus grand accès à des données personnelles, et de les comparer aux risques qui sont inhérents à ce plus grand accès aux données personnelles et des risques sur le plan de la protection de la vie privée.

• (15 h 40) •

De façon générale, on pense que c'est une bonne orientation que de prévoir des régimes juridiques différents pour les organismes publics et les organismes privés, les entreprises, étant donné les finalités différentes de ces organismes, et de prévoir un cadre juridique, là, qui pourrait permettre à des organismes publics de mieux utiliser les données pour offrir des meilleurs services ou élaborer des meilleures politiques publiques. Si le cadre réglementaire est clair et les protections suffisantes, ça peut être une excellente idée.

Et je pense qu'il faut prendre au sérieux la proposition qu'on a entendue plus tôt dans les travaux de la commission, voulant, par exemple, qu'il serait peut-être judicieux de prévoir un cadre juridique distinct même pour le monde de la recherche scientifique, pour favoriser la recherche scientifique, en se basant, par exemple, sur l'encadrement offert par les comités d'éthique de la recherche, en impliquant évidemment aussi la Commission d'accès à l'information.

Et on pourrait peut-être, comme on est encore en mode de faire différentes expériences... comment bien gérer l'accès à ces données une fois qu'on aurait permis à des organismes publics d'avoir un plus grand accès à des données, après quelques années... on pourrait voir, donc, quelles sont les leçons à tirer et voir s'il faut faire évoluer aussi la loi concernant la protection des renseignements personnels dans le secteur privé.

Un mot aussi sur la question de la norme éthique de consentement, dont il a été beaucoup question jusqu'ici dans les travaux de la commission. Bon, la Commission d'éthique en science et technologie souhaite tout simplement appuyer, donc, les intervenants qui ont avancé l'idée que la norme de consentement ne pouvait plus aujourd'hui être la pierre angulaire de nos régimes de protection de la vie privée, l'idée étant que, bon, dans plusieurs cas, il faut effectivement demander l'autorisation avant d'utiliser des données personnelles et obtenir le consentement, mais que ce consentement ne peut pas être vu comme une condition suffisante pour un usage légitime des données personnelles. Et, même dans un cas où des entreprises auraient la clairvoyance de simplifier grandement leur formulaire de consentement, même si on a des formulaires de consentement clairs et concis, simplement obtenir le consentement ne peut pas toujours être suffisant pour assurer, donc, un usage des données personnelles qui respectent la vie privée.

Je pense qu'il faut d'abord et avant tout que la loi prévoie ce que les organismes peuvent faire et ne peuvent pas faire avec les données et les renseignements personnels même après l'obtention d'un consentement. Étant donné la complexité des enjeux, il faut que la loi soit claire sur ce qui est possible de faire et ce qui n'est pas possible de faire, ce qui ne devrait pas être possible de faire.

On souligne le bien-fondé de l'article 100 du projet de loi n° 64, qui cherche à réaliser une approche qu'on appelle souvent «privacy by design», donc, de cette idée de protéger la vie privée dès la conception des technologies, étant donné qu'on suggère que les options qui favorisent la protection de la vie privée soient celles qui soient choisies par défaut avant même toute forme de consentement des individus. On pourra en parler tout à l'heure. On se questionne de la compatibilité de l'article 100 avec l'article 99. On pourra y revenir dans la discussion si vous le souhaitez.

Un dernier point dans les dernières minutes qui me restent, c'est pour souligner qu'il y a possiblement un angle mort dans le projet de loi n° 64. Malgré toutes ses vertus, le projet de loi concerne vraiment les renseignements personnels. On veut vraiment rendre les protections beaucoup plus robustes, là, pour les renseignements personnels, mais la définition, la conception de ce qu'est un renseignement personnel est peut-être un peu étroite, et l'angle mort consiste à... réside dans le fait qu'il est maintenant possible de... sur la base, par exemple, des données qui ne sont pas considérées comme étant des données personnelles.

Par exemple, des données qui auraient été anonymisées... Il est tout à fait possible, grâce aux outils d'intelligence artificielle, aujourd'hui, en recoupant des données, d'inférer des informations sur des personnes, et des informations qui peuvent être tout à fait sensibles, hein? Tout à l'heure, je parlais, par exemple, de l'opinion politique d'une personne, où il peut être tout à fait possible aussi de réidentifier une personne sur la base de données qui ont été entièrement anonymisées au départ, hein? Le croisement de plusieurs données, même anonymisées, permet, dans la plupart des cas, de réidentifier une personne.

Donc, il y a au moins... C'est ce qu'on appelle le statut des données dites inférées, hein? C'est-à-dire qu'on infère des informations sur les personnes sur la base de données qui ne sont pas toujours des données personnelles et donc qui peuvent échapper à ces lois. Et donc ça, c'est un angle mort, me semble-t-il, important, là, étant donné les possibilités des nouvelles technologies. Et je pense que, soit dans ce projet de loi là ou dans un complément, il faudrait se pencher aussi sur comment gérer, donc, l'accès à ces... ou la production de ces données qui peuvent devenir des données personnelles même sur la base de données qui n'étaient pas personnelles au départ. Je vous remercie.

Le Président (M. Bachand) : Merci beaucoup, M. Maclure. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui, merci, M. le Président. Bonjour, M. Maclure, M. Cliche. Merci de participer aux travaux de la commission parlementaire pour le projet de loi n° 64.

Bien, écoutez, revenons, là, sur l'angle mort du projet de loi que vous abordez, là, il y a quelques instants, là. Vous dites : Bon, cet angle mort là... Il faudrait voir peut-être, dans le projet de loi n° 64 ou par la suite, une façon d'éviter que des données dépersonnalisées, bien, anonymisées, puissent être croisées pour faire en sorte finalement qu'on puisse réidentifier la personne par des outils technologiques. Notamment, vous faisiez référence à l'intelligence artificielle.

Alors, qu'est-ce que vous nous proposez concrètement pour éviter cette situation-là, considérant le fait que, dans certaines situations, la donnée pourrait être disponible, mais d'une façon anonymisée? Vous nous dites : Attention, il ne faut pas faire ça parce que ça pourrait faire en sorte que, par des outils technologiques, on puisse réidentifier la personne. C'est ça?

M. Maclure (Jocelyn) : Oui, tout à fait. Et je vais laisser Dominic, qui est notre grand spécialiste, là, compléter, mais je pense que, comme dans le cas des renseignements personnels, je pense qu'il faut réfléchir à qu'est-ce qu'il devrait être possible de faire aux organismes, là, qui exploitent les données sur le plan du croisement de données même non personnelles, quelle sorte d'inférence ils peuvent légitimement faire, et utiliser, et quelles sont les inférences qui ne devraient pas être possibles, qui ne devraient pas pouvoir être faites en croisant différentes données, parce qu'entre autres on peut même réidentifier les personnes et rendre caduque, d'une certaine façon, la protection offerte par les lois sur la protection des renseignements personnels. Donc, ce serait de réfléchir à est-ce qu'on est capables d'identifier des types de connaissances ou de savoir qui peuvent être légitimement produits en croisant les données de ceux qui ne devraient pas pouvoir l'être.

Dominic, je ne sais pas si tu veux ajouter quelque chose.

M. Cliche (Dominic) : Brièvement, en fait, si on veut aller très concrètement, premièrement, une des provisions, par exemple, dans le règlement européen sur la protection des données, est d'intégrer, de manière explicite, à même la loi une évaluation du risque de réidentification qui vient avec certains jeux de données dans des évaluations des facteurs relatifs à la vie privée, ce qui impliquerait, cela dit, d'intégrer cette obligation-là de faire une telle évaluation aussi pour d'autres jeux de données que ceux qui ne sont que des données... des renseignements personnels.

De manière plus générale, l'idée derrière ça, c'est de passer d'un régime qui met l'accent sur la nature du renseignement, un peu comme c'est le cas du projet de loi qui est devant nous, donc, vraiment, qui cible des renseignements personnels, pour s'intéresser davantage à un régime qui encadre les usages et les effets des données de manière plus générale. Là, évidemment, il y a tout un débat entre juristes à avoir sur l'impact exact en termes de dispositions. Là, nous ne sommes pas, nous, en mesure de pouvoir le faire maintenant, mais, dans les idées, là, c'est une des options qui est sur la table.

Et sinon, autre point... Je vais conclure là-dessus et je reviendrai au besoin.

• (15 h 50) •

M. Jolin-Barrette : Mais, à la lumière, là, dans le fond, là, des nouvelles technologies, de l'intelligence artificielle, de l'importance de la donnée dans la recherche, là, comment est-ce qu'on fait pour s'assurer de concilier les deux, que, supposons, les données qui sont utilisées en matière d'intelligence artificielle ou en matière de recherche, on puisse s'assurer de protéger les renseignements personnels des individus? Parce qu'un des objectifs, un, c'est qu'il n'y ait pas de fuite de données, que les renseignements soient sécurisés, que les entreprises ou les groupes de recherche, bien, puissent quand même faire leur recherche avec le consentement des citoyens québécois, mais sans que leurs données personnelles soient diffusées ou qu'on puisse même les identifier. Parce que c'est sûr, moi, si je dis : Je consens à vous donner mes données ou à partager mes données, mais il ne faut pas que je puisse être identifié puis que, par la bande, on réussit à m'identifier à cause des outils technologiques, l'objectif n'est pas atteint. Alors, comment est-ce qu'on fait pour mettre un cadre clair là-dessus?

M. Maclure (Jocelyn) : Bien, je pense que le principe fondamental, là, si vous me permettez, est celui de distinguer les types d'organismes en fonction de leur finalité et, possiblement, de faire... de donner une plus grande marge de manoeuvre à des organismes dont la mission première est de servir l'intérêt collectif. Et c'est clairement le cas, donc, en ce qui concerne, bon, la recherche scientifique, hein? Collectivement, on valorise la recherche scientifique. On veut favoriser la recherche. Ça peut mener à plusieurs bénéfices collectifs et ça me semble une bonne sphère, là, pour tester justement comment... quel genre d'accès plus grand, plus large on peut permettre aux chercheurs, sous contrôle évidemment des normes en éthique de la recherche et, comme mon collègue Déziel l'a dit, possiblement en demandant à la Commission d'accès à l'information d'avoir une approche spéciale pour la recherche. Et, bon, les chercheurs, leur but n'est pas de commercialiser les données et pas de toujours mieux comprendre les utilisateurs pour leur offrir ensuite des différents produits commerciaux. Le but des chercheurs n'est pas de vendre non plus les données.

Donc, il me semble qu'on peut distinguer ce type d'utilisation, pour la recherche ou pour d'autres finalités d'intérêt public, et, de l'autre côté, bon, avoir un cadre différent pour les entreprises privées et apprendre du cadre, par exemple, pour la recherche scientifique ou d'autres organismes publics, et, dans quelques années, faire le point et dire : Bon, voici ce qu'on devrait pouvoir offrir à des entreprises privées et voici les contraintes qui s'adressent et devraient s'adresser spécifiquement aux acteurs privés.

M. Jolin-Barrette : Qu'est-ce qu'on fait dans le cas où... Vous savez, la recherche parfois sert aussi... Il y a des débouchés commerciaux. Il y a des partenariats aussi. Vous dites : Bon, il faut regarder la finalité pour l'encadrement. Les normes, là, qu'on va développer autour, là, supposons, des différents intervenants, là, que ça soit au niveau des chercheurs, que ça soit de la recherche versus ceux qui offrent purement dans les entreprises commerciales, comment est-ce qu'on fait pour départager le tout? Parce que, parfois, c'est difficile, rentrer dans des cases bien précises, là, pour dire : Bien, moi, je fais uniquement de la recherche pure. Mais souvent, cette recherche-là, l'utilisation des données pourrait avoir des implications commerciales aussi. Alors, comment est-ce qu'on fait pour s'assurer de vraiment départager le tout, là, au niveau de la gouvernance, au niveau de l'éthique rattachée à cela?

M. Maclure (Jocelyn) : Oui, c'est une très bonne question. Dominic, tu pourras compléter si tu veux.

Bon, on n'a pas fait un examen, là, récemment, mais je pense qu'il faut, en l'occurrence, s'assurer que les normes qui existent déjà pour encadrer les partenariats aux relations entre le milieu de la recherche et l'industrie... que ces normes soient respectées, là, de façon intégrale, parce que c'est déjà bien normé, le rapport entre la recherche et l'industrie.

Et, bon, un examen qu'on pourrait faire, là, c'est à la lumière, encore là, des possibilités offertes par l'intelligence artificielle et l'accès à des données massives. Est-ce que, bon, il y a lieu de revoir l'encadrement des liens entre l'université et l'industrie? Mais, bon, une recherche scientifique doit être fondée sur l'idée de la liberté académique, doit être... Son évaluation doit être basée entièrement sur des critères scientifiques et non pas sur la rentabilité ou le potentiel commercial et ainsi de suite. Et, si ces normes sont appliquées et ensuite il y a une utilisation, un transfert technologique vers l'industrie, ça peut être éthiquement acceptable, mais il faut s'assurer que les normes qui encadrent ces rapports soient respectées, là, de façon scrupuleuse.

M. Jolin-Barrette : Parfait. Je vous remercie.

Le Président (M. Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Merci beaucoup, là, de vos témoignages. Donc, peut-être une petite question. J'aimerais peut-être revenir... Bon, on a parlé des risques liés aux données, là, anonymisées ou dépersonnalisées, en quelque sorte. Vous avez parlé de la notion de renseignements personnels. C'est revenu chez plusieurs intervenants, là, cette fameuse définition, la définition, notamment, là, du volet européen, mais également ici, dans le projet de loi. Avez-vous une idée de... Avez-vous une définition que vous mettriez de l'avant, ou est-ce qu'elle est conforme, ou est-ce que c'est un enjeu, là, pour vous? C'est certain, il fallait que ça soit plus large, justement, pour inclure davantage peut-être en lien, justement, avec la notion d'anonymiser.

M. Maclure (Jocelyn) : Oui. Dominic, tu pourras compléter, mais, bon, le problème présentement, c'est que le renseignement personnel, c'est un renseignement qui permet de... qui concerne une personne physique et qui permet de l'identifier. Or, avec l'intelligence artificielle, ce n'est pas un renseignement qui... Un seul renseignement non personnel ne permet pas d'identifier une personne, mais, en agrégeant et en croisant des renseignements qui avaient été dépersonnalisés, on peut arriver à réidentifier ensuite.

Donc, je ne sais pas, ce n'est peut-être pas, d'un point de vue conceptuel, la définition de renseignements personnels qui pose problème, mais les nouvelles possibilités offertes par l'IA, qui permet, en croisant de nombreuses données, de remonter, au fond, à la source de la donnée. Dominic?

M. Cliche (Dominic) : Oui, c'est ça. Si je peux me permettre, là-dessus, peut-être que l'écueil n'est pas nécessairement, comme M. Maclure le soulevait, dans la définition même du renseignement personnel, mais un peu, en fait, dans la dichotomie qu'on établit de manière très forte entre renseignements personnels et les autres renseignements. Et ce qu'on peut imaginer, ultimement, c'est de penser à un régime qui est un peu plus différencié.

On parlait tantôt des résultats d'inférence. Est-ce qu'on veut soumettre les inférences complètement au régime des renseignements personnels, à un régime qui est aussi restrictif ou qui a exactement les mêmes dispositions, ou est-ce qu'on doit plutôt penser à différents niveaux dans le degré de sensibilité des renseignements personnels ou non? Et je pense que, justement, un des écueils, là-dessus, du projet de loi est de définir à la fois la notion d'incident de confidentialité, de préjudice ainsi que de sensibilité des renseignements uniquement en référence aux renseignements personnels.

Et là on comprend évidemment que c'est dans le cadre d'un projet de loi sur la protection des renseignements personnels, mais, dans une visée plus large d'une protection de la vie privée, on pourrait penser ces catégories-là — je parle, par exemple, justement, de sensibilité, il y avait aussi des notions de profilage, par exemple, qui étaient liées strictement aux renseignements personnels dans le cadre du projet de loi — et penser, de manière plus large, dans différentes catégories de renseignements qui ont différents niveaux de sensibilité et de susceptibilité de porter atteinte à des droits et libertés des individus. Et ça, c'est une piste qui peut être explorée, qui demande néanmoins réflexion supplémentaire, là, qui est peut-être un deuxième pas, si on veut, dans la refonte de notre encadrement lié à la protection de la vie privée.

M. Lévesque (Chapleau) : Mais allons-y, justement. C'est fort intéressant, vu qu'on a le projet de loi devant nous puis qu'on en discute, là, justement, la notion d'inférence, c'est techniquement, même, voire, conceptuellement... c'est assez... Vous connaissez mieux ça que moi, là, mais est-ce que c'est facile à identifier? Est-ce que c'est... Avec l'algorithme, avec la technologie, on pourrait tout de suite le cibler puis dire : Bon, bien là, il y a eu une inférence, donc on la protège. Peut-être que vous pouvez m'éclairer, là, avec ce concept-là.

M. Maclure (Jocelyn) : Oui. Une donnée inférée, c'est une donnée qui n'existait pas avant qu'on arrive à l'inférer en croisant d'autres données qui, elles, existaient et qui pouvaient être, encore là, soit anonymisées ou même des données parfois non personnelles, c'est-à-dire un historique d'achat, par exemple, ou des traces laissées sur des moteurs de recherche, ou des interactions sur les réseaux sociaux. Il ne s'agit pas, dans tous les cas, de données personnelles, mais, en croisant plusieurs données de la sorte, on peut arriver à produire des nouvelles données sur la personne.

Et donc il y a vraiment une production d'un savoir, là, sur les personnes. Et donc, ça, on ne les connaît pas avant d'avoir fait le travail par l'algorithme, mais une façon d'encadrer ça, c'est de dire : Bien, il y a des savoirs que vous ne devrez pas pouvoir produire sur les personnes, parce que ça, ce sont des données qui sont très sensibles, là. Il y a préjudice. Le risque de préjudice est grand. Et, bon, on s'entend, je pense, à la commission, pour dire qu'il faudrait pousser plus loin cette réflexion-là sur comment on l'encadre, mais c'est le nouveau type de savoir sur les personnes qui est produit en croisant des données qui pose problème, là.

M. Lévesque (Chapleau) : Merci. Merci de cet éclairage-là. Maintenant, peut-être une question sur le consentement. Vous semblez privilégier, évidemment, là, de demander souvent, là, le consentement, là, au citoyen, mais il y a certains groupes qui sont venus nous dire que le consentement n'est pas la finalité ou n'est pas, justement, là, l'objectif à atteindre, parce que, bon, souvent, on se retrouve en situation, là, sur Internet... des pages qui nous offrent de longs cookies ou de longs textes de consentement qui, souvent, ne sont pas lus puis qui n'ont pas vraiment de lien avec le consentement qui est donné par le citoyen, du moins, qui n'a pas une compréhension la plus complète. Voyez-vous un enjeu, là, dans cette situation-là quant au consentement?

• (16 heures) •

M. Maclure (Jocelyn) : Tout à fait. Et notre message ici est d'appuyer ceux qui relativisent l'importance du consentement, non pas pour dire qu'on peut, dans tous les cas, ignorer, hein, ne pas poser la question aux personnes : Est-ce qu'on peut utiliser vos données ou pas?, mais ça ne peut pas être la pierre angulaire, d'un point de vue éthique, là, de notre système d'encadrement de l'utilisation des données.

Donc, je l'ai souvent dit dans le passé, le consentement est souvent une condition nécessaire à un usage légitime des données mais rarement une condition suffisante, et ces conditions suffisantes, c'est de prévoir, hein, dans la loi, ce qui peut être fait et ce qui ne peut pas être fait avec les données, peu importe, même si on a obtenu un consentement au préalable. C'est tout simplement trop complexe pour les personnes, hein, de savoir exactement ce à quoi ils consentent, et souvent, le coût de ne pas consentir, par exemple, est important, si bien qu'il n'y a pas véritablement de liberté de choix.

Donc, on appuie entièrement cette idée que le consentement, donc, fait partie de l'équation mais ne joue pas un rôle central, là, sur le plan des valeurs éthiques.

M. Lévesque (Chapleau) : D'accord. Merci beaucoup. Vous avez parlé tout à l'heure, là, d'un autre cadre juridique pour ce qui était de la recherche. J'avais trouvé ça intéressant, là. Peut-être vous êtes-vous penché également sur la question, là, sur... On a eu la discussion par rapport aux partis politiques. Je ne sais pas si vous avez réfléchi à ça, là. Est-ce qu'il y a également matière à ce que ça soit un peu différent, un peu en lien avec la recherche? Je lance la question comme ça, là, pour... Si vous n'avez pas réfléchi, ce n'est pas plus grave, là.

M. Maclure (Jocelyn) : Oui. Non, bien, si j'intervenais à titre de philosophe politique, ça me ferait plaisir de me prononcer sur la question, mais, comme président de la Commission de l'éthique en science et technologie, ça ne concerne pas notre mandat. C'est que ce n'est pas une question qui est éthique, liée, donc, aux nouvelles technologies. Je pense que mon propos sur les organismes publics et privés, tout ça, pourrait, avec certaines modulations, donc, s'appliquer aux partis politiques, mais ça dépasse mon rôle en tant que président de la Commission de l'éthique en science et technologie.

M. Lévesque (Chapleau) : Nous aurions dû vous inviter sous vos deux chapeaux alors, mais pas de souci, là. Je comprends tout à fait.

Le Président (M. Bachand) : Merci beaucoup, M. le député.

M. Lévesque (Chapleau) : Oh! c'est... D'accord. Bien, merci, merci.

Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, pour 13 min 36 s.

M. Tanguay : Merci beaucoup, M. le Président. Alors, bonjour, M. Maclure et M. Cliche. Merci de participer à nos débats. C'est réellement très intéressant. Je veux m'assurer, durant la période de 13 minutes qui nous est allouée, de l'opposition officielle, de laisser du temps également à ma collègue de Notre-Dame-de-Grâce qui aura des questions.

L'organisme, MM. Maclure et Cliche, que vous représentez, donc, la Commission de l'éthique en science et en technologie, je regarde, les membres possèdent une expertise en éthique et proviennent de milieux de recherche universitaire et industrielle dans les domaines de sciences sociales et humaines, des sciences naturelles et du génie et des sciences biomédicales du milieu de l'éthique des milieux de pratique et de la société civile.

Maintenant, est-ce que votre expertise est essentiellement ou majoritairement du côté des organismes publics ou vous avez une expertise également de la vie sur le terrain du côté des organismes privés, des entreprises?

M. Maclure (Jocelyn) : Oui, merci de la question. Donc, notre mandat, hein, notre premier mandat, c'est de conseiller le ministre responsable... le ministre de l'Économie et de l'Innovation et, par extension, de conseiller les autres organismes, hein, du gouvernement du Québec. Et, dans nos 13 membres, effectivement, donc, on a, bon, plusieurs, plusieurs membres, hein, qui viennent des différents milieux de la recherche ou du journalisme scientifique, mais on a habituellement toujours un membre ou deux qui ont aussi un lien... bon, pour revenir à notre discussion de tout à l'heure, un pied, donc, dans l'industrie, un pied dans la recherche scientifique. Donc, on a des échos aussi, là, des besoins, par exemple, de l'industrie sur le plan de la recherche et de l'encadrement de la recherche, mais, je veux dire, ce n'est pas la dominante, là, ou... dans la composition de notre équipe.

Une autre partie de notre mandat, ceci dit, c'est de susciter la réflexion éthique, bon, dans la société civile et d'autres... bon, des citoyens en général et d'autres groupes dans la société.

M. Tanguay : Merci. Donc, axons-nous du côté public. Est-ce que, dans les organismes publics, à la lumière de vos travaux, de votre réflexion... J'ai un réflexe, puis on le voit un peu peut-être durant la pandémie, là... au Québec, on a de la misère à générer de la donnée. Puis je ne vise pas personne, là, je ne fais pas de la politique avec ça. On a de la misère à gérer de la donnée au Québec.

Est-ce qu'on n'a pas... puis vous allez voir la pertinence, je pense, je prétends, de la question avec le projet de loi n° 64, parce qu'au-delà de ce qui est inscrit dans une loi, on veut que, dans les faits, on puisse l'appliquer de façon tangible puis atteindre les objectifs. Mais, si je fais un pas en arrière, est-ce que, même avec les obligations légales que l'on a aujourd'hui dans la loi actuelle, pas amendée, est-ce que les systèmes informatiques, les systèmes par lesquels ou avec lesquels on gère tous les renseignements personnels, est-ce qu'ils sont suffisamment performants?

Par exemple, est-ce qu'ils sont suffisamment adaptés à se parler entre eux pour qu'on ait les moyens de nos ambitions ou on ne vient pas ici en rajouter une couche avec le projet de loi n° 64, puis ça ne donnerait rien, si d'aventure on n'avait pas des systèmes plus performants pour atteindre nos objectifs? Parce que l'un des objectifs clairement identifiés avec le nouveau projet de loi, ce serait d'avoir un responsable de l'accès puis un responsable de la protection. Mais, pour avoir, dans une ancienne vie, travaillé dans une entreprise privée, c'était tout un défi, l'accès et la protection, parce qu'au départ c'étaient des systèmes qui n'étaient pas adaptés à nos ambitions d'accès et de protection. J'aimerais savoir votre réflexion là-dessus.

M. Maclure (Jocelyn) : Je vais laisser Dominic compléter, mais bon, probablement que, bon, vous savez que c'est dans les cartons, là, du gouvernement et de l'administration publique en général, hein, de mobiliser davantage, hein, l'expertise québécoise en intelligence artificielle pour intégrer, hein, des outils, des algorithmes d'intelligence artificielle dans l'administration publique pour mieux valoriser, hein, les nombreuses données, les grands jeux de données auxquels l'État et différents organismes ont accès.

Et, bon, je pense que c'est tout à fait normal de vouloir miser sur cette expertise québécoise, mais je pense que ça va de pair avec, là... comme conditions d'acceptabilité, avec un renforcement de nos lois, y compris dans le secteur public, là, pour que les citoyens aient confiance, hein, tant dans les organismes publics que dans les organismes privés. Il faut qu'ils aient la conviction, hein, qu'un cadre clair et rigoureux est mis en place sur le plan de la protection des données personnelles.

Et je pense que, comme je disais tout à l'heure, hein, comme l'État a la mission, hein, d'oeuvrer en faveur du bien commun, ça me semble tout à fait fécond que d'aller de l'avant dans des projets pour mieux utiliser nos données, pour mieux concevoir nos politiques, pour mieux offrir des services aux citoyens. Mais ça prend absolument un cadre réglementaire clair. Et, bon, les lois étaient plus adaptées, hein, parce que, bien, elles ont été conçues avant ce genre d'innovations technologiques.

Donc, je pense que les deux vont ensemble. Ça va être des défis importants d'un point de vue organisationnel, mais je pense qu'un plus grand accès aux données via des technologies exige l'évolution de notre cadre normatif.

M. Tanguay : Peut-être juste, M. Maclure, si vous me permettez, juste avant de céder la parole à M. Cliche, mon point, de façon plus tangible, est le suivant, il y a une loi qui est modifiée par le projet de loi, Loi concernant le cadre juridique des technologies de l'information. Ça, c'est une loi, je me rappelle à l'époque, 2001, 2002, 2003, dans ces eaux-là... Il y a des lois qui sont bien rédigées sur une base théorique, mais qu'on pourrait prendre, puis c'est moi qui le dis, là, le législateur, puis on pourrait les encadrer, parce que, sur le terrain, elles n'ont aucune application. Pourquoi? Parce qu'on ne peut pas les appliquer. Desjardins, ce qui est arrivé, c'est qu'ils sont tombés en bas de leur chaise parce qu'ils se sont rendu compte, notamment, qu'il y avait quelqu'un qui avait accès à autant d'information, et ce n'était pas su, ce n'était pas connu et ce n'était pas même justifié en amont.

Donc, au-delà du cadre théorique, moi, ma préoccupation, puis j'aimerais vous entendre là-dessus, vous, chercheurs sur le terrain, les systèmes nous permettent-ils d'avoir les moyens de nos ambitions ou il n'y aurait pas lieu là d'avoir un chantier? Parce que l'on sait, puis vous en êtes témoin, là, il y a des systèmes, il y en a des milliers et des milliers aux organismes publics, puis ils ne se parlent pas entre eux. Puis, si vous êtes responsables de ça, de l'accès et de la protection, je pense que vous n'atteindrez pas votre cible. Puis la loi, elle aura beau être écrite de la plus belle façon, mais socialement on n'atteindra pas notre cible.

• (16 h 10) •

M. Maclure (Jocelyn) : Dominic.

M. Cliche (Dominic) : Bien, écoutez, c'est sûr que ce que vous dites, je pense, effectivement, est assez juste, là. On ne peut pas imaginer un projet de loi comme ça et surtout qui vient derrière... Je pense que le projet de loi s'intègre de manière plus générale, de ma compréhension, dans une volonté qui a été nommée, la transformation numérique de l'administration publique, donc au moins partiellement. Le projet de loi vient appuyer cette volonté-là du gouvernement. Et, dans cette optique-là, il y a évidemment des défis à différents niveaux qui se posent.

Et puis, cela dit, au-delà des questions d'éthique auxquelles nous, on pourrait répondre, je pense que c'est davantage quelque chose que nos collègues au Conseil du trésor, là, qui travaillent sur l'architecture d'entreprise gouvernementale, pourraient détailler davantage.

M. Tanguay : O.K. Merci.

Le Président (M. Bachand) : Merci beaucoup, M. le député de LaFontaine. Mme la députée de Notre-Dame-de-Grâce.

Mme Weil : Oui. Alors, bonjour, M. Maclure et M. Cliche. Écoutez, vous nous amenez vers des enjeux qu'on n'a pas jusqu'à présent regardés, donc, parce que vous allez vraiment sur la question d'éthique. D'ailleurs, j'ai une question pour vous : Les données inférées, parce que je pense que vous êtes les premiers peut-être à en parler comment est-ce qu'on peut se protéger contre ces données inférées? Parce qu'on ne sait pas comment ces données ont été créées. Et comment est-ce qu'on peut soit les supprimer ou les rectifier, comme on parle généralement de données personnelles?

C'est une question technique que je vous pose, parce qu'on le voit quand même dans nos vies personnelles, surtout avec les photos, nos enfants qui partagent des photos, les choses qu'ils font avec des photos, puis là soudainement on se rend compte qu'on nous reconnaît, on reconnaît soi-même et ses enfants, puis on a pris ces photos ensemble, et ensuite on vous offre quelque chose. En tout cas, tous ces éléments résonnent un peu dans nos vies personnelles. Et donc est-ce qu'on est rendus là, de pouvoir même pouvoir en traiter dans un projet de loi? C'est-à-dire comment est-ce qu'on se protège ou, premièrement, modifie... Comment est-ce qu'on peut savoir que ces données existent? C'est une question éthique aussi.

M. Maclure (Jocelyn) : Tout à fait. Dominic, veux-tu débuter?

M. Cliche (Dominic) : Oui. Bien, écoutez, c'est sûr qu'un des points qu'on peut soulever ici, c'est qu'encore une fois je pense que ça peut démontrer des limites d'une approche qui se base uniquement sur le consentement individuel, parce qu'effectivement, comme vous le soulignez, ça échappe un peu à l'entendement, tout ce qu'on peut générer nous-mêmes par nos activités en ligne, volontairement ou involontairement, mais aussi ce qui peut être généré à partir de ces activités-là, à partir des données qui sont produites. Et évidemment, si on se mettait à devoir évaluer individuellement l'ensemble des conséquences de nos activités en ligne, je pense qu'on passerait l'essentiel de notre journée à le faire plutôt qu'à faire les activités elles-mêmes.

Donc, un des enjeux ici, c'est probablement d'avoir justement un régime qui, vraiment, oblige à identifier, hein, qu'est-ce qui est inféré à partir des données et qui oblige les organisations... et là je pense un peu tout haut, encore une fois, c'est des pistes, mais qui oblige les organisations à avoir un cadre, qu'il soit prédéfini au moins dans ses grandes lignes par l'État. Sinon, au moins qu'il existe un tel cadre sur comment... quelles sont les données utilisées, quels sont les types d'inférences qui sont faites à partir de ces données-là et que ces inférences-là soient soumises à des balises qui sont prédéterminées selon, justement, l'intérêt public, par exemple, le bénéfice manifeste de la personne, certains éléments, donc, des principes qui sont présents, bien mentionnés dans le projet de loi n° 64, mais qui pourraient s'étendre, justement, à d'autres types de renseignements que les renseignements personnels dans le cadre de régimes intermédiaires, si on veut, là, de protection des renseignements.

Mme Weil : J'aimerais revenir, si j'ai du temps, sur la distinction que vous faites entre régime public et privé avec, comment dire, à la base, cette notion que, si c'est public, évidemment, le bien public, c'est l'objectif de l'organisme, donc de traiter différemment peut-être tout ce qui concerne les données collectées, recueillies dans le secteur privé. Ça, c'est comme une prémisse de base que vous avez, qui conditionne un peu les mesures que vous taillez pour l'un ou l'autre. Reconnaissez-vous que ça peut être carrément dans le secteur privé, si on pense au secteur pharmaceutique ou des innovations en matière de santé pour aider des personnes handicapées, etc.? Il y a tellement de recherches qui se font, parfois en partenariat public et privé. Est-ce que cette distinction... J'essaie de comprendre l'importance de cette distinction dans le travail que nous, on a à faire en regardant le projet de loi et en analysant...

M. Maclure (Jocelyn) : Oui, c'est une bonne question, mais je pense que... et l'idée, ce n'est pas du tout de diaboliser, hein, les entreprises privées. Les entreprises privées peuvent contribuer au bien commun, mais ils le font, disons, de façon indirecte, hein, c'est-à-dire en cherchant d'abord à être profitables et en souhaitant qu'ensuite, hein, il y ait des retombées positives pour l'ensemble, et c'est souvent le cas.

Mais, bon, on est dans une grande phase, hein, d'expérimentation, là, sur le plan de la gestion des données numériques, hein, parce qu'on peut faire beaucoup de choses avec ces données, et c'est devenu une ressource, hein, économique extrêmement importante. Et il faut faire des expériences, des tests, là, pour voir comment on peut donner un plus grand accès, à quelles conditions on peut outrepasser la norme de consentement, dont on parlait tout à l'heure, hein, pour, par exemple, hein, des fins qui n'auraient pas été identifiées au départ.

Bien, ça me semble beaucoup plus sage de le faire dans le contexte, hein, d'organisme public ou la recherche en particulier, au départ, parce que la recherche, hein, la quête, hein, de nouvelles connaissances scientifiques, hein, contribuent au bien commun de façon très, très directe, alors que, par exemple, hein, lorsqu'il est question d'entreprise pharmaceutique privée, bien, ce n'est pas nécessairement... par exemple, hein, les médicaments qui pourraient améliorer la qualité de vie, hein, de petits... de groupes, hein, des personnes qui ont des maladies rares, hein, parce que, comme ils sont peu nombreux, hein, ce n'est pas nécessairement rentable. Et c'est souvent... on a souvent besoin de la recherche universitaire, hein, pour faire des découvertes en la matière.

Donc, c'est vrai que les entreprises, hein, contribuent à l'intérêt collectif d'une certaine façon, mais de façon plus indirecte. Et je pense que là où on en est présentement, il serait plus sage de faire des expériences, hein, du côté d'organisme public.

Le Président (M. Bachand) : Merci, M. Maclure. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, messieurs. J'ai peu de temps, mais j'ai quelques questions pour vous. D'abord, sur la question du consentement, vous nous avez bien dit, et c'est intéressant, qu'il fallait aller au-delà du consentement, mais néanmoins... et j'y reviendrais dans ma deuxième question, mais, sur le consentement lui-même, plusieurs représentations nous ont été faites sur cette question-là. Certains nous disent : Il faut un consentement assez scrupuleux, où on demande à chaque fois qu'il y a collecte de données, à chaque fois qu'il y a collecte pour une finalité spécifique, on devrait demander à nouveau un consentement. D'autres nous ont dit : Il faut faire des consentements par bloc, des consentements plus généraux.

Sur la question spécifique de la manière dont il faut demander le consentement aux citoyens, aux citoyennes, quelle est votre position?

M. Maclure (Jocelyn) : O.K. Brièvement, puis je laisse Dominic compléter, lorsqu'il est question de la recherche, hein, je pense que c'est là où on peut explorer l'idée de ne pas toujours redemander le consentement lorsque la finalité est toujours, hein, de faire avancer la science. Lorsqu'il est question d'usages, hein, commerciaux et privés, je pense que c'est préférable de demander aux entreprises de demander le consentement et de simplifier, hein, le processus pour donner le consentement, mais ça ne demeure pas une condition suffisante, là, pour l'usage des données par des joueurs privés. Dominic.

M. Cliche (Dominic) : Oui, rapidement, je ne veux pas trop vous prendre du temps là-dessus, je pense qu'effectivement l'idée... En fait, l'idée, c'est, comme M. Maclure le mentionnait, de donner quand même au citoyen le plus grand pouvoir sur ses données personnelles. Et ça, le projet de loi va dans ce sens, le sens de ce principe-là, avec des demandes de consentement spécifiques express pour des renseignements de nature sensible.

Cela dit, il demeure un écueil là-dedans. Donc, au-delà du principe, plus on multiplie, dans le fond, les formules de consentement qui peuvent être demandées, plus on court le risque que ce soit, d'une certaine manière, banalisé et qu'on passe outre, hein?

Donc, juste d'expérience, il faudrait vérifier si le fait d'accentuer et d'augmenter le nombre de fois où on demande le consentement n'a pas l'effet pervers de faire en sorte que les gens cliquent «oui» sans même lire, comme c'est déjà pas mal le cas dans plusieurs domaines, là, sur Internet, mettons.

M. Nadeau-Dubois : Oui, merci. Merci. Si on va maintenant au-delà... il me reste moins d'une minute. Si on va au-delà de la question du consentement, vous dites : Il faut régir également l'utilisation des données postconsentement, si vous me permettez l'expression. Quel type d'utilisation faudrait-il encadrer dans le projet de loi n° 64?

M. Maclure (Jocelyn) : Dominic, veux-tu y aller?

Le Président (M. Bachand) : Rapidement, M. Cliche, s'il vous plaît.

M. Cliche (Dominic) : Oui. Écoutez, je n'ai pas d'exemple très spécifique, là, à vous donner, malheureusement, là-dessus. L'idée est vraiment, dans le principe, de dire : Il y a des choses auxquelles on peut considérer qu'il n'est pas louable de consentir, là. En fait, lorsque je veux... lorsque je réponds oui à... ce que je veux, là, dans la protection des données, ce n'est pas tant de pouvoir régir l'ensemble des utilisations, c'est d'emblée... c'est de ne pas me faire avoir. Donc, l'idée, c'est, si on est en mesure d'avoir au moins un encadrement supplémentaire, ne serait-ce que minimal, pour régler certains des usages qui peuvent être problématiques en amont, on vient de sauver quand même déjà plusieurs risques. Cela dit, il y a un travail de définition là-dessus, là, je vous l'accorde tout à fait.

Le Président (M. Bachand) : Sur ce, M. Maclure, M. Cliche, merci beaucoup d'avoir participé aux travaux de la commission.

Je suspends les travaux quelques instants. Merci.

(Suspension de la séance à 16 h 20)

(Reprise à 16 h 23)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Il nous fait plaisir d'accueillir Mme la professeure Castets-Renard, professeure titulaire à l'Université Toulouse Capitole et à l'Université d'Ottawa en droit numérique.

Alors, professeure, merci beaucoup d'être encore une fois à la Commission des institutions. C'est avec grand plaisir de vous recevoir de nouveau. Alors, comme vous connaissez les règles, 10 minutes de présentation, et, après ça, nous aurons un échange avec les membres de la commission. Donc, la parole est à vous, professeure. Merci beaucoup.

Mme Céline Castets-Renard

Mme Castets-Renard (Céline) : Merci beaucoup, M. le Président. M. le ministre, Mmes, MM. les députés, il me fait très plaisir de revenir vous parler, et c'est un très grand honneur pour moi d'être à nouveau parmi vous. Mon nom est Céline Castets-Renard, je suis professeure à l'Université d'Ottawa, à la Faculté de droit civil, et je suis titulaire d'une chaire de recherche sur l'intelligence artificielle, responsable à l'échelle mondiale.

Et donc, aujourd'hui, il s'agit d'évoquer le projet de loi n° 64 sur la réforme de la protection des renseignements personnels, et je voudrais attirer votre attention sur deux enjeux globaux, deux grands enjeux que le projet de loi évoque et dont il s'agit évidemment de prendre en considération... et qu'il s'agit de prendre en considération.

Tout d'abord, l'enjeu de modernisation de la législation, puisqu'il s'agit de réformer, donc, de réviser, de tenir compte des évolutions technologiques, et, en particulier, de l'évolution numérique et de l'intelligence artificielle. Donc, ça, c'est un premier enjeu que je voudrais évoquer avec vous.

Le deuxième enjeu concerne le renforcement de la protection. Dans un contexte de marchandisation des données, il apparaît effectivement nécessaire de renforcer cette protection, mais avec un enjeu quand même de tenir compte d'une certaine souplesse et adaptation au marché québécois.

Donc, le premier enjeu concerne la révision, la réforme des lois de renseignements personnels sur le secteur public et le secteur privé, avec un certain nombre de points forts par rapport à la prise en compte des technologies, des points forts par rapport au fait de considérer les technologies d'identification, de profilage et de géolocalisation par le fait, en particulier, de reconnaître un droit à l'information ou encore un droit de désactiver ces technologies. Un autre point fort aussi concerne les mesures relatives à la prise de décision automatisée et avec également une obligation d'information... un droit d'information pour les personnes concernées et un droit à explication individuelle. Je trouve que ces dispositions sont particulièrement intéressantes.

Je voudrais plutôt m'arrêter sur des dispositions qui me paraissent peut-être un peu plus fragiles et notamment la définition des données sensibles. Effectivement, la catégorie des données sensibles rentre dans le projet de loi n° 64, mais la définition qui est donnée me paraît un petit peu floue et un petit peu fragile, puisqu'il s'agit de données... de considérer les données sensibles comme étant des renseignements personnels qui, par leur nature ou le contexte de leur utilisation, font courir un certain nombre de risques et donc pour lesquels il pourrait y avoir un haut degré d'attente raisonnable en matière de vie privée.

Alors, il me semble que cette définition est trop large et trop souple par rapport à la technologie et par rapport, en particulier, au traitement des données massives. Au sein de ces données massives, on a des renseignements personnels et des renseignements que... des données qui ne sont pas des renseignements personnels. Et, à l'intérieur de ces renseignements personnels, si vous considérez les données sensibles, ça me paraît très difficile de les distinguer dès lors qu'on ne catégorise pas plus clairement, qu'on ne classifie pas plus clairement les données sensibles. Donc là, je pense qu'il risque d'y avoir un raté... enfin, il risque d'y avoir un problème de respect de la loi par rapport à ce qu'est la technologie aujourd'hui et par rapport à l'utilisation des bases de données.

Un autre point à améliorer, me semble-t-il, concerne les pouvoirs et les missions confiées à la CAI, la Commission d'accès à l'information, parce qu'effectivement la technologie... les enjeux technologiques sont extrêmement complexes, extrêmement difficiles et lourds, et donc il faut que l'autorité de contrôle ait une grande capacité avec, notamment, un personnel qualifié par rapport à ces enjeux technologiques, avec, évidemment, un certain nombre de ressources financières pour pouvoir effectuer les contrôles, parce qu'il ne sert à rien d'avoir une loi avec plus de mordant, si l'autorité de contrôle et si le régulateur n'a pas les moyens de vérifier le respect de cette loi. Donc, les moyens de contrôle vont avec les moyens donnés à cette loi, et, en particulier, les sanctions qui ont été renforcées supposent de pouvoir vérifier ces sanctions, sinon la loi risque de ne pas être suffisamment respectée.

Le deuxième enjeu que je voudrais évoquer est quelque chose d'un peu plus complexe concernant une certaine balance à avoir entre le renforcement de la protection et, en particulier, la volonté de viser les grands acteurs du numérique, hein, les GAFA en particulier, mais aussi de considérer l'application de la loi par les petites entreprises et aussi par les organismes publics qui n'ont pas tous énormément de moyens, comme... je pense à des petites municipalités. Et donc, comme la loi canadienne, tout comme la loi européenne, est une loi large qui vise le secteur public et le secteur privé et le RGPD en Europe vise aussi l'ensemble des secteurs d'activité, hein, on vise la matière civile et commerciale au sens large.

Donc, cette loi omnibus doit être respectée par tous. Et, s'il y a des mesures dures et avec un certain mordant, par exemple, en matière de sanctions dans le RGPD et dans la loi québécoise, dans le RGPD, on a aussi des moyens d'assouplir et de prévoir une certaine gradation dans l'application de la norme, et je pense en particulier aux mesures d'accompagnement et aux mesures de gradation qui peuvent être mises en oeuvre dans l'application de la loi en considérant un certain nombre de facteurs.

Alors, les mesures d'accompagnement, je pense en particulier au code de conduite, aux lignes directrices qui sont élaborées par les autorités de contrôle, hein, de protection des données, les autorités nationales et le Contrôleur européen à la protection des données... et, en fait, ces lignes directrices vont permettre et vont aider à accompagner les entreprises à se mettre en conformité avec le RGPD. Le RGPD est extrêmement complexe et lourd, extrêmement coûteux aussi à mettre en oeuvre, et, pour essayer de compenser cette charge, eh bien, il y a eu tout ce processus d'accompagnement par des normes souples qui viennent compléter le RGPD.

• (16 h 30) •

Également aussi, il faut voir les différents facteurs d'application des règles en apparence dures du RGPD, un certain nombre de facteurs. À plusieurs reprises, le RGPD précise qu'il faut tenir compte du coût, qu'il faut tenir compte de l'état des connaissances, de la nature, de la portée, du contexte, des finalités des traitements, mais aussi des risques pour les droits et libertés des personnes. Donc, autrement dit, ce n'est pas simplement une loi aveugle qui va systématiquement s'appliquer, mais il faudra aussi tenir compte des contextes et voir, en fait, comment faire respecter la législation en fonction des situations. Donc, il faut une appréciation in concreto. Et donc, il me semble que, dans la loi québécoise, on ne retrouve pas ces modérations, et je pense que ces mesures de souplesse doivent être considérées.

S'agissant des sanctions, c'est la même chose, je pense qu'il faut maintenir des sanctions élevées et, bien évidemment, ce sont des maximums. Et il faut aussi bien prendre en compte le fait que le Québec ne serait pas le seul territoire d'Amérique du Nord à prévoir des sanctions élevées puisqu'aux États-Unis aussi on peut voir des sanctions qui apparaissent également élevées. Il faudra aussi considérer le consentement dans une approche plus globale, mais je vais peut-être laisser cet aspect à vos questions.

Le Président (M. Bachand) : Merci beaucoup, professeure. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui, bonjour, Mme Castets-Renard. Merci de participer aux travaux du projet de loi n° 64 en commission parlementaire.

Bien, reprenons la balle au bond sur la notion du consentement. Comment doit-on le définir? Depuis le début de la commission, il y a des gens qui sont... bien, il y a des groupes qui sont venus nous plaider d'un côté comme de l'autre. Certains nous disent : Bien, écoutez, vous devriez avoir un consentement qui est explicite à chaque élément, à chaque donnée, ou à chaque renseignement personnel que vous partagez, ou même à chaque fois que vous allez sur une page Web où est-ce que vous laisseriez des données personnelles. D'autres nous disent : Bon, ça nous prend un consentement en bloc. D'autres nous disent : Bien, écoutez, il faudrait qualifier la teneur du renseignement comme tel. Et il y en a d'autres qui nous disent : Bien, non, écoutez, là, on a besoin de ces renseignements-là, on va bien les traiter d'une façon corporative.

Alors, où la... Bien, en fait, les bonnes pratiques nous amèneraient à quel endroit? Et est-ce que le projet de loi n° 64 répond à ces bonnes pratiques là, tel que nous l'avons formulé?

Mme Castets-Renard (Céline) : Alors, c'est une question très difficile, parce que le projet de loi n° 64 se rapproche du RGPD dans sa définition d'un consentement explicite, et donc bien détaché, par exemple, du consentement à un contrat avec un consentement express à chaque fois. Donc, on a effectivement considéré aussi, en Europe, que c'était les bons moyens de protéger les personnes concernées. Il y a eu aussi tout autant des critiques, donc je pense que c'est un peu difficile de trancher parce qu'il y a autant de partisans que de queues de critiques. Je pense, pour ma part, qu'effectivement c'est assez lourd de demander le consentement à chaque fois, et peut-être que ce n'est pas tout à fait la meilleure façon de procéder, si on veut, à des dispositions fluides et des modes de fonctionnement fluides. Parce que, par exemple, on sait très bien que les internautes consentent en permanence, sans trop regarder et sans trop lire.

Donc, il faut surtout, à mon avis, considérer l'objectif de ce consentement, qui est d'informer et de protéger. Et je ne suis pas sûre que consentir en permanence permet véritablement de protéger les individus. Et ce que je voulais signaler par rapport au règlement européen, c'est le fait que le consentement n'est pas non plus isolé, et ça, effectivement, ce n'est pas l'alpha et l'oméga de la protection. Il faut aussi considérer un certain nombre de droits qui sont accordés aux personnes concernées, mais aussi des principes directeurs qui viennent encadrer les obligations des responsables de traitement, comme des principes de finalité, de minimisation des données.

Et donc il faut peut-être aussi considérer d'autres moyens pour accompagner ce consentement pour se dire qu'éventuellement, dans certaines situations, on pourra peut-être baisser le niveau de protection par le consentement, mais on aura d'autres garanties qui feront que, globalement, le consentement ou, en tout cas, la protection, le niveau de protection restera élevé. C'est pour ça que j'évoque le consentement dans une approche globale dans mon mémoire.

M. Jolin-Barrette : O.K. Le fait qu'il y a beaucoup d'éléments, dans le projet de loi n° 64, qui se rapprochent du règlement européen, vous voyez ça positivement ou négativement? Parce que certains groupes nous disent : Écoutez, n'oubliez pas que vous êtes en Amérique du Nord et donc vous devez tenir compte de l'environnement nord-américain. Certains nous reprochent d'aller trop loin pour la protection des renseignements personnels, pour les données.

Même, il y a un certain groupe qui nous a dit : Surtout, là, surtout, là, ne touchez pas à rien, on veut garder ça comme ça. Attendez que le fédéral agisse, attendez de voir que les autres juridictions agissent. Dans le fond, il voudrait même que le Québec abdique sa juridiction. Vous comprendrez que je ne suis pas tellement en accord avec ce groupe-là, puis je trouve que c'est une position qui est, ma foi, particulière et qui ne démontre pas beaucoup de sensibilité pour l'intérêt public puis l'intérêt de la protection des données des citoyens. Mais cette organisation-là fait ce choix-là, par le biais de son représentant.

Mais, cela étant, qu'est-ce que vous en pensez? Est-ce que c'est une bonne chose de s'inspirer du règlement européen?

Mme Castets-Renard (Céline) : Alors, je pense qu'il y a des dispositions intéressantes dans le règlement européen qui peuvent tout à fait correspondre au contexte québécois. Mais je pense aussi, et je rejoins le Pr Gautrais, je pense aussi que la protection des renseignements personnels ou de la vie privée en général, c'est une question de culture. Donc, il faut quand même considérer la situation du Québec et les objectifs du Québec. Je crois que c'est surtout ça, à partir de quels objectifs quelles règles de droit seraient pertinentes.

Et le Canada, en fait, et le Québec dans le Canada, est un peu entre la législation... Il y a des dispositions et des aspects du système légal de la protection de la vie privée qui ressemblent au droit américain et d'autres aspects qui ressemblent au droit européen. Donc, c'est ce que je dis à mes étudiants, souvent : Le Canada est un peu un trait d'union entre les deux. Mais ce que je voudrais quand même souligner, c'est que, si le Québec va de l'avant avec cette loi et notamment prévoit des sanctions élevées, le Québec ne serait pas du tout isolé en Amérique du Nord à prévoir des sanctions élevées en cas de violation des renseignements personnels.

En droit américain, la FTC, la Federal Trade Commission prévoit des sanctions élevées en cas de violation. L'année dernière... rapport, YouTube a été condamnée à 160 millions de dollars américains pour la violation de la loi COPPA, donc, c'est la loi Children's Online Protection Pivacy Act, qui protège la vie privée des enfants sur Internet. Également, au niveau étatique, il y a des sanctions parfois élevées qui sont prononcées. La Californie, par exemple, mais aussi l'État de New York, plusieurs États n'hésitent pas à prononcer des sanctions élevées. Et ce sont les avocats généraux des États qui portent ces actions et qui poussent les juges ou les contrôleurs, les régulateurs à appliquer ces sanctions. Donc, je crois qu'il faut tordre le cou à l'idée que vous seriez seuls à imposer des sanctions élevées.

M. Jolin-Barrette : Donc, en Amérique du Nord, il y en a qui imposent des sanctions élevées. Donc, pensez-vous que, si le Québec va de l'avant avec le projet de loi n° 64, ça va avoir pour effet d'inciter les autres juridictions canadiennes et le gouvernement fédéral à légiférer aussi dans la direction du projet de loi n° 64?

Mme Castets-Renard (Céline) : Je pense que ça aura nécessairement une influence et je pense le Québec pourrait montrer la voie, et ce ne serait pas la première fois. Et, je pense, c'est tout à fait intéressant que vous mettiez en avant les valeurs que vous voulez défendre. Et je pense qu'on peut tout à fait avoir une législation protectrice des informations et des renseignements personnels des citoyens tout en considérant aussi l'évolution technologique, l'innovation et le poids que cela peut représenter pour les entreprises de mettre en oeuvre une nouvelle réglementation et de se mettre en conformité. Je pense qu'un équilibre peut se trouver.

M. Jolin-Barrette : Sur la question de la Commission d'accès à l'information, là, comment vous voyez ça, là, le rôle qu'on lui donne, les ressources, l'encadrement? Vous parlez même d'accompagnement pour les PME, les petites, moyennes entreprises. C'est quoi votre vision, là, par rapport au rôle de la Commission d'accès à l'information?

• (16 h 40) •

Mme Castets-Renard (Céline) : Je pense qu'aujourd'hui il y a... les autorités de protection et de contrôle des renseignements personnels et des données personnelles sont en train de se moderniser un petit peu partout dans le monde. On l'a vu en Europe, par exemple, à la suite du RGPD. On passe d'un rôle un peu passif... enfin, passif, un peu de... ou de contrôle et un peu de méfiance à un rôle d'accompagnement justement où, finalement, ce n'est que si une entreprise vous... une administration n'obtempère pas que des sanctions sont prononcées. Et donc on essaie d'aider à la mise en conformité.

Ce qui veut dire qu'il faut, par exemple, publier des outils de mise en conformité, des lignes directrices, des explications, faire des séminaires, etc. Et, si je prends l'exemple de la France, la CNIL, la Commission nationale informatique et libertés, s'est complètement reconstruite. C'est toute une culture d'administration, en fait, qui a changé. Et je pense qu'aujourd'hui, pour moderniser cette fonction, il faut aller de l'avant avec cette idée de partager finalement un certain savoir, et d'aider, et d'accompagner, et d'avoir, tout en ayant aussi des moyens de contrôle assez forts, et d'avoir un personnel compétent pour comprendre des algorithmes, des systèmes d'information et des systèmes d'intelligence artificielle, parce que les juristes sont un peu démunis par rapport au contrôle de ce type de système. Donc, je pense aussi qu'il faut renforcer les compétences en matière technologique.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Bonjour, Pre Castets-Renard. C'est un plaisir de vous retrouver à la Commission des institutions. Nous avions eu l'occasion, justement, d'échanger auparavant et nous brûlions d'envie de parler du projet de loi n° 64. Donc, on a l'occasion aujourd'hui de le faire.

Vous parlez de souplesse et d'accompagnement, là, pour les petites et moyennes entreprises. J'imagine que c'est un enjeu qui vous préoccupe. J'aimerais peut-être savoir quel type de mesure vous entrevoyez, quel genre d'accompagnement, donc juste pour avoir votre son de cloche par rapport à ça.

Mme Castets-Renard (Céline) : Je pense qu'il y a deux types d'outil qui sont intéressants dans le règlement européen, qui ne sont pas forcément à reprendre comme tel, mais, en tout cas, c'est des pistes à explorer. L'accompagnement, ça va effectivement avec peut-être des guides, des lignes directrices ou des outils, même des logiciels ou des tableurs, pour aider les entreprises, par exemple, à savoir comment gérer des données sensibles par rapport à des données qui ne seraient pas sensibles, savoir si elles le sont. Par exemple, ça pourrait être tout simplement des guides avec des questionnaires pour les aider à qualifier et à s'auto, finalement, contrôler, et à mettre en place les exigences de la loi. Ça, c'est un aspect possible.

Et puis, quand je parle de souplesse, je pense qu'effectivement il faut laisser la possibilité au régulateur et, éventuellement, au juge de savoir si, dans la situation présente, quand il y a une règle à respecter, est-ce qu'il faut l'appliquer frontalement, on va dire, en blocs, un peu aveuglement, parce qu'on a affaire à un géant de l'Internet, et qu'on sait très bien qu'il collecte massivement des données, et qu'il y a des données personnelles, et que ces données sont utilisées sans respect, par exemple, d'un principe de finalité ou d'un principe de nécessité? Est-ce qu'on a affaire à ce type de géant ou est-ce qu'on a affaire à une petite entreprise qui n'est pas de mauvaise foi et qui n'a pas forcément bien compris la réglementation, surtout si elle est nouvelle, et qui n'en a pas pris toute la mesure?

Je pense qu'il ne faut quand même pas traiter les choses de la même façon, qu'il faut prendre en considération le coût de la mise en conformité, l'état des connaissances aussi, pour savoir si c'est compliqué de mettre en oeuvre une technologie, par exemple, ou de mettre en oeuvre une appréciation de cette technologie, prendre en considération la nature des données, la finalité des données. Est-ce qu'il y a un risque ou pas pour les données des Québécois et des Québécoises? Toutes ces questions-là, je pense qu'il faut se les poser,et je pense que c'est aussi bien que ce soit dans la loi, parce que, finalement, même si le juge a l'habitude de se poser ce genre de question, le régulateur sera peut-être plus mal à l'aise pour le faire. Et je pense que c'est un bon moyen d'introduire de la souplesse.

Donc, je pense qu'il faut vraiment plusieurs niveaux de lecture de la loi et une gradation en fonction des acteurs. Encore une fois, les GAFA, ce n'est pas la petite entreprise locale qui va gérer les données de ses salariés.

M. Lévesque (Chapleau) : O.K. Et, en petite sous-question, est-ce que cette logique-là et ce raisonnement-là, vous l'appliquez également en lien avec les pénalités lorsque vous faites une distinction, par exemple, aux grandes entreprises et petites, moyennes? Donc, vous créeriez une distinction puis une espèce de régime...

Mme Castets-Renard (Céline) : Ce n'est pas forcément nécessaire, là. Il me semble que les sanctions sont considérées comme des maximales. Bien sûr, on ne sera pas obligés d'aller jusqu'à ce maximum dans toute situation. Donc, voilà. Je voulais aussi dire qu'en droit américain on a l'habitude de considérer une sanction par données personnelles qui fait l'objet d'une violation. Donc, quand on a affaire à des petits fichiers avec peu de violations, bien, la sanction sera plus faible que si on a affaire à une violation massive avec énormément de données. C'est aussi une autre façon de raisonner pour avoir cette gradation.

M. Lévesque (Chapleau) : Parfait. Merci beaucoup. Je crois que le collègue de Saint-Jean a des questions, M. le Président.

Le Président (M. Bachand) : M. le député de Saint-Jean, trois minutes.

M. Lemieux : Merci beaucoup, M. le Président. Bonjour, Pre Castets-Renard. Je voudrais vous amener sur la question des renseignements dépersonnalisés et anonymisés, puisqu'au fur et à mesure des gens qu'on rencontre et qu'on écoute, on comprend qu'ils ne sont pas anonymes. Mais je comprends aussi que c'est parce qu'on regarde en avant un peu, on essaie de deviner l'avenir en se disant : C'est certain que l'intelligence artificielle va nous donner des moyens qu'on devine maintenant, mais qu'on ne contrôle pas. Et il est difficile de légiférer pour quelque chose qu'on ne connaît pas ou, en tout cas, qu'on n'est pas capable de mesurer. Mais effectivement, c'est une question qui revient dans à peu près toutes les présentations et, si ce n'est pas dans la présentation, c'est dans les questions parce qu'on est curieux.

Alors, j'aimerais que vous nous aidiez à comprendre où on s'en va avec des renseignements qui, oui, sont dépersonnalisés, mais ne le resteront peut-être pas. Et, s'ils ne sont pas anonymisés, alors ils sont quoi et on fait quoi avec?

Mme Castets-Renard (Céline) : Je pense, sur cette question-là, qu'il faut distinguer entre les données anonymisées et les données pseudonymisées. La pseudonymisation permet de mettre en place des moyens pour décorréler l'information personnelle de la donnée, mais avec toujours une possibilité de recorréler les deux. Simplement, on va utiliser des moyens techniques pour séparer et pour faire en sorte que l'information ne puisse pas être facilement accessible. Ça va être le cas, par exemple, de cryptage des données tout simplement.

Et pour vous dire, dans le Règlement général de protection des données, en fait, on met en avant la notion de pseudonymisation plutôt que d'anonymisation. L'anonymisation n'apparaît que dans les considérants du règlement et pas dans le règlement lui-même, parce que, justement, on a eu exactement les mêmes débats. Et, au départ, on voulait parler d'anonymisation pour dire que c'était l'objectif à atteindre, et, en fait, on s'est rendu compte qu'on n'est jamais sûr... bien, jamais, c'est peut-être un grand mot, mais, en tout cas, c'est très difficile de garantir qu'il n'y a pas de possibilité de réidentifier. Et donc on a pris, avec prudence, plutôt le concept de pseudonymisation qui est alors un moyen de protéger les données. C'est un moyen de sécurité et ça n'est pas un moyen d'éviter la réglementation, alors que, si la donnée est anonymisée, on peut sortir du champ d'application des renseignements personnels.

Là, on reste dans le champ d'application des renseignements, mais on applique une pseudonymisation qui garantit une certaine sécurité et qui va quand même donner un peu plus de pouvoir dans l'utilisation de la donnée. Donc, on a réglé le problème, finalement, en ne mettant pas l'accent sur cette donnée... sur cette notion d'anonymisation.

M. Lemieux : Oui. Je veux juste revenir... J'ai bien compris que, pour ce qui est du consentement, ce que moi, j'appelle essayer de protéger le citoyen contre lui-même, vous nous dites : Oui, il faut le protéger contre lui-même, mais il y a des limites aussi à, ce qu'on dirait en bon québécois, l'écoeurer avec ça aussi, là.

Mme Castets-Renard (Céline) : Oui, oui, parce que, souvent, les services numériques, par exemple, supposent de consentir à tout. Et, comme tous les utilisateurs de services numériques, moi la première, quand j'ai envie d'accéder à un service, j'ai envie d'accéder à un service, et je ne me demande pas si je vais lire les 30 pages avant d'accepter. Donc, voilà, je pense que c'est un exercice... lire toutes les pages, les conditions générales d'utilisation, je pense que c'est un exercice qu'on fait en faculté de droit peut-être, mais je ne suis pas sûre que le citoyen fasse cet exercice.

M. Lemieux : Merci beaucoup.

Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui. Merci beaucoup, M. le Président. Bien, merci beaucoup d'être avec nous. Très heureux de pouvoir discuter, Mme Castets-Renard, de votre expertise en la matière.

J'aimerais faire un peu de droit comparé, avec vous, en ce qui a trait à la définition de renseignement sensible que le projet de loi n° 64 introduit. Pour ce qui est du domaine public et privé, c'est un copier-coller aux articles 12 et 102. On peut lire : «Pour l'application de la présente loi, un renseignement personnel est sensible lorsque, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d'attente raisonnable en matière de vie privée.»

Est-ce que les acteurs publics et privés ont suffisamment d'indications dans cette définition-là pour se gouverner?

Mme Castets-Renard (Céline) : Moi, ça me paraît difficile de mettre en place... de mettre en oeuvre cette définition et surtout de la mettre en oeuvre avec certitude et d'avoir une interprétation unique et certaine. Je signale aussi que la notion d'attente raisonnable en matière de vie privée, là, ça renvoie aussi à l'article 8 de la Charte canadienne des droits et libertés et à la jurisprudence de la Cour suprême du Canada. Donc, je ne sais pas si c'était l'intention du législateur en évoquant ce concept. En tout cas, ça crée une interrogation, et je pense que ce sera difficile... c'est difficile de savoir à l'avance si on a affaire à une donnée sensible ou pas.

J'avoue que cette définition, au premier abord, m'avait beaucoup séduite parce que je trouvais intéressant de prendre en compte le contexte. Mais, dans un environnement technologique très évolutif et avec du croisement d'informations, avec du traitement massif des données, j'ai peur que ce soit trop flou, finalement.

• (16 h 50) •

M. Tanguay : Autre concept également que l'on retrouve dans le RGPD, lorsqu'il est question de données sensibles... Et j'aime beaucoup ce concept-là, on l'a dit, considérer une donnée et sa sensibilité du point de vue des libertés et des droits, donc d'une, ce que je déduis, mais corrigez-moi si j'ai tort, d'une certaine capacité, pour un utilisateur-possesseur mal intentionné, de, le cas échéant, discriminer, j'imagine.

Mme Castets-Renard (Céline): Alors, les données sensibles sont prévues à l'article 9 du RGPD. Et la grande différence avec le système qui est prévu avec la loi n° 64, c'est que les données sont énumérées. Donc, il y a une liste avec les données de santé, les données génétiques, les données de géolocalisation, les préférences sexuelles, etc., les orientations politiques, etc. Et donc, déjà, on a une classification qui est assez précise, et cette classification a été effectivement déterminée en fonction des risques pour les droits et libertés des individus et, en particulier, le risque de discrimination.

Donc, on voit aussi que c'est toute l'approche européenne qui est fondée sur la charte européenne des droits fondamentaux, la charte de l'Union européenne, avec l'article 7 qui protège la vie privée, mais aussi l'article 8 qui protège les données personnelles en tant que telles, parce que, justement, dans la conception européenne, on considère que les renseignements personnels ne sont pas simplement liés à la vie privée, mais à tous les droits fondamentaux et y compris le risque de discrimination. Donc, c'est toute cette philosophie, en fait, qui se traduit dans les données sensibles à l'article 9.

M. Tanguay : Est-ce que vous nous invitez, donc, comme législateurs québécois, à davantage étudier l'article 9 du règlement européen pour peut-être étayer, le cas échéant, ce qui est la première mouture du projet de loi n° 64?

Mme Castets-Renard (Céline) : Bien, je vous invite à clarifier, en tout cas, la définition a minima et peut-être à réfléchir à l'opportunité ou pas... ce n'est pas à moi d'en décider, mais, en tout cas, réfléchir peut-être à l'opportunité de lister, ce qui simplifierait les choses et ce qui clarifierait aussi pour les justiciables, et ça, c'est un aspect, et peut-être aussi de réfléchir à la façon de considérer les renseignements personnels par rapport aux droits fondamentaux et la charte québécoise des droits et libertés, de regarder si, finalement, la protection des renseignements personnels, ça ne va pas au-delà de cette idée de vie privée aussi.

Et, des questions de non-discrimination ou de risques de discrimination, on en parle beaucoup dans les systèmes d'intelligence artificielle, et ce serait aussi un moyen d'amener une interprétation, en ce sens, pour anticiper des évolutions technologiques et des risques sociaux par rapport aux systèmes d'IA.

M. Tanguay : Oui et... Non, je trouve ça excessivement... et c'est un chantier excessivement stimulant intellectuellement, mais on voit qu'on joue avec des notions qui auront des impacts que l'on veut tangibles pour certains, basés sur l'interprétation de tout un chacun, les impacts qui risquent d'être différents. Et on a entendu les gens, les femmes et les hommes d'affaires nous dire : Écoutez, nous, on veut de la prévisibilité, donnez-nous des guides. Évidemment, on s'est fait dire que ça allait coûter cher, et tout ça, puis c'est vrai que ça ne sera pas sans coût, mais, je veux dire, c'est de droit nouveau que ces définitions-là. Et c'est plus qu'hier, moins que demain, en tout cas, cet appel-là. Je trouve ça excessivement stimulant, intéressant, mais... Wow! Vous nous invitez, à l'article 9... Est-ce qu'il n'y a pas d'autres pays qui pourraient nous aider, d'autres exemples qui pourraient nous aider dans cette rédaction-là?

Mme Castets-Renard (Céline) : Sur les données sensibles en particulier non, mais je voudrais quand même aussi dire que la tendance générale dans le monde est de suivre le RGPD. Parce qu'en raison de la règle de la protection adéquate qui fait que tous les États qui veulent continuer à échanger des données avec l'Union européenne doivent avoir une législation en adéquation. Donc, c'est ce qui fait que le Japon a changé sa législation, en Asie, il en est question aussi à Singapour, en Malaisie, en Amérique du Sud, etc. Et donc ça va, de toute façon, entraîner un mouvement mondial. Donc, l'argument selon lequel ça va coûter cher et ça va constituer un problème pour les entreprises et une disparité de concurrence, je pense que cet argument lui vaudra peut-être un temps, mais pas à très long terme.

Et je pense aussi que c'est un argument économique que de pouvoir garantir une protection des renseignements personnels aux individus, mais aussi pouvoir développer une économie qui soit stable et qui soit fiable. Montréal est une place de l'intelligence artificielle, et je pense qu'il faut une législation protectrice des renseignements personnels qui soit moderne et qui aille avec ça. Je pense que c'est un argument aussi de compétitivité et je pense que, voilà, il faut aussi voir l'inverse et retourner l'argument finalement, à mon avis.

M. Tanguay : Oui, tout à fait, puis on pourrait même le voir sous le prisme du justiciable de la personne physique qui, elle, pourrait dire : Bien, tu sais, j'ai le goût de défendre mes droits, ce que je considère être mes droits, mais si ce n'est pas clair, il y a une non-prévisibilité aussi pour vous-mêmes. L'organisme pourrait vous renvoyer dans les roses et vous dire non. Alors là, c'est ce que l'on veut éviter.

Deux questions rapides, parce que j'aimerais laisser du temps à ma collègue de Notre-Dame-de-Grâce. Qu'en est-il maintenant de... Vous dites : On a un pied en Europe, un pied aux États-Unis. Qu'est-ce qui arrive aux États-Unis, là? Est-ce que... Pouvez-vous nous faire un petit état de développement récent en droit de renseignements personnels aux États-Unis? Qu'est-ce qui... What's cooking?

Mme Castets-Renard (Céline) : Alors, c'est un peu difficile de faire en un point, parce qu'il y a plus de 400 lois sur les renseignements personnels ou les données... les «personally identifiable information» comme disent les Américains. Donc, c'est un petit peu difficile de faire un état des lieux, mais ce que je peux dire, c'est que c'est aussi... ces législations se situent au niveau fédéral et au niveau étatique, mais c'est une approche très sectorielle, contrairement, donc, à ce qui se passe au Canada et en Europe. Donc, c'est la raison pour laquelle il y a énormément de lois. Mais la petite fracture, le petit changement qui a eu lieu, c'est avec la loi de Californie, dont tout le monde parle, en 2018, qui a prévu une législation et un champ d'application un peu plus large que d'habitude. Mais je voudrais quand même signaler que, souvent, on compare cette loi californienne avec le RGPD. Ça n'a pas grand-chose à voir ni dans les droits, ni dans les principes, ni dans les fondements, parce que cette loi californienne repose sur le droit de la consommation, c'est le Consumer... D'ailleurs, dans son titre, hein, il y a la notion de Consumer Privacy Act. Donc, ce n'est pas véritablement une législation uniquement sur les renseignements personnels. Ça, c'est une première différence.

Néanmoins, cette législation est plus large et plus protectrice que ce qui existait auparavant, et d'autres États ont suivi, l'État de New York, le Maine, le Vermont, par exemple. Et il y a un «California effect», donc aujourd'hui, par les États, en fait, il y a une espèce de renforcement de la protection. Et donc, quand on dit que Québec serait isolé, je ne crois pas. Je pense qu'il y a un mouvement de fond qui se met en place au niveau étatique. Au niveau fédéral, ce sera très certainement plus difficile, compte tenu des majorités en cours, sauf changement dans les prochaines semaines.

Mais voilà, il faut voir qu'au niveau des États ça bouge énormément. Il faut voir aussi que les entreprises américaines ont énormément l'habitude des politiques de confidentialité et de respecter un certain nombre de principes. Donc, ça fait partie de leur modèle d'affaires, et je ne crois pas qu'encore une fois le Québec serait seul, et je pense qu'il y a aussi des choses intéressantes à prendre du côté américain.

Le Président (M. Bachand) : Merci beaucoup. Mme la députée de Notre-Dame-de-Grâce, trois minutes.

Mme Weil : Trois minutes. Merci beaucoup pour votre présence et votre mémoire fascinant. Vraiment, là, très intéressant, ce dernier débat. En parlant de protection des enfants, justement, parce que vous avez parlé de peines très sévères, donc les peines sévères, on peut le comprendre avec l'objectif de protéger les enfants. Et, aux États-Unis, ils ont beaucoup de lois qui vont dans ce genre, pour protéger des enfants, les mineurs, d'exploitation de toute sorte. Est-ce qu'il y a une tendance en Amérique du Nord, au Canada de penser à ça, justement, dans nos lois pour protéger les renseignements personnels?

Et on entend... C'est la première fois qu'on entend même parler d'enfants qui sont... Je sais que la protection du consommateur, l'office, a des stratégies pour protéger les enfants, justement, mais on n'est jamais allés aussi loin. Est-ce que ce serait une occasion d'intégrer, justement, un des critères? Parce que la loi est ouverte, et on n'a pas ciblé les enfants qui sont les victimes, à quelque part, hein, de ces entités.

Mme Castets-Renard (Céline) : Il me semble que, dans le projet de loi n° 64, on prévoit le consentement pour les mineurs de 14 ans. C'est ça. Il me semble bien l'avoir vu, donc il y a une disposition en ce sens. Je pense que c'est important...

Mme Weil : La loi, mais...

• (17 heures) •

Mme Castets-Renard (Céline) : ...de cibler effectivement les mineurs et je pense que cette disposition va dans le bon sens. Le RGPD le prévoit aussi. La loi américaine, comme je l'ai dit, le prévoit, alors uniquement pour l'utilisation des données en ligne dans un contexte particulier, dans la loi COPPA, mais ça fait longtemps que cette loi existe. Et c'est d'ailleurs ce qui a influencé le législateur européen, comme quoi les influences sont quand même multiples.

Et donc, oui, je pense que c'est important de sensibiliser les enfants et de contribuer aussi à leur éducation. Ça, c'est l'enseignante qui parle. Je pense que, oui, ça serait aussi intéressant et important de parler des risques de la vie numérique en particulier aux enfants dès le plus jeune âge. Moi, je les vois à l'université. Ils sont déjà très au courant, et il n'y a pas de difficulté, mais je pense qu'il faudrait parler aux plus jeunes.

Mme Weil : Ah! il reste encore un peu de temps?

Le Président (M. Bachand) : Il vous reste du temps, oui, allez-y.

Mme Weil : Oui. Alors donc, c'est à la page 5, en parlant de «soft law» comme on appelle. Donc, il y a plusieurs groupes, surtout des représentants des entreprises, les petites entreprises, qui demandent justement... bon, qui se plaignent que les mesures, les peines sont beaucoup trop sévères, etc. Et d'autres sont venus, quand on leur a posé la question, ont dit : Il faudrait de l'accompagnement. Si on veut que tout le monde réussisse, on veut l'adhésion. La meilleure façon, c'est de les accompagner, et c'est exactement ce que vous dites.

Donc, vous dites : Oui, on peut s'inspirer de la loi européenne, mais, en même temps, la loi européenne a des mesures d'accompagnement. Est-ce qu'on pourrait vous entendre encore là-dessus? Moi, je pense que c'est un point très important. Sinon, il y aura beaucoup d'échecs. Et vous recommandez la CAI comme l'organisme qui pourrait fournir l'accompagnement.

Mme Castets-Renard (Céline) : Oui, ça me semble important. Effectivement, on voit beaucoup le RGPD, parce qu'il y a énormément de dispositions, il y a 99 articles. C'est un texte extrêmement complexe, et évidemment, quand le texte est tombé, pour les petites entreprises, évidemment, il y a eu beaucoup de débats et beaucoup, bien, de plaintes par rapport à ce texte.

Et donc ce gros texte lourd et complexe, c'est accompagné de ces mesures d'explication, finalement. En fait, les concepts clés ont été décortiqués à la fois avec des exemples, à la fois avec des outils de mise en oeuvre pour aider les entreprises à se poser les bonnes questions, pour faire le registre des traitements, par exemple, pour faire une étude d'impact. Et donc tous ces outils clés... On n'a pas du tout parlé des outils, mais il faut voir aussi qu'il faut accompagner par des outils clairs.

Dans le projet de loi n° 64, on parle d'étude des facteurs de vie privée. Il faut expliquer ce que c'est et ce qu'on attend dans une étude d'impact. Ça se développe... Les études d'impact se développent un petit peu partout. On parle de Privacy Impact Assessments, ou d'étude d'impact de vie privée, ou de renseignements personnels. Et donc, bien, typiquement, il faut un outil pour ça. Il faut expliquer ce qu'on attend, quelles mesures prendre, comment l'entreprise doit collecter ces données, savoir quels traitements sont réalisés, à quoi les données sont... bien, pourquoi les données sont collectées, à quoi elles servent, d'où viennent ces données, est-ce qu'elles circulent, tout ça. Il faut réussir à faire le point, si on veut donner du sens à la protection, mais, pour ça, il faut tout simplement, effectivement, des tableaux, des questionnaires, des règles très simples pour les aider à le faire.

Et donc, en Europe, ce sont les autorités nationales de protection des données qui ont fourni ces outils, chacune pour son État membre, mais aussi collectivement, au sein du comité de protection des données européen, avec des lignes directrices pour décrypter, pour expliquer le texte, pour expliquer le RGPD. Donc, on a vraiment deux niveaux. On a un niveau normatif, explicatif et un niveau, vraiment, d'outils pour mettre en oeuvre la règle et dire ce qu'on attend, en fait.

Le Président (M. Bachand) : Merci beaucoup, professeure. M. le député de LaFontaine, une minute.

M. Tanguay : J'ai une dernière question qui m'a été inspirée par votre échange avec le collègue. Par rapport au concept de, bon, dépersonnaliser le projet de loi n° 64, anonymiser... je crois que vous avez utilisé le terme «pseudomiser», «pseudonomiser». Comment vous aviez dit ça?

Des voix : Ha, ha, ha!

Mme Castets-Renard (Céline) : C'est la pseudonymisation, voilà.

M. Tanguay : Oui. Ma question, je vais y aller très court. Là, ça rit autour, focussez. Alors, ma question... En matière de droits et libertés, ne pas offrir... pour une compagnie d'assurance ou une compagnie pharmaceutique, décider de ne pas offrir tel produit d'assurance ou tel médicament, parce que mes études de marché me disent que, coût-bénéfice, ça ne vaut pas la chandelle pour moi, comment pouvons-nous nous prémunir contre ça? Donc, il y a un aspect de droits et libertés et non-discrimination, mais c'est surtout sur un aspect plus collectif de la chose. Je ne sais pas si vous voyez mon enjeu.

Le Président (M. Bachand) : Mme la professeure, s'il vous plaît, très rapidement.

Mme Castets-Renard (Céline) : Je pense que ce n'est pas une réglementation sur les données personnelles qui permet de répondre à cet enjeu. La donnée... Le renseignement personnel, c'est lié à des personnes, à des individus. Ce n'est pas des choix collectifs.

Et ça tombe bien que vous posiez cette question, parce que je pense que, par rapport aux évolutions technologiques et, en particulier, aux systèmes d'intelligence artificielle, il y a un certain nombre de risques de discrimination et de risques sociaux que n'adresse pas le projet de loi n° 64, mais qu'il ne peut pas adresser, parce que ce n'est pas dans le champ des règlements... des renseignements personnels. Il y a aussi des choses qui ont été laissées de côté dans le RGPD et, pour ces enjeux sociétaux là, eh bien, il faudrait une autre législation ou, en tout cas, au moins une autre réflexion.

Le Président (M. Bachand) : Merci beaucoup de votre participation aux travaux de la commission. C'était un grand plaisir.

Et, sur ce, on suspend les travaux quelques instants. Merci et à bientôt.

(Suspension de la séance à 17 h 06)

(Reprise à 17 h 10)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Il me fait plaisir d'accueillir les représentants d'Option Consommateurs. Alors, bienvenue, M. Plourde, M. Corbeil. Alors, je vous invite à débuter votre présentation de 10 minutes, et après on aura un échange avec les membres de la commission. Donc, la parole est à vous. Merci.

Option Consommateurs

M. Corbeil (Christian) : M. le Président, M. le ministre, Mmes et MM. les députés, je vous remercie de nous donner l'occasion de vous présenter nos observations aujourd'hui. Je m'appelle Christian Corbeil, directeur général d'Option Consommateurs. Je suis accompagné d'Alexandre Plourde, avocat et analyste chez Option Consommateurs.

Créée en 1983, Option Consommateurs est une association à but non lucratif qui a pour mission d'aider les consommateurs et de défendre leurs droits. La protection des renseignements personnels intéresse Option Consommateurs depuis longtemps. Au cours des dernières années, nous avons produit de nombreux rapports de recherche qui documentent diverses questions relatives à la protection des consommateurs dans le cadre des nouveaux modèles d'affaires rendus possibles par le numérique. Nous sommes donc bien positionnés pour commenter le projet de loi n° 64. C'est sur la base de l'expertise acquise sur le terrain et dans nos recherches que nous vous présentons nos commentaires devant cette commission.

D'emblée, nous appuyons fortement le projet de loi n° 64, qui permettra, selon nous, de rehausser considérablement la protection des consommateurs. Toutefois, nous croyons qu'un financement adéquat de la Commission d'accès à l'information sera indispensable pour qu'il atteigne véritablement ses objectifs. Mon collègue Me Alexandre Plourde vous exposera ici les grandes lignes de nos observations. Merci.

Le Président (M. Bachand) : M. Plourde.

M. Plourde (Alexandre) : Alors, comme l'a mentionné mon collègue Christian, nous accueillons favorablement le projet de loi n° 64. Selon nous, ce projet de loi innovateur permettra d'améliorer la protection de la vie privée des consommateurs et d'assurer une meilleure sécurité de leurs données.

Cependant, bien que nous supportions largement son adoption, il soulève quelques préoccupations. Je vais brièvement résumer certaines de nos préoccupations en trois points, soit la protection des consommateurs face aux modèles d'affaires numériques, l'importance d'incorporer des sanctions dissuasives dans la loi, et finalement l'importance d'accompagner le projet de loi d'un financement accru de la Commission d'accès à l'information. Je vous rappelle aussi que nous avons produit un mémoire écrit qui détaille davantage nos positions sur le projet de loi.

Donc, premier point, la protection des consommateurs face aux modèles d'affaires numériques. Pour bénéficier des services des grandes entreprises technologiques telles que Google et Facebook, les consommateurs doivent accepter d'être pistés et profilés à des fins commerciales. La collecte massive de données sur les consommateurs n'a pas seulement lieu lorsqu'ils utilisent les plateformes de ces entreprises. Grâce à diverses technologies de pistage, une myriade d'entreprises sont également en mesure d'enregistrer les activités des internautes presque partout où ils vont sur Internet, le plus souvent à leur insu.

En outre, la collecte de données sur les consommateurs n'est désormais plus confinée qu'à l'ordinateur ou au téléphone mobile. De plus en plus, des biens courants achetés par les consommateurs sont des appareils connectés à Internet, qui ont eux aussi une large capacité de collecte de données. Des appareils domestiques, des automobiles, des assistants vocaux, des caméras, des électroménagers, des technologies prêtes-à-porter, des jouets, tous ces appareils peuvent maintenant comporter des capteurs qui recueillent des données qui pourront être utilisées à des fins commerciales. Cet environnement, qu'on appelle Internet des objets, est en voie de devenir omniprésent.

Devant toutes ces technologies, fournir aux consommateurs l'information claire et adéquate sur ce qu'il advient de leurs données est la moindre des choses. Nous accueillons donc favorablement le renforcement des obligations d'information prévu au projet de loi n° 64, qui laisse présager une plus grande transparence des entreprises. Cependant, nous croyons que ces obligations d'information pourraient être améliorées.

D'abord, nous estimons que le champ des informations à divulguer est trop étroit. Nombreux sont les consommateurs qui ignorent la portée de la collecte de données dont ils font l'objet dans l'environnement numérique. Nous estimons donc que les nouveaux articles 8 et 8.1 de la loi sur le secteur privé devraient être modifiés pour que la personne soit également informée des types de renseignements personnels qui seront recueillis sur elle sans qu'elle n'ait à en faire la demande.

Ensuite, nous observons que les consommateurs ne sont pas informés en temps opportun que de simples appareils domestiques qu'ils achètent peuvent... de larges pans de leur vie privée. On ne trouve généralement aucune information relative à la protection de la vie privée sur l'emballage de ces biens ou dans leur boîte. Les fabricants de ces objets optent généralement pour en vanter les avantages, tels que leur caractère intelligent, sans évoquer la large collecte de données qu'ils effectuent.

Selon nous, ce manque d'information préalable empêche les consommateurs qui se préoccupent de leur vie privée de faire un choix d'achat éclairé. Nous suggérons donc que la divulgation de l'information soit faite avant que le consommateur ait conclu une transaction commerciale, par exemple sous une forme uniformisée, affichée sur l'emballage de l'appareil. Une telle approche pourrait un tant soit peu contribuer à faire de la vie privée un véritable argument d'achat.

Cela dit, même si on informe mieux les consommateurs, l'approche basée sur le consentement de la personne reste, selon nous, insuffisante pour les protéger. D'un point de vue de protection du public, la critique principale qu'on peut formuler quant au projet de loi n° 64 est qu'il ne remet pas véritablement en question les modèles d'affaires reposant sur le pistage et la collecte massive des données des citoyens à des fins commerciales. Un consommateur qui utilise les services de Facebook ou de Google devra continuer d'accepter de fournir ses données à ces entreprises. Sa seule véritable possibilité de refus consistera à ne pas utiliser leurs services. Alors que bien des gens dépendent aujourd'hui de ces plateformes omniprésentes, ce choix reste bien sûr illusoire.

De même, le projet de loi n° 64 ne confère pas explicitement aux consommateurs le droit de refuser d'être pistés en ligne sur l'ensemble des sites qu'ils visitent, par exemple en contraignant les entreprises à respecter un signal «do not track» intégré à leur fureteur. En somme, bien qu'on informe davantage le consommateur, le choix que permet le projet de loi reste limité.

Pour aller plus loin dans la protection du public, nous estimons que le projet de loi n° 64 devrait également encadrer spécifiquement les utilisations que peuvent faire les entreprises des données qu'elles recueillent. À cet égard, nous estimons que la loi devrait interdire explicitement toute utilisation de données ayant des effets discriminatoires illicites ayant pour effet d'exploiter économiquement le consommateur ainsi que toute utilisation commerciale des données des enfants.

Manifestement, en l'absence de telles balises, le projet de loi n° 64 reste une oeuvre inachevée, ce qui m'amène au deuxième point, soit l'importance d'incorporer des sanctions dissuasives dans la loi. Donc, nous accueillons favorablement l'incorporation dans la loi québécoise d'obligations de responsabilisation des entreprises. Selon nous, ces dispositions contribueront au développement d'une approche préventive en matière de sécurité informationnelle et inciteront les entreprises à investir davantage en cybersécurité.

Bien entendu, ce nouveau régime ne sera pas complet si les entreprises qui y contreviennent ne s'exposent qu'à des sanctions dérisoires. Option Consommateurs appuie donc sans réserve l'instauration dans la loi de sanctions significativement plus élevées aux entreprises contrevenantes. Selon nous, il est particulièrement important que la loi comporte une peine maximale, sous forme de pourcentage du chiffre d'affaires mondial de l'entreprise, afin qu'elle ait également un effet dissuasif sur les grandes multinationales du numérique, qui pourraient autrement estimer qu'une contravention à la loi québécoise n'est qu'un risque gérable.

Les craintes de l'industrie quant à l'entrave que de telles sanctions pourraient apporter à l'innovation, ou à la rentabilité, ou à l'investissement ne résistent pas à une lecture attentive du projet de loi. Rappelons que la loi prévoit que des critères précis de détermination de la peine devront être considérés avant d'imposer une sanction pécuniaire à une entreprise pour tenir compte de chaque cas particulier. La loi donnera même la possibilité aux entreprises de remédier à un défaut leur étant reproché. Malgré les sanctions importantes qu'il comporte, le projet de loi n° 64 ne menace donc pas la viabilité économique des entreprises au Québec. Il offre plutôt un régime de sanctions pouvant s'adapter au contexte et permettant de véritablement dissuader les entreprises faisant preuve de négligence ou d'insouciance quant aux renseignements personnels des consommateurs.

Et je termine avec le troisième point, soit le financement de la Commission d'accès à l'information. Donc, pour que le projet de loi n° 64 parvienne à remplir ses objectifs, encore faut-il accorder les ressources requises pour le mettre en oeuvre. Malheureusement, la Commission d'accès à l'information, l'organisme public chargé de veiller à la protection de la vie privée des Québécois, reste largement sous-financée.

En raison du sous-financement de cet organisme, les consommateurs ont déjà fait face à des délais inouïs avant d'obtenir une décision de ce tribunal administratif. Or, le projet de loi n° 64 ajoutera une pression considérable sur la CAI, qui se trouvera chargée notamment de recevoir les avis de bris de sécurité, de surveiller l'application de nouvelles normes dans le contexte numérique et d'imposer des sanctions aux entreprises contrevenantes.

En conclusion, pour que la CAI puisse véritablement jouer son rôle, nous estimons qu'elle n'a pas seulement besoin de lois plus modernes, elle doit aussi bénéficier de ressources suffisantes. Au regard du financement d'autres organismes provinciaux ayant la même mission et des responsabilités accrues confiées à la CAI, il nous semble tout à fait raisonnable que le budget annuel de cet organisme soit multiplié par deux.

Donc, merci. Il nous fera plaisir de répondre à vos questions.

Le Président (M. Bachand) : M. Corbeil, Me Plourde, merci infiniment. M. le ministre, s'il vous plaît.

• (17 h 20) •

M. Jolin-Barrette : Oui. Bonjour, M. Corbeil, Me Plourde. Merci à Option Consommateurs de participer aux consultations sur le projet de loi n° 64.

Vous avez attiré mon attention sur l'élément... Vous dites : Bon, il faut éviter que les entreprises exploitent le consommateur par l'obtention de ces données. Ce que vous dites, dans le fond, c'est que le fait que le consommateur partage ses données avec ou sans consentement, bien souvent sans consentement ou sans véritable consentement, ça fait en sorte que ça devient un outil commercial important, là, pour les entreprises.

M. Plourde (Alexandre) : Oui, bien, en fait, cette portion-là de notre mémoire, ça réfère, en fait, à aller plus loin que le consentement. Donc, nous, ce qu'on dit, chez Option Consommateurs : Oui, c'est important, le consentement, que les consommateurs soient informés des pratiques des entreprises, aient une information complète, mais ça ne suffit pas à les protéger. Il faut aussi s'attaquer à ce que les entreprises font ou pourraient faire avec nos données.

Puis les craintes qu'on a par rapport à ça... Une des craintes qu'on a par rapport à ça, ça serait l'utilisation, par des grandes entreprises technologiques, des données des consommateurs pour, bon, les exploiter économiquement. Par exemple, ça pourrait être une situation où un géant technologique, un commerçant en ligne qui piste un internaute un peu partout sur Internet réalise : Ah! cet internaute-là recherche un bien précis, là, ou un médicament précis, par exemple, donc ce que je vais faire, c'est que les prix que je vais afficher à cette personne-là, bien, je vais les monter, je vais les doubler, je vais les tripler pour profiter de sa situation de vulnérabilité. C'est des craintes qu'on a par rapport à ça. Nous, on pense qu'il devrait y avoir des balises dans la loi à cet égard-là.

Il y a aussi tout l'enjeu que les entreprises technologiques connaissent de larges pans de notre vie, quelles sont nos préférences, quels sont nos comportements, savent qu'est-ce qu'on fait, où est-ce qu'on se situe, connaissent notre historique de recherche. Bon, ils savent à peu près tout sur nous. Donc, ces données-là, une fois qu'on les analyse, bien, on pourrait les utiliser à des fins de... pour développer des techniques de persuasion qui pourraient être très subtiles, très efficaces.

Donc, c'est le genre de crainte qu'on a par rapport à l'utilisation des données qui... À notre sens, ça ne serait pas compliqué, ça serait d'inscrire ça dans la loi, de dire : Bien, une utilisation qui exploite les consommateurs devrait être interdite. Remarquez qu'il y a peut-être des choses qui existent déjà dans la loi, qui pourraient être invoquées. Le contrat que j'ai avec Facebook, que j'ai avec Google, c'est un contrat de consommation. La Loi sur la protection du consommateur, elle prévoit, par exemple, des choses comme la lésion aux articles 8 et 9. Donc, c'est le genre de chose qui pourrait peut-être être invoquée, mais nous, on pense que c'est le genre de chose qui... même si ça reste un peu spéculatif, ce n'est peut-être pas nécessairement avéré par la recherche. Ça devrait être inclus dans la loi, à mon sens.

M. Jolin-Barrette : O.K. Donc, juste pour illustrer votre propos, là, c'est l'exemple, là... Moi, supposons que les frontières étaient ouvertes, je veux un billet d'avion, mais je ne connais pas encore mes dates, donc je vais plusieurs fois sur le site aérien... sur le site d'un transporteur aérien ou sur un site Internet qui est un agent de voyage et qui prévoit la vente de vols ou d'hébergement, et là je fais ma recherche ce soir, puis là j'en parle avec ma conjointe, je dis : As-tu envie d'aller à tel endroit? Et là je retourne une autre fois le soir, puis je retourne le lendemain matin, et là le prix monte, monte, monte graduellement, parce que mon intérêt à aller en voyage augmente dans la... suite à mes discussions.

Alors, est-ce que c'est un peu ça que vous illustrez? Dans le fond, à cause de ma recherche, à cause de mon intérêt que je manifeste sur le site de l'entreprise commerciale, on utilise un peu cet historique-là pour dire : Bien, ah, on a un poisson qui s'en va en voyage, et donc je vais monter le prix. C'est un peu ça que... pour bien l'illustrer, là.

M. Plourde (Alexandre) : Oui, c'est ça que j'illustre, mais il faut faire attention, par exemple, parce que, si je prends le cas des billets d'avion, il y a deux choses qu'il faut distinguer.

Il y a la tarification dynamique. Donc, la tarification dynamique, c'est : J'augmente les prix en fonction du moment de la journée ou le temps qu'il reste avant que le vol parte, et tout ça. Ça, ce n'est pas lié aux informations qui me sont personnelles, à moi. Et là la recherche est assez balbutiante. Actuellement, il y a certaines recherches américaines ou à l'étranger qui ont été faites, qui indiquent que certaines entreprises auraient pour pratique de personnaliser les prix en ligne. Ça, personnaliser les prix, ce n'est pas en fonction du moment de la journée ou, bon, de l'offre et de la demande, c'est vraiment en fonction de mes caractéristiques propres comme consommateur.

Donc, il y a une personne qui est dans telle localisation géographique, je vais lui charger plus cher, ou une personne qui a tel historique de recherche, je pourrais lui charger plus cher. C'est ce genre de pratique là qui nous inquiète particulièrement chez Option Consommateurs. Il y a des indications qui montrent que ça existe peut-être sur Internet. La recherche reste encore à se développer à cet égard-là, mais oui, ça serait ce genre de situation là, qu'on utiliserait les données personnelles de quelqu'un, notre connaissance très intime de ses besoins, de ses désirs, pour essayer de profiter au maximum de sa situation.

M. Jolin-Barrette : O.K. Ça signifie... Supposons que je fais une recherche avec le cellulaire du député de LaFontaine, le prix sorti serait plus élevé que si je le fais avec mon propre cellulaire. C'est un peu ça que je comprends. Donc, l'effet... Quand vous dites : des effets discriminatoires illicites, c'est à ça que vous faites référence, de dire : On va venir discriminer le consommateur en fonction de son profil.

M. Plourde (Alexandre) : Oui, bien, en fait, je fais référence... Quand je parle de discrimination illicite, là, je fais évidemment référence à la charte québécoise. Il y a des études qui montrent, par exemple, aux États-Unis, que des gens, dans certains quartiers, se voyaient afficher des prix plus élevés pour certains biens ou certains services en ligne, et ce qu'on découvrait, c'est que les gens qui habitaient dans ces quartiers-là, bien, ils appartenaient majoritairement à une ethnie spécifique.

Donc, ça avait pour effet, la personnalisation des prix de l'entreprise, de faire une espèce de forme de discrimination indirecte. C'est des pratiques... Encore là, comme je vous dis, c'est peu documenté, c'est peu connu. On sait que... On a des indices comme de quoi ça existe, mais ce genre de pratique là, à notre sens, devrait être interdite. Puis, comme je le dis, il peut y avoir des choses dans la loi qui pourraient être utilisées actuellement. Bon, je parlais de la charte. Le Code civil parle... Bon, l'emploi des renseignements personnels doit être fait à des fins légitimes. Il y a peu de jurisprudence là-dessus.

Donc, les tribunaux, avec l'évolution technologique, on ne sait pas qu'est-ce qui va survenir dans les prochaines années. Il va peut-être y avoir de l'information qui va filtrer là-dessus. Bon, les tribunaux vont peut-être parvenir à déterminer qu'est-ce qui est permis, qu'est-ce qui est interdit, vont se prononcer sur ces questions-là, mais moi, je ne pense pas qu'on devrait attendre nécessairement que les tribunaux se prononcent là-dessus. On devrait, d'emblée, dire : Écoutez, utiliser les données personnelles des consommateurs pour les discriminer, pour les exploiter, bien, ça devrait être tout simplement interdit. C'est une fin qui illégitime, là. Je ne pense pas qu'on a besoin d'attendre que les tribunaux se prononcent là-dessus, là.

M. Jolin-Barrette : O.K. Ce qu'on a sur le déréférencement dans le projet de loi n° 64, est-ce que ça satisfait votre organisation?

M. Plourde (Alexandre) : Oui. On considère que c'est un bon équilibre. C'est un peu plus étroit que ce qu'on retrouve en Europe. La loi québécoise, elle parle d'un préjudice grave. Donc, en partant avec l'idée d'un préjudice grave, bon, là, je ne suis pas juge, je ne donne pas d'avis juridique, là, mais ça a de bonnes chances de passer le test des chartes, là, la question de liberté d'expression, et tout ça.

Nous, chez Option Consommateurs, cette question-là du déréférencement, du droit à l'oubli, ça... Il y a généralement deux situations qui ont été portées à notre connaissance. Ça peut arriver occasionnellement qu'il y a des gens qui vont nous contacter, qui nous disent : Écoutez, je voudrais disparaître de YouTube, de Google parce que j'ai commis un crime qui est peu grave il y a quelques années. Et, bon, il y a des crimes mineurs, et ces gens-là ne seront pas capables de disparaître. Il y a aussi tout le phénomène du partage par les parents de renseignements personnels sur leurs enfants qui peut créer des préjudices aussi.

Donc, oui, on trouve que c'est un équilibre qui est judicieux, ce qui est apporté, puis ça apporte une solution pour des gens qui vivent vraiment des préjudices.

M. Jolin-Barrette : Je vous remercie.

Le Président (M. Bachand) : Merci beaucoup, Me Plourde. M. le député de Vachon, s'il vous plaît.

M. Lafrenière : Oui, merci beaucoup. Merci, M. Corbeil, Me Plourde. Merci pour cette présentation.

Je vais continuer sur ce que le ministre a apporté comme faits, là. Quand on parle de déréférencement, désindexation, vous avez parlé de deux situations que vous voyez chez vous, donc les gens qui ont commis un crime mineur ou les gens qui...

Bon, on parle de la surmédiatisation de la part des parents, mais moi, j'ai un troisième volet que je voudrais vous apporter, puis on l'a vu, nous, dans la Commission spéciale sur l'exploitation sexuelle des mineurs, c'est les victimes quand on parle de sextorsion, quand des gens peuvent utiliser ces vidéos-là, les laisser sur YouTube, entre autres. C'est pour ça, tantôt, quand vous avez parlé de Facebook et les médias sociaux, ça m'a interpelé, parce que, justement, on a déjà une victime qu'on a rencontrée, nous, et qui voulait se sortir de là, donc faire en sorte que cette vidéo disparaisse. Donc, le droit à l'oubli, dans leurs cas, c'étaient des victimes, et je voulais voir si c'était un des aspects que vous avez regardés chez Option Consommateurs. Vous avez parlé de deux autres volets que je comprends bien, mais le volet victime, est-ce que vous l'avez regardé aussi?

• (17 h 30) •

M. Plourde (Alexandre) : Ce n'est pas un volet que moi, j'ai exploré. Cependant, je ne vois pas en quoi les victimes ne pourraient pas se prévaloir de ce droit-là. Donc, je ne vois pas en quoi ça ne pourrait pas être utilisé par elles.

Ce que je soulignerais aussi, c'est que j'ai entendu un certain nombre d'intervenants, au cours des dernières années, dire que, bon, le droit à l'oubli, tel qu'il est proposé, là, soit en Europe puis dans la loi sur le privé, actuellement, il va faire en sorte que les entreprises vont être des juges et parties, et tout ça. Je ne crois pas que ça soit vraiment ça qui va se passer.

En fait, je crois que, si une entreprise se trouve surchargée par des requêtes, elle ne va pas devenir un grand censeur et supprimer toutes les demandes qui lui seront faites. Je crois que ce qui va se passer, c'est un peu comme ça se passe actuellement, c'est qu'une entreprise qui ne veut pas gérer ça va juste ne pas répondre à ces requêtes-là, sauf que là, dans ce cas-ci, cet article-là va donner la possibilité que la personne puisse se retourner vers la CAI, de se retourner vers les tribunaux, d'obtenir une ordonnance judiciaire dans des circonstances qu'elle n'aurait peut-être pas pu obtenir par le passé, puis, après ça, retourner voir l'entreprise.

Donc, je pense que ça peut effectivement régler certains problèmes ou certains préjudices qui, actuellement, il n'y a pas de solution à ça dans le droit. Donc, c'est un peu plate de dire aux gens, actuellement : Bien, votre réputation est compromise sur Google, sur Internet, puis malheureusement vous n'avez pas tellement de droits. Donc, ça apporte une solution à certains préjudices, puis je pense que l'équilibre qui est proposé est assez bon.

M. Lafrenière : Je suis entièrement d'accord avec vous que la solution n'est pas parfaite, mais c'est beaucoup mieux que ce qu'on a présentement, parce que je lance le défi aux gens qui nous écoutent aujourd'hui d'écrire à YouTube pour retirer une vidéo, je leur souhaite bonne chance et beaucoup de patience. C'est long et pénible. Alors, merci beaucoup, merci pour votre contribution bien appréciée.

Le Président (M. Bachand) : M. le député de Saint-Jean, s'il vous plaît, pour cinq minutes.

M. Lemieux : Merci beaucoup, M. le Président. MM. Corbeil, Plourde, bien le bonjour. Fidèles à ce que vous êtes, Option Consommateurs, vous faites référence beaucoup aux enfants, et je serais curieux de voir comment vous associez la responsabilité parentale pour protéger leur enfant quand... et c'est ma marotte, là, excusez, ce n'est pas... Je n'essaie pas de me répéter d'une fois à l'autre, mais il faut bien qu'on se rappelle qu'on est en train de protéger le citoyen un peu contre lui-même en voulant protéger ses droits, mais, en même temps, en ayant besoin, entre autres, d'être capable de lui faire donner son consentement, même s'il n'est pas toujours intéressé à le donner, même au bout de quelques lignes, imaginez quelques pages. Donc, expliquez-moi comment vous intégrez le droit parental sur l'enfant et la défense de l'enfant dans tout ça, en particulier dans le consentement.

M. Plourde (Alexandre) : Bon, bien, écoutez, là, le projet de loi n° 64, là, règle un certain problème, là. Il y avait un certain flottement dans la loi, là, c'est-à-dire que c'est le parent qui consent au partage des renseignements sur l'enfant. Donc, jusqu'à l'âge... je pense que c'est 14 ans, là, qui est écrit dans le projet de loi, c'est le parent qui doit consentir. C'est ça que prévoit le projet de loi, puis, bon, ça formalise ce qui existe déjà.

Nous, ce qui nous préoccupe, puis on a fait une recherche là-dessus, il y a un an ou deux, c'est que, parfois, le fait que le parent consent au nom de l'enfant, bien, ça peut permettre, malheureusement, certains abus, c'est-à-dire que le parent peut surpartager toutes sortes de photos, de publications, des vidéos concernant son enfant sur les réseaux sociaux, puis ce genre de partage là peut porter préjudice à l'enfant. Donc, il y a un enjeu pareil, c'est le parent qui doit protéger l'enfant puis qui a le pouvoir de consentir, mais, dans certains cas, il y a un surpartage.

Donc, pour protéger l'enfant, dans ces circonstances-là, le projet de loi prévoit quelque chose d'intéressant, c'est un droit à l'oubli. Donc, les mineurs pourraient revenir par la suite, s'ils subissent un préjudice de ce que leur parent a consenti à publier à leur sujet par le passé. Ils pourraient revenir puis demander, s'il y a un préjudice grave, la suppression de ce renseignement-là. Donc, il y aurait une certaine protection.

Nous, on allait plus loin que ça aussi, on demandait que l'utilisation à des fins commerciales des enfants soit proscrite aussi, tout simplement. Le projet de loi intègre la notion de renseignement personnel sensible, donc on peut penser que des renseignements personnels sur des enfants vont être considérés comme des renseignements personnels sensibles, donc ils vont... peut-être une meilleure protection par rapport à ça, mais nous, on voudrait tout simplement proscrire toute utilisation commerciale aussi. Donc, il y a une certaine protection qui... tout ce qu'on demandait, par contre.

M. Lemieux : Parlez-moi du concept et de ce que vous pensez de la mort numérique. On en a entendu parler plus en Europe, mais, dans le contexte du p.l. n° 64, vous voudriez voir quoi?

M. Plourde (Alexandre) : Bon, quand on parle de mort numérique, il faut considérer, là, que c'est le... c'est qu'est-ce qu'il advient de toutes les photos, de toutes les publications qu'on a faites sur les réseaux sociaux ou sur Google, tout ce qu'on a mis dans le «cloud» pendant toute notre vie. Il y a des incertitudes, dans le moment, dans le droit, sur qu'est-ce qui arrive de toutes ces données-là quand on décède, parce qu'évidemment toutes ces données-là pourraient être considérées comme des renseignements personnels au sens de la loi sur le privé. Et ce que la loi sur le privé, elle dit actuellement, c'est que la confidentialité des renseignements personnels, elle est préservée au-delà du décès d'une personne. Donc, ça veut dire que toutes mes photos, après ma mort, tous les souvenirs de famille qui autrefois étaient sous format papier mais qui maintenant sont numérisés, ils sont dans le «cloud», ils sont dans les nuages. Bien, mes proches pourraient avoir toutes les difficultés du monde à y accéder parce qu'ils n'ont pas un droit d'accès à ce genre de données là.

Bon coup du projet de loi, c'est d'élargir l'accès aux héritiers puis aux proches d'une personne décédée pour accéder aux renseignements personnels à des fins de processus de deuil. Donc, on peut penser que, dans une situation où une entreprise technologique refuserait de donner accès à ces renseignements-là, bien, il y aurait peut-être une prise, là, pour le consommateur.

Nous, ce qu'on demandait aussi chez Option Consommateurs, par contre, c'est la possibilité pour une personne, de son vivant, d'émettre des directives sur qu'est-ce que je veux qu'il advienne de mon compte Facebook, qu'est-ce que je veux qu'il advienne de tous mes comptes en ligne, je veux que ça soit supprimé et que ça soit transféré à telle personne. Ça reste en ligne indéfiniment, bon, selon ce qui est offert par l'entreprise. Il n'y a pas vraiment ça dans la loi actuellement. Donc, ça, c'est une faiblesse, on aurait demandé que ça soit intégré. Les entreprises, certaines entreprises comme Facebook ou Google offrent quand même des options volontairement pour ça, mais nous, on aurait préféré qu'il y ait vraiment un droit qui soit inscrit dans la loi par rapport à ça.

M. Lemieux : J'ai dit que vous étiez fidèles à vous-mêmes, en parlant au nom d'Option Consommateurs, vous en avez long à dire sur toute la partie des... ce n'est pas des transactions, mais des relations entre les agents de renseignements de crédit personnel, et les dossiers de crédit, et les consommateurs que vous représentez. Là, donnez-moi un score, d'abord, par rapport à ce que vous voyez dans le projet de loi. La liste est longue, je sais, de ce que vous voudriez voir, mais essayez de m'aider à comprendre là où il faudrait aller.

Le Président (M. Bachand) : Très rapidement, Me Plourde, s'il vous plaît.

M. Plourde (Alexandre) : Bien, rapidement, concernant les agences de crédit, bien, il y a déjà eu un pas qui a été fait, qui était intéressant, dans le cadre du projet de loi n° 53. Je mentionnerais qu'il y a deux choses qui devraient être changées dans le projet de loi n° 64 : garantir un accès gratuit et simple pour les consommateurs au dossier de crédit par Internet, l'article 78 qui est modifié ne permet pas ça, puis un plus grand encadrement d'utilisation secondaire du dossier de crédit en matière d'assurance, en matière de location de logement puis en matière d'emploi.

Le Président (M. Bachand) : Merci, Me Plourde. Vous êtes juste sur la coche, c'est parfait, ça. Merci, j'apprécie. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Merci beaucoup, M. le Président. Merci, M. Corbeil, Me Plourde, pour être... pour discuter avec nous du projet de loi n° 64 et de ses enjeux. Vous avez parlé, M. Corbeil, du pistage en ligne, soit la captation ou la collecte de données, puis vous la qualifiez d'une intrusion importante dans la vie privée des consommateurs. J'aimerais vous entendre de façon un peu plus précise sur les moyens que le Québec... les moyens législatifs que nous pourrions avoir. Vous dites : «Pour aller plus loin dans la protection du public, nous estimons donc que le projet de loi devrait être modifié pour donner explicitement le droit au consommateur de refuser d'être pisté en ligne, via des mécanismes technologiques simples et faciles d'accès.»

J'aimerais vous entendre de façon tangible, de façon plus spécifique, quels seraient ces moyens-là technologiques et, dans la réalité d'aujourd'hui, quelle serait leur efficacité ou pas considérant qu'avec Internet, on rouvre l'ordinateur, puis là c'est le monde, on a accès au monde, mais le monde a accès à nous également. Donc, point de vue de la territorialité puis de l'effectivité d'une loi québécoise, j'aimerais vous entendre là-dessus.

M. Plourde (Alexandre) : Oui. Bon, il n'y a pas de réponse simple, c'est une bonne question que vous soulevez. Au-delà... Le projet de loi, bon, il permet une meilleure information des consommateurs sur ce qui va se passer, une meilleure information sur la collecte, et tout ça. Il ne change pas le paradigme de base par contre. C'est quand je m'inscris... quand j'ouvre un compte sur Facebook, quand j'ouvre un compte sur Google, j'accepte de fournir mes informations à ces entreprises-là.

Quand je parle de refuser le pistage, je parle de la collecte qui n'est pas... qui n'a pas lieu seulement que lorsque j'utilise cette plateforme-là, pas juste quand je suis sur Facebook, quand je suis sur Google, mais ce qu'il faut savoir, c'est que Facebook puis Google, ils ne suivent pas juste mes activités quand j'utilise cette plateforme-là, ils suivent mes activités aussi partout où est-ce que je vais sur Internet, sur n'importe quel site tiers ou à peu près. Ils ont une très grande empreinte. Et actuellement on peut penser, là, qu'avec le renforcement du consentement dans la loi, ça dépend comment que ça va être interprété, mais qu'on va peut-être être mieux informés de ça. Il va peut-être y avoir plus de «pop-ups» qui vont apparaître quand on navigue, mais il n'y aura pas de mécanisme simple pour pouvoir dire aux entreprises technologiques : Moi, quand je navigue sur un site tiers, je ne suis pas sur votre plateforme, je ne suis pas sur Facebook, je ne suis pas en train d'utiliser les sites de Google, je suis ailleurs sur Internet, un site qui est tiers, je veux refuser d'être pisté. Puis il y a des moyens technologiques qui ont été développés, qui n'ont malheureusement pas fonctionné au cours des dernières années, mais un de ces moyens-là, c'est ce qu'on appelait le signal «Do not track». C'est un paramètre dans le fureteur, donc je cliquais sur un piton dans mon fureteur et ça disait à toutes les entreprises, la myriade d'entreprises qui peuvent me suivre sur Internet, ça leur disait : Arrêtez de me suivre, arrêtez de recueillir des données sur moi quand je navigue sur Internet, je veux être anonyme.

Et malheureusement, actuellement, il y a des façons qu'on peut faire pour être anonyme sur Internet, pour essayer de nous préserver sa confidentialité. On peut aller dans les paramètres de Google, très loin, là, puis désactiver certaines fonctionnalités. Il y a certains mécanismes de l'industrie, mais c'est à la pièce, ça ne garantit pas un anonymat. Donc, nous, dans une perspective de protection du consommateur, de simplicité, bien, ce serait de demander aux entreprises de respecter un paramétrage simple et efficace.

• (17 h 40) •

M. Tanguay : Et est-ce que ça pourrait être aussi, parce que j'essaie de trouver la façon dont la loi québécoise pourrait être effective sur le terrain, est-ce que ça pourrait également, pour les entreprises qui ont pignon sur rue au Québec, je donne un exemple, je pense tout haut, l'obligation de ne pas utiliser, par moyens détournés, ces informations-là... qui pourraient dire : Bien, ce n'est pas moi qui est à la source, je n'ai pas eu à demander le consentement, mais j'ai acquis, d'une manière ou d'une autre, je ne suis pas spécialiste dans le domaine, ces informations-là, et je peux baser une campagne marketing ou une campagne mercantile, peu importe laquelle, à partir, donc... Est-ce qu'il y aurait lieu, donc, de cibler les entreprises qui ont pignon sur rue au Québec et de limiter leur accès et utilisation de telles données, j'imagine?

M. Plourde (Alexandre) : Bien là, quand je parle des données de suivi en ligne, là, je ne parle vraiment pas des petites entreprises au Québec. Je parle des géants technologiques, je parle de Google, je parle de Facebook puis de tout l'écosystème, là, qu'on appelle de la publicité comportementale en ligne. C'est ces entreprises-là qui recueillent vos données, c'est ces entreprises-là qui les monétisent. Elles ne les partagent pas, ces données-là, elles les utilisent pour créer des profils publicitaires qui servent, par la suite, à vendre des publicités aux autres entreprises. Mais le problème dans cette équation-là, ce n'est pas nos PME chez nous, c'est vraiment les géants technologiques, là.

M. Tanguay : O.K. Au niveau du profilage numérique, qui peut amener évidemment de la discrimination, comment on peut agir également, comme législateurs québécois, pour avoir des moyens législatifs tangibles?

M. Plourde (Alexandre) : Bien là, pour ce qui est de l'utilisation à des fins de discrimination ou, du moins, à de l'utilisation qui a des effets discriminatoires, là, l'enjeu de ça, c'est que... Nous, ce qu'on propose, c'est évidemment de prévoir explicitement dans la loi d'interdire aux entreprises de faire des traitements de données qui peuvent avoir des effets discriminatoires. Cependant, la grosse difficulté de ça, c'est que l'on connaît généralement très mal c'est quoi, les pratiques des entreprises, c'est quels traitements des données qui sont faits par les entreprises technologiques de nos données puis c'est quoi les effets aussi de ces traitements-là. Donc, il y a un gros enjeu.

Oui, se donner des lois, mais il va falloir aussi se donner des ressources pour étudier qu'est-ce qui se passe, étudier les effets du profilage massif, de la surveillance, et tout ça. Donc, notre recommandation d'augmenter le budget de la CAI, là, va un peu dans cette direction-là. Il faut se donner des pouvoirs d'enquête et de surveillance du marché pour voir si les pratiques des géants technologiques ont des effets de manipulation sur le marché, des effets discriminatoires qu'on ne se serait pas rendu compte pour pouvoir intervenir. C'est dans cette direction-là qu'il faudrait aller, à mon avis.

M. Tanguay : Je trouve ça intéressant, votre suggestion. Effectivement, donc, comme vous le dites bien, on ne connaît pas ou on connaît mal comment les entreprises au Québec utilisent ça. Le fait d'avoir, justement, une commission d'accès à l'information... je vois l'implication tangible, ce n'est pas juste une augmentation pour le plaisir, évidemment, d'augmenter les ressources à la Commission d'accès à l'information, mais pour que, spécifiquement, peut-être mandat lui soit donné, dans la loi, pour faire une veille, je vous dirais, sur le terrain, comment... enquête, surveillance puis, le cas échéant, de revenir auprès du législateur pour suggérer comment on pourrait endiguer tout ça, là. Je vous remercie pour votre précision.

Je vais céder, M. le Président, avec votre permission, la parole à ma collègue.

Le Président (M. Bachand) : Merci, M. le député. Mme la députée Notre-Dame-de-Grâce, s'il vous plaît.

Mme Weil : Oui. Merci beaucoup pour votre présentation, beaucoup de passion que vous avez pour la protection du consommateur et dans un domaine technique qui vous stimule beaucoup, ça, on le voit.

Est-ce que je pourrais vous amener sur votre page : Assurer une véritable mise en oeuvre de la loi, l'importance de mesures dissuasives? Donc, on a eu différents types d'arguments sur «les peines sont trop élevées», mais beaucoup... ça dépend du profil de l'entreprise, les PME, par exemple, qui n'ont pas les moyens, alors on parle d'accompagnement, etc. Mais est-ce que... En lisant votre mémoire, si vous... vous avez vraiment une expérience très pointue avec les entreprises qui... plus que négligeant, là, c'est presque intentionnel, et donc semblent être insensibles, peut-être, aux conséquences. C'est un peu le portrait qu'on a avec... ce que vous, vous voyez, et les bris de sécurité, vous parlez du nombre important et vous arrivez à cette question de dommages punitifs.

Donc, vous, vous accueillez favorablement, là, toutes les mesures qui sont proposées dans la loi, des mesures dissuasives, des dommages punitifs. Est-ce que vous pourriez en parler un peu plus? Parce qu'on a eu différents points de vue. Évidemment, je pense, ça dépend beaucoup de l'entreprise. D'ailleurs, celle qui vous a précédée a parlé de la loi européenne qui... parce que les pénalités sont très, très élevées. Ils fournissent un accompagnement aussi aux entreprises pour s'assurer que les entreprises puissent se conformer à la loi. Alors, j'aimerais vous entendre sur cet équilibre, et de votre expérience, et pourquoi vous, vous proposez, justement, des dommages punitifs.

M. Plourde (Alexandre) : Bon, plusieurs choses. Bien, première chose, on le constate, là, je pense que c'est un constat pour tout le monde, là, qu'il y a des enjeux en matière de cybersécurité, il y a des enjeux en matière de protection des renseignements personnels au Québec. On a eu un des plus gros bris de sécurité de l'histoire récemment, bon, avec Desjardins, puis il y en a eu plein qui sont rapportés, puis il y en a probablement plein d'autres qu'on n'est peut-être pas au courant non plus. Donc, il y a vraiment un gros enjeu, puis ce que ça trahit, selon beaucoup d'experts, bien, c'est que les entreprises, bon, n'investissent pas assez en cybersécurité puis peut-être aussi, dans certains cas, ne prennent peut-être pas assez au sérieux la protection des renseignements personnels. Donc, il y a un enjeu de dissuasion. La dissuasion est nécessaire.

Puis, bon, il y a des gens qui se préoccupent, bon, est-ce que les pénalités sont trop sévères, est-ce que ça va atteindre un bon équilibre, et tout ça. Ce qu'il faut mentionner, là, oui, ça a l'air de des gros montants, 10, 25 millions ou des pourcentages du chiffre d'affaires, mais là il faut comprendre que ce sont des pénalités qui sont maximales. C'est pour pouvoir atteindre les plus grosses entreprises, mais il y a des critères de détermination de la peine dans la loi là, là, puis qui permettent de tenir compte du contexte, et tout ça. Le but, là, ce n'est pas d'être des Gargamel, là. Le but, c'est vraiment d'aider les entreprises... de dissuader les entreprises en tenant compte du contexte, et tout ça. Et le pourcentage mondial de la peine, donc, imposer un pourcentage mondial, c'est vraiment important face aux multinationales, donc, que sont Google, que sont Facebook, parce que 10 millions, pour Google ou Facebook, c'est peut-être un risque qui est tout à fait gérable, là. On parle des entreprises qui sont parmi les plus riches de l'histoire, là, en ce moment, donc...

Et évidemment, bien, pour ce qui est de la question des dommages punitifs, bien, les dommages punitifs, ça peut venir un peu prendre le relais des situations où est-ce que la CAI ne serait pas intervenue. Ça laisse un recours civil, puis ce qu'il faut... Ce qu'il est important aussi de noter, c'est que ces dommages punitifs là peuvent juste être imposés en cas de faute lourde ou en cas de faute intentionnelle. Donc, ce n'est pas pour chaque manquement que ça va pouvoir être imposé, puis le Code civil prévoit déjà des critères de détermination aussi des dommages punitifs. Donc, on peut tenir compte aussi de la situation, encore là, lorsqu'on impose ce genre de dommage là. Puis il faut tenir compte aussi de la situation qu'en protection de la vie privée, malheureusement, la jurisprudence a dit : Bien, subir un bris de sécurité, ce n'est pas nécessairement indemnisable en termes de dommages compensatoires. Donc, l'idée d'un montant minimum de dommages punitifs permet... (panne de son) ...à cette difficulté-là. Donc, la clause sur les dommages punitifs, elle me semble importante pour justement reprendre le flambeau là où la CAI aurait peut-être... ne serait peut-être pas intervenue, là.

Le Président (M. Bachand) : O.K. Mme la députée, deux petites minutes.

Mme Weil : Oui. Est-ce que... Donc, je ne sais pas si vous avez entendu les intervenants, donc, parler, justement, des mesures d'accompagnement et que ce soit la CAI qui y soit investie de cette autorité, si on veut. Au-delà de faire respecter la loi, comment vous voyez cette notion d'accompagnement? Évidemment, ce n'est pas le profil exactement de ce que vous nous présentez, où vraiment il y a de l'exploitation carrément du consommateur, mais que vous avez certainement vu d'autres circonstances où l'entreprise n'avait pas nécessairement une intention malicieuse. Alors, comment vous voyez, donc, cette notion d'accompagnement?

• (17 h 50) •

M. Plourde (Alexandre) : Bien, en fait, oui, je pense que c'est... augmenter le financement de la CAI, ce n'est pas pour la protection du public, mais c'est aussi important pour l'accompagnement des entreprises. Et moi, j'ai quand même criblé le projet de loi n° 64 et je vous dirais qu'il y a quand même des difficultés interprétatives actuellement là-dedans. Ce ne sera pas toujours simple de savoir si c'est un consentement express, si c'est un consentement implicite, bon, c'est quoi les obligations exactes, comment ça va s'appliquer en pratique.

Donc, il va y avoir un travail de la CAI, à mon avis, de faire des lignes directrices qui vont aider les entreprises, les guider un peu là-dedans pour leur donner la possibilité de se conformer assez simplement. Donc, il y a un travail à faire de la CAI là-dedans, en matière d'accompagnement, puis je suis tout à fait d'accord avec ça, sinon ça pourrait être très difficile pour les entreprises. Donc, oui, il faut donner plus de ressources pour l'appliquer la loi, mais appliquer la loi, ça implique aussi d'aider les entreprises, là, à se conformer, et je suis tout à fait d'accord là-dessus.

Pour revenir peut-être sur le risque à l'égard des PME, faire attention de ne peut-être pas minimiser trop les obligations envers les PME, parce qu'on risque, quand même, de créer un maillon faible. Si on diminue trop nos obligations envers les PME, bien, tous les pirates vont s'attaquer aux petites entreprises du Québec pour leur prendre leurs données. Donc, il y a beaucoup à faire d'accompagnement, les PME, et ce n'est pas nécessairement une raison pour dire qu'on devrait édulcorer la loi à leur égard.

Le Président (M. Bachand) : Merci, Me Plourde. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. Plourde, d'être avec nous aujourd'hui en commission parlementaire. Votre mémoire est rempli d'éléments très intéressants. J'aimerais avoir plus que trois minutes, je vais vous questionner sur un de ces éléments qui m'apparaît extrêmement important. Les grandes entreprises numériques ont pris de l'avance sur le droit, sur les États, sur à peu près... et sur les experts, sur les scientifiques qui ne travaillent pas pour eux, à savoir ce que font exactement ces entreprises-là avec les données personnelles qu'elles récoltent. Elles sont souvent les seules à le savoir. Puis même au sein de ces entreprises-là, il y a des cultures du secret, souvent, qui font souvent en sorte que seulement une poignée de personnes savent réellement ce qui se passe à l'intérieur de la boîte noire que sont les algorithmes puissants de ces organisations-là.

Et donc vous nous faites une recommandation, à la page 16, vous nous dites que la CAI devrait avoir «le pouvoir — et je cite — d'obtenir l'accès au code des algorithmes des entreprises, de façon à pouvoir en comprendre les effets et de déterminer si les traitements de données effectués portent préjudice aux consommateurs.» Certaines des technologies qu'utilisent ces entreprises-là pour cibler les citoyens sont brevetées, d'autres pourraient être protégées par le secret commercial. Comment on contourne ces obstacles-là? Comment on donne à la CAI le pouvoir d'ouvrir la boîte noire pour découvrir ce que font ces entreprises-là avec les données des Québécois?

M. Plourde (Alexandre) : Oui, effectivement, c'est un bon point que vous soulevez, puis la question du secret des algorithmes, c'est plus ancien qu'on pourrait le penser en protection de la vie privée. Depuis des décennies, face aux agences de crédit, par exemple, là, le code qui est utilisé pour calculer le pointage de crédit, il n'est pas connu, puis c'est un secret commercial. C'est le même phénomène mais démultiplié dans le numérique. C'est vraiment ça qui se passe.

La façon que ça pourrait être fait pour pouvoir enquêter, pouvoir comprendre qu'est-ce qui se passe, bien, ça pourrait simplement que le code soit fait sous le sceau... ça soit analysé sous le sceau de la confidentialité, donc la CAI ne pourrait pas partager ça publiquement. Ça se ferait assez simplement, à mon avis.

M. Nadeau-Dubois : Est-ce que ça existe dans certaines législations?

M. Plourde (Alexandre) : Écoutez, je ne pourrais pas vous dire. C'est discuté dans beaucoup d'endroits du monde, je ne pourrais pas vous dire jusqu'à quel point ça existe. Cependant... Puis ce que vous soulevez, en fait, c'est que le projet de loi n° 64, il y a plein de choses intéressantes là-dedans, mais ce n'est certainement pas, là, la fin des haricots pour la protection des renseignements personnels au Québec. Il va falloir revenir là-dessus, dans les prochaines années, pour s'intéresser peut-être plus en profondeur au modèle d'affaires pour éviter des préjudices au public, là.

M. Nadeau-Dubois : Merci beaucoup. Vous parlez de donner davantage... de préciser la loi sur ce que serait une utilisation illicite ou illégitime des données qui sont récoltées sur les consommateurs en ligne. Comment est-ce qu'on pourrait définir, dans la loi, des utilisations illicites? À quoi on pourrait se référer pour définir ce qui est une utilisation illicite?

M. Plourde (Alexandre) : Bien, ce serait une utilisation qui cause un préjudice indu au consommateur, c'est-à-dire qui profite de l'asymétrie d'information entre la grande firme technologique puis le consommateur, qui se fait à son insu, qui le fait payer beaucoup trop cher pour un bien qu'il aurait acheté à un prix courant autrement par le simple fait... parce qu'on a détecté qu'il avait un besoin de ce bien-là. Donc, ça, ça pourrait être de l'exploitation économique. Il y a des critères qui ont déjà été développés en droit de la consommation là-dessus, sur ce qu'on appelle la lésion, dont on pourrait s'inspirer, par exemple.

M. Nadeau-Dubois : Merci beaucoup, monsieur.

Le Président (M. Bachand) : Merci beaucoup. M. Corbeil, Me Plourde, merci beaucoup d'avoir été avec nous aujourd'hui. C'est plus qu'apprécié.

Et là-dessus, la commission suspend ses travaux jusqu'à 19 h 30. Merci beaucoup.

(Suspension de la séance à 17 h 54)

(Reprise à 19 h 31)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! Bon début de soirée à tout le monde. Merci d'être ici. La Commission des institutions reprend ses travaux.

La commission est réunie afin de poursuivre les auditions publiques dans le cadre des consultations particulières sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Ce soir, nous allons entendre la Commission d'accès à l'information. Mais il me fait plaisir de souhaiter la bienvenue aux gens de la Régie de l'assurance maladie du Québec. Alors, bienvenue. Merci beaucoup d'être avec nous ce soir.

Alors, je vous inviterais à vous présenter et à débuter votre exposé pour 10 minutes. Après ça, nous aurons un échange avec les membres de la commission. Merci. La parole est à vous.

Régie de l'assurance maladie du Québec (RAMQ)

M. Thibault (Marco) : Merci. Bonsoir, tout le monde. Marco Thibault, président-directeur général de la Régie de l'assurance maladie du Québec. Je suis accompagné de Mme Sonia Marceau, qui est secrétaire générale à la régie. Merci pour l'invitation, puis on espère que notre humble contribution saura vous aider dans la conduite de vos travaux.

Avant d'aller plus loin dans notre propos, peut-être vous présenter brièvement ce qu'est la régie, puisqu'elle est connue, normalement, pour l'administration du programme d'assurance maladie et d'assurance médicaments, et de même que... assurer la rémunération des professionnels de la santé qui sont sous entente avec le ministre de la Santé et des Services sociaux, mais elle administre, pour le compte du gouvernement, quelque 40 programmes de toutes sortes. On pense à l'aide auditive, l'aide visuelle, l'aide pour la déficience motrice, etc. Mais elle fait également, comme organisation, l'opérationnalisation de diverses banques informationnelles ou de systèmes d'information pour le compte du ministère, dont le fameux Dossier santé Québec, le DSQ.

Finalement, il est opportun peut-être d'avoir à l'esprit tout au long de notre propos que la régie, de par la nature des renseignements qu'elle détient, doit administrer un régime plus restrictif que ceux visés par la loi d'accès à l'information puisque la Loi sur l'assurance maladie et la loi sur le partage des renseignements de santé imposent, à juste titre, des obligations supplémentaires. On n'est pas loin du secret fiscal, quand on regarde les domaines de protection qu'on doit, nous, accorder de par notre régime particulier qui nous gouverne.

En guise de commentaire introductif, étant une organisation plus sensible à la protection des renseignements personnels, nous ne pouvons qu'être en faveur des intentions précisées dans le projet de loi. Notre propos sera davantage sous l'angle des impacts relatifs aux mesures suggérées en termes d'atteinte à ces mêmes objectifs, mais également sous l'angle de l'efficience et de l'efficacité. De fait, selon ce que le citoyen nous mentionne, il s'attend à ce qu'une organisation telle que la régie se modernise dans ses manières de faire et qu'elle puisse utiliser le capital informationnel au bénéfice du citoyen dans sa prestation de services.

Afin d'alimenter la réflexion dans la conduite de vos travaux, nous avons regroupé nos principaux commentaires sous quelques thèmes. Débutons par la notion de consentement express et distinct. Tout en reconnaissant les mérites d'un consentement express et distinct, nous croyons que l'abandon du consentement implicite en santé pose problème et que le cadre légal actuel assure une protection adéquate. De fait, il nous semble illusoire de penser créer un consentement qui permettrait dès le départ d'anticiper toutes les finalités envisagées par ledit consentement. Autrement, nous craignons que notre capacité de moderniser et d'améliorer l'offre de services soit ralentie par la nécessité de requérir un consentement nouveau non envisagé au départ.

Afin d'illustrer notre compréhension, et si celle-ci est juste par rapport à notre lecture du projet de loi, prenons l'exemple... le consentement utilisé dans le cadre du système de Rendez-vous santé Québec et pour lequel des renseignements collectés par la régie pourraient exiger un nouveau consentement si ces mêmes renseignements devaient être communiqués au ministère pour des fins d'organisation de services et voir si l'accès aux services souhaités par les autorités ministérielles sont atteints.

Encore, si on voulait utiliser des renseignements collectés dans un programme aux fins d'application de nouveaux contrôles, pour s'assurer que c'est géré adéquatement, il serait difficile de faire la démonstration du bénéfice pour la personne concernée, d'obtenir son consentement puisque, par définition, faire un contrôle, ce n'est pas nécessairement pour le bénéfice du citoyen ou de la personne avec qui on demanderait le consentement pour avoir accès à ses données.

Donc, pour nous, il nous semble questionnable également, si notre compréhension du projet est juste sur la portée de cet élément, qu'un organisme qui dispense un service à un citoyen doive lui demander l'autorisation d'utiliser ses informations afin qu'on puisse lui rendre un service personnalisé. Pour nous, dans la nature même de l'organisation... d'être capable d'être le plus proche possible des besoins de l'individu, et, par conséquent, de le connaître, et d'utiliser ce que nous avons sur cette personne-là qui nous demande un service.

En ce qui concerne la gouvernance et l'imputabilité, le projet de loi introduit diverses responsabilités à différents acteurs et modifie, de notre compréhension, substantiellement le rôle de la Commission d'accès à l'information. Les responsabilités sont distribuées sous différents angles tantôt au responsable d'accès, à un comité interne sur la sécurité ou à la protection des renseignements personnels, à l'organisation ou encore à la Commission d'accès sur certains pouvoirs. Souvent, la multiplication des acteurs alourdit les processus, mais, si le projet de loi vise un objectif d'agilité par le simple dépôt des projets d'entente à la commission, elle risque par contre d'alourdir les processus internes de gestion et de reddition de comptes.

Par ailleurs, l'absence d'avis formel de la Commission d'accès, mais un simple dépôt pourrait donner, de notre point de vue, dans certains cas, une fausse assurance de protection. Devrait-on exiger une entente-cadre? Est-ce possible d'avoir une telle entente-cadre avec la multiplicité des organisations potentiellement visées par des ententes de communication? Pour nous, toutefois, on pense que c'est une avenue qui pourrait être explorée.

La notion d'entente de communication obligatoire. Ce mécanisme des ententes de communication de renseignements est un mécanisme fort connu de la régie puisque toutes les communications passées ont dû obtenir un avis favorable de la Commission d'accès à l'information. D'ailleurs, il est important de souligner la qualité de l'expertise qu'a développée la commission en cette matière au fil des années. De confier désormais la rédaction des ententes aux organisations, de prévoir les différents mécanismes de protection exigera de ces organisations de se développer une expertise rare. Comment pourrons-nous assurer un tel niveau d'expertise dans toutes les organisations?

De plus, considérant la nature des renseignements que la régie détient, il nous semble que le mécanisme actuel d'avis formels préalables à la Commission d'accès nous semble... nous permettrait de mieux protéger a priori les renseignements qu'un simple dépôt d'une entente auprès de la commission. Il s'agit, selon nous, d'une police d'assurance raisonnable que les renseignements qui seraient transmis le seront de manière sécuritaire et adéquate.

L'anonymisation des renseignements et la dépersonnalisation. Malgré que la régie ait adopté des pratiques rigoureuses en matière de dépersonnalisation, il devient évident qu'avec l'émergence de l'intelligence artificielle la constitution de banques propres par diverses organisations nous rend plus fragiles sur des possibles réidentifications. À cet égard, la régie a entrepris des réflexions en ce sens, mais celle-là constituera tout un défi pour les organisations de se doter d'un tel savoir. Sans en avoir discuté avec mes collègues de l'Institut de la statistique du Québec ou de la commission, mais qui eux ont développé une certaine expertise dans les dernières années, est-ce qu'il ne serait pas opportun de confier ce mandat d'anonymisation auprès, par exemple, de l'Institut de la statistique du Québec qui, soit dit en passant, présentement pilote une plateforme qui rend les données disponibles aux chercheurs?

En ce qui concerne l'évaluation des facteurs relatifs à la vie privée, sans être contre le principe, nous nous questionnons sur les efforts relatifs à la documentation et à la journalisation de ces analyses. Cela nous inquiète davantage lorsque nous regardons la portée de ce qui devrait faire l'objet d'une telle évaluation, dont notamment la production de statistiques qui, selon nous, par définition, ne comprend pas de renseignement personnel. La volumétrie des demandes de communication de renseignements faites par les chercheurs des institutions universitaires exigera aussi... la régie de développer une expertise et un rôle jusqu'à présent exercés, à notre connaissance, par la Commission d'accès à l'information.

• (19 h 40) •

De plus, la régie a entrepris, à la demande des personnes qu'elle doit desservir, une modernisation de sa prestation de services. Ce faisant, soumettre toute amélioration technologique à une telle évaluation dévierait les efforts considérables dans la documentation pour des fins de reddition de comptes au détriment, selon nous, de la création de valeur pour le citoyen. Ici, notre propos vise essentiellement à assurer un juste équilibre entre documentation et création de valeur.

Finalement, la notion de communication à un proche parent d'une personne décédée pour motif de compassion. Tout en louant l'objectif noble recherché, nous souhaitons porter à votre attention la difficulté potentielle d'application qu'implique de prendre en compte la notion de «susceptible d'aider le requérant dans son processus de deuil». Comment l'évaluer? La notion de compassion étant une émotion, il nous apparaît aussi difficile de la remettre en question. Elle laisse possiblement beaucoup de place à une interprétation variable d'une organisation à l'autre.

Par ailleurs, nous nous questionnons sur la nature de l'information détenue par la régie qui serait utile à l'objectif visé. Ce faisant, nous croyons que dans le cadre actuel légal... auquel on se gouverne actuellement serait suffisant en ce qui nous concerne.

En guise de conclusion, la régie est un organisme qui possède une bonne expertise en matière de protection de renseignements personnels. Elle administre un régime de protection plus restrictif que ce que prévoit la loi d'accès. Plusieurs mécanismes proposés sont déjà utilisés par la régie dont notamment les ententes de communication. Toutefois, notre crainte se situe davantage dans la manière et les responsabilités de ceux qui devront encadrer la qualité de la pratique et en assurer un respect en amont et non a posteriori.

Un dépôt à la CAI nous semble mince quoique plus agile que l'avis officiel nécessaire actuellement. Le consentement explicite en santé pourrait accentuer certains enjeux de la prestation de services puisque la nature de l'information détenue est directement en lien avec la prestation de ces mêmes services et la qualité attendue par le citoyen. L'expertise et la surveillance des processus d'anonymisation seront à mieux définir et encadrer.

La RAMQ est favorable au principe du projet de loi, mais s'interroge sur la capacité de mettre certaines de ces dimensions en oeuvre sans une clarification de certains de ces principes. Il importe de signifier la nécessité de préciser certaines modifications afin d'éviter une application arbitraire, ou un écart avec les intentions légitimes, ou encore le risque d'incohérence entre les différentes organisations qui devraient l'appliquer.

Actuellement, la Commission d'accès à l'information assure, de par ses processus actuels, un rôle de vigie et de cohérence gouvernementale. Il pourrait être opportun d'en préserver certaines fonctions utiles dans la protection des renseignements personnels.

Néanmoins, la régie offre sa pleine et entière collaboration à la commission afin d'apporter son expertise à la réflexion et à la définition des différents critères si pertinents.

Nous aurions terminé, M. le Président.

Le Président (M. Bachand) : Merci beaucoup, M. Thibault. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : M. Thibault, Mme Marceau, bonsoir. Merci de participer aux travaux de la Commission des institutions sur le projet de loi n° 64. Bien, je pense, vous l'avez dit d'entrée de jeu, là, la Régie de l'assurance maladie gère énormément de renseignements de nature personnelle, que ça soit pour les usagers du système d'assurance maladie, mais également pour les professionnels, médecins, qui facturent à la Régie de l'assurance maladie comme payeur unique, notamment.

Écoutez, je voudrais que vous nous expliquiez, là, comment vous gérez ça, vous, à la Régie de l'assurance maladie, les données personnelles? Vous disiez : Écoutez, on ne sait pas si le fait de déposer à la Commission d'accès à l'information, tel que c'est proposé par le projet de loi n° 64, ça va aider, ça va être mieux. Actuellement, vous faites déjà des projets d'entente. Expliquez-nous, là, en gros, là, qu'est-ce que vous faites avec les données, là. Moi, je vais chez le médecin pour mon rendez-vous annuel avec le médecin, le médecin passe ma carte d'assurance maladie, comment ça fonctionne, les données que vous avez, de moi, chez vous?

M. Thibault (Marco) : Bien, les données que nous avons sont hébergées dans différents systèmes qui nous permettent, nous, de nous assurer que... par exemple, la personne qui a reçu un soin et le professionnel qui a donné le dit soin, bien, s'assurer que les deux existent dans nos banques. Donc, on est capables, de cette façon-là, nous, de faire l'appariement et de voir que le professionnel a fait bel et bien l'acte pour lequel il demande rétribution, et nous, de s'assurer que le citoyen a reçu le bon service.

Donc, on a des renseignements identificatoires autant chez les professionnels que chez les personnes, et nous conservons ces données dans des systèmes qui leur sont propres. La communication de ces renseignements-là n'est pas possible. Les renseignements identificatoires ne peuvent pas être communiqués puisque la Loi sur l'assurance maladie prévoit expressément que tout ce que la régie détient pour ses fins propres ne peut être communiqué sous réserve d'une entente de communication approuvée par la Commission d'accès. Et cette entente de communication là, généralement, ça peut être des chercheurs universitaires qui vont... ou un ministère qui en aurait besoin pour les fins de ses attributions. Donc, c'est prévu dans sa loi qu'ils aient accès, par exemple, aux données d'adresse des citoyens du Québec, compte tenu que la régie détient cette information-là... va devoir présenter une entente qui va être avalisée par la Commission d'accès, et, sur la base de cet avis favorable là, par la suite, on va transmettre les fichiers qui permettent le respect du cadre légal. Ça fait que c'est un peu le processus, là, à haut niveau, qui a cours lorsque vient le temps de transmettre ce type d'information là.

M. Jolin-Barrette : Et est-ce que... la Régie de l'assurance maladie a combien de ce type d'entente là actuellement?

M. Thibault (Marco) : Une centaine.

M. Jolin-Barrette : Une centaine. Et est-ce que ça touche... Ça touche quoi principalement, des chercheurs, des recherches?

Mme Marceau (Sonia) : Tous les ministères...

M. Thibault (Marco) : Les ministères, organismes, chercheurs, et chacune des ententes a ses particularités propres, l'objectif étant qu'on ne puisse pas... Prenons l'exemple du ministère de l'Éducation qui, pour les fins de connaître sa clientèle étudiante et qui pourrait rentrer à l'école l'année qui suit... on va communiquer les renseignements des enfants nés susceptibles d'entrer, mais on ne communiquera pas les renseignements de santé. Dans ce cas-ci, on va circonscrire l'information pour permettre au ministère de l'Éducation, dans ce cas-ci, d'offrir le service qu'il doit rencontrer et qui est prévu dans sa loi.

Si on parle d'un chercheur, le chercheur, lui, il va souhaiter un domaine, donc il devra préciser, dans sa demande à la Commission d'accès à l'information, les domaines ou les données qu'il souhaite avoir. Nous allons les dépersonnaliser, donc enlever de l'information pour éviter la capacité de les recouper. On va même s'assurer que, dans certains cas, s'il y a de trop petits nombres, que ces gens-là soient agglomérés dans un plus grand ensemble pour éviter qu'on puisse les reconnaître et, par la suite, on les transmet sous avis favorable de la commission. Donc, c'est toujours la même mécanique, la transmission est assujettie au préalable de l'avis favorable de la Commission d'accès.

M. Jolin-Barrette : Parmi la centaine d'ententes que vous avez, est-ce qu'à certains moments la Commission d'accès à l'information a dit à la Régie de l'assurance maladie du Québec : Non, on n'approuve pas cette entente-là, ou veuillez la corriger pour faire en sorte d'avoir... de sécuriser davantage les renseignements des individus, ou, à toutes les fois, vous avez eu un avis favorable de la Commission d'accès à l'information?

M. Thibault (Marco) : Je laisserais peut-être le soin à Mme Marceau de préciser parce que, dans le détail, elle l'a plus vécu que moi. Je vous dirais que le travail de la commission amène les chercheurs à préciser, et à ajouter, et à s'assurer que c'est pertinent, que c'est correct, que c'est adéquat et que ça ne va pas trop loin. C'est la même chose pour les ministères et organismes.

Donc, dans ce contexte-là, le tout est travaillé en amont, et, lorsque l'avis est donné, l'avis est donné parce que l'ensemble de l'entente de communication respecte les critères qui assurent la protection. Donc, c'est comme si ce mécanisme-là est a priori... comme je le disais dans mon propos, d'entrée de jeu, il n'est pas a posteriori. On s'assure a priori qu'on a mis en place l'ensemble des garde-fous pour assurer la protection de ce qui serait transmis comme renseignements et qu'on ne permettrait pas une divulgation de renseignements personnels de manière inadéquate.

M. Jolin-Barrette : O.K. Dans votre mémoire, là, vous dites que vous êtes «préoccupés par l'abandon du consentement implicite reconnu historiquement dans le domaine de la santé plus que celui d'exiger un consentement distinct et express.» Qu'est-ce que vous voulez dire par là?

M. Thibault (Marco) : Bien, le principe même d'avoir des soins, si on le prend dans le réseau, c'est : quand que tu arrives, tu as des soins puis tu consens aux soins, bien, automatiquement, l'ensemble des informations que l'établissement ou que les cliniciens vont avoir, autant en contactant les systèmes d'information de la régie ou le Dossier santé Québec, bien, automatiquement, les gens y ont accès. Ça fait que ça fait partie un peu de... Implicitement, on s'attend à ce que l'établissement de santé, un professionnel de la santé... ou la Régie de l'assurance maladie, dans ce cas-ci, pour notre propre prestation de services, on s'attend que le citoyen sache qu'on sait c'est qui et qu'on détient l'information qui est pertinente par rapport à la relation ou aux services qu'il s'attend d'avoir.

Donc, de demander systématiquement un consentement express et tacite à chaque utilisation comme... Je vais vous donner un exemple. Ça pourrait amener une utilisation qui est pertinente. Dans ce cas-ci, prenons le ministère qui souhaiterait voir l'efficience d'une mesure, sa performance de cette mesure, bien, souhaiterait avoir accès à l'information, évidemment... dépersonnalisée, ne pourrait pas l'avoir parce qu'on ne l'aurait pas prévu d'entrée de jeu.

Donc, automatiquement, ça voudrait donc dire que, si on ne prévoit pas, d'entrée de jeu, toutes les possibilités d'utilisation, toujours en protégeant, évidemment, les renseignements personnels... nous obligerait à retourner en consentement express à chaque nouvelle utilisation. Et donc vous comprendrez que les chercheurs qui souhaiteraient avoir accès, on devrait... donc, d'avoir un consentement initial qui pourrait avoir énormément de portée, énormément... Et j'ai peine à croire celui qui lirait ce qu'on lui demanderait. C'est comme si ce serait peut-être une police d'assurance, là, qui est en petits caractères, à quoi je viens de consentir tellement... Il faudrait essayer de prévoir les différentes modalités.

Ça fait que c'est le côté opérationnel de la chose qui nous amène à nous questionner considérant ce qu'on a eu comme expérience en termes d'utilisation de données et de protection de ceux-ci. Est-ce que je réponds... M. le ministre?

• (19 h 50) •

M. Jolin-Barrette : Oui, je vous remercie.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Vachon, s'il vous plaît.

M. Lafrenière : Je vais laisser la parole à mon doyen le député...

Le Président (M. Bachand) : Ah! vous êtes un gentilhomme. M. le député de Saint-Jean, s'il vous plaît.

M. Lemieux : Oui, mais ça m'a coûté cher. Merci, M. le Président. Madame, monsieur, bonsoir. La RAMQ travaille déjà à partir de la Loi sur l'assurance maladie. Sans aller dans tous les détails et les petits détails, essentiellement, qu'est-ce que le projet de loi n° 64 vient changer pour vous, pas justement dans le détail, mais en termes d'exigences? Est-ce que ce qu'on va vous demander de faire avec la loi n° 64, si elle est adoptée comme elle est en ce moment, est-ce que ça va être encore plus sévère pour vous ou la loi que vous avez déjà, qui vous gère, est déjà très restrictive à cet égard-là?

M. Thibault (Marco) : Bien, notre loi est plus restrictive. Elle ne change peu. En termes d'accessibilité à la donnée, en termes de protection, ce qui est proposé, considérant, nous, notre cadre particulier, il n'y a pas beaucoup de changements. Les changements que ça vient induire sont plus d'ordre administratif et clérical, à l'intérieur de notre organisation, ce qu'on devra documenter, ce qu'on devra rédiger, alors que c'était fait autrefois par la Commission d'accès. Donc, ce sont des responsabilités nouvelles, mais qui... présentement, elles sont tantôt exercées par la Commission d'accès, tantôt exercées par l'Institut de la statistique. Donc, pour nous, ça pourrait venir plus lourd administrativement, mais ça ne protégerait pas davantage.

Puis je vous dirais, à l'instar de ce que je précisais tout à l'heure, le fait qu'actuellement, quand on regarde les données de santé et le niveau de sensibilité qu'elles sont, le fait d'avoir, pour nous, un avis favorable de la Commission d'accès avant la transmission, ça, c'est un acquis, pour nous, qu'il nous semble important de préserver. Est-ce que cet acquis-là est nécessaire dans l'ensemble des renseignements qui sont visés par le projet de loi n° 64? Je ne pourrais pas me prononcer. Mais le niveau de sensibilité des renseignements de santé m'amène à avoir plus de prudence et m'assurer qu'avant que le tout soit communiqué... d'avoir une instance neutre, telle que la commission, est un rempart additionnel qui, à mon sens, pourrait apporter une plus grande sécurité si celle-ci était maintenue.

M. Lemieux : On a beaucoup parlé, depuis le début de ces audiences, d'anonymisation des données, et c'est un sujet qui devient de plus en plus intéressant considérant tout ce qu'on constate que ça veut dire ou que ça ne veut pas dire. Dans le cas de la régie... de la RAMQ, sauf erreur, on parle beaucoup de volumétrie, c'est-à-dire que, si j'ai bien compris, ce n'est même pas une question d'anonymiser, c'est une question de juste donner des nombres, la volumétrie. Est-ce qu'il y a autre chose à cet égard-là qui, pour vous, va changer les choses, et est-ce que parce que vous avez l'habitude de travailler avec ça, vous voyez, dans le projet de loi n° 64, tel qu'il est écrit, des choses qu'on pourrait mieux écrire?

M. Thibault (Marco) : Bon, c'est vrai que la régie produit beaucoup de données statistiques, mais, par définition, des volumes, le nombre de chirurgies, le nombre de prescriptions de médicaments. Il n'y a pas de lien avec l'individu, c'est des volumes, et, dans ce contexte-là, pour nous, l'enjeu de l'anonymisation ou de la dépersonnalisation, il est réglé. Quand on parle de données statistiques, il n'y a pas d'enjeu.

Lorsqu'il s'agit d'ententes de communication de renseignements, prenons dans le cas des chercheurs universitaires, la dynamique qu'il faudrait anticiper, c'est de voir ce qui est transmis ou ce qui est rendu accessible avec les nouvelles technologies, avec ce que l'intelligence artificielle, avec ce que les banques, que les chercheurs peuvent eux-mêmes avoir constituées avec d'autres sources. Est-ce qu'ils sont à même de pouvoir faire des recoupements qui, là, amèneraient une réidentification? Et c'est là qu'on devra, nous, faire des efforts additionnels et développer une expertise en anonymisation. Il faut se pratiquer pour dire ce mot-là, il n'est pas simple. Ça fait que...

Et tout ça pour vous dire que ça ne sera pas simple. Les organisations n'ont pas toutes cette expertise-là. On faisait beaucoup plus de dépersonnalisation, quelques bribes d'anonymisation, mais jamais au sens de ce que les experts en témoignent et sur lesquels j'ai pu lire récemment. Ça fait que je vous dirais que ça, c'est un outil que l'organisation devra travailler pour faire en sorte qu'on puisse assurer les plus hauts standards en cette matière.

M. Lemieux : Sauf erreur... Pardon?

Une voix : ...

M. Lemieux : Oui, merci. Combien de temps encore?

Le Président (M. Bachand) : Quatre minutes.

M. Lemieux : Merci. Sauf erreur, les données de la RAMQ sont propriété du ministère de la Santé et des Services sociaux. Vrai?

M. Thibault (Marco) : ...les données que la régie opère pour le régime d'assurance médicaments, régime d'assurance maladie sont propriété de la régie. Les données que la régie opère sur des systèmes, prenons le Dossier santé Québec, le fameux DSQ, ces données-là appartiennent au ministère, n'appartiennent pas à la régie. La régie ne peut pas les utiliser. Le cadre restrictif de la loi ne permet pas une utilisation des données déposées dans le DSQ pour les fins des attributions de la régie. Donc, quand les données appartiennent au ministère, elles n'appartiennent pas à la régie, même si elles peuvent être opérées informatiquement par nous.

M. Lemieux : Pour en revenir à la première question du ministre, qui m'a fasciné, parce qu'il y a tellement d'autres données que vous avez qui se promènent, lui, il a pris l'exemple de son rendez-vous, de ce que le médecin a facturé, mais prenons l'ensemble du système, ça en fait de la donnée, ça.

M. Thibault (Marco) : Énormément.

M. Lemieux : Combien?

M. Thibault (Marco) : Il y a la donnée que la régie possède, il y a la donnée que le ministère possède, et il y a la donnée que les établissements possèdent, et il y a la donnée que les cliniques médicales possèdent. Et tous ces univers-là sont des univers distincts qui, dans certains cas, communiquent entre eux, mais pas tout le temps, et il n'y a pas nécessairement d'interrelation.

Donc, dans certains cas, la régie aimerait pouvoir utiliser certaines données cliniques pour éviter de demander aux médecins ces informations, demander aux pharmaciens les informations qu'on possède déjà dans le DSQ, mais on n'a pas le droit. Idem pour le ministère. Le ministère aimerait peut-être... pas peut-être, aimerait certainement avoir accès à certaines données qui lui permettraient de voir l'évolution de l'organisation des services que la régie possède, mais ne peut pas la communiquer selon le cadre actuel, en raison des règles très restrictives. Ça fait que ce n'est pas... c'est assez étanche et c'est un peu ce qu'on essayait de faire voir dans notre mémoire qu'on vous a déposé.

M. Lemieux : Il a beaucoup été question de consentement dans les mémoires qu'on a reçus. Vous, vous n'avez pas besoin de ça, un consentement?

M. Thibault (Marco) : Oui. Oui, on aime le consentement. On l'exige à peu près dans 95 %... 99 % des cas. Ça fait que l'enjeu, c'est de prévoir le consentement express et distinct à chaque utilisation et c'est là que ça amène un défi de conceptualisation pour nous de le faire à chaque fois.

M. Lemieux : Mais ma boutade ne se voulait pas drôle mais se voulait un constat que, de la même façon que quand j'ai 25 pages à lire pour installer ma mise à jour... des grosses chances que je ne me rende pas à la deuxième ligne, quand je suis à l'hôpital, quand je suis chez le médecin, il n'y a pas grand chance que je commence à regarder où ça s'en va, là.

M. Thibault (Marco) : Ça, c'est un... Je faisais l'allégorie des polices d'assurance en petits caractères. Je vous rejoins sur cette préoccupation-là, M. le député.

M. Lemieux : Et vous y voyez quoi comme perfectibilité, à ce consentement? Vous me dites que là... 99 %, vous me disiez, c'était express que vous...

M. Thibault (Marco) : C'est express et que l'utilisation n'était pas circonscrite à un usage unique. Ça fait que c'est express à chaque utilisation. Ça fait qu'est-ce qu'on pourrait penser une formulation qui permet un usage plus étendu, toujours en exigeant le consentement? Moi, je pense que ça, il y a quelque chose... à moins que la personne soit dans l'incapacité, là, on comprend que, s'il y a un accident d'auto puis que la personne n'est pas capable de consentir, on ne se pose pas la question. Mais, au-delà de ça, moi, je pense que le consentement devrait être exigé, mais express et distinct à chaque utilisation. C'est là-dessus que je mettrais des nuances, notamment en santé. Pour les autres sphères d'activité de l'État, je ne suis pas prêt à avoir une opinion, je ne l'ai pas réfléchi, honnêtement, je ne serais pas capable de vous...

Le Président (M. Bachand) : 30 secondes.

M. Lemieux : O.K. Oui. Au-delà d'y réfléchir... de toute façon, on n'a plus le temps de réfléchir, mais, comme vous connaissez ça, les données, puis vous en... vous jonglez avec beaucoup... Puis vous êtes sous le coup... pas sous le coup, mais vous êtes sous une loi qui est encore plus restrictive que ce qu'on est en train de considérer, elle est-tu bonne, notre loi?

Le Président (M. Bachand) : Rapidement, M. Thibault.

M. Thibault (Marco) : Oui, il y a beaucoup d'éléments là-dedans qu'on pratique déjà. Et on pense qu'on ne peut pas jouer avec la sécurité des renseignements personnels. Comment réussir à mieux encadrer et mieux protéger sans trop alourdir en se donnant une fausse illusion que, parce qu'on a mis en place bien des mécanismes, on est mieux protégés? C'est là qu'est le défi. C'est toujours le défi de la juste mesure. Je vous dirais que ce serait ça, ma préoccupation.

M. Lemieux : Merci beaucoup. Merci.

Le Président (M. Bachand) : Merci beaucoup. Je me tourne maintenant vers l'opposition officielle. Mme la députée de... Notre-Dame-de-Grâce, pardon.

Mme Weil : Oui. Alors, bonjour, M. Thibault, Mme Marceau. Bienvenue ce soir à cette consultation.

Oui, est-ce qu'on peut revenir sur cette question de consentement implicite? Vous avez parlé de consentement implicite. D'après ce que je comprends... puis vous disiez : Si quelqu'un vient pour un service quelconque, bien, évidemment, on n'a pas à demander expressément son consentement parce qu'en arrivant pour le service il y a comme un consentement implicite.

Pourriez-vous nous expliquer les situations où... Comment vous traitez le consentement différemment, dépendant des situations, et quand est-ce que le consentement bien exprimé est nécessaire et quand est-ce que c'est implicite?

• (20 heures) •

M. Thibault (Marco) : Bien, je vous dirais que... Prenons l'exemple d'un service qui serait consommé à la régie. La personne souhaite avoir accès au programme Mieux voir pour réussir, donc l'acquisition des lunettes avec la contribution de 250 $ sur deux ans. Quand la personne demande le remboursement, elle consent à ce que nous puissions regarder l'ensemble des informations, c'est-à-dire est-ce qu'il y a eu une consultation auprès d'un optométriste? Est-ce qu'on peut vérifier la facture, on peut voir si c'est un commerçant qui a pignon sur rue, avec un numéro de TPS, TVQ?

Donc, on ne lui demande pas l'ensemble de toutes ces dimensions-là. On lui donne... On lui demande de consentir à ce que, dans le fait d'avoir une contribution de l'État, il consent à ce qu'on puisse utiliser d'autres informations, dont son adresse, pour être sûr qu'il y a une bonne correspondance entre le parent et l'enfant. Donc, on ne lui demande pas chacun des détails de ce que nous possédons, on se sert de l'ensemble pour s'assurer, d'une part, que le versement soit fait rapidement, efficacement, peu de tracasseries administratives, pas demander au citoyen de nous donner l'information qu'on possède déjà, mais, de surcroît, s'assurer qu'en contrôle on donne l'information, on donne le paiement à la bonne personne qui en a vraiment droit.

Donc, vous comprendrez que de demander un consentement express sur chacune des dimensions prévues à la demande, c'est là que ça devient plus complexe dans la compréhension qu'on en a, du projet de loi. Peut-être qu'on en fait une lecture erronée, mais là on voyait «express et distinct à chaque utilisation». C'est là que ça nous semblait plus complexe.

Mme Weil : Et qu'express et distinct, oui, c'est ça qu'il faudrait, d'après votre compréhension, la manière que le projet de loi est libellé, vous devriez, comme vous avez dit, expliquer chaque étape pour avoir un consentement pour chacune de ces étapes. Donc, vous demandez une reformulation pour tenir compte, justement, du service que vous fournissez puis le consentement implicite.

Est-ce que vous avez eu l'occasion d'avoir des consultations avec le gouvernement, ou la ministre à l'époque, ou le ministère quand ça a été... Souvent, il y a des discussions, hein, entre les organismes pour s'assurer que, dans le secteur public, on n'ait pas de conséquence non prévue, disons ça comme ça. Il n'y a pas eu de consultation, dans votre cas, par le ministère de la Santé.

M. Thibault (Marco) : Non.

Mme Weil : Donc, est-ce que vous voyez d'autres changements? Qu'est-ce que vous demandez de faire... ou comment voulez-vous que la loi soit adaptée à votre réalité et, certainement, l'expertise que vous avez? Comme vous dites, vous avez déjà le système le plus sécuritaire qu'on peut imaginer. Votre inquiétude, c'est les conséquences sur la lourdeur administrative, etc. Donc, ce n'est pas un souhait... Certainement, je ne pense pas qu'avec les collègues ni le ministre, on souhaiterait vous ralentir. Vous avez un travail extrêmement important à faire, fondamental. Donc, il faut trouver, quant à moi, une solution.

Donc, au-delà de cette question de consentement, qu'est-ce que vous nous demandez de faire pour corriger ce que vous percevez comme... la situation et les conséquences néfastes sur votre fonctionnement? Est-ce qu'il y a d'autres dimensions que le consentement?

M. Thibault (Marco) : Pour moi, je le regarderais d'une façon circonscrite aux renseignements de santé. L'avis préalable de la commission, avant la transmission, avant la communication de renseignements, me semblerait un plus. La nature de ces renseignements-là sont tellement sensibles que je pense qu'un petit délai additionnel, aussi administratif soit-il, vaut la peine, considérant le préjudice que cela pourrait entraîner s'il y avait une erreur. Première recommandation que je pense qu'il faudrait retenir.

Deuxième recommandation, je pense, qui est importante, c'est dans la clarification de qui est imputable vraiment. Est-ce que c'est un comité à l'interne? C'est-tu le plus haut dirigeant? C'est-tu la responsable de l'accès? Moi, personnellement, je trouve que la personne qui est désignée dans nos organisations, comme étant responsable de l'accès, devrait être une entité imputable. C'est une délégation de nos hauts dirigeants, on en est, mais ce n'est pas un comité qui est responsable. Il faut qu'il y ait une imputabilité qui ne soit pas diffuse. Un comité, pour moi, ce n'est pas responsable. C'est une personne qui est responsable, c'est un dirigeant, c'est une personne en autorité sur une fonction.

Dernier élément, les éléments de documentation sur l'évaluation des facteurs relatifs à la vie privée, je pense qu'il y a quelque chose là de simple dans ce qui est amené dans le projet de loi. Comment on le garde simple pour pouvoir avancer? Donc, je pense qu'il y a un élément de documentation. On se doit d'être probablement... toutes les organisations ont besoin d'être plus rigoureuses là-dedans. Mais est-ce qu'on doit aller autant dans le détail, avec autant de lourdeur? J'ai l'impression qu'on va faire plus de documentation puis on va créer moins de valeur dans la transformation de nos organisations. Ça fait que c'est un peu cet équilibre-là que j'essaie de trouver et le juste équilibre par rapport aux risques qu'on vit.

Mme Weil : Est-ce que vous avez regardé peut-être d'autres régimes dans d'autres provinces, OHIP, par exemple, et comment eux fonctionnent dans ce même genre de cadre? Bon, ils n'ont peut-être pas une loi comme ça, mais ils ne sont peut-être pas rendus... Ce n'est peut-être pas une question possible, là. Donc, actuellement, est-ce que ça fonctionne en Ontario de façon similaire au Québec?

M. Thibault (Marco) : Je vous donnerais un exemple. Les renseignements, quand la régie... Elle a 50 ans, cette année. La régie, lorsqu'elle a été créée, la façon dont leur législateur de l'époque a réfléchi, a dit : Tout ce qui va arriver à la régie doit être traité de la même façon. Et c'est à ce point vrai que ce que nous détenons pour les personnes assurées a le même niveau de protection que ce que nous détenons chez les professionnels. Et vous avez probablement vu dans les médias, je pense, c'est il y a un an, oui, et quelques, en Ontario, on a pu divulguer le niveau de rémunération des médecins. Au Québec, notre cadre légal ne le permet pas.

Donc, il y a des grandes distinctions entre les deux régimes. Ça fait qu'on n'a pas fait une analyse de droit comparé avec les temps impartis, on n'aurait pas pu le faire, mais on a un régime qui a été pensé pour vraiment protéger ce que la régie détient comme informations. Ça fait que pour nous, on ne sent pas qu'on va être plus protégés, considérant ce qu'on a. On se dit juste : Les éléments qui sont amenés pour améliorer, là... Il y a des choses qui sont très bien dans le projet de loi, il ne faut pas les mettre trop contraignantes ou trop lourdes administrativement, parce que ça va nous mettre plus de temps à faire ça... créer de la valeur ou de rendre des services aux citoyens.

C'est plus cette préoccupation-là qu'on tenait à vous adresser à vous, les membres de la commission.

Mme Weil : Merci. Merci beaucoup, monsieur.

Le Président (M. Bachand) : Merci. Ça va? M. le député de Gouin, pour 2 min 50 s, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour. Merci d'être avec nous. Merci, M. Thibault, d'être là. J'ai peu de temps, je vais aller droit au but. Est-ce qu'il y a, en ce moment, des ententes de communication qui permettent à la Régie de l'assurance maladie du Québec de partager des données médicales directement ou indirectement avec des entreprises privées?

M. Thibault (Marco) : Non, pas à ma connaissance, il n'y en aurait pas eu dans l'histoire.

M. Nadeau-Dubois : Merci. Est-ce que vous connaissez le projet Precinomics?

M. Thibault (Marco) : Non. J'en ai entendu parler, je l'ai vu dans les médias, mais non.

M. Nadeau-Dubois : O.K. Est-ce qu'il y a des ententes entre la Régie de l'assurance maladie du Québec, directement ou indirectement, pour transférer des données vers le projet Precinomics?

M. Thibault (Marco) : Aucune entente avec la Régie de l'assurance maladie du Québec avec ce projet.

M. Nadeau-Dubois : Est-ce qu'il y en a, des ententes, avec l'Institut national d'excellence en santé et en services sociaux?

M. Thibault (Marco) : Tout à fait.

M. Nadeau-Dubois : Est-ce qu'une de ces... Est-ce qu'en vertu d'une des ententes entre la RAMQ et l'INESSS, il serait possible à l'INESSS de transmettre des données au projet Precinomics?

M. Thibault (Marco) : Normalement, non. Normalement, non. L'entente que nous lui donnons, c'est pour l'usage exclusif de l'INESSS.

M. Nadeau-Dubois : Donc, il n'y a aucune clause...

M. Thibault (Marco) : Et l'INESSS doit rendre compte, si vous me permettez...

M. Nadeau-Dubois : Oui, allez-y.

M. Thibault (Marco) : L'INESSS doit rendre compte de l'utilisation des renseignements que nous lui proposons par entente. Elle le fait de façon annuelle à la Commission d'accès à l'information.

M. Nadeau-Dubois : Parfait. Donc, il n'y a aucune clause d'aucune entente entre la RAMQ et l'INESSS, qui permettrait à l'INESSS de transmettre des données au projet Precinomics?

M. Thibault (Marco) : À ma connaissance, non.

M. Nadeau-Dubois : O.K. Connaissez-vous le projet ARCHI?

M. Thibault (Marco) : Pardon?

M. Nadeau-Dubois : Connaissez-vous le projet ARCHI?

M. Thibault (Marco) : Je l'ai vu, je pense, dans les médias, mais nous, on n'est pas associés.

M. Nadeau-Dubois : Donc, il n'y a aucune collaboration entre... la RAMQ n'est pas impliquée d'aucune manière dans le projet ARCHI?

M. Thibault (Marco) : Projet ARCHI, c'est... Non, ce n'est pas la régie. On n'a pas d'entente dans ce projet-là.

M. Nadeau-Dubois : Parfait. Est-ce que le cadre légal actuel, celui qui vous régit actuellement, permettrait à la RAMQ de transmettre des informations soit directement, soit via l'INESSS, au projet Precinomics?

M. Thibault (Marco) : Il faudrait que je voie la nature du projet, qui est le détenteur. Il faudrait qu'il passe à travers un projet d'éthique... comité d'éthique d'un chercheur. Il faudrait qu'il passe l'étape de la Commission d'accès à l'information en termes de règles, probité. Ça fait qu'honnêtement je n'en ai aucune idée, s'il passerait ces étapes-là ou pas. Je ne le connais pas, ça fait que je m'aventurerais sur un terrain très glissant.

M. Nadeau-Dubois : Merci. Est-ce que vous avez... Est-ce que la RAMQ a déjà été approchée par des entreprises privées pour transmettre des données? Est-ce qu'il y a un intérêt du secteur privé pour les données que vous détenez?

M. Thibault (Marco) : Moi, je n'ai pas été rencontré. Ça fait deux ans que je suis ici, je n'ai pas été rencontré, Mme Marceau non plus. L'entreprise privée, ce qu'elle nous a demandé, et ça, c'est vrai, parce que c'est disponible, ce sont des données statistiques, aucun renseignement. Donc, on n'envoie pas des banques. Les gens vont nous demander : Combien il y a eu d'arthroplasties du genou? Combien il y a eu d'arthroplasties de la hanche? Combien il y a eu de valves aortiques qui ont été posées? Donc, c'est des choses de cette nature-là, très statistiques, sur des tableaux formatés, qu'il n'y a pas de données de renseignements personnels.

M. Nadeau-Dubois : Est-ce que... Dans un article du...

M. Thibault (Marco) : Et ça, c'est le même genre de demande que, parfois, les parlementaires nous font ou les médias. Ça fait que c'est identique.

M. Nadeau-Dubois : Parfait. Oui. J'ai peu de temps. Dans un article du 28 août, publié dans LeJournal de Montréal, on parle... on cite une déclaration du cabinet du ministre délégué à la Santé, à l'effet qu'il y aurait des échanges entre l'INESSS et le projet Precinomics. Est-ce que je comprends de vos réponses à mes questions aujourd'hui que ces échanges-là n'ont pas lieu?

M. Thibault (Marco) : Bien, en ce qui nous concerne, la régie, nous... mais là je ne peux pas témoigner sur cet élément-là.

M. Nadeau-Dubois : Parfait. Merci.

Le Président (M. Bachand) : Merci. M. le député de René-Lévesque, s'il vous plaît.

M. Ouellet : Merci. On va continuer dans la même veine. Messieurs, mesdames, merci de votre présence tardive ce soir. Je voudrais savoir si, effectivement, il y avait échange d'information entre la RAMQ et d'autres chercheurs. Est-ce que ces données-là devraient être détenues au Québec seulement ou elles pourraient être transférées sur des serveurs ailleurs?

Mme Marceau (Sonia) : Bien, en fait — veux-tu que je prenne la parole? — si je peux me permettre, au niveau des chercheurs, première des choses, jusqu'à maintenant, on fait affaire seulement avec des chercheurs du public, et les chercheurs passent par un processus qui est déjà très rigoureux, comme M. Thibault disait, auquel cas il y a déjà un comité d'éthique qui est, habituellement, attaché à une institution universitaire la plupart du temps. Et donc ils passent au travers d'un comité éthique, ensuite ils passent à la Commission à l'accès à l'information, qui est toujours celle qui s'occupe de rédiger les ententes avec les chercheurs. Toutefois, une fois que la CAI a donné son autorisation, elle passe chez nous après, pour une deuxième autorisation, dans le fond, considérant notre régime restrictif. Donc, habituellement, dans ces ententes-là, est regardé l'hébergement des données, et tout, et, jusqu'à ce jour, ces données-là sont conservées, là, au Canada, là, ou au Québec dans les institutions qu'on a reconnues.

Donc, à notre connaissance, non. Il y a des règles préétablies, et tout, qu'ils doivent respecter, là, pour... et qu'il revient à eux de respecter, là, dans le cadre de la protection des renseignements et il y a aussi des règles de destruction des données après un certain temps aussi, là. Donc, on respecte vraiment notre politique de cycle d'information. Donc, jusqu'à ce jour, on n'aurait pas eu connaissance qu'il y aurait eu des informations qui auraient pu être transmises, là, à l'extérieur.

M. Ouellet : Je comprends que ce n'est pas arrivé, mais est-ce que ça pourrait arriver? C'est-à-dire que les gens qui demandent effectivement accès... Vous faites référence à des demandes passées pour lesquelles la demande publique était sur des serveurs canadiens, mais est-ce qu'on pourrait penser qu'il y aurait effectivement des demandes qui transiteraient ces informations-là sur des serveurs ailleurs dans le monde?

Mme Marceau (Sonia) : Bien, moi, je pense que des consortiums de chercheurs pourraient, là, à un certain point, avoir un certain partage, mais...

M. Thibault (Marco) : ...à ce moment-là de voir si c'est applicable en fonction de nos règles. À ce moment-ci, ça ne s'est pas présenté, mais c'est difficile de vous dire est-ce que c'est permis ou pas à ce moment-ci.

M. Ouellet : Est-ce que vous auriez l'expertise, justement?

M. Thibault (Marco) : Je sais qu'il y a une volonté gouvernementale, si vous me permettez, de vouloir garder l'ensemble des données et renseignements au Québec, en sol québécois.

M. Ouellet : Donc, est-ce que vous auriez l'expertise pour évaluer le régime de protection des données hors Québec?

M. Thibault (Marco) : Est-ce que...

Mme Marceau (Sonia) : ...on serait l'expertise.

M. Thibault (Marco) : Est-ce qu'on serait l'expertise, nous? Non. On ne détient pas cette expertise-là.

M. Ouellet : O.K. Donc, ça serait la Commission d'accès à l'information qui serait le premier filtre?

M. Thibault (Marco) : Bien, c'est un de ceux qui peuvent nous aider là-dedans pour être capable d'établir ces éléments-là, indéniablement...

M. Ouellet : O.K. Le temps?

Le Président (M. Bachand) : ...allez-y rapidement, oui.

M. Ouellet : Donc, vous comprenez notre interrogation, à savoir si, dans le projet de loi en question, il ne serait pas lieu d'intervenir pour s'assurer que, minimalement, les données qui seraient échangées, avec des compagnies tierces ou des chercheurs tiers, soient faites sur des serveurs sur le territoire québécois ou exclusivement canadien. Est-ce que vous seriez d'accord avec ça?

M. Thibault (Marco) : Bien oui, et l'enjeu, c'est... Votre question soulève un autre élément et qui... là, qui mériterait d'être débattu par les parlementaires, à savoir jusqu'où on veut ouvrir ailleurs qu'à ces instituts de recherche publics. Et, à ce moment-ci, c'est l'orientation avec laquelle nous, nous travaillons, rester à l'intérieur du...

M. Ouellet : Merci beaucoup.

M. Thibault (Marco) : ...avec laquelle nous travaillons.

Le Président (M. Bachand) : Sur ce, M. Thibault, Mme Marceau, merci beaucoup de votre participation à la commission, c'est fort apprécié. Et je vous souhaite une supersoirée.

Et la commission suspend ses travaux pour quelques instants. Merci beaucoup.

(Suspension de la séance à 20 h 15)

(Reprise à 20 h 18)

Le Président (M. Bachand) : À l'ordre, s'il vous plaît! La commission reprend ses travaux. Ça nous fait plaisir d'accueillir les représentants de la Commission d'accès à l'information du Québec. Alors, comme vous savez, vous avez 10 minutes de présentation, mais j'aimerais d'abord que vous vous présentiez pour que vous puissiez débuter votre exposé, et après on aura un échange avec les membres de la commission. Donc, merci d'être avec nous ce soir. Vous êtes nos derniers invités. Alors, donc, très heureux de finir avec vous. La parole est à vous. Merci.

Commission d'accès à l'information (CAI)

Mme Poitras (Diane) : Merci, M. le Président. Alors, bonjour... bonsoir, en fait. Je suis Diane Poitras, présidente de la Commission d'accès à l'information, et je suis accompagnée de Me Jean-Sébastien Desmeules, secrétaire général et directeur des affaires juridiques. C'est avec plaisir que nous avons accepté l'invitation d'échanger avec vous au sujet du projet de loi n° 64 visant à moderniser les lois de protection des renseignements personnels au Québec.

La commission a maintes fois souligné que ces lois, adoptées au siècle dernier, ne protègent pas adéquatement les citoyens à l'ère du numérique. D'emblée, la commission se réjouit du dépôt de ce projet de loi qui propose une réforme majeure s'inspirant de lois modernes adoptées ailleurs dans le monde et de recommandations qu'elle a formulées dans ses rapports quinquennaux. Les modifications proposées sont audacieuses, ambitieuses, mais nécessaires. Bien que notre mémoire formule plusieurs recommandations, notre appréciation générale du projet de loi est positive. Ces recommandations sont plutôt le reflet de notre enthousiasme à contribuer à bonifier cette réforme. Ces lois sont au coeur de notre mission, et nous les interprétons tous les jours, depuis 38 ans, dans le secteur public, et 26 dans le secteur privé. Un régime clair et complet simplifie son application et favorise le respect des obligations et des droits qu'il contient.

Le projet de loi propose des solutions concrètes à plusieurs enjeux de protection des renseignements personnels. Par exemple, on introduit les éléments visant à responsabiliser les organisations et à améliorer la transparence de leurs pratiques en matière de protection des renseignements personnels. De telles obligations sont déjà incluses dans les autres lois canadiennes applicables au secteur privé. Cela rejoint donc la préoccupation d'uniformisation des règles que certains intervenants ont exprimée. On ne saurait négliger l'importance de pratiques transparentes, respectueuses et loyales sur la confiance des citoyens. Selon un sondage réalisé pour la commission, 91 % des répondants se préoccupent de la protection accordée à leurs renseignements, au point de faire davantage affaire avec des entreprises qui possèdent une bonne réputation dans ce domaine.

• (20 h 20) •

Un autre aspect positif du projet de loi est l'assujettissement des partis politiques à des règles de protection des électeurs, des renseignements au sujet des électeurs. Toutefois, l'encadrement proposé est limité. Il ne vise pas tous les partis politiques ni tous les renseignements personnels qu'ils détiennent. Par souci de concision, je dirai simplement que nous abondons dans le sens des recommandations formulées par le Directeur général des élections. Aussi, bien qu'elle propose certaines améliorations, la commission salue les nouveaux droits offerts aux citoyens et les mesures relatives aux incidents de confidentialité. Ces dernières permettront à la commission de s'assurer que les mesures essentielles soient prises rapidement pour protéger les renseignements des citoyens. Elles lui permettront aussi d'avoir un portrait plus juste des causes, des incidents de sécurité pour mieux intervenir auprès des organisations afin de les prévenir.

Au chapitre du consentement maintenant, la commission souligne la pertinence des modifications proposées. Toutefois, vous l'avez constaté, plusieurs remettent en question l'efficacité du consentement dans certaines situations. C'est pourquoi la commission propose de limiter, voire d'interdire la collecte ou l'utilisation de renseignements personnels en certaines circonstances, particulièrement préjudiciables ou intrusives, par exemple certaines utilisations des renseignements génétiques ou biométriques.

J'ouvre ici une parenthèse pour préciser qu'au Québec, même si le consentement conserve une place importante, la loi prévoit déjà d'autres bases juridiques autorisant la collecte, l'utilisation ou la communication de renseignements personnels. Les modifications proposées par le projet de loi vont dans le même sens. Par exemple, le consentement n'est pas requis pour recueillir un renseignement auprès de la personne concernée. Une entreprise doit avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels. Elle doit déterminer, avant leur collecte, à quelles fins elles serviront et ne recueillir que les renseignements nécessaires à ces finalités. Elle en informe la personne concernée. Ce n'est donc que si une entreprise souhaite utiliser les renseignements personnels qu'elle détient à de nouvelles fins ou les communiquer à des tiers qu'elle doit obtenir le consentement de la personne concernée.

La loi prévoit déjà plusieurs communications qui peuvent être effectuées sans consentement. Le projet de loi en propose de nouvelles. Il propose aussi de permettre l'utilisation à des fins compatibles à celles de leur collecte. Pour la commission, ces mesures permettent un équilibre entre les droits des citoyens et les obligations des entreprises. Toutefois, le libellé de l'article qui prévoit les modalités de ce consentement pourrait effectivement être clarifié afin de respecter l'objectif poursuivi sans imposer de fardeau inutile aux entreprises.

Au chapitre des améliorations sur lesquelles j'aimerais insister, j'en soulignerai quatre. D'abord, la commission formule des recommandations concernant les définitions de renseignements personnels dépersonnalisés et anonymisés. Puisqu'elle détermine quelles règles sont applicables à chacune de ces catégories, il importe qu'elles soient clairement définies.

Deuxièmement, la commission formule plusieurs recommandations concernant les enjeux soulevés par le recours à l'intelligence artificielle et la biométrie. Leur utilisation répandue comporte des risques accrus pour la vie privée qu'il importe de considérer davantage dans la présente étude du projet de loi. Par exemple, en matière d'intelligence artificielle, les dispositions proposées pour l'encadrement des décisions entièrement automatisées nous apparaissent insuffisantes pour assurer des décisions transparentes et équitables, bien qu'elles soient intéressantes.

Les dispositions visant plus de transparence de la part des entreprises qui recueillent des renseignements à des fins de profilage pourraient aussi être améliorées. En effet, le profilage constitue une pratique comportant un haut risque d'atteinte à la vie privée des individus et à d'autres droits fondamentaux. Quant à la biométrie, la législation actuelle ne permet pas d'encadrer adéquatement certaines de ses utilisations. Le caractère intime, unique et permanent des renseignements biométriques en font des renseignements particulièrement sensibles dont la collecte et l'utilisation posent des risques importants pour les individus. Les nombreuses critiques formulées au sujet de l'utilisation de la reconnaissance faciale, à des fins de surveillance, témoignent de la nécessité de profiter de ce projet de loi pour baliser certaines utilisations de la biométrie et de l'intelligence artificielle.

Troisièmement, au chapitre de la communication de renseignements personnels, le projet de loi introduit de nouvelles exceptions à l'obtention du consentement dans le secteur public. Sans remettre en question la légitimité des objectifs poursuivis, elle tient à souligner que ces exceptions doivent être limitées, suffisamment encadrées et viser une finalité clairement définie dans la loi. Aussi, il importe d'évaluer l'impact des exceptions prévues aux lois sectorielles, qui prévoient des régimes de protection plus stricts. Le respect de la vie privée n'est souvent pas le seul objectif poursuivi par la confidentialité plus grande accordée à ces renseignements sensibles. Mais surtout, la question de l'accès aux données à des fins de recherche doit trouver une solution complète dans ce projet. C'est pourquoi la commission propose un régime similaire à celui des entités prescrites qui prévaut en Ontario. Il permettrait de simplifier l'accès aux renseignements de santé pour les chercheurs tout en protégeant les renseignements personnels de manière optimale.

Enfin, bien que la commission propose quelques modifications au régime de sanctions administratives, pécuniaires et pénales, la possibilité que de telles sanctions dissuasives soient imposées aux organisations qui ne protègent pas les renseignements personnels est essentielle. Face aux inquiétudes soulevées par certains intervenants, elle tient à souligner qu'elle continuera à utiliser, avec discernement, les différents outils à sa disposition dans le seul objectif de favoriser le respect des lois qu'elle est chargée de surveiller. Ceci dit, la commission propose de prévoir des montants fixes pour certains manquements précis tout en conservant l'approche générale retenue par le projet de loi de pouvoir imposer un montant maximal pour les manquements les plus graves.

En conclusion, la commission considère que le projet de loi envoie un message clair de l'importance qu'accorde le Québec à la protection des renseignements personnels de ses citoyens. Cette importance doit aussi se traduire dans les ressources accordées à l'organisme de contrôle chargé de voir à son application. Comme l'ont souligné plusieurs intervenants, la commission doit pouvoir disposer des ressources nécessaires pour accomplir, de manière efficace, l'ensemble des volets de sa mission, qui sont nombreux. Au 31 mars dernier, elle pouvait compter sur 67 personnes. C'est le même nombre qu'il y a 10 ans et à peine plus qu'il y a 20 ans.

Or, le nombre et la complexité des dossiers soumis à la commission ne cessent d'augmenter. Le sous-financement de la commission nuit à une mise en oeuvre efficace et effective de ces lois. Comme en témoigne son dernier rapport annuel, la commission a démontré que l'ajout de sommes supplémentaires influence directement sa capacité à traiter les dossiers qui lui sont soumis. Par exemple, en un an, elle a pu réduire de quatre mois les délais de traitement de certains dossiers de la section juridictionnelle et doubler le nombre de plaintes traitées par la section de surveillance.

J'en profite pour souligner l'extraordinaire travail accompli par l'équipe de la commission et je les remercie chaleureusement. Je vous remercie de votre attention, et il me fera plaisir d'échanger avec vous au cours des prochaines minutes.

Le Président (M. Bachand) : Merci beaucoup, Me Poitras. M. le ministre, s'il vous plaît.

M. Jolin-Barrette : Oui. Bonjour, Me Poitras, Me Desmeules. Merci de participer à l'étude... bien, en fait, aux consultations du projet de loi n° 64.

Me Poitras, pour reprendre la balle au bond, vous dites, vous avez un nombre limité de ressources relativement à votre financement. Là, je sais qu'il y a 3 millions sur, je pense, trois ans qui vous a été octroyé l'an... il y a deux ans aussi. Combien de ressources supplémentaires ça vous prendrait, en lien avec le projet de loi n° 64, pour ne pas avoir de retard et réaliser le mandat qui vous est confié... qui vous sera confié?

Mme Poitras (Diane) : Je vous remercie pour la question. Ce n'est pas une analyse qu'on a faite actuellement. Il nous fera plaisir de faire cette analyse et de... Je ne voudrais pas lancer un chiffre comme ça, mais c'est sûr que ça prend un financement, un rehaussement important du financement de la commission.

M. Jolin-Barrette : O.K. Mais quand vous me dites : Ça nous prend un rehaussement important... mais vous ne l'avez pas évalué. Actuellement, là, supposons que vous nous dites : Bon, bien, les ressources n'ont pas suivi... mais vous n'êtes pas capables de nous chiffrer combien de plus ça vous prend.

Mme Poitras (Diane) : Non, en effet. Pour nous, on attend de voir le projet de loi, tant que le projet de loi n'est pas adopté... pour voir quelles sont, de façon effective, les nouvelles fonctions qui nous seront attribuées. On n'a pas fait cette évaluation, évaluation qu'on fera avec tout le sérieux quand le temps sera... quand ce sera requis.

• (20 h 30) •

M. Jolin-Barrette : O.K. Mais sous réserve de l'adoption du projet de loi, sous réserve du travail des parlementaires qui sera effectué au cours des prochaines semaines, des prochains mois... Le projet de loi a été déposé en juin. J'invite la Commission d'accès à l'information à faire cette réflexion-là, surtout que ça fait depuis le mois de juin qu'il est déposé. Donc, je vous entends sur le fait que vous souhaitez davantage de ressources. Ça aurait été bien de le dire dans le cadre de la commission ce soir, si vous dites : Ça nous prend davantage de ressources supplémentaires, peut-être, de faire une évaluation lorsqu'on réclame des ressources supplémentaires.

Bon, vous souhaitez qu'on assujettisse tous les partis politiques à la loi sur le secteur privé, incluant les partis politiques municipaux?

Mme Poitras (Diane) : Bien, je dirais, un peu à l'instar de ce que fait la Colombie-Britannique, disons, la loi, là, sur le secteur privé a des dispositions qui ressemblent essentiellement à ce qu'on peut avoir au Québec. On pense que ça peut être bien de protéger les renseignements personnels tout en permettant aux partis politiques d'accomplir les différentes fonctions ou d'entrer en contact avec les citoyens.

M. Jolin-Barrette : O.K. Vous souhaitez qu'on assujettisse les partis politiques à l'égard de l'ensemble des renseignements personnels qu'ils détiennent et pas juste en fonction de ceux des électeurs et vous ne voulez pas qu'on prévoie d'exceptions applicables aux partis politiques en ce qui concerne la destruction, l'utilisation aussi.

Mme Poitras (Diane) : En fait, on part du principe que, si le régime général peut s'appliquer, comme il se fait en Colombie-Britannique ou même dans d'autres juridictions... On part du principe que le régime général pourrait s'appliquer. Puis, quant à la portée des renseignements personnels, les partis politiques détiennent aussi des renseignements au sujet des bénévoles, des employés, des candidats, par exemple. Donc, on pense que ces renseignements personnels qu'ils détiennent méritent la même protection.

M. Jolin-Barrette : O.K. Je comprends de cela que vous ne voulez pas avoir de régime distinct pour les partis politiques. Dans le fond, il faut que ce soit traité de la même façon que n'importe quel tiers privé qui aurait accès à des renseignements personnels.

Mme Poitras (Diane) : En fait, c'est sûr que... S'il y a une particularité de parti politique qui nécessite ou qui fait qu'une disposition de la loi n'est pas applicable à un parti politique, c'est sûr qu'on pourrait en faire une exception. Mais on pense que ce serait plus simple de les assujettir à la loi générale, au régime général puis, le cas échéant, de faire des exceptions, mais, encore une fois, on part du principe que la plupart de ces dispositions-là s'appliquent dans d'autres juridictions sans que ça nuise au travail des partis politiques.

M. Jolin-Barrette : O.K. Vous nous invitez aussi à préciser la définition de «renseignements personnels», parce qu'elle est trop large, cette définition-là. Qu'est-ce qui... Comment est-ce que vous pensez qu'on devrait la préciser?

Mme Poitras (Diane) : En fait, on constate qu'il y a une certaine confusion. Comme elle détermine le champ d'application de la loi, elle est très simple, hein : «Qui concerne une personne physique et permet de l'identifier.» On pense qu'on pourrait... on devrait la préciser à l'ère du numérique parce qu'on constate qu'il y a une certaine confusion de la part des organisations, qui pensent que, simplement en retirant des identifiants directs, on ne peut plus identifier une personne, donc que les dispositions de la loi ne s'appliquent pas.

Alors, on constate qu'il y a une proposition de parler de renseignements dépersonnalisés, mais on pense qu'on devrait préciser, en s'inspirant, par exemple, de la définition du RGPD, qu'est-ce qu'on a à faire par... permettre d'identifier, dans cette définition-là, par exemple, directement, indirectement. On pense aussi qu'elle devrait inclure les renseignements qui sont inférés, c'est-à-dire qu'un renseignement qui concerne une personne physique et permet de l'identifier... Les renseignements qui sont inférés ou déduits par les systèmes d'intelligence artificielle, par exemple, devraient clairement être identifiés comme étant visés par le champ d'application de la loi.

M. Jolin-Barrette : O.K. Sur un autre sujet, là, vous dites : On devrait intégrer les dispositions de la Loi concernant le cadre juridique des technologies de l'information, concernant la biométrie, dans la loi sur l'accès et dans la loi sur le secteur privé. Donc, ça fait un petit bout qu'on n'a pas touché à cette loi-là, là, concernant le cadre juridique des technologies de l'information. Donc, vous voulez qu'on importe ça puis qu'on amène ça dans les deux lois, dans la loi publique et dans la loi privée. Pourquoi?

Mme Poitras (Diane) : En fait, d'abord, parce que l'objectif... La première raison, c'est parce qu'on constate qu'il y a beaucoup d'entreprises qui ne sont pas au courant qu'il y a des règles relatives à la protection des renseignements personnels qui sont contenues ailleurs que dans la loi générale. Et la loi-cadre est une loi dont les objectifs ne sont pas la protection des renseignements personnels, mais bien l'équivalence des documents, bon, etc., pour assurer une certaine sécurité juridique de... les équivalences des documents électroniques, mais ce qui fait que les entreprises et les organismes ont tendance à ne pas être au courant de ces dispositions-là. On pense que ça bénéficierait aussi que ça soit dans les lois, parce qu'on pourrait... Ces dispositions sont assez importantes pour bénéficier de la prépondérance qui est accordée aux dispositions des lois publiques et privées.

M. Jolin-Barrette : O.K. Juste avant vous, on a eu la Régie de l'assurance maladie du Québec qui disait qu'il y avait plus d'une centaine d'ententes de communication et qui étaient ensuite approuvées par la Commission d'accès à l'information. Vous, vous dites que vous devriez avoir le pouvoir de suspendre l'entrée en vigueur d'une entente ou d'interdire la communication. Comment ça se passe, là, présentement, là, avec les organismes publics qui ont des renseignements et qui veulent faire une entente entre ministères, tout ça? Expliquez-nous un petit peu la mécanique, là, de l'approbation par la Commission d'accès à l'information. Comment ça fonctionne chez vous?

Mme Poitras (Diane) : En fait, présentement, le projet d'entente est soumis à la commission. Il y a un analyste-enquêteur de la direction de la surveillance qui va analyser le projet, qui va entrer en contact aussi avec les organismes. Et, un peu comme on vous l'a mentionné, il y a beaucoup de travail qui se fait à ce niveau-là pour peaufiner l'entente. S'il voit qu'il y a un problème, que l'entente n'est pas tout à fait conforme, que les mesures de sécurité ne sont pas suffisantes, il va faire un travail pour inciter les deux organismes à régler ces problèmes-là, ce qui fait qu'au final, effectivement, souvent, l'avis de la commission est favorable, parce que, la deuxième étape, c'est qu'il y a l'avis. Une fois que l'enquêteur considère que le dossier est complet, c'est soumis à un commissaire en surveillance qui va autoriser l'avis favorable ou défavorable au sujet de l'entente.

M. Jolin-Barrette : Puis est-ce que c'est déjà arrivé à la Commission d'accès à l'information d'émettre des recommandations défavorables par rapport aux ententes?

Mme Poitras (Diane) : À tout le moins, je sais qu'on a sûrement déjà émis des avis d'intention, parce qu'avant d'émettre un avis défavorable on émet un avis aux organismes en indiquant qu'est-ce qu'on trouve qui est... qu'est-ce qu'on pense qui n'est pas conforme, et donc, s'ils ne corrigent pas la situation, on pourrait émettre un avis défavorable. Je pense que, dans la plupart... La plupart du temps, ils vont se corriger, mais, peut-être, Me Desmeules...

M. Desmeules (Jean-Sébastien) : C'est déjà arrivé à de rares occasions, effectivement, que des avis défavorables ont été émis.

M. Jolin-Barrette : O.K. Et puis, maintenant, vous voulez, dans la loi, qu'on prévoie un pouvoir d'interdire la communication puis de suspendre l'entrée en vigueur.

Mme Poitras (Diane) : En fait, c'est que vous proposez que l'avis de la commission ne soit plus requis. Le projet de loi propose que l'avis de la commission ne soit plus requis et qu'on nous envoie simplement l'entente, qu'elle entre en vigueur dans les 30 jours. Si on prend pour acquis qu'on envoie le projet d'entente à la commission, c'est sûr qu'on s'attend qu'il faut réagir dans les 30 jours si on voit qu'elle n'est pas conforme ou encore si l'évaluation des... à la vie privée, là, ne serait pas suffisamment sérieuse, on va le dire comme ça. Donc, il faut qu'on puisse intervenir avant que la communication ait lieu. Sinon, il est un peu tard.

M. Jolin-Barrette : O.K. Vous voulez aussi qu'on retire la possibilité qu'une plainte puisse être déposée sous le couvert de l'anonymat.

Mme Poitras (Diane) : En fait, on s'interroge plutôt sur l'objectif qui est poursuivi. Est-ce que l'objectif est de permettre à une personne de déposer une plainte anonyme? Auquel cas, tout ce qu'on dit, c'est que certaines plaintes, on pourrait avoir de la difficulté à les traiter si la personne, sous le couvert de l'anonymat, par rapport à nous, nous dit : Bien, moi, on a communiqué des renseignements à mon sujet de façon illégale. C'est très difficile, si c'est le couvert de l'anonymat. Si l'objectif est que la commission assure l'anonymat dans le cadre de l'enquête, ça, on peut le faire et on l'assure déjà en certaines circonstances, si c'est demandé et que l'enquête peut le permettre.

• (20 h 40) •

M. Jolin-Barrette : O.K. Je vous remercie.

Le Président (M. Bachand) : Merci. M. le député de Vachon, s'il vous plaît.

M. Lafrenière : Merci beaucoup. Me Poitras, Me Desmeules, merci. Une petite question de précision pour moi, s'il vous plaît.

La loi fédérale permet déjà à une entreprise d'informer une autre entreprise lorsqu'il survient un incident ou un bris de confidentialité. Je voyais dans vos recommandations que vous suggérez de ne pas aller de l'avant avec la loi provinciale. J'aimerais comprendre le pourquoi, s'il vous plaît.

Mme Poitras (Diane) : En fait, on s'interrogeait sur quel était l'objectif visé par cet ajout-là, et si c'était, par exemple, pour informer la police, on pense qu'on devrait le préciser. On s'interrogeait sur qu'est-ce qu'on vise exactement, quel genre d'entreprise on vise. On a vu, avec les fuites récentes, que, quand les entreprises proposent de faire affaire, par exemple, avec des agences de renseignements personnels, Equifax ou TransUnion, ce n'est pas tous les citoyens qui veulent profiter de cette protection ou qui veulent que leurs renseignements soient communiqués, sans le consentement, à ces entreprises-là. Je pense que certains souhaitent avoir le choix. Alors, c'était juste... On s'interrogeait sur l'objectif qui était poursuivi et quel genre de communication, quel genre d'entreprise ou d'organisme on... qu'est-ce qu'on avait en tête quand on a rédigé cette disposition-là.

M. Lafrenière : Justement, vous faites allusion à une fuite de données. Je pense qu'on a tous l'exemple en tête, mais, si on allait avec la notion d'urgence, justement, que cette information-là soit transmise pour éviter que la fuite continue dans le temps avec d'autres organismes, vous ne croyez pas que ce serait important de rajouter cet élément-là pour limiter la fuite, justement, de limiter les dommages?

Mme Poitras (Diane) : De mémoire, la disposition parle qu'on peut communiquer les renseignements concernant la personne concernée. Alors, je m'interroge sur... Quel genre d'information on doit communiquer? Est-ce qu'on doit juste dire : Attention, on a été victimes d'hameçonnage ou... de quel genre d'incident, attention à vous, entreprises, vous risquez d'être victimes du même genre d'incident?

Alors, encore une fois, on essaie de voir quel est l'objectif poursuivi et simplement de le circonscrire. On parle de gens qui ont été victimes d'un incident de sécurité et d'une possibilité de communiquer, sans leur consentement, des renseignements à une autre entreprise. On veut juste s'assurer que les circonstances et l'objectif qui est poursuivi est bien circonscrit dans la disposition.

M. Lafrenière : C'est plus une interrogation qu'une objection, de ce que je comprends. C'est bien ça?

Mme Poitras (Diane) : Oui, et peut-être une invitation à préciser la disposition, dans quelle situation ou quel genre d'entreprise est visée.

Le Président (M. Bachand) : Merci. M. le député de Chapleau, s'il vous plaît.

M. Lévesque (Chapleau) : Oui, merci, M. le Président. Me Poitras, Me Desmeules, bonsoir. Bien heureux d'être avec vous ce soir... que vous soyez avec nous, c'est-à-dire. Un peu en lien avec la question du ministre concernant les ressources et le financement, est-ce qu'au-delà de sommes que vous allez calculer il y aura d'autres ressources ou d'autres dispositions dont vous auriez besoin pour bien remplir le mandat qui vous serait confié, le cas échéant?

Mme Poitras (Diane) : Au niveau des ressources?

M. Lévesque (Chapleau) : Oui, au-delà du financement, les autres choses que vous pensez... Est-ce qu'il manque quelque chose dans le projet de loi? Est-ce qu'il manque quelque chose dans votre structure ou ainsi de suite?

Mme Poitras (Diane) : En fait, c'est sûr qu'on a formulé quelques recommandations au niveau des pouvoirs, bien que... d'améliorations au niveau des sanctions administratives, pécuniaires ou pénales pour bien préciser les régimes, de manière à ce qu'il n'y ait pas de contestation susceptible de venir paralyser l'efficacité du régime. On a aussi fait des recommandations sur la possibilité de réfléchir à des façons de prévoir d'autres modalités de financement pour la commission. Est-ce que l'utilisation des amendes, des sommes récoltées pour les amendes, un peu comme ça se fait en environnement, pour un fonds spécial pour indemniser les victimes, pour faire de la recherche, pour faire de la promotion, de l'accompagnement... Et ça, évidemment, il faudrait que ce soit prévu dans la loi.

M. Lévesque (Chapleau) : O.K., merci. C'est intéressant. Vous avez parlé, donc, de la question de la définition de renseignements personnels. Il y a un grand débat, là, bon, toute la question d'anonymité, de dépersonnalisation, j'aimerais peut-être vous entendre là-dessus.

Puis également, sur la question d'inférence, là, il y a eu des groupes qui sont venus nous parler que, malgré le fait que les données soient anonymes ou dépersonnalisées, il y a peut-être un risque, dans l'inférence, de retracer ou de retrouver qui était cette personne ou qui était cette entreprise derrière ces données-là. Peut-être vous entendre là-dessus. Est-ce que vous avez des craintes? Est-ce que c'est quelque chose qui vous occupe?

Mme Poitras (Diane) : En fait, oui. La plupart des experts s'entendent sur le fait qu'il est difficile... Le critère qui est dans le projet de loi, c'est-à-dire qu'il puisse être anonymisé de façon irréversible, est pratiquement impossible à atteindre. Alors, on vous proposerait l'approche qui est dans le RGPD. Mme Castets-Renard en a parlé plus tôt. Ils ont eu ce même débat et ils ont décidé de ne pas inclure la notion d'anonymiser dans les règles. Eux, ils ont prévu pseudonymiser. Ici, on parle de dépersonnaliser. C'est un petit peu la même approche. Donc, notre besoin est de clarifier la définition de renseignements personnels et peut-être de clarifier quelles utilisations on peut faire au niveau des renseignements dépersonnalisés.

M. Lévesque (Chapleau) : Merci beaucoup.

Le Président (M. Bachand) : Merci beaucoup. M. le député de LaFontaine, s'il vous plaît.

M. Tanguay : Oui, merci beaucoup, M. le Président.

Le Président (M. Bachand) : 13 min 36 s.

M. Tanguay : 13 min 36 s? Merci beaucoup. Alors, bonsoir. Merci d'être là pour répondre... bonsoir, Me Poitras, Me Desmeules... de répondre à nos questions. Je vais y aller, moi, également en rafale.

D'abord, premier élément, j'aimerais vous entendre sur votre recommandation n° 15 à la page 31 du mémoire. Sans lire la recommandation, vous dites : «De plus en plus, en effet, d'employeurs et associations intègrent la vérification d'antécédents judiciaires ou l'obtention d'un certificat de bonne conduite ou d'habilitation sécuritaire dans leurs pratiques, que cette exigence soit ou non prévue par la loi.» Puis vous demandez, donc, de limiter les circonstances... Quel problème essayez-vous de régler ici?

Mme Poitras (Diane) : En fait, on a constaté qu'il y a des pratiques à géométrie variable et que les antécédents judiciaires sont demandés. Parfois, on va... Les demandes sont très élargies par rapport à l'objectif qui est poursuivi. Alors, dans... Par exemple, en matière d'emploi, je peux... ce n'est pas toujours clair que la vérification des antécédents est liée à une exigence spécifique du poste, qui est un critère qui est dans la charte, premièrement.

Deuxièmement, on trouvait intéressante l'approche ontarienne dans laquelle ils encadrent les situations où on peut faire des vérifications, la portée de ces vérifications, est-ce qu'on va juste dans le punitif ou on va dans les fichiers des policiers, et surtout de s'assurer que la personne pour qui on va prendre une décision sur la base de ces vérifications puisse avoir accès à l'information. On a vu des cas, dans les demandes de révision, où des citoyens se font refuser la possibilité d'adopter à l'international, un emploi, un permis pour l'exercice d'une fonction quelconque, et ils ne savaient pas pourquoi, qu'est-ce qu'il y avait dans leur dossier qui faisait qu'on avait pris cette décision-là.

M. Tanguay : O.K., donc, un encadrement, un resserrement des cas de figure. Recommandation n° 17, page 33 du mémoire... recommandation n° 17 : «La commission recommande au législateur, dans le respect de la décision de la Cour suprême [...] loi [concernant] la non-discrimination génétique et des compétences de chaque palier de gouvernement, d'encadrer la collecte, l'utilisation, la communication, la conservation et la destruction des renseignements génétiques.» Dans le cas de la compétence du Québec, ici, ça prendrait quelle forme? On voudrait, donc, toucher à quelle réalité de façon tangible? Avez-vous des exemples?

Mme Poitras (Diane) : En fait, oui, c'est que le... d'interdire plus spécifiquement l'utilisation de renseignements génétiques ou d'exiger à une personne de consentir à la communication de renseignements de nature génétique à des fins d'emploi ou d'assurance.

M. Tanguay : O.K., et vous avez vu des cas où il y avait de la discrimination qui pouvait en découler. C'est ce qu'on veut empêcher. C'est ça?

Mme Poitras (Diane) : Tout à fait.

M. Tanguay : O.K. Et également, j'imagine, aussi, c'est des informations hautement sensibles. Donc, tout ce qui en suit, évidemment, là, on peut... Quand on le communique, on ne le contrôle plus. Alors, j'imagine qu'en l'encadrant, bien, on diminue le risque.

La recommandation n° 24, j'aimerais avoir vos commentaires peut-être de façon un peu plus générale, recommandation n° 24 en matière d'organismes privés, mais on a également une telle clause miroir, l'article 27, 70.1 de la loi sur le... l'évaluation des facteurs relatifs à la vie privée : Il doit notamment tenir compte des éléments suivants... Donc, c'est une clause qu'on retrouve dans le domaine public puis dans le domaine privé : évaluation de facteurs, notamment la sensibilité du renseignement, la finalité de son utilisation, les mesures de protection, régime juridique applicable.

Ce qui nous a été dit, c'est que — c'est l'espérance qui a été exprimée — la Commission d'accès à l'information puisse notamment offrir des guides pour aider à comprendre ce dont il s'agit ici, parce que ce qui peut être raisonnable pour un ne l'est peut-être pas pour l'autre, ce qui est suffisant pour un ne l'est peut-être pas pour l'autre.

Trouvez-vous que, tel que rédigé, de un, c'est suffisamment précis? Est-ce qu'on devrait être encore plus clair de ce qui est attendu? Et sur quelles bases, selon quels critères un peu plus concrets les personnes devraient juger... Et vous, dans un deuxième temps, je pense que vous avez pleinement conscience du fait qu'il va falloir réellement accompagner les décideurs et décideuses qui devront jongler avec ces concepts qui sont, somme toute, assez vagues.

Mme Poitras (Diane) : En fait, c'est une évaluation des facteurs à la vie privée. La commission a un petit peu pris d'avance. On a déjà un guide qui a été diffusé il y a quelques mois déjà, une première version d'un guide. On a le projet aussi de faire un gabarit et d'autres outils qui vont venir essayer d'accompagner les organisations publiques et privées qui auront à réaliser des évaluations de facteurs à la vie privée.

Par contre, je crois que vous vous référiez à l'article qui parle des communications hors Québec. Là-dessus, la commission convient qu'il y a sûrement moyen... Nous sommes d'avis qu'on pourrait miser sur l'objectif qui est poursuivi, c'est-à-dire de s'assurer d'une protection équivalente des renseignements qui sont communiqués hors Québec et que l'article, tel que rédigé, impose effectivement un fardeau quand même assez lourd aux organisations.

• (20 h 50) •

M. Tanguay : Deux dernières questions, puis je vais laisser l'occasion à ma collègue de Notre-Dame-de-Grâce de s'inscrire.

L'avant-dernière question, la commission... la recommandation n° 44 : «La commission recommande de préciser qu'elle a le pouvoir d'ordonner la production de documents et d'en faire l'examen, nonobstant le secret professionnel, le privilège relatif au litige ou tout autre privilège de confidentialité.» Vous dites que ça se fait déjà dans certaines lois québécoises, là, votre note de bas de page, 132. J'aimerais ça vous entendre là-dessus, sur... parce que, quand on parle notamment de secret professionnel, c'est assez hermétique, d'habitude, comme traitement, n'est-ce pas?

Mme Poitras (Diane) : En effet puis, en fait, c'est le secret professionnel ou d'autres privilèges. Je vais vous donner un exemple concret. Il peut arriver qu'on fasse une enquête sur une situation dans une organisation où on a des interrogations sur le fait qu'ils aient pris des mesures de sécurité adéquates. Il pourrait arriver qu'ils aient fait leur propre évaluation dans le but de se protéger contre des recours collectifs ou des recours de citoyens qu'ils auraient pu avoir. Bien, on pourrait nous invoquer le privilège relatif au litige pour refuser de nous communiquer cette évaluation-là qu'on juge pertinente dans le cadre de nos enquêtes.

Évidemment, on peut prévoir des modalités de confidentialité pour que les renseignements, tels que détenus par la commission, ne deviendraient pas pour autant accessibles et prévoir que ce n'est pas parce qu'on nous communique l'information que l'entreprise ou l'organisme renonce au secret professionnel ou au privilège relatif au litige. C'est une situation qui est vécue par mes homologues, et nous réclamons tous d'avoir cette disposition expresse, parce que ça prend une disposition expresse pour écarter le secret professionnel ou d'autres privilèges génériques comme le privilège relatif au litige. Et je crois que c'est la commissaire fédérale qui a obtenu une disposition, la loi qui est citée en bas de page.

M. Tanguay : C'est clair que ça, ça serait testé devant les tribunaux. Il faudrait voir, donc, le poids et le contrepoids que ça pourrait avoir par rapport... Entre autres, le secret professionnel entre avocat, client, il y aurait... Une question réellement... Peut-être que vous en traitez, là, dans votre mémoire, mais, de façon succincte, je vous poserais la question... Si, demain matin, la loi... Si d'aventure, demain matin, la loi était sanctionnée, quels seraient, pour vous, les délais de sa mise en application pour justement vous permettre d'être effectifs dans ce qui seraient, là, à la lumière de la mouture qui est devant nous, vos nouvelles responsabilités et obligations? Quels seraient les délais ou les fenêtres de mise en vigueur, en ce qui vous concerne, ou vous n'avez pas besoin de délais? Vous allez nous le dire.

Mme Poitras (Diane) : En fait, c'est sûr qu'on a besoin de délais. On pourrait penser à une mise en vigueur en paliers. C'est sûr que le volet pour lequel... qui va demander le plus de travail, c'est tout le volet des sanctions administratives pécuniaires. Il y a tout un régime à mettre en place, une procédure à adopter pour les critères, la même chose pour les sanctions pénales. Donc, ce régime-là, cette section-là de la loi pourrait entrer en vigueur par la suite. Mais pour le reste, là, un an, il n'y aura pas de problème, avec les ressources nécessaires, évidemment.

Le Président (M. Bachand) : Merci. Mme la députée de Notre-Dame-de-Grâce.

Mme Weil : Oui. Alors, bonsoir, Me Poitras, Me Desmeules. On a beaucoup parlé de vous pendant la consultation. Vous avez peut-être suivi... On parlait de, comment dire, comment faire en sorte de prévoir un accompagnement de votre part pour des plus petites entreprises qui, face aux obligations que contient la loi, une fois qu'elle sera adoptée, seraient débordées, dépassées, incapables, sans l'expertise possible... sans les ressources humaines ni financières, etc.

Et donc on a posé la question à plusieurs intervenants, experts, qui ont dit : Oui, en effet, ce serait une très bonne idée... et que la CAI puisse aussi fournir des guides, vraiment, des orientations pour tous ceux... On était beaucoup... Je vous dirais, au tout début, c'était plus le secteur des entreprises qui doivent... qui auront à respecter la loi, mais qui n'ont pas les compétences pour le faire... mais d'autres enjeux et d'autres intervenants qui touchent d'autres domaines de l'activité humaine qui feraient en sorte qu'ils sont soumis.

Comment vous voyez ce rôle? Est-ce que vous l'avez envisagé auparavant? J'imagine, lorsque la loi a été... ou le projet de loi a été déposé... mais là on a été un peu plus concrets avec des exemples. On a parlé de l'Europe, justement, avec des pénalités très sévères, d'une part, mais, en même temps, il y a un accompagnement pour justement éviter que les organismes se trouvent dans le trouble, n'ayant pas respecté la loi. Juste peut-être vous entendre sur ce rôle-là que vous auriez ou qui pourrait vous être attribué.

Mme Poitras (Diane) : Alors, oui, merci pour cette question. Oui, nous avons envisagé ce rôle. Ça fait même partie d'une des orientations dans notre planification stratégique 2019‑2023. Pour la commission, ce qui est important, c'est que les entreprises et les organismes respectent la loi. On a tout intérêt, en prévention, à ce qu'ils comprennent bien leurs obligations, qu'ils aient des outils pour bien l'appliquer et la respecter. Ça fait moins de travail en surveillance, par la suite, pour nous. Notre objectif, c'est d'éviter les mailles.

Et je vous dirais qu'on a tenté, à la hauteur de nos moyens, de fournir des guides. On a le guide dont je vous parlais, sur l'évaluation des facteurs relatifs à la vie privée. On a fait un guide sur la biométrie. Notre site Internet en contient quelques-uns. Bien sûr, on pourrait en faire d'autres en ayant les ressources nécessaires. Et, comme je vous le dis, l'objectif ultime, c'est que la loi soit respectée, ce n'est pas d'imposer des sanctions à des entreprises qui ne veulent que respecter la loi.

D'ailleurs, une petite parenthèse, en ce moment, quand on a une plainte, le premier contact qu'on fait avec l'entreprise, c'est clair que, si l'entreprise veut se conformer, ça ne se rendra pas en enquête. Le dossier va être fermé. On va expliquer à l'entreprise qu'est-ce qu'elle doit faire pour se conformer, puis le dossier peut être fermé. On ne s'amuse pas à faire des enquêtes puis à émettre des ordonnances dans ces situations.

Mme Weil : C'est une approche préventive, essentiellement, parce qu'ils sont de bonne foi, mais peut-être vraiment pas équipés. Les grands, par exemple, je pense qu'on a entendu Option Consommateurs nous donner un autre portrait, évidemment, de pratiques excessives, et, bon, on n'est pas là-dedans. C'était vraiment les PME ou les PPME et peut-être d'autres entreprises qui n'ont tout simplement pas les compétences.

Donc, dans un cas comme ça, est-ce que vous allez chercher, disons, dans certains domaines très techniques ou très avancés... mais, quand même, ce serait une petite entreprise. Je ne le sais pas exactement. Est-ce que vous, vous serez appelés à chercher des ressources externes parfois ou est-ce que vous voyez plus le rôle en termes d'explication de la loi, pas nécessairement l'implantation des mesures de protection de renseignements? C'est parce qu'il y a un aspect qui est très technique puis, l'autre aspect, c'est vraiment de comprendre le fond de la loi puis des obligations. Alors, dans ce cas-là, est-ce que vous entrevoyez peut-être d'être obligés parfois d'aller chercher des expertises à l'extérieur?

Le Président (M. Bachand) : Rapidement, Me Poitras, s'il vous plaît. Le temps file. Merci.

Mme Poitras (Diane) : En fait, je vous dirais que tous les moyens... Ce qu'on pense, c'est d'être le plus efficace possible quand on essaie de rejoindre les entreprises. Ça répond à votre question?

Mme Weil : D'accord. Merci.

Le Président (M. Bachand) : Merci beaucoup. M. le député de Gouin, s'il vous plaît.

M. Nadeau-Dubois : Merci, M. le Président. Bonjour, Me Poitras, Me Desmeules. Merci d'être avec nous ce soir en commission parlementaire. Je vais y aller rapidement.

Vous recommandez que les partis politiques soient soumis aux mêmes cadres juridiques que les entreprises privées. Ça contraste avec l'avis de la Commission en éthique sur les sciences et technologies, qui nous a dit plus tôt que les cadres juridiques devaient être pensés en fonction de la nature des organisations puis de leur finalité sociale. Je pense qu'on va tous convenir qu'une entreprise privée puis un parti politique, ça a des finalités sociales différentes. Pourquoi est-ce que, selon vous, il faudrait être indifférent à cette question-là et appliquer le même cadre juridique à une entreprise privée puis à un parti politique?

• (21 heures) •

Mme Poitras (Diane) : En fait, comme la protection des renseignements personnels dans la loi est organisée autour de la finalité poursuivie, je pense qu'il y a une place à ça. Et il ne faut pas voir le fait que vous êtes... que les partis politiques seraient assujettis aux mêmes règles que les entreprises. Il ne faut pas y voir qu'on les assujettit à des entreprises commerciales. Actuellement, les organismes à but non lucratif sont assujettis aux mêmes règles, et, comme je le mentionnais, ça fonctionne en Colombie-Britannique.

M. Nadeau-Dubois : Deuxième élément, votre recommandation n° 18, vous parlez de... votre mémoire parle de... Donc, vous recommandez de limiter ou d'interdire l'utilisation de renseignements personnels en certaines circonstances préjudiciables aux individus ou portant atteinte à leurs droits fondamentaux.

Concrètement, à quelles circonstances faites-vous allusion ici? Pouvez-vous nous donner des exemples?

Mme Poitras (Diane) : Tout à fait, l'exemple... j'ai parlé tout à l'heure d'utilisation des renseignements génétiques dans un contexte d'assurance ou d'emploi. On peut penser à l'utilisation biométrique... des renseignements biométriques, pardon, pour faire du profilage. Alors, prendre votre image pour, un exemple concret, là, prendre... Certains prétendent qu'à partir de votre image ils sont capables de déterminer votre orientation sexuelle. C'est le genre d'utilisation qu'on ne devrait pas faire.

M. Nadeau-Dubois : Oui. Seriez-vous capable de nous donner des exemples qui ne sont pas relatifs à des renseignements biométriques?

Mme Poitras (Diane) : Bien, les exemples d'utilisation de renseignements génétiques dont je vous parlais, c'est souvent, probablement les renseignements sensibles dont on va parler.

M. Nadeau-Dubois : Votre recommandation suivante, la n° 19, vous parlez de... Vous nous invitez à revoir et à préciser la définition de «fins compatibles». Comment faudrait-il, selon vous, la clarifier?

Mme Poitras (Diane) : C'est sûr qu'il y a déjà un bon commencement avec le lien pertinent... direct et pertinent. Notre crainte, c'est que, dans le secteur privé, ça puisse donner lieu à certains abus que peut-être on ne verrait pas dans le secteur public. Je n'ai pas ce soir... Ça nous fera plaisir, là, de voir et de collaborer, le cas échéant, mais je n'ai pas une précision à vous donner ce soir.

M. Nadeau-Dubois : Ça, on serait intéressés à recevoir des suggestions de votre part.

Et, en terminant, M. le Président, Option Consommateurs est venue plus tôt nous recommander de vous confier un pouvoir carrément d'enquête, d'aller dans certaines entreprises privées pour ouvrir la boîte des algorithmes et voir quel est le code et quelle est l'utilisation qui est faite dans le privé des renseignements personnels.

Est-ce que c'est le genre de pouvoir que vous souhaiteriez avoir, aimeriez avoir? Et qu'est-ce que vous en feriez d'un tel pouvoir?

Mme Poitras (Diane) : En fait, c'est intéressant parce qu'on... La réponse courte : Je crois qu'on a le pouvoir d'obtenir toute information qui nous permet d'avancer dans le cadre d'une enquête et de réaliser notre mission.

Dans le cas de l'intelligence artificielle, il y a certains algorithmes que même les concepteurs ne sont pas capables de comprendre. Je ne vous cacherai pas aussi que ça prend des experts techniques à la commission qui seraient capables de comprendre ces algorithmes-là ou la possibilité de faire affaire avec des experts externes qui pourraient nous accompagner. Mais on pense qu'on a déjà un pouvoir...

Le Président (M. Bachand) : Merci beaucoup, Me Poitras, Me Desmeules. Merci beaucoup d'avoir été avec nous ce soir, c'était très apprécié.

Mémoires déposés

Cela dit, avant de terminer, je dépose les mémoires des personnes et organismes qui n'ont pas été entendus. Je vous remercie de votre contribution.

La commission, ayant accompli son mandat, ajourne ses travaux sine die. Merci beaucoup.

(Fin de la séance à 21 h 03)

Document(s) related to the sitting